深度解读 |《网络安全法》将迎首次修订,强化法律责任,加大监管处罚力度!
来源:天融信教育
多年来,我国数据安全、个人信息保护、关键信息基础设施保护、数据出境等网络安全相关法规制度相继颁布实施并不断完善。为适应新形势,9月14日,国家互联网信息办公室发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知(下称“通知”),旨在通过向社会公开征求意见,做好《中华人民共和国网络安全法》(下称《网络安全法》)与相关法律的衔接协调,完善相关法律制度,进一步保障网络安全。
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,从2017年正式施行至今已五年有余。《网络安全法》的施行彰显出我国建设网络强国的政治决心和战略重视,实现了网络安全的有法可依,并将助推信息安全行业由合规性驱动向合规性与强制性驱动并重过渡。
本次对于《网络安全法》的修订,有利于相关领域继续贯彻落实好国家网络强国和依法治网政策,助力网络空间安全治理与建设。本文对通知要求的主要修改内容与未来影响等进行了全面解读与深度剖析,具体如下:
四大修改
关于修改《中华人民共和国网络安全法》的决定(征求意见稿)的说明中明确指出,《网络安全法》为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,提供了有力法律保障。新形势下,《中华人民共和国行政处罚法》《中华人民共和国数据安全法》(下称《数据安全法》)、《中华人民共和国个人信息保护法》(下称《个人信息保护法》)等法律于2021年相继修订制定实施。为做好《网络安全法》与新实施法律之间的衔接协调,完善法律责任制度,本次《网络安全法》主要在以下四方面作出修改:
1.完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况,拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度
2.修改关键信息基础设施安全保护的法律责任制度。关键信息基础设施是经济社会运行的神经中枢,为强化关键信息基础设施安全保护责任,进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。
3.调整网络信息安全法律责任制度。适应网络信息安全工作实际,对违反网络信息安全义务行为的法律责任进行整合,调整了行政处罚幅度和从业禁止措施,新增对法律、行政法规没有规定的有关违法行为的法律责任规定。
4.修改个人信息保护法律责任制度。鉴于《个人信息保护法》规定了全面的个人信息保护法律责任制度,拟将原有关个人信息保护的法律责任修改为转致性规定。
修订内容
关于修改《中华人民共和国网络安全法》的决定(征求意见稿)主要针对《网络安全法》“第六章 法律责任”部分作出修订,涉及的具体条文包括第五十九条至第七十条。修订内容如下:
1.将第五十九条、第六十条、第六十一条、第六十二条修改为:“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
2.将第六十三条、第六十七条修改为:“违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。”
3.将第六十四条修改为:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。”
4.将第六十五条修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
将第六十六条修改为:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。”
5.将第六十八条、第六十九条修改为:“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
6.将第七十条修改为:“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
此外,修订法案对条文序号也作了相应调整。
依据修订内容,对比分析《网络安全法》现行规定和征求意见稿的有关条文后有以下变化:一、本次修订将大幅提高罚款幅度,以适应国际国内形势;二、将行政处罚的幅度从两个增加至三个;三、增加行政处罚的责任形式,以适应国内业务环境要求;四、法律条文精简合并,剥离专业法律责任;五、加强违法信息内容监管,增加兜底条款等。
未来影响
1.四梁八柱,各司其职;责任衔接,更加清晰。
目前,我国基本构建起网络安全政策法规体系的“四梁八柱”体系。本次修订是在《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等一系列法规政策制度颁布实施的基础上进行的,能够有效衔接协调新实施法律,剥离更加专业化的法律责任,使得《网络安全法》在执行上职责更加明确,责任更加清晰。
2.法律责任,适应形势;处罚标准,力度空前。
通过本次修订,调整、整合网络运营者的网络信息安全保护义务,全面提升网络安全法律责任的处罚标准,将违法后果可能产生的危害与应当通过行政处罚进行惩戒的措施种类和幅度相协调。处罚标准也有意识地与《个人信息保护法》的刻度对齐,并对原法中没有规定的违法行为补充了相应的法律责任条款,从而更有力地保障国家网络运营安全,进一步完善了网络安全法律责任制度,适应了国际国内立法形势,同时也重点强化了关键信息基础设施运营者对系统和运营安全的保护管理责任。
3.修订融合,规范完善;监管处罚,宽严相济。
网络安全责任条款修订融合、化繁为简,使得网络运营者、关键信息基础设施运营者的责任内容逻辑更加紧凑清晰,法律责任规定更加规范完善。监管处罚从两档制调整为三档制,增加了“情节特别严重”的适用情形,丰富信息内容监管机制、企业最高处罚机制,以及个人资格禁止机制、产品服务采购自查机制等不同的行政处罚形式,同时与行政处罚、违法犯罪等法规相衔接,形成宽严相济的违法处罚体系。
4.落实执法,保障权利;战略推进,一体生态。
本次修订也代表着国家网信部门正在同步完善对网络安全违法行为进行行政处罚等的执法“程序”,需要企业及各相关主体在关注《网络安全法》法律责任部分修订的同时,还应关注网信部门拟将施行的行政执法等最新动态,以求在主体与程序两大维度上满足监管部门的最新合规监管要求,同时也赋予当事人主体所享有的相关权利。在法规修订等的战略推进策略下,我国的网络安全法律责任体系将进一步清晰,并应通过网络安全的合规监管和体系建设,进一步推动当事主体权利与义务的统一,推动网络空间安全法规的一体化与生态化高质量发展。