2022年9月14日,国家网信办发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(以下简称“《征求意见稿》”),1向社会公开征求意见,意见反馈截止时间为2022年9月29日。 作为中国网络安全及数据保护立法的三驾马车之一,自2017年起已施行5年之久的《网络安全法》将迎来首次修订。
本次修改主要针对网络运行安全、关键信息基础设施安全保护、网络信息安全以及个人信息保护四方面的法律责任制度。修改内容体现了与《数据安全法》、《个人信息保护法》、《行政处罚法》等新实施的法律之间的衔接协调,也与实践中网络安全领域执法不断加强的趋势相呼应。《征求意见稿》主要修改意见总结如下。
一、 完善违反网络运行安全一般规定的法律责任制度
《网络安全法》第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条对网络运营者需遵循的网络运行安全保护义务进行了规定,包括:(1)网络安全等级保护制度;(2)网络产品、服务符合相关国家标准强制性要求的义务及其他安全保护义务;(3)网络关键设备和网络安全专用产品的安全认证合格或者安全检测义务;(4)网络运营者实名认证义务;(5)制定及遵守网络安全事件应急制度的义务;(6)向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息应当遵守国家有关规定;(7)为相关政府部门法维护国家安全和侦查犯罪的活动提供技术支持和协助。
《征求意见稿》对违反该等规定的罚则进行了调整,变化主要包括:
1. 对网络运营者违法行为新增行政处罚种类。新增种类包括通报批评、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
2. 上调对网络运营者、直接负责的主管人员和其他直接责任人员的罚款额度。网络运营者发生前述违法行为,拒不改正的,罚款额度由原来的“一万元以上十万元以下罚款”调整为“一百万元以下罚款”;对直接负责的主管人员和其他直接责任人员的罚款金额幅度从五千元以上五万元以下上调为一万元以上十万元以下。
3. 增加情节特别严重情形下的罚则。情节特别严重的,将对网络运营者处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
4. 对《网络安全法》中原本并未设置相应罚则的条款增加了罚则,包括《网络安全法》第二十三条以及第二十八条。
5. 在网络运行安全保护方面,《征求意见稿》还对违反《网络安全法》第二十七条的法律责任进行了更新。《网络安全法》第二十七条规定:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,不得为他人从事该等活动提供技术支持等帮助。《征求意见稿》在原法律责任规定的基础上,增加了针对单位的处罚措施以及对从事前述活动的人员的从业限制措施。
二、 修改关键信息基础设施安全保护的法律责任制度
《网络安全法》第三十三条、第三十四条、第三十六条、第三十八条对关键信息基础设施建设的安全要求、关键信息基础设施运营者的安全保护义务、关键信息基础设施采购的安全保密义务以及关键信息基础设施的定期安全检测评估义务进行了规定。《征求意见稿》对违反前述规定的法律责任进行了调整,具体体现在:
1. 对关键信息基础设施运营者违法行为新增行政处罚种类。增加行政处罚种类,新增种类包括通报批评、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;
2. 对于拒不改正的情形取消罚款下限。罚款金额从“十万元以上一百万元以下”调整为“一百万元以下”,取消了对罚款金额下限的设置;
3. 增加情节特别严重情形下的罚则。具体内容与前述网络运营者违反网络运行安全一般规定的罚则一致。
4. 对违反信息出境义务进行了转致性规定。《网络安全法》第三十七条要求,关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要,确需向境外提供的,应当进行安全评估。对于违反该项义务的法律责任,《征求意见稿》则进行了转致性规定,要求“依照有关法律、行政法规的规定处罚”。具体而言,关键信息基础设施运营者违反前述规定向境外提供重要数据的,依照《数据安全法》第四十六条进行处罚;关键信息基础设施运营者违反前述规定向境外提供个人信息的,依照《个人信息保护法》第六十六条等规定进行处罚。
三、调整网络内容安全法律责任制度
《征求意见稿》对《网络安全法》第四十七条、第四十八条、第四十九条的罚则进行了修改。前述条款对网络运营者需遵循的网络内容安全义务进行了规定,包括及时处置用户发布或传输的违法信息、禁止在发送的电子信息或提供的应用软件中设置恶意程序、建立网络信息安全投诉、举报制度等。《征求意见稿》对前述条款对应罚则的修改主要体现在:
1. 对网络运营者违反网络信息安全保护义务的行为,增加了“通报批评”这一项行政处罚;
2. 对拒不改正或者情节严重的情形,将罚款上限从原来的“五十万元”上调为“一百万元”;
3. 增加情节特别严重情形下的罚则,具体内容与前述网络运营者违反网络运行安全一般规定的罚则一致;
4. 对《网络安全法》第十二条第二款禁止利用网络发布或传输有关违法信息,以及第四十六条禁止设立用于实施违法犯罪活动的网站、通讯群组或者发布涉及实施违法犯罪活动的信息,上调了对相关个人和组织的罚款额度。
四、修改个人信息保护法律责任制度
《征求意见稿》对违反《网络安全法》第二十二条第三款、第四十一条至第四十四条的法律责任制度进行了修改。该等条款涉及对网络运营者在个人信息保护方面的相关要求,包括收集、使用个人信息需遵循合法、正当、必要原则、采取必要措施确保个人信息安全的义务、响应个人关于删除或更正其个人信息要求的义务等。《网络安全法》已对违反前述条款的法律责任进行了详细规定,鉴于《个人信息保护法》规定了全面的个人信息保护法律责任制度,为与《个人信息保护法》做好衔接,《征求意见稿》则将原有关个人信息保护的法律责任修改为转致性规定。
五、总结
《征求意见稿》未对网络运营者增加新的具体合规义务类型,但从整体上对网络运营者(包括关键信息基础设施运营者)在网络运行安全、网络信息安全以及个人信息保护方面的法律责任进行了更加严格的规定。例如,对网络运营者最高处以上一年度营业额百分之五以下罚款,以及对直接负责的主管人员和其他直接责任人员最高处一百万元罚款以及一定期限内的从业限制,将极大提高网络运营者及管理人员的合规风险及成本。上述修改方向体现了《个人信息保护法》的最新规定及近期实践中执法案例所展示的监管趋势。
我们建议企业持续关注《网络安全法》修订动态,结合《网络安全法》相关要求进行合规自查,确保企业按照《网络安全法》的要求履行相关法定义务。
1.国家互联网信息办公室发布《关于修改<中华人民共和国网络安全法>的决定(征求意见稿)》,http://www.cac.gov.cn/2022-09/14/c_1664781649609823.htm