網絡安全法施行五年后首修，要點是什么？亮點有哪些？一文讀懂

2017年6月1日起施行的《中華人民共和國網絡安全法》（以下簡稱“網絡安全法”），是我國第一部既涉及網絡安全，又涉及數據安全和個人信息保護的網絡與數據領域的綜合性和基礎性立法。網絡安全法實施五年以來，數據安全法、個人信息保護法、《關鍵信息基礎設施安全保護條例》以及新修訂的行政處罰法等法律法規相繼在2021年實施。為做好網絡安全法與這些新實施的法律之間銜接協調，完善法律責任制度，進一步依法維護網絡安全，9月14日，國家網信辦發布了《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》（以下簡稱《征求意見稿》）。

筆者注意到，征求意見稿擬修訂的內容聚焦了網絡安全法第六章的“法律責任”部分，最大亮點是改變了處罰類型和幅度，對于嚴重違法行為，加大了違法者的違法成本，如增加了“限制高管從業”的行為罰，即“禁止在一定期限內擔任相關企業的董事、監事、高級管理人員”，以及增加了“上一年度營業額百分之五以下罰款”的選擇性處罰等，這些處罰規定，具有很強的震懾作用?！墩髑笠庖姼濉饭沧鞒隽椥抻?，主要涉及四個方面的內容。

一、設置個人信息保護法律責任的轉致性規定

征求意見稿將第六十四條修改為：“網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十四條規定，侵害個人信息依法得到保護的權利的，依照有關法律、行政法規的規定處罰。”這是一項轉致性規定，“轉致”是國際私法中的一個定義，其含義是某一行為雖然屬于甲法的調整范圍，但甲法明確規定其法律后果應適用乙法，因此在執法實踐中依據乙法確定當事人的權利義務。

2021年11月1日起施行的個人信息保護法第六十六條至第七十一條詳細設置了個人信息保護的法律責任制度，相比網絡安全法僅有一條（第六十四條）規定了個人信息保護的法律責任，后者的法律責任明顯不足。因此，《征求意見稿》將第六十四條修改為轉致性規定，即違反網絡安全法第二十二條第三款、第四十一條至第四十四條規定，侵害個人信息的違法行為，將轉致“依照有關法律、行政法規的規定處罰”，這里的“法律”指個人信息保護法，“行政法規”主要指由國務院制定有關個人信息保護的法規。

《征求意見稿》對網絡安全法法律責任調整的最大看點，是直接參照了個人信息保護法第六十六條第二款“情節嚴重”的相關處罰規定，其中有三處是涉及“限制高管從業”的行為罰，即“禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員”，還有四處是選擇性處罰，即“或者上一年度營業額百分之五以下罰款”。特別是后面的選擇性處罰，對比歐盟GDPR違反信息披露和侵犯個人信息行為的處罰，情節嚴重的罰款額度是2000萬歐元或全球營業額的4%（以較高者為準）。GDPR的選擇性處罰是“全球營業額的4%（以較高者為準），比如蘋果公司最近幾年的收入都超過了2000億美元，那么如果選擇“全球營業額的4%，罰金就有可能高達80億美元?！墩髑笠庖姼濉返倪x擇性處罰是“上一年度營業額百分之五以下罰款”，這項罰款的金額與GDPR幾乎是一個等量級。

二、對違反網絡運行安全一般規定的處罰類型和幅度作出調整

《征求意見稿》第一項將網絡安全法第五十九條、第六十條、第六十一條、第六十二條的處罰內容合并，統一修改為：“違反本法第二十一條、第二十二條第一款和第二款、第二十三條、第二十四條第一款、第二十五條、第二十六條、第二十八條、第三十三條、第三十四條、第三十六條、第三十八條規定的網絡運行安全保護義務或者導致危害網絡運行安全等后果的，由有關主管部門責令改正，給予警告、通報批評；拒不改正或者情節嚴重的，處一百萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

《征求意見稿》第一項在原有的一般違法、情節嚴重的情形基礎上，增設了“情節特別嚴重”的加重型處罰規定，即“處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令停止相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作。”

上述規定在“處一百萬元以上五千萬元以下”之后增加了一項選擇性處罰，即“或者上一年度營業額百分之五以下罰款”，并增加了“限制高管從業”的行為罰，即“可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作”。

三、調整關鍵信息基礎設施運營者違反安全審查規定的處罰

網絡安全法第六十五條規定：“關鍵信息基礎設施的運營者違反本法第三十五條規定，使用未經安全審查或者安全審查未通過的網絡產品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”

《征求意見稿》第四項將第六十五條修改為：“關鍵信息基礎設施的運營者違反本法第三十五條規定，使用未經安全審查或者安全審查未通過的網絡產品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下或者上一年度營業額百分之五以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”上述規定在“處采購金額一倍以上十倍以下罰款”之后同樣增加了一項選擇性處罰“或者上一年度營業額百分之五以下罰款”。

四、調整網絡信息安全保護義務的法律責任

《征求意見稿》第五項對違反網絡信息安全義務行為的法律責任進行了整合，并調整了行政處罰幅度和從業禁止措施的規定?！墩髑笠庖姼濉返谖屙椩诰W絡安全法第六十八條“違反本法第四十七條”的基礎上增加了“第四十八條、第四十九條”，并將第六十八條和六十九條的法律責任進行了整合，統一修改為：“違反本法第四十七條、第四十八條、第四十九條規定的網絡信息安全保護義務，或者不按照有關部門的要求對法律、行政法規禁止發布或者傳輸的信息采取停止傳輸、消除等處置措施的，或者不按照有關部門的要求對網絡存在較大安全風險和發生安全事件采取措施的，由有關主管部門責令改正，給予警告、通報批評，沒收違法所得；拒不改正或者情節嚴重的，處一百萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”

《征求意見稿》將上述法律責任合并，增加了“通報批評”，并將網絡安全法第六十八條“拒不改正或者情節嚴重的，處十萬元以上五十萬元以下罰款”調整為“拒不改正或者情節嚴重的，處一百萬元以下罰款”。

《征求意見稿》第五項增設了“情節特別嚴重”的規定，即“處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照”，以及“對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作。”這是《征求意見高》第三次出現“或者上一年度營業額百分之五以下罰款”的選擇性處罰的規定。

《征求意見稿》第六項在網絡安全法第七十條的基礎上增加了兩款規定，一是“法律、行政法規沒有規定的，由有關主管部門責令改正，給予警告、通報批評，沒收違法所得；拒不改正或者情節嚴重的，處一百萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”；二是“情節特別嚴重的，由省級以上有關主管部門責令改正，沒收違法所得，處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作。”《征求意見稿》第六項在“情節特別嚴重”的情形中，第四次提及了“或者上一年度營業額百分之五以下罰款”的選擇性處罰。

關于發布或者傳輸違法信息，《征求意見稿》第七十條第二款修改的亮點是，即使法律、行政法規沒有規定，有關主管部門仍然可以依據本條款對發布或者傳輸網絡安全法第十二條第二款和其他法律、行政法規禁止發布或者傳輸違法信息的行為進行處罰。第七十條第三款與《征求意見稿》第一項、第五項、第六項的內容保持了一致。