日前,《中华人民共和国网络安全法(修正草案再次征求意见稿)》(下称“再次征求意见稿”)公布,向社会征求意见。自2022年《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(下称“征求意见稿”)向社会征求意见后,《网络安全法》的修订再迎新进展。
此次修改重点强化了网络安全法律责任,加大对违法行为处罚力度,并加强与《数据安全法》《个人信息保护法》《行政处罚法》等相关法律的衔接。
对外经济贸易大学数字经济与法律创新研究中心主任许可告诉第一财经,对比2022年的修订内容,这次修改实际在加大违法行为处罚力度上有缓和趋势,建议应统合、优化网络安全审查制度,将审查原则、程序和救济的内容加入新修订的《网络安全法》,删除与《个人信息保护法》重复或冲突的条款,并完善法律中有关网络安全事件应急处置的内容。
如何调整对违法行为处罚力度?
据国家互联网信息办公室发布的关于《中华人民共和国网络安全法(修正草案再次征求意见稿)》的说明,此次修改重点强化了网络安全法律责任,加大对违法行为处罚力度。
具体而言,在关于网络运行安全的法律责任方面,拟规定关键信息基础设施运营者不履行网络安全保护义务,造成关键信息基础设施丧失局部功能等严重危害网络安全后果的,最高可处以二百万元罚款,造成丧失主要功能等特别严重危害网络安全后果的,最高可处以一千万元罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员处以相应罚款。
中国电子技术标准化研究院院长杨旭东在公开解读再次征求意见稿时表示,此次修改加大了网络安全违法处罚力度和措施,强化关键信息基础设施保护,将进一步强化关键信息基础设施运营者的网络安全意识,有力遏制网络违法犯罪活动。
同时,再次征求意见稿拟加大对网络运营者等主体不履行网络信息安全管理义务的处罚力度。造成特别严重影响、特别严重后果的情形拟明确最高可处以一千万元罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,同时对直接负责的主管人员和其它责任人员最高处以一百万元罚款。
对比现行的《网络安全法》,可以看出再次征求意见稿对相关违法行为的处罚力度有所加强,但比照2022年征求意见稿中的修改内容,此次修改在调整处罚力度时显现出审慎的态度。
首先在立法机关对罚款数额的调整上,2022年征求意见稿中对一些规定违法行为的“处上一年度营业额百分之五以下罚款”的处罚细则在再次征求意见稿中消失。
其次,2022年征求意见稿还曾拟设规定,有相关规定的违法行为,对直接负责的主管人员和其他直接责任人员可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。这一规定在再次征求意见稿中也并未出现。
许可认为,“大量的网络安全事件本质上是运营者主体没有履行好合规义务,而并非恶意违法违规,再次征求意见稿将此前讨论的上述两项罚则删除,在保证行政责任威慑性的同时,体现了过罚相当的精神。”
应落实教育与处罚相结合
《网络安全法》设定的法律责任主要为行政处罚,执法部门在实施时需要统筹考虑《网络安全法》和《行政处罚法》的适用关系。
再次征求意见稿专门新增一条衔接规定,明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依法从轻、减轻或者不予处罚;明确有关主管部门依据职责制定相应的行政处罚裁量基准。
国家互联网应急中心副主任刘博公开解读表示,此次修改拟引入情节轻微情形下的豁免机制,具有重要意义,一方面,它有利于引导运营者主体自觉遵守法律法规,减轻其合规负担,避免因轻微违法而面临严厉处罚;另一方面,它能够有效打消运营者主体的顾虑,激励其主动配合网络安全管理,积极履行网络安全义务,更好地发挥其主体作用。
许可告诉第一财经,这一新增规定,体现出教育和处罚相结合的原则,“行政处罚的目的不是惩罚,而是为了建立一般性的预防,激励运营者主体更加积极合规地提升网络安全的水准,是为了‘惩前毖后、治病救人’”。他认为,《网络安全法》在修订过程应贯彻教育与处罚相结合的原则,增加的法定责任相关规定应当符合公正性、有效性和相称性的原则。
建议优化网络安全审查制度
2021年7月,“滴滴出行”受到网络安全审查一事曾广泛引起热议。彼时,网络安全审查办公室发布了《关于对“滴滴出行”启动网络安全审查的公告》,审查期间“滴滴出行”停止新用户注册。那次审查的依据之一,是2020年6月1日正式实施的原《网络安全审查办法》(下称《办法》)。
原《办法》由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等12部委于2020年4月13日联合发布,主要面向关键信息基础设施运营者中可能影响国家安全的产品和服务,进行网络安全审查。而后新版《办法》出台,自2022年2月15日起施行,原《办法》同时废止。现行《办法》规定,“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。
在日前公布的再次征求意见稿中,明确了关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处置处罚措施,并对违反网络安全法第二十三条销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,拟规定由有关主管部门责令改正或停止违法行为,给予警告、没收违法产品和违法所得,根据违法所得金额处以不同数额的罚款。
但在许可看来,《网络安全法》仍未吸纳《办法》中的具体内容,这使得网络安全审查所倚靠的仍是《办法》这一级别较低的部门规章。他认为,“网络安全审查作为网络安全制度建设的重要行政监管措施,会影响很多中资和外资企业,如果仅是用行政规章的形式去规定,不够合适,应该借《网络安全法》修订的契机,完善、优化《办法》,回应各方的关切,将行政部门监管提升至国家法律高度。”
同时,许可还建议《网络安全法》补足对网络安全事件应急处置的规定。“打造一个完全没有漏洞和不被攻击的安全系统并不现实,网络安全法的主旨是提升网络安全保护的标准,但所有的安全都是相对的,而非绝对的。一旦出现网络安全事件后,应如何处理,由此成为网络安全的关键环节。在这方面,当前的《网络安全法》还有进一步完善的空间。”
