记者|任文岱
责编|薛应军
正文共3529个字,预计阅读需11分钟▼
《中华人民共和国网络安全法》(以下简称网络安全法)自2017年6月1日正式实施以来,为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,提供了有力的法律保障。但随着数据安全法、个人信息保护法等网络安全相关立法相继制定实施,行政处罚法的修订出台,网络和信息技术日益融入社会生产生活,网络安全风险进一步凸显,网络安全法亟须适应新形势,加强与新出台法律的衔接协调。
为此,2022年9月,国家网信办发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》。近期,网络安全法修改再迎新进展,国家网信办发布《中华人民共和国网络安全法(修正草案再次征求意见稿)》(以下简称修正草案)公开征求意见。此次修正草案重点强化网络安全法律责任,加大对违法行为处罚力度,加强与数据安全法、个人信息保护法、行政处罚法等相关法律的体系化衔接。
近日,记者专访中央财经大学法学院副院长刘权教授,对网络安全法修改及网络安全相关立法完善进行解读。他认为,修正草案是对我国网络安全治理体系顶层设计的完善,构建了层次分明的网络安全治理框架。同时,他提出制定网络安全管理行政处罚领域的配套实施规则,明确网络数据安全统筹协调和执法部门职责。
修正草案具有鲜明的政治性、时代性和创新性
记者:科技发展日新月异,今年春节期间,DeepSeek、人形机器人等多形态的人工智能产品火爆全网。2025年全国两会期间公开的政府工作报告明确提出,开展“人工智能+”行动。在此背景下,修正草案对此作了哪些回应和修改?
刘权:自2017年网络安全法实施以来,数字经济迅猛发展,以人工智能、大数据等为代表的新技术新业态快速迭代,网络安全形势已经发生了深刻变化。当前,信息技术已全面融入社会生产和人们日常生活,人工智能、大数据等新兴技术在便利公众生活生产的同时,也对网络安全构成严峻挑战。
修正草案坚持以问题为导向,从完善违反网络运行安全一般规定的法律责任制度、修改关键信息基础设施安全保护的法律责任制度、调整网络信息安全法律责任制度、修改个人信息保护法律责任制度、构建与完善过罚相当的执法规则等方面完善顶层设计,反映了鲜明的政治性、时代性和创新性,具有十分重要的意义。
具体而言,一是有助于深入贯彻落实总体国家安全观和党中央对网络安全和信息化工作的战略决策部署。没有网络安全就没有国家安全。网络安全是实现网络强国战略的重要基石。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》提出,“完善国家安全法治体系”“加强网络安全体制建设”。修正草案从健全法律责任配置、优化网络信息安全监管和加强法律法规衔接等方面进行顶层设计完善,有助于推进我国网络安全治理体系法治化现代化。
二是有助于全面应对网络安全新挑战、防范网络安全新风险。近年来,新技术新应用带来的新风险层出不穷,关键领域和行业数据泄露、关键机构内部权限滥用等风险日益凸显,域外网络安全攻击事件愈发频繁。修正草案拟优化行政处罚类别与裁量标准,围绕关键信息基础设施保护和防范数据泄露风险等完善法律责任规定,这有助于强化对违法行为的震慑效力。
三是有助于加快发展新质生产力、护航经济社会高质量发展。新质生产力的发展依托于数字基础设施与以人工智能为代表的网络信息技术的创新驱动。修正草案一方面拟通过提高罚款额度和强化精准执法遏制网络安全犯罪态势,另一方面拟设计宽严相济的行政裁量规则以激励企业主动合法合规。这有利于营造风清气正的网络安全生态环境,加强对数据和关键信息基础设施保护,为数字经济时代的新质生产力发展提供“安全底座”与创新空间,为我国数字经济高质量发展保驾护航。
构建层次分明的网络安全治理框架
记者:此次修正草案坚持问题导向,重点强化网络安全法律责任,加大对违法行为处罚力度等,有哪些重大变化?对监管实践会产生哪些影响?
刘权:修正草案通过整合现行规范体系,细化违法梯度标准,完善责任追究机制,拟构建起层次分明的网络安全治理框架,反映了我国网络安全数字治理体系的持续革新。
修正草案严格遵循过罚相当原则,完善了网络运营者和关键信息基础设施运营者的违法情形与罚则。其拟将违法情形首次细化区分为一般违法行为、加重情节违法行为、特别严重情形违法行为,以此配置梯度化的罚则和执法方式,致力形成违法情节、损害后果与处罚力度之间的梯度对应关系。这有助于保障执法活动的严肃性和提升处罚裁量的科学性。
总体而言,修正草案加重了违法行为的法律责任。
第一,明显提升处罚金额额度。针对一般网络运营者,对企业、个人的处罚金额上限分别提升至200万元、10万元;针对关键信息基础设施运营者,对企业、个人的处罚金额上限分别提升至1000万元、100万元。
第二,修正草案在遵循现行网络安全法第二十三条规定的基础上,拟增设第六十一条规定,设定了销售或者提供违法违规的网络关键设备和网络安全专用产品这一违法行为的法律责任,为监管部门执法提供法律依据,有效弥补监管执法漏洞。针对关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为,修正草案拟将现行网络安全法第六十五条规定中的“停止使用”修改为“限期改正、消除对国家安全的影响”,强化事后补救的力度,有助于更好地保障国家网络安全。
第三,为防范新形势下网络信息内容对国家安全、政治安全带来的挑战,结合近年来网络信息内容执法实践,借鉴国外相关立法法律责任制度的新调整,完善现行网络安全法第六十八条、第六十九条针对的违法情形,调整未向有关主管部门报告和不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施情形的法律责任,明确对造成特别严重影响、特别严重后果的违法情形的处置处罚措施。
网络安全相关立法体系衔接加强
记者:在与数据安全法、个人信息保护法等法律法规衔接方面,修正草案重点作了哪些调整?
刘权:修正草案加强与数据安全法、个人信息保护法、行政处罚法等相关法律的有机衔接。
鉴于数据安全法、个人信息保护法等有关法律、行政法规对现行网络安全法第六十四条第一款、第六十六条涉及的个人信息和重要数据违法行为的处罚作出新的专门规定,应明确相关法律适用规定。
统筹考虑网络安全法和行政处罚法的适用关系,专门新增一条衔接规定,明确从轻、减轻或者不予行政处罚的情形,明确有关主管部门依据职责制定相应的行政处罚裁量基准。在现行网络安全法基础上,增加一条作为第七十二条:“网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。”
在处罚标准层面,修正草案将现行网络安全法第五十九条规定中针对“造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的”违法行为,第六十九条规定中“造成特别严重影响、特别严重后果”的违法行为,均拟调整设置为1000万元的处罚上限,这实际上与数据安全法第四十五条规定、第四十六条规定的类似行为而设置的1000万元的处罚上限相同。这有助于防止因处罚标准的差异化而导致法律适用的不协调甚至冲突,进而实现裁量基准限度和法律威慑力的一致性。修正草案增设的第七十二条规定引入适用行政处罚法“从轻、减轻或者不予行政处罚”等相关规定,体现宽严相济的行政处罚裁量理念,有助于引导企业主动消除或者减轻违法行为危害后果、及时改正,促进监管领域良性互动,推动依法审慎监管和激发网络创新活力的平衡发展。
可细化制定配套规则
记者:您对网络安全领域相关立法还有哪些完善建议?
刘权:修正草案增设的宽严相济的行政处罚裁量规定,即“有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权”,总体较为抽象,可建立配套实施规则。
目前,地方层面已有《新疆维吾尔自治区网络安全管理行政处罚裁量权基准适用规定》《上海市公安局关于网络安全管理行政处罚的裁量基准》等规范性文件。为此,建议国家网络安全管理部门研究制定配套实施规则“网络安全管理行政处罚裁量基准基本规则”,聚焦网络安全领域的特殊性,细化明确“一般违法行为”“加重情节违法行为”“特别严重情形违法行为”的判定标准。同时,厘定网络安全领域“从轻”“减轻”“不予行政处罚”等具体适用情形,细化裁量阶次标准。
此外,网络数据安全领域属于网络安全法、数据安全法、个人信息保护法共同交叉管辖的部分。建议构建协调统一、分工明确的网络数据安全监管机制,通过立法明确网络数据安全的统筹协调和执法部门的职责。
