引言
2022年9月14日,国家互联网信息办公室(下称“网信办”)发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(下称“《决定(征求意见稿)》”)。本次修订为《中华人民共和国网络安全法》(下称“《网安法》”)自2017年正式实施以来的首次修订。根据网信办的说明,本次修订的目的在于做好《网安法》与2021年相继修订或制定实施的《中华人民共和国行政处罚法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)等法律的衔接协调,拟通过调整、整合网络运营者的网络信息安全保护义务,将违法后果可能产生的危害与应当通过行政处罚进行惩戒的措施种类和幅度相协调,处罚标准也有意识地与《个人信息保护法》下的刻度进行了对齐,并对原法中没有规定的违法行为补充了法律责任条款,从而能够更有力地保障国家网络运营安全,进一步完善网络安全法律责任制度,也重点强化了关键信息基础设施运营者对系统和运营安全的保护管理责任。结合此背景,本次《决定(征求意见稿)》主要针对《网安法》“第六章 法律责任”部分作出修订,涉及的具体条文包括《网安法》第五十九条至第七十条。
一、对《网安法》第五十九条、第六十条、第六十一条、第六十二条的修订(下称“条款一”)
根据《决定(征求意见稿)》,“条款一”将《网安法》第五十九条、第六十条、第六十一条、第六十二条修改为:“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
(一)责任内容
“条款一”修订并融合了《网安法》的第五十九条至第六十二条的规定,这些规定所包含的具体责任为:
-
网络运营者应按照网络安全等级保护制度的要求,履行安全保护义务(第二十一条);
-
网络产品、服务应当符合相关国家标准的强制性要求(第二十二条第一款),网络产品、服务的提供者提供安全维护的责任(第二十二条第二款);
-
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供(第二十三条);
-
网络运营者要求用户提供真实身份信息的义务(第二十四条第一款);
-
网络运营者按要求履行网络安全事件相关义务(第二十五条);
-
遵守国家规定开展网络安全认证、检测、风险评估、发布等活动(第二十六条);
-
网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助(第二十八条);
-
关键信息基础设施运营者履行安全技术措施(第三十三条)、额外安全保护义务(第三十四条)、签订安全保密协议(第三十六条)、年度检测评估及报送义务(第三十八条)。
结合《网安法》的第五十九条至第六十二条的规定可知,“条款一”新增了违反《网安法》第二十三条与第二十八条的法律责任。这意味着,若网络运营者未按要求认证或检测并销售或提供网络关键设备或网络安全专用产品,则企业及直接责任人员均面临着较高的处罚风险。根据2022年年初工信部等四部门发布的《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》可知,网络关键设备或网络安全专用产品的认证和检测结果通过中国网信网、工业和信息化部网站、公安部网站和认监委网站同步公布和更新,企业可保持关注。此外,对于公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动,网络运营者应当提供技术支持和协助,否则将面临处罚。
除上述新增的法律责任外,“条款一”并未把《网安法》第五十九条至第六十二条规定的所有法律责任囊括在内,例如《网安法》第四十八条第一款规定的电子信息及应用软件不得设置恶意程序不得含有禁止发布或传输的信息。结合《决定(征求意见稿)》的其余修订可知,此处修订进一步调整了相应法律责任的逻辑,将用户信息管理所涉及的相关法律责任汇总在新的条款之中,下文将详细说明。
(二)处罚标准
“条款一”在融合了上述责任内容的同时,对违反上述法律责任的行为均提高了处罚标准。具体分为三级:
-
违反网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;
-
拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
-
情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
据此可知,对于一般的违法行为,“条款一”新增了“通报批评”的处罚方式。对于“拒不改正或者情节严重的”的违法行为,“条款一”将对企业的罚款上限调整至了一百万元,同时,除“直接负责的主管人员”, “其他直接责任人员”也面临着一万元以上十万元以下的罚款。这意味着在实践中,除管理层外直接接触相关工作的企业员工(例如信息安全部门、数据管理部门)若未履行《网安法》下的义务受处罚的几率有所增加。此外,“条款一”新增了“情节特别严重的”最高级处罚,罚金最高上限等同于《个人信息保护法》第六十七条的规定,即五千万元以下或者上一年度营业额百分之五以下罚款,以及停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等严厉的行政处罚措施。而对于直接负责的主管人员和其他直接责任人员而言,则不仅面临着最高一百万元的罚款,还可能受“从业禁止”的处罚,在一定期限内禁止担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
二、对《网安法》第六十三条、第六十七条的修订(下称“条款二”)
根据《决定(征求意见稿)》,“条款二”将《网安法》第六十三条、第六十七条修改为:“违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。”
(一)责任内容
“条款二”修订并融合了《网安法》的第二十七条及第四十六条的规定,具体为:
-
任何个人和组织禁止从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,禁止为上述活动提供程序、工具、技术支持、广告推广、支付结算等帮助(第二十七条);
-
任何个人和组织不得设立用于违法犯罪活动的网站、通讯群组,不得利用网络发布违法犯罪活动的信息(第四十六条)。
“条款二”将《网安法》中涉嫌利用网络实施违法乃至犯罪行为的责任内容整合至一处,逻辑上更为清晰。
(二)处罚标准
“条款二”在融合了上述责任内容的同时,整合了相应违法内容的处罚标准,具体分为以下情况:
-
违反《网安法》第二十七条、第四十六条规定,构成犯罪的,则由相关刑事法律法规及司法解释予以规制;
-
尚不构成犯罪的:a)对个人:由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;b)对企业:由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
-
尚不构成犯罪但情节较重的:a)对个人:处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款;b)对企业:由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
-
违反第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
根据上述处罚标准可知,“条款二”在规定了相应行政处罚措施的同时,也按照《行政处罚法》第八条第二款的要求,保留了追究相关主体刑事责任的规定。此外,“条款二”提高了对个人的罚款上限,也即一般情况下的五十万元以下罚款以及情节较重时的一百万元以下罚款(原规定为十万元/五十万元)。对单位的违法行为,则保留了原处罚措施与力度。同时,“条款二”延续了《网安法》第六十三条第三款规定中的“禁业规定”,也即受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。此处的“禁业规定”应区别于“条款一”中企业直接负责的主管人员和其他直接责任人员的“从业禁止”,前者在处罚力度更为严厉的同时,其针对群体也并非仅为企业的责任人员,“任何个人和组织”均可能成为处罚对象,且需满足 “受到治安管理处罚”及“受到刑事处罚”的条件。
三、对《网安法》第六十四条的修订(下称“条款三”)
根据《决定(征求意见稿)》,“条款三”将《网安法》第六十四条修改为:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。”
(一)责任内容
“条款三”延续了《网安法》第六十四条所涉及的具体责任内容:
-
网络产品、服务具有收集用户信息功能的,应遵守关于个人信息保护的规定(第二十二条第三款);
-
网络运营者收集、使用个人信息所遵循的原则及规定(第四十一条);
-
网络运营者确保个人信息安全及未经被收集者同意不得提供的义务(第四十二条);
-
网络运营者应保障个人删除及更正个人信息的权利(第四十三条);
-
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息(第四十四条)。
根据上述责任内容可知,“条款三”将《网安法》中涉及个人信息的相关责任汇总至一起,在逻辑上更为清晰。
(二)处罚标准
“条款三”取消了原《网安法》第六十四条中规定的具体处罚标准,而代之以“依照有关法律、行政法规的规定处罚”。结合网信办“关于修改《中华人民共和国网络安全法》的决定(征求意见稿)的说明”可知,《决定(征求意见稿)》所体现的趋势为,《网安法》中有关个人信息保护的法律责任将修改为转致性规定。也即,存在未来《网安法》中涉及个人信息保护的责任内容以《个人信息保护法》或其他个人信息保护法律法规的处罚标准直接适用的可能性。
四、对《网安法》第六十五条(下称“条款四”)及六十六条的修订(下称“条款五”)
(一)“条款四”的解读
根据《决定(征求意见稿)》,“条款四”将《网安法》第六十五条修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
“条款四”并未改变《网安法》第六十五条所规定的责任内容,即根据《网安法》第三十五条,关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。根据2022年2月正式实施的《网络安全审查办法》可知,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险,影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。而在网络安全审查视野下的“网络产品和服务”,主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
此外,“条款四”新增了“上一年度营业额百分之五以下罚款”的处罚标准,关键信息基础设施运营者应当格外注意。
(二)“条款五”的解读
“条款五”将《网安法》第六十六条修改为:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。”
“条款五”调整了关键信息基础设施运营者违反境内存储与安全评估义务(第三十七条)所涉及的处罚标准,取消了《网安法》第六十六条中的具体处罚措施规定,代之以“依照有关法律、行政法规的规定处罚”。《数据安全法》第四十六条规定,违反本法第三十一条规定(关键信息基础设施运营者应履行境内存储或数据出境安全评估义务),向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
五、对《网安法》第六十八条、六十九条的修订(下称“条款六”)
根据《决定(征求意见稿)》,“条款六”将《网安法》第六十八条、第六十九条修改为:“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
(一)责任内容
“条款六”修订调整了《网安法》第六十八条、第六十九条的相关内容,其具体责任内容为:
-
网络运营者对用户发布信息的管理(第四十七条);
-
任何个人和组织发送的电子信息、提供的应用软件不得设置恶意程序,不得含有禁止传输的信息,相关服务提供者应当履行安全管理义务(第四十八条);
-
网络运营者应当建立网络信息安全投诉、举报制度(第四十九条)。
-
网络运营者应按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施(“条款六新增”)
在责任内容方面,“条款六”延续了网络运营者对用户发布信息的管理的义务内容,同时将《网安法》第四十八条的内容归纳为统一的责任内容,改变了原先第四十八条第一款的责任内容与第二款的责任内容分属不同法条的情况。同时,“条款六”将网络运营者建立网络信息安全投诉、举报制度也新增纳入了责任范围,这意味着网络运营者未建立相关制度、公布投诉、举报方式等信息,或未及时受理并处理有关网络信息安全的投诉和举报或配合监管部门检查的行为,可能面临处罚。
此外,“条款六”删除了《网安法》第六十九条规定情形,并将其细化新增在条文中。这意味着,网络运营者若不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,即便符合《网安法》第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,也面临着处罚风险。
(二)处罚标准
“条款六”在融合了上述责任内容的同时,对违反上述法律责任的行为均提高了处罚标准。具体分为三级:
-
由有关主管部门责令改正,给予警告、通报批评,没收违法所得;
-
拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
-
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
对于一般的违法行为,“条款六”新增了“通报批评”的处罚方式。对于“拒不改正或者情节严重的”的违法行为,“条款六”将对企业的罚款上限调整至了一百万元。此外,“条款六”类似“条款一”的情况,新增了“情节特别严重的”最高级处罚,罚金最高上限等同于《个人信息保护法》第六十七条的规定,即五千万元以下或者上一年度营业额百分之五以下罚款,以及停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等严厉的行政处罚措施。而对于直接负责的主管人员和其他直接责任人员而言,则不仅面临着最高一百万元的罚款,还可能受“从业禁止”的处罚,在一定期限内禁止担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
六、对《网安法》第七十条的修订(下称“条款七”)
根据《决定(征求意见稿)》,“条款七”将《网安法》第七十条修改为:“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
(一)责任内容
“条款七”所涉及的《网安法》第十二条第二款,并规定禁止发布、传输危害网络安全,危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
除《网安法》第十二条第二款所涉及内容外,“条款七”延续了《网安法》第七十条的规定,同时将“其他法律、行政法规禁止发布或者传输的信息”也纳入了责任内容范围。
(二)处罚标准
“条款七”补充扩展了《网安法》第七十条有关处罚标准的规定,也即相关主体触犯本条规定,但法律、行政法规没有规定时:
-
由有关主管部门责令改正,给予警告、通报批评,没收违法所得;
-
拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
-
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
据此可知,“条款七”补充了在没有相关法律法规规定时的处罚标准,同时类似“条款一”及“条款六”,规定了“情节特别严重”的最高标准,应当引起相关主体关注。
七、结语
本次《决定(征求意见稿)》的发布,进一步完善了对网络安全、数据安全与个人信息保护法律责任制度体系。一方面,针对网络运营者、关键信息基础设施运营者的责任内容逻辑更加紧凑清晰,另一方面,适应了最新立法趋势并调整了处罚幅度及处罚种类。同时,对于个人信息保护的法律责任,《决定(征求意见稿)》也显现出将原有《网安法》项下关个人信息保护的法律责任修改为转致性规定的趋势。目前,《决定(征求意见稿)》尚处于征求意见阶段,在社会各界的热烈讨论与监管部门的进一步调整下,我们相信“三驾马车”中最早发布实施的《网安法》的法律责任体系将更加清晰,不同法律适用之间的不协调问题将进一步得到解决。
值得大家关注的是,网信办除了对“实体法”有上述修订外,2022年9月8日亦发布了关于《网信部门行政执法程序规定(征求意见稿)》(下称“《规定(征求意见稿)》”)的通知[1],代表着国家网信部门也正在同步完善包括对网络安全违法行为进行行政处罚等执法“程序”(如立案、调查取证、听证、约谈、行政处罚决定、送达等)。我们建议企业及各相关主体在关注《网安法》法律责任部分修订的同时,也同时关注网信部门按照《规定(征求意见稿)》拟将施行的行政执法最新趋势,以求在“实体”与“程序”两大维度上满足监管部门的最新监管要求。同时,《规定(征求意见稿)》也赋予了当事人主体所享有的相关权利(如要求举行听证、申请行政复议、申请延期或分期缴纳罚款等),以满足当事人主体在最新程序框架内实现权利与义务的统一。
注释:
[1] 《网信部门行政执法程序规定(征求意见稿))》是在《互联网信息内容管理行政执法程序规定》(2017年5月2日发布,2017 年6月1日正式实施,现行有效)的基础上进行的修订。《网信部门行政执法程序规定(征求意见稿)》全文共五十六条,分为总则、管辖和适用、行政处罚的普通程序(包括四节:立案;调查取证;听证、约谈;行政处罚决定、送达)、执行与结案、附则五章。