一、细化违法情形、违法责任以及执法手段

（一）第五十九条

《征求意见稿》借鉴《个人信息保护法》第六十六条的立法技术，对同类违法行为进行系统性整合与归并，修订并融合了《网络安全法》的第五十九条至第六十二条的规定。《再次征求意见稿》则延续了《网络安全法》的分类方式，对一般的网络运营者和关键信息基础设施运营者的不同违法行为进行区分。第五十九条涉及的网络安全保护义务包括：

1. 网络运营者：

① 第二十一条：按照网络安全等级保护制度的要求，履行完善内部安全管理制度和操作规程、确定网络安全负责人、采取安全技术措施、留存网络日志等安全保护义务

② 第二十五条：制定网络安全事件应急预案、网络安全事件应急响应相关义务；

2. 关键信息基础设施运营者：

① 第三十三条：支持业务稳定、持续运行的性能，应用安全技术措施；

② 第三十四条：设置专门安全管理机构和安全管理负责人、安全背景审查、培训和考核、容灾备份、网络安全事件应急预案及演练等额外安全保护义务；

③ 第三十六条：与网络产品和服务提供者签订安全保密协议；

④ 第三十八条：年度检测评估及报送义务。

在罚则方面，《再次征求意见稿》基于严格遵循过罚相当原则，对违法情形进行了更为细致、具体的分级：（1）一般违法行为；（2）加重情节违法行为；及（3）特别严重情形。分别配置差异化的罚则，具体的合规义务、违法情形以及罚则对应关系如下：

《再次征求意见稿》较为显著地加重了违法行为的法律责任：一方面，针对一般违法行为的行政处罚要件发生实质性变更，取消《网络安全法》原规定中“经责令改正而拒不改正”的前置条件，明确“违法即可处罚”，但维持了“单位责任为主、并处个人责任”的追责原则；另一方面，对企业的处罚金额上限分别提升至200万元（一般网络运营者）和1000万元（涉及关键信息基础设施），对个人的处罚金额上限则分别提升至10万元（一般网络运营者）和100万元（涉及关键信息基础设施），尽管处罚力度不及《征求意见稿》所规定的最高5000万元或营业额百分之五以下罚款，但仍然有较大幅度的提升。此外，执法手段进一步细化，除罚款外，运营者还可能面临暂停或关停业务、吊销许可或执照的行政处罚。

值得注意的是，《再次征求意见稿》删除了《征求意见稿》中新增的加重情节违法行为中对任职董监高或者网络安全职位的个人禁止任职的规定，对个人违法责任的规定有一定程度的减弱。我们理解，一方面，《个人信息保护法》第六十六条、《网络数据安全管理条例》第五十五条至第五十七条已经针对直接责任人员的罚款和“从业禁止”进行了规定，2024年7月1日生效的《中华人民共和国公司法》对董监高的责任和义务部分也进行了重大修订，全面强化了董监高的信义义务和责任。在可以通过其他法律法规进行追责的情况下，有利于明确立法分工，更符合《网络安全法》的立法定位。该倾向在落实平台责任、行政裁量等其他条文的修改中亦有所体现。

整体而言，《再次征求意见稿》通过细化违法情节、损害后果与处罚力度之间的梯度对应关系，既有助于保障执法活动的严肃性，又可提升处罚裁量的科学性。

（二）第六十四条

《再次征求意见稿》新增第六十四条的转致适用规则，明确以下情形如果造成（1）造成大量数据泄露；（2）关键信息基础设施丧失局部功能等严重危害网络安全后果或者（3）关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，将根据上述“特别严重情形”的相应罚则进行处罚：

1. 设置恶意程序的；
    
2. 对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；
    
3. 违反法律规定开展网络安全认证、检测、风险评估等活动，违规向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。

这一新增条款实质上将执法实践中的“一案双查”机制以法律的形式进行了明确：一方面根据网络安全事件排查企业是否妥善履行了网络安全相关合规义务，如不符合法律法规的要求，则根据相应的条款进行处罚；另一方面根据网络安全事件的实际损害后果，对企业进行处罚，从“违规行为”+“损害后果”两个方面反过来对企业应当履行的义务进行了警示。

二、网络关键设备及网络安全专用产品

（一）第六十一条

《网络安全法》第二十三条规定，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。在此基础上《再次征求意见稿》首次规定销售或者提供违法违规的网络关键设备和网络安全专用产品这一违法行为、在法律层面规定相应的法律责任，弥补了执法依据不足的法律空白。

根据强制性国家标准《网络关键设备安全通用要求》第3.7条，网络关键设备是指支持联网功能，在同类网络设备中具有较高性能的设备，通常用于重要网络节点、重要部位或重要系统中，一旦遭到破坏，可能引发重大网络安全风险；《网络安全专用产品安全技术要求》第3.1条，网络安全专用产品是指用于保护网络安全的专用硬件和软件产品（包括以服务形式提供安全防护能力的产品）。目前，我国主要通过定期更新的《网络关键设备和网络安全专用产品目录》明确此类设备和产品的具体范围。涉及“网络关键设备和网络安全专用产品”的法律法规、国家标准和其他规范性文件主要包括：

（二）第六十七条

《网络安全审查办法》第五条规定，关键信息基础设施运营者采购网络产品和服务影响或者可能影响国家安全的应当进行网络安全审查，主要通过“网络安全审查”这一前置性干预机制防范危害国家安全风险的发生。此处的“网络产品和服务”包括网络关键设备及网络安全专用产品，还包括其他可能影响国家安全的网络产品及服务，范围相对而言更广。

从合规要求和义务的角度而言，现行《网络安全法》第三十五条和第三十六条已明确规定关键信息基础设施的运营者采购网络产品和服务，需要通过国家安全审查（可能影响国家安全的）和签订安全保密协议。《再次征求意见稿》则针对关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处置措施进行完善，从“停止使用”修改为“限期改正，消除对国家安全的影响”，主要从事后纠正和补救这一角度，要求企业及时化解风险，尽可能避免出现对国家安全造成不可逆的损害后果。对比《征求意见稿》最高5000万元或营业额百分之五以下罚款，《再次征求意见稿》更加注重整改规范而非“一罚了之”。

三、优化网络信息安全监管，落实平台责任

（一）第六十九条

在网络信息安全监管方面，《再次征求意见稿》的监管策略和逻辑发生了重大转变，全面夯实和落实平台责任：一方面，对比《征求意见稿》，《再次征求意见稿》删除了网络运营者因违反《网络安全法》第四十八条（电子信息含有违法违规内容）而承担法律责任的规定，不再根据信息内容违法对网络运营者进行直接责任追究，信息安全和内容治理的规范更多依赖于《网络信息内容生态治理规定》《互联网信息服务管理办法》《互联网跟帖评论服务管理规定》等现行较为细致和完善的其他法律法规；另一方面，针对一般违法行为的行政处罚要件同步进行变更，取消原规定中“经责令改正而拒不改正”的前置条件，明确“违法即可处罚”，罚款上限也从最高50万元大幅提升至最高1000万元，尽管删除了《征求意见稿》最高5000万元或营业额百分之五以下罚款的规定，但法律责任仍有明显加重。

企业作为信息安全和内容管理责任主体，应当构建法律合规、技术防控、多部门协同的信息安全保障体系。企业需要注意法律合规框架是否完整，是否依法制定平台规则并公示，明确禁止发布危害国家安全、传播暴力恐怖、侵害他人合法权益等违法信息，并通过用户协议、实名认证机制规范用户的行为，建立可追溯的用户行为日志系统，确保责任落实。在完善制度的过程中，需要建立和完善技术防控体系，运用图像识别、自然语言处理技术等技术措施，构建敏感词库、特征模型等多维度过滤机制，实现违法信息实时识别与拦截。此外，企业还需要设立便捷的违法信息举报通道，与网信、公安等部门保持沟通，以尽可能消除违法信息的影响、争取免予处罚。

四、与其他法律法规的衔接

（一）第七十一条

《再次征求意见稿》明确，以下三种违法行为将转致适用其他法律法规的规定进行处罚：

（1）发布或传输法律法规禁止发布或者传输的信息内容的；

（2）侵害个人信息主体合法权利的；

（3）关键信息基础设施运营者违法在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。

在信息内容安全和合规方面，尽管《网络安全法》通过第四章“网络信息安全”专章规定了网络运营者的合规义务，但是并未明确“禁止发布或者传输的信息内容”的范围，相关规定散见于《网络信息内容生态治理规定》《互联网信息服务管理办法》《未成年人保护条例》《互联网跟帖评论服务管理规定》《互联网论坛社区服务管理规定》《关于切实加强网络暴力治理的通知》等其他行政法规、部门规章或规范性文件中。而个人信息权利保护、数据出境的相关规定，《数据安全法》《个人信息保护法》《网络数据安全管理条例》《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息出境标准合同办法》等法律法规已经进行了较为明确的规定。因此，《再次征求意见稿》转致适用其他法律法规的规定，既避免了重复立法、提升效率，又保持了法律体系内部逻辑的统一。

五、引入宽严相济的行政处罚裁量理念

（一）第七十二条

统筹考虑《网络安全法》和《行政处罚法》的适用关系，《再次征求意见稿》专门新增一条衔接规定，引入了《行政处罚法》中的“宽严相济”行政处罚裁量理念，允许主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的，依法从轻、减轻或者不予处罚。

《行政处罚法》第5条明确“实施行政处罚必须以事实为依据，与违法行为的事实、性质、情节以及社会危害程度相当”，体现了“过罚相当”原则；第6条进一步提出“坚持处罚与教育相结合”，为裁量权的灵活运用提供了法理基础。第33条关于“初次违法且危害后果轻微并及时改正”等情形可不予行政处罚的规定，以及第34条对从轻、减轻处罚的细化条款，则提供了具体的规范依据。

尽管《再次征求意见稿》较大幅度地提升了处罚金额上限和细化了处罚标准，但是相较于《征求意见稿》和《个人信息保护法》最高5000万元或者上一年度营业额5%以下的罚款，总体处罚规定仍然较为克制。相较于《个人信息保护法》更加注重对于个人合法权益的保护，《数据安全法》和《网络安全法》同属国家网络安全与数据治理的核心法律，数据安全与网络安全存在高度关联性，《再次征求意见稿》与《数据安全法》“1000万元”的处罚金额上限进行了对齐，实现了法律责任制度的一致性和互补性，避免因处罚标准差异导致法律适用冲突。统一罚款上限在一定程度上简化了企业的合规负担，降低因法律交叉适用产生的混淆风险。新增的“依法从轻、减轻或者不予处罚”规定，意在推动企业主动消除或者减轻违法行为危害后果、及时改正。

实践中，各地网信部门在开展执法活动的过程中，通常也是责令运营者限期整改，逾期整改或者拒不改正的，才会采取通报、处罚等进一步处置措施。以《再次征求意见稿》发布前广东省通信管理局的通报为例[3]，在开展移动应用程序专项治理工作中，广东省通信管理局首先发出《App处置通知书》责令App运营者限期整改，并通知相关应用商店协助督促App运营者整改。未能完成整改、拒不整改的，监管部门才会公开进行通报和采取下一步的处置措施。此类“整改督导前置+行政处罚兜底”的处置流程已在实质上呼应了积极推动企业消除或减轻危害后果的行政裁量相关规定，形成“刚柔并济”的执法规范。

“宽严相济行政裁量”系通过法律规则的弹性设计，在维护法律权威与激发社会自治之间构建了动态平衡，既要求行政机关提升“精细化执法”能力，也推动企业从被动应对转向主动合规。

六、结语

除了上述内容外，《再次征求意见稿》还针对立法语言进行了优化，对此前“关闭网站”等不明确的表述调整为“关闭网站或者应用程序”，以进一步贴近目前移动互联网高速发展和高度成熟的现实情况、以及App和小程序等移动应用成为个人信息保护主战场的保护实践。《网络安全法》的修订进程展现了我国在数字治理领域的持续探索、完善与制度创新。《再次征求意见稿》通过系统性整合既有规范、细化违法行为分级标准、强化法律责任体系，完善了我国在网络安全领域的规制框架。本轮修订的要点在于：一是以“过罚相当”为原则，通过“一般-加重-特别严重”三级违法情节与差异化罚则的精准映射，实现法律威慑与执法科学的动态平衡；二是通过转致适用规则与宽严相济裁量机制，推动法律体系内部逻辑自洽与协同治理；三是聚焦关键信息基础设施保护，以“风险预防-后果控制”双轨并行的制度设计强化国家安全保障能力。

企业需要通过技术审计与合规内控，识别风险场景和完善内部合规体系，适配法律规定和合规义务的梯度化要求，并积极与监管部门保持沟通，通过应急预案和演练、及时整改等措施及时消除违法行为的不利影响，以尽可能寻求免受处罚。

在发布《再次征求意见稿》同日，网信办联合工业和信息化部、公安部、市场监管总局发布了《关于开展2025年个人信息保护系列专项行动的公告》，首次在部委层面开展针对个人信息保护的专项执法行动。根据公告，本次专项行动聚焦六大重点治理领域：1.移动应用程序（含小程序、公众号等）；2.软件开发工具包（SDK）；3.智能终端设备；4.公共场所违法违规收集使用人脸识别信息；5.线下消费场景违法违规收集使用个人信息；6.个人信息相关违法犯罪案件。前述专项执法行动，一方面是近期实施或即将生效的《网络数据安全管理条例》《公共安全视频图像信息系统管理条例》《人脸识别技术应用安全管理办法》的具体落地；另一方面也体现了《网络安全法》等数据与个人信息保护法律法规未来的执法趋势。可以预见的是，2025年，我国在网络与数据安全、个人信息保护领域的立法和执法进行全面深化。

注释：

[1] 参见https://www.cac.gov.cn/2025-03/28/c_1744779434867328.htm。

[2] 参见https://www.cac.gov.cn/2025-03/28/c_1744779434867328.htm。

[3] 参见https://gdca.miit.gov.cn/zwgk/tzgg/art/2025/art_297001ec1f004c19883b8abb1bceb3bd.html。