2022 年 9 月 14 日,国家互联网信息办公室发布关于修改《中华人民共和国网络安全法》的决定(征求意见稿)(以下简称“征求意见稿”),主要拟修订的条款包括《网络安全法》“法律责任”章节的第五十九条至七十条,涉及网络安全等级保护制度、关键基础设施安全审查、网络产品安全漏洞、信息内容安全、网络实名制、安全认证测评及白帽子、个人信息保护等多个重点网络安全事项,主要对相关违法行为和主体的法律责任进行了梳理和调整,加强了与《个人信息保护法》《数据安全法》等相关法律法规的衔接。
上述变化影响较大,大大提升了相关违法行为的处罚力度,违法行为最高处罚达到 5000 万或 5% 营收。本文通过简要整理拟修订的内容,以便于各方人士进一步对比和研究。
修订内容
关于修改《中华人民共和国网络安全法》的决定(征求意见稿)
一、将第五十九条、第六十条、第六十一条、第六十二条修改为:“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
二、将第六十三条、第六十七条修改为:“违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供博天堂开户网址的技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。”
三、将第六十四条修改为:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。”
四、将第六十五条修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
将第六十六条修改为:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。”
五、将第六十八条、第六十九条修改为:“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
六、将第七十条修改为:“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”此外,对条文序号作了相应调整。
责任调整对照表
关键内容:no.1——网络安全等级保护制度
网络运营者未履行网络安全等级保护制度要求的安全保护义务。
关联条款:第二十一条
网络运营者未制定网络安全事件应急预案,未及时启动应急预案,并采取补救措施,处置安全风险,向有关部门报告。
关联条款:第二十五条
关键内容:no.2——关键信息基础设施
建设关键信息基础设施未确保其是否具有支持业务稳定、持续运行的性能,且/或未保证安全技术措施做到“三同步”。
关联条款:第三十三条
关键信息基础设施运营者未履行网络安全等级保护制度规定的安全保护义务。
关联条款:第三十四条
关键信息基础设施的运营者采购网络产品和服务时,未与提供者签订安全保密协议,明确安全和保密义务与责任。
关联条款:第三十六条
关键信息基础设施的运营者未对其网络安全性和可能性风险进行每年一次的监测评估,并将测评情况与改进措施报送至主管负责的部门。
关联条款:第三十八条
关键内容:no.3——网络安全漏洞之内容安全
网络产品、服务应当符合相关国家标准的强制性要求,网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,未立即采取补救措施,及时告知用户并向有关主管部门报告。
关联条款:第二十二条第一款
网络产品、服务的提供者未对其提高的产品、服务持续提供安全维护。
关联条款:第二十二条第二款
任何主体发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
关联条款:第四十八条第一款
关键内容:no.4——网络实名制
网络运营者在为用户办理网络接入、域名注册,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供真实身份信息。
关联条款:第二十四条第一款
关键内容:no.5——安全测评白帽子
违反国家有关规定开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息。
关联条款:第二十六条
关键内容:no.6——网络关键设备-网络安全专用产品技术协助
销售或提供未经认证合格或符合要求的网络关键设备和网络安全专用产品。
关联条款:第二十三条
拒绝向公安或国家安全机关提供博天堂开户网址的技术支持和协助的。
关联条款:第二十八条
关键内容:no.7——网络侵入-窃取数据提供帮助
从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供博天堂开户网址的技术支持、广告推广、支付结算等帮助。
关联条款:第二十七条
关键内容:no.8——设立用于实施违法犯罪的网站、通讯群组,发布实施违法犯罪活动信息
设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息。
关联条款:第四十六条
关键内容:no.9——个人信息保护
未经用户明示同意收集用户信息。
关联条款:第二十二条第三款
未经同意收集用户个人信息,收集个人信息未遵循合法、正当必要原则,未明示收集适用信息的目的、方式和范围,违反规定或约定处理个人信息。
关联条款:第四十一条
泄露、篡改、损毁收集的个人信息,未经同意向他人提供个人信息。未采取安全技术措施保障个人信息,发生信息泄露等情况时,未立即采取补救措施并履行告知及报告义务。
关联条款:第四十二条
用户在法定情形下要求网络运营者删除或更正个人信息时,网络运营者未予以删除或更正。
关联条款:第四十三条
窃取或非法获取、出售或非法向他人提供个人信息。
关联条款:第四十四条
关键内容:no.10——信息内容安全
网络运营者对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录。
关联条款:第四十七条
电子信息发送服务提供者、应用软件下载服务提供者未履行信息内容安全管理义务的。
关联条款:第四十八条第二款
网络运营者拒绝、阻碍有关部门依法实施的监督检查的。
关联条款:第四十九条
发布或传输违法违规信息。
关联条款:第十二条第二款
重点解读
(一)处罚力度大大增加,处罚措施更加丰富
罚款上限提升
此次《征求意见稿》中对单位及相关责任人员的罚款幅度均有巨大提升,其中对主管人员及其他直接责任人员的罚款上限调整至 100 万,对单位的固定区间罚款提升至一百万以上五千万元以下,同时增加特别严重的处罚情节,并增加以上一年度营业额为基数按照 5% 计算的比例罚金,这大大增加了违法成本及对于违规者的威慑力。值得一提的是,因为中大型企业的庞大用户群体和影响力,其违法行为的社会危害程度也较大,此次增加的比例罚金措施,也体现了立法的科学性以及过罚相当原则。
从业禁止处罚的大范围适用
其实,从业禁止处罚并非创设性规定,原《网络安全法》第六十三条第三款针对实施危害网络安全行为的处罚措施中也有相关规定,同时在其他行业性法规之中也能看到类似条款,例如《保险法》第一百七十七条、《银行业监督管理法》第四十八条,在部分行业对于破坏网络信息安全的监管实务中,对相关责任人员及违法人员采取从业禁止处罚措施的案例也已屡见不鲜。
但此次,在《征求意见稿》中对于大部分违反网络安全法的单位相关责任人员均增加了从业禁止的处罚措施,为网络安全从业人员及单位直接责任工作人员敲响了警钟,履职尽责不再是岗位要求,而是法律规定的义务。
(二)违法违规处理个人信息的转致性规定
《网络安全法》第二十二条第三款、第四十一条至第四十四条规定了网络运营者应当依法处理公民个人信息以及对于已收集个人信息主体应尽的安全保障,同时第六十四条规定了侵害公民个人信息权益的处罚措施。但是,随着《个人信息保护法》的发布并实施,对于公民个人信息保护以及处罚的规则体系更加完善和具体,其实更多相关违规行为的罚则适用《个人信息保护法》更为恰当,从前段时间滴滴案的处罚结果及适用的法律依据中也能够得到印证。故而言之,即使未有此处调整,基于新法优于旧法的原则,对于侵害公民个人信息权益的行为适用《个人信息保护法》也更加恰当,但调整之后加强了法律之间的衔接性,法律体系更加科学、合理,也规范了实务中各地监管部门的处罚标准。其中,从 2019 年至今,关于个人信息保护的 app 专项治理行动已持续近四年,相关立法与监管体制已相对完善,覆盖产品与责任主体也更加全面,个人信息合规监督/管来自于行业组织、政府机关、司法机关及用户群体等各个方面,相关企业应当避免侥幸心理,做好日常治理和整改。
(三)网络信息内容安全管理及风险防范
此前,国家互联网信息办公室通过发布并实施《网络信息内容生态治理规定》《互联网宗教信息服务管理办法》《互联网用户账号信息管理规定》《互联网弹窗信息推送服务管理规定》等法律法规,完善了关于网络信息内容安全的监管体系。但近年来,网络信息内容安全问题仍然不断发生,不良信息内容肆虐各个网站平台,从各个处罚案例中所折射出的不良信息内容类型也是触目惊心,不断地冲击着国家安全并严重侵害了公民尤其是未成年人的身心健康,且信息战时代,防范意识形态及不良舆论导向风险也显得尤为重要。
《征求意见稿》通过此次修订,提高了对于网络运营者对禁止传输的违规信息未采取停止传输及消除等处置措施的处罚力度,同时增加了情节特别严重时的处罚措施,包括:1)由省级以上有关主管部门责令改正;2)通报批评;3)处一百万元以上五千万元以下或者上一年度营业额 5% 以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;4)对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,以及从业禁止处罚。
同时,《征求意见稿》增加了在其他法律、行政法规未有规定时,对个人和组织发布或传输禁止信息内容的兜底性条款,确保所有危害信息内容安全的行为都将受到规制和处罚,且兜底条款相较于其他法律法规针对发布违规信息内容规定的处罚措施更为严厉,情节特别严重的同样适用营业额比例罚款和从业禁止处罚措施。
其实,网络信息内容安全管理并不是一件易事,尤其是如何识别违规信息,受主观判定标准和历史、政治等专业因素影响较大,且网络信息内容数量十分庞杂,例如微博客、短视频、用户社区等以内容运营为主的网络产品,单纯靠人工识别和防控根本无法完成信息内容安全风险防控,而通过 ai 算法等科技辅助风控策略进行治理,或许是既节省成本又可初步完成信息内容合规治理的选择。
(四)网络产品安全漏洞管理
2021 年 7 月 12 日,工信部、国家网信办及公安部联合发布了《网络产品安全漏洞管理规定》(以下简称“漏洞管理规定》,并已于 2021 年 9 月 1 日生效,该法的上位法依据为《网络安全法》。但值得注意的是,《漏洞管理规定》也仅明确了相关违规行为及具体的安全管理义务,而未另外设立处罚条款,相关违法行为均依据《网络安全法》相关条款进行处罚。而此次,《征求意见稿》对《网络安全法》中网络产品安全漏洞相关的处罚措施同样进行了调整,也将适用一百万以上五千万以下或者上一年度营业额百分之五以下的巨额罚款,以及对直接负责的主管人员和其他直接责任人员的从业禁止处罚。
以上是对《征求意见稿》的梳理和部分解读,网络安全治理涉及领域庞杂,望与各位共勉。