《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》公开征求意见

人民视觉/供图

原标题：完善法律责任制度 进一步保障网络安全《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》公开征求意见

记者|马付才

责编|薛应军

正文共2383个字，预计阅读需7分钟▼

近日，国家网信办发布《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》（以下简称《征求意见稿》），面向社会公开征求意见。

《中华人民共和国网络安全法》自2017年施行以来，为维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，提供了有力的法律保障。近年来，数字经济快速发展，数据安全法、个人信息保护法等法律相继制定实施，为做好网络安全法与新实施法律之间的有效衔接、协调，完善法律责任制度，进一步保障网络安全，有关部门对网络安全法进行修改。

网络安全的概念及面对的新形势

北京师范大学法学院教授刘德良认为，网络安全是指组成网络的软硬件设施及其系统和存储、传输于其中的数据安全，包括网络上的软硬件及其系统安全（物理安全、逻辑安全）和数据或信息安全（内容安全）。网络安全法于2017年6月1日施行后，为网络信息领域其他法律规范奠定了立法根基。但随着数字化进程加快，维护网络空间安全政策和法规的逐步完善，尤其是数据安全法、个人信息保护法相继实施，亟须网络安全法与新实施法律规范之间进行衔接协调，适时作出相应调整。

北京外国语大学法学院副教授万方表示，随着网络信息领域立法的实际操作性不断增强，近年来新实施的相关法律规范对履行网络运行安全、关键信息基础设施安全、网络信息安全和数据安全义务的主体应承担的法律责任规定逐渐具体化。例如，针对关键信息基础设施安全，2021年9月1日施行的《关键信息基础设施安全保护条例》对关键信息基础设施的认定和运营者责任义务作了更细致全面的规定，对《网络安全法》第三章第二节“关键信息基础设施的运营安全”的内容进行了重要补充；个人信息保护法对个人信息保护的责任也已作出较详细的规定，这需要网络安全法与其进行有效衔接。

重点修改违法责任等四部分

《征求意见稿》明确，为做好网络安全法与新实施的法律之间衔接协调，完善法律责任制度，对网络安全法作出四部分修改：一是完善违反网络运行安全一般规定的法律责任制度。二是修改关键信息基础设施安全保护的法律责任制度。三是调整网络信息安全法律责任制度。四是修改个人信息保护法律责任制度。

万方表示，《征求意见稿》的修订内容整合网络安全法中不同的主体需履行的义务，对其需承担的法律责任作出分别规定。处罚标准由“一般违法”“拒不改正或情节严重”的两级，变为“一般违法”“拒不改正或情节严重”“情节特别严重”三级，同时增加了《网络安全法》第二十三条、第二十八条和第四十九条的法律责任。该三级处罚标准丰富了处罚的层级性，且情节特别严重的由省级以上有关主管部门执行，也明确了执法主体，厘清了各部门的职责，有利于提高执法质量。在处罚种类方面，“一般违法”情形增加了“通报批评”的处罚方式；“情节特别严重”情形增加了“禁止主要负责人在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”的从业禁止处罚。在处罚额度方面，除提高所有处罚标准中的处罚最高额外，还增加了“上一年度营业额5%以下”的处罚，相较现行网络安全法，罚款额度整体调高。

刘德良表示，《征求意见稿》修改内容只涉及《网络安全法》第六章“法律责任”部分内容，其中拟将网络安全法原有关个人信息保护的法律责任修改为转致性规定是其中的一大亮点。转致性规定是指关于冲突规范的一种法律适用规定，当不同法律条文对同一领域的问题均有所规定时，明确相关问题最终适用其中一部法律，或在某部法律对相关问题没有明确规定时，转引到其他法律上，从而实现法律间的协同。《征求意见稿》即从《中华人民共和国行政处罚法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》等规定中引入从业禁止处罚和营业额处罚，这进一步完善网络安全、数据安全与个人信息保护法律责任制度体系，责任内容逻辑更紧凑清晰，法律责任规定更加规范完善。

中国科学技术大学公共事务学院教授左晓栋表示，《征求意见稿》针对关键信息基础设施运营者违反网络安全法的两种行为增加罚则：一是使用未经安全审查或者安全审查未通过的网络产品或者服务的行为；二是在境外存储网络数据或者向境外提供网络数据的行为。这紧密结合了当前工作实际需要。同时，这次修改改变了处罚类型和幅度，对严重的违法行为，按照上限5000万元或上一年度营业额5%以下进行罚款，这解决了执法中有企业不怕罚款的难题。

处罚标准等可以进一步细化

万方认为，网络安全立法体系化还有继续优化的可能。在后续的修改过程中，《征求意见稿》可以参考相关领域新实施的法律规范对网络运营者的一般义务、网络信息保护义务、关键信息基础设施等规定进行整合，如将网络安全法中“用户信息”“个人信息”定义范围与个人信息保护法的规定相统一，关键信息基础设施的范围和认定标准与《关键信息基础设施安全保护条例》中的认定标准相统一等。另外，是否应当将算法监管纳入网络安全法的范畴，值得研究。此外，在处罚标准方面，“情节特别严重”情形的处罚标准较高、幅度较大，裁量标准有待进一步明确，或可考虑列举“情节特别严重”情形，以促进行政处罚裁量权合理行使，确保实施执行的一致性和法律实效。在处罚额度方面，“情节特别严重”情形中“处100万元以上5000万元以下或者上一年度营业额5%以下罚款”为择一适用模式，未明确采取就高还是就低原则进行适用。

刘德良认为，《征求意见稿》第一项、第五项和第六项修订均增设了“从业禁止”处罚，但规定的“一定期限”较为模糊，可以考虑设定一定年限作为上限，或规定期限区间。另外，当前网络公共空间犯罪呈现出多种样态，例如恶意勒索软件出现、网络攻击事件多发等，且这类犯罪呈现出明显的集团化、产业化、智能化，因此，网络安全保护制度仍存在细化空间，如针对网络公共空间犯罪需制定治理规则等。