□ 文 宋茂恩

《中华人民共和国网络安全法》（以下简称网络安全法）自2017年6月1日正式施行。作为我国第一部全面规范网络空间安全管理的基础性、专业性法律，网络安全法从立法层面确立了网络安全主权原则，建立了网络运营者、网络使用者以及网络安全管理部门之间的联系机制，明确了各方在网络安全保护领域的权利与义务，创建了关键信息基础设施保护制度，确立了个人信息保护规则，为构建网络安全法律法规体系提供了基础保障。网络安全法是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障，是依法引导我国网信事业沿着健康安全轨道运行的指南针。

近年来，数字经济快速发展，数据安全法、个人信息保护法等法律法规相继制定实施，为做好网络安全法与相关法律之间的有效衔接、协调，完善法律责任制度，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，进一步保障网络安全，2022年9月14日，国家互联网信息办公室发布公告，会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》（以下简称《征求意见稿》），向社会公开征求意见。

一、网络安全法修改侧重于与其他相关法律法规的衔接协调

随着数字化进程的加快，与五年前网络安全法施行时相比，网络环境更加开放，与经济社会融合程度更加深入，新技术、新业务、新应用层出不穷，这些都带来了更多的网络安全风险，特别是数据安全风险凸显、个人信息保护要求深化、技术安全风险加剧，网络安全防护的责任和边界需要进一步规范和明确。

随着网络信息领域立法的实际操作性不断增强，维护网络空间安全政策和法律、行政法规逐步得到完善，相继实施，对履行网络运行安全、关键信息基础设施安全、网络信息安全和数据安全义务的主体应承担的法律责任规定越来越具体、明确，网络安全法有必要与新实施法律法规进行有效衔接协调，修改网络安全法就是为了适应新形势的需要。

二、网络安全法修改内容重点在法律责任部分

《征求意见稿》明确，为做好网络安全法与新实施的法律之间衔接协调，完善法律责任制度，对网络安全法作出四部分修改：一是完善违反网络运行安全一般规定的法律责任制度；二是修改关键信息基础设施安全保护的法律责任制度；三是调整网络信息安全法律责任制度；四是修改个人信息保护法律责任制度。

在具体条款方面，《征求意见稿》修改了网络安全法第六章“法律责任”中的第五十九条至第七十条，整体丰富了处罚层级性，增加了处罚情形和种类，大幅度提高了处罚金额，进一步增强了执法灵活性，并通过转致性规定加强法律间协同。

（一）丰富了处罚层级性

《征求意见稿》的修订内容整合网络安全法中不同主体需履行的义务，对其需承担的法律责任作出分别规定。处罚标准由“一般违法”“拒不改正或情节严重”两级，调整为“一般违法”“拒不改正或情节严重”“情节特别严重”三级，丰富了处罚的层级性，且情节特别严重的由省级以上有关主管部门执行，也明确了执法主体，厘清了各部门的职责，有利于提高执法质量。

（二）增加了处罚情形和种类

《征求意见稿》增加了第二十三条、第二十八条和第四十九条的法律责任。第二十三条为网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求进行安全认证或安全检测，第二十八条为网络运营者为维护国家安全和侦查犯罪活动提供技术支持和协助，第四十九条为网络运营者建立网络信息安全投诉、举报制度。

在处罚种类方面，“一般违法”情形增加了“通报批评”的处罚方式，这也符合2021年修订的《行政处罚法》的相关规定；“情节特别严重”情形增加了对直接负责的主管人员或其他责任人员“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”的从业禁止处罚，适用范围为第十二条第二款、第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条、第四十七条、第四十八条和第四十九条，客观上把从业禁止作为一种普遍的处罚措施，加强对相关责任人的威慑。

（三）提高了处罚额度

《征求意见稿》不仅提高了所有处罚标准中的处罚最高额，还增加了“上一年度营业额百分之五以下”的处罚。如针对违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为增加了针对“情节特别严重”的处罚措施：由省级以上有关主管部门责令改正，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。第六十八条、第七十条也都增加了类似条款，规定针对违反规定的网络运营者，最高可处五千万元或上一年度营业额百分之五的罚款。

结合我国目前情况，按照上一年度营业额百分之五，有的企业算下来可能会达数百亿元人民币。今年7月21日，国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚决定：因违反《网络安全法》《数据安全法》《个人信息保护法》对滴滴全球股份有限公司处人民币80.26亿元罚款。世界范围内因违反个人信息保护规定迄今最高罚款金额是“剑桥分析案”：2019年7月24日美国联邦贸易委员会（FTC）宣布与脸书（Facebook，现更名为Meta）达成的50亿美元的和解令。

通过提高处罚力度有较大的威慑作用，可以提高包括企业在内的各个主体合规意识，同时修改也有利于《网络安全法》《数据安全法》《个人信息保护法》以及其他法规在处罚力度上保持总体上的协调，避免出现法规回避、法规有意选择的情况。

（四）调整罚款梯度，增强了执法灵活性

《征求意见稿》调整了违反网络运行安全保护义务或者导致危害网络运行安全等后果行为的行政处罚。原网络安全法对违反上述规定行为企业的罚款分为多种罚款梯度：1～10万、5～50万、10～50万、10～100万等，《征求意见稿》的罚款幅度则调整为100万以下罚款，类似情况在针对直接负责的主管人员或其他直接责任人员也进行了调整。该调整一方面可以提高网络运营者和相关责任人员的违法成本，形成有力威慑，另一方面也扩大了执法部门的自由裁量权，以区分不同性质和程度的违法行为，并与行政处罚法的相关规定相协调。

（五）将法律责任通过转致性规定实现法律间协同

所谓转致性规定，原本是国际私法领域的概念，是关于冲突规范的一种法律适用规定。当不同法律条文对同一领域的问题均有所规定时，明确相关问题最终适用其中一部法律，或在某部法律对相关问题没有明确规定时，转引到其他法律上，从而实现法律间的协同。

《征求意见稿》拟修订的第六十四条侵害个人信息、第六十六条违反规定在境外存储网络数据或者向境外提供网络数据、第七十条发送或者传输法律法规禁止发布或传输的信息等情形，“依据有关法律、行政法规的规定处罚”，并明确了法律、行政法规没有规定情形的处罚。这进一步完善了网络安全与数据安全、个人信息保护等相关法律责任制度体系，责任内容逻辑更加紧凑清晰，法律责任规定更加规范完善。

三、网络安全法修改的落实也需要协同

《征求意见稿》公众意见反馈时间已经截止，从舆论反馈看，对《征求意见稿》进行实质性修改的可能性不大。网络安全法的本次修改，有利于做好《网络安全法》与相关法律的衔接协调，并在完善网络信息领域法律体系建设上开创了新征程，在保护个人、组织网络空间合法权益以及维护国家安全和公共利益上迈出了新的一步。修改后的网络安全法的落实既需要相应的细则支持，也需要网络信息领域法律体系的持续协同。

（一）需要进一步明确行政处罚的程序和标准

基于行政处罚法第五条的“遵循公正、公开的原则”，确保处罚以事实为依据，与违法行为的事实、性质、情节以及社会危害程度相当。《网络安全法》修订后应进一步明确行政处罚的程序，给行政相对人可预见的合理预期，将最终推动企业和相关负责人主动合规。

《征求意见稿》在本次修改中，多处增加了情节特别严重的情形，最高处罚额度都将上一年度营业额百分之五包含在内，这是在我国法律中，除了《反垄断法》外的前所未有的力度。比如针对极端、突发、非常规网络安全侵害情况的处罚规定，对各种特定种类的网络信息设施实施大规模、长时间、大范围的破坏行动就可能触发“情况特别严重”，这与《数据安全法》《个人信息保护法》保持了立法上一致。但通过按比例处罚的方式，实现处罚强度与业务规模、业务影响相匹配的效果，应在具体落实中明确实施细则。

（二）执法部门自由裁量权需要细化裁量基准以提高确定性和便于具体落实

随着人工智能、大数据、云计算等信息技术的快速发展，数字化进程加速推进，伴随着产业数字化、数字产业化，网络安全态势也变得日益复杂，网络安全面临新形势，网络安全的边界也在拓展和变化。充分认识数字经济与传统经济不同的发展规律，适应数字经济快速发展的要求，网络信息领域法律法规需要保持必要的适应性，这也是保持一定自由裁量权的重要原因。

自由裁量权也会使法律法规确定性的部分丧失，导致对不同性质、不同程度的违法行为的执法解释空间变大，同时也要防止相关部门、一些地方的选择性执法或逐利性执法。出台细化的裁量基准，形成可操作、体现比例原则的具体规定，既能够有效提高确定性，也便于相关部门和地方具体落实。特别是“情节特别严重”情形的处罚标准较高、幅度较大，裁量标准有待进一步明确，也可以采取列举“情节特别严重”情形，促进行政处罚裁量权的合理行使，确保实施执行的一致性和法律实效。

（三）网络安全治理硬能力建设是网络安全法有效落实的基础

全球网络安全格局动荡不安，大规模网络攻击频频发生，网络安全已成为国家安全的重要因素，持续加强网络安全治理体系顶层设计、加强网络安全治理力量建设、有效落实网络安全法律法规，是提高网络空间安全水平的基础。

加强网络安全治理技术能力建设，是网络安全治理的硬能力，是做到“魔高一尺、道高一丈”的必要条件。有效落实网络安全法，应分层次建立网络安全防控体系，充分发挥包括研究机构、安全企业、社会团体在内的各类组织作用，形成多元、多层次网络安全防控架构，使损害网络安全无所遁形、威胁网络安全无从下手，有效降低网络安全风险。

（四）其他法律法规与网络安全法的衔接协调

客观地看，与网络安全相关的信息技术发展很快，对网络空间安全的认识也有一个逐步深入的过程，网络信息领域法律体系建设过程既是一个与时俱进、不断完善的过程，也是一个相互协调、优化衔接的过程。特别是《数据安全法》《个人信息保护法》等相关法律和《关键信息基础设施安全保护条例》等相关行政法规也应与《网络安全法》做好衔接协调。

《网络安全法》定义的“网络安全”“是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。”即以硬件系统安全为特征的“网络运行安全”和以完整性、保密性、可用性为内容的“信息安全”两个方面。但《网络安全法》还包含了个人信息保护、违法信息管控、数据跨境传输、知识产权保护、未成年人网络保护等方面的规定，这也说明，以上相关领域的法律、行政法规也有与《网络安全法》衔接协调的必要性。

当前，网络空间安全形势日益严峻，网络渗透危害政治安全，网络攻击威胁经济安全，网络有害信息侵蚀文化安全，网络恐怖和违法犯罪破坏社会安全，国际上争夺和控制网络空间战略资源、抢占规则制定权和战略制高点、谋求战略主动权的竞争日趋激烈。《网络安全法》是全面规范网络空间安全管理的基础性、专业性法律，其修改将进一步强化网络安全、健全网络信任体系、提高网络安全管理的科学化规范化水平，最大限度利用网络空间发展潜力，为经济社会数字化转型和更好更快发展创造条件。