【全文】
2025年3月28日,国家互联网信息办公室发布《网络安全法(修正草案再次征求意见稿)》(“第二次修订”),这是继2022年9月14日首次征求意见(“第一次修订”)后,第二次公开征求意见。两次修订均仅涉及《网络安全法》第六章(法律责任,现行法律第59至75条)。我们对本次修订[1]的主要内容简评如下:
一、个人信息和重要数据之外的一般网络数据出境不受限制
《网络安全法》第二次修订拟将第66条与其他条款合并,作为第71条。规定违反《网络安全法》第37条的规定,关键信息基础设施的运营者在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据,将依照有关法律、行政法规的规定受到处理、处罚。
《网络安全法》原第66条规定了关键信息基础设施运营者违法在境外存储或者向境外提供“网络数据”的处罚规则,本次修订将“网络数据”修改为“个人信息”和“重要数据”。一方面和《网络安全法》原第37条的规定保持一致,规制对象更加具体;另一方面也体现了“抓大放小”,“个人信息”和“重要数据”之外的一般网络数据出境并不受到严监管,这和2025年1月1日生效的《网络数据安全管理条例》的立法取向是一致的。
举重明轻,从本次修改也可以推断出中国数据出境的基本规制思路,无论是关键基础设施运营者,还是一般网络运营者,个人数据和重要数据出境需要遵守现有法律限制性要求,但是对于一般网络数据,没有限制性规定。
这一修改也从立法技术上解决了一个法律协调适用的矛盾。2022年第一次修订时,仍然规定关键信息基础设施运营者违法在境外存储或者向境外提供网络数据,“依照有关法律、行政法规的规定处罚”,而《数据安全法》《关键信息基础设施安全保护条例》实际上并没有设定一般网络数据违法出境的处罚情形,仅《数据安全法》第46条规定了违法向境外提供重要数据的处罚规则(单位最高处一千万元以下罚款,个人最高处一百万元以下罚款)。[2]
当然,无论是网络安全违法、还是数据安全违法,只要涉及个人信息,均适用《个人信息保护法》最高处罚五千万元的规定。
二、区分一般网络运营者和关键信息基础设施运营者的责任
现行《网络安全法》处罚规则实际上已经根据违法行为种类和后果严重程度设置了不同的处罚标准,具体而言,如果违反《网络安全法》第21至38条中的若干规定,其处罚规则本来分散在多个条款中,但是第一次修订将第21至38条的处罚规则合并到一个条款中。虽然避免了重复表述,但也导致了一些问题。例如,无法区分一般网络运营者和关键信息基础设施运营者的责任,行政机关在执法时裁量空间太大。[3]有点儿“简单粗暴”。
第二次修订维持了原第59条的规定,分别规定网络运营者和关键信息基础设施运营者的责任,还增加规定造成大量数据泄露、关键信息基础设施丧失局部或者主要功能等严重或者特别严重危害网络安全后果的不同责任和处罚金额。
根据第二次修订,一般网络运营者违反《网络安全法》第21条和第25条规定的网络安全保护义务,承担的处罚金额最高上限为五十万元(个人承担责任上限为十万元);关键信息基础设施运营者违反《网络安全法》第33、34、36、38条规定的网络安全保护义务,承担的处罚金额最高上限为一千万元(个人承担责任上限为一百万元)。
虽然处罚金额较现行规定有大幅度提升,但是区分了一般网络运营者和关键信息基础设施运营者的责任,对于市场是友好的。
三、网络运营者的主观态度与客观违法行为和结果对处罚幅度均有影响
《网络安全法》第二次修订拟增加一个条款,即第72条。拟规定,网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,可以从轻、减轻或者不予行政处罚。
上述规定说明,第二次修订将网络运营者的主观态度纳入了违法处罚的考量之中,但是,上述规定仅仅针对发生危害后果后,网络运营者事后是否主观上积极采取补救措施,并未涉及网络运营者事前对于网络安全事件等的发生是否有过错。
根据《行政处罚法》和《网信部门行政执法程序规定》的规定,实际上网络运营者有证据足以证明没有主观过错,是可以不予行政处罚的。行政责任并非“无过错责任”,《行政处罚法》实际上建立了“过错推定”责任,网络运营者可以反证自己对于网络安全事件的发生没有主观过错,虽然产生了危害后果,仍然不需要承担责任。
四、强化供应链中软硬件设备设施安全责任
第二次修订拟增加违反《网络安全法》第23条的处罚,即新增第61条,规定销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,可以没收违法产品和违法所得、处以违法所得一倍以上三倍以下罚款或者十万元以下罚款。
虽然第一次修订已经涉及网络关键设备和网络安全专用产品,弥补了现行《网络安全法》只规定了义务、没有相应罚则的问题,但第二次修订单列了内容,且处罚方式更加多样,包括没收违法产品和违法所得以及根据违法所得额度决定处罚金额。
五、维持对直接负责的主管人员和其他直接责任人员的从业限制处罚力度
在《网络安全法》第一次修订中,实质性增加了对直接负责的主管人员和其他直接责任人员的处罚力度。在第二次修订中,并没有类似的规定,维持了《网络安全法》原来的规定。
按照第一次修订思路,拟将责任人的从业限制从“不得从事网络安全管理和网络运营关键岗位的工作”扩展至“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员”。第二次修订中没有相关内容,将网络安全责任人的技术职责和管理职责分开。
此外,第二次修订仍然维持《网络安全法》现行规定,即违反第27条[4]那种故意严重违法的才涉及从业限制,并没有像第一次修订一样,从业限制普遍化,违反诸多条款中的任一规定,执法部门均可以施加从业限制。[5]整体还是以网络运营者作为单位和平台承担责任为主,避免过多穿透单位直接追诉到个人。
总之,《网络安全法》下,网络运营者的直接负责的主管人员和其他直接责任人员的从业限制维持了现行规定,即违反《网络安全法》第27条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
总结:随着数字经济的融合发展,对于网络、数据、信息、设施、软硬件产品的安全治理也呈现出融合的特征。《网络安全法》制定于2016年,立法目标单一,当时的网络空间活动以及相应的商业形态远不及现在丰富,近10年间,移动互联网快速发展、个人信息价值得以发掘、重要数据和国家安全的重要性逐步显现。随后制定的《数据安全法》《个人信息保护法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》处罚额度均有大幅提升,《网络安全法》本次修订避免重复规定应当由其他法律、行政法规规制的内容。[6]《网络安全法》因时而变,“三法两条例”下的数字空间规则已经得到完善,在近年均不会有大的改动。
本文非法律意见
【注释】
[1] 对于《网络安全法》第一次修订已经体现的内容,除非与本文相关,我们不做总结。本文主要针对第二次修订进行简评。
[2] 王源:《中国数据合规制度2022年总结与2023年展望》,北大法宝,https://mp.weixin.qq.com/s/8yRzxT81NC7GbV7axON0kA,最后访问时间:2025年4月2日。
[3] 孙朝 樊文扬,“网安法首修拟多处加大处罚力度,最高罚五千万或年营业额5%”,载南方都市报APP,https://m.mp.oeeee.com/a/BAAFRD000020220915722768.html?wxuid=ogVRcdB6SuWDy1GL582OOildj7BI&wxsalt=6b4636,最后访问时间:2025年4月2日。
[4] 《网络安全法》第27条,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
[5] 《网络安全法》第一次修订拟新增的直接责任人从业限制条款包括:第12条第2款、第21条、第22条第1款和第2款、第23条、第24条第1款、第25条、第26条、第28条、第33条、第34条、第36条、第38条、第46条、第47条、第48条、第49条。(原文参见《中国数据合规制度2022年总结与2023年展望》)
[6] 将第六十四条第一款、第六十六条、第七十条合并,作为第七十一条。
