《网络安全法》首次修订,拟引入最高营业额5%罚金与从业资格禁止处罚

合规科技吴立洋 2022-09-16 08:20

用重典加以规制,既能对相关主体产生威慑力,也能在损害行为发生后对其加以严厉制裁,体现过罚相当的法治原则。

三季报表现持续走低,网络安全企业如何走出“增收不增利”困局 推动网络安全和金融服务双向创新,工信部会同银保监会发文促进网络安全保险发展 首例支付网络安全赎金被控妨碍司法罪案宣判,前Uber高管面临八年牢狱之灾

南方财经全媒体记者 吴立洋 北京报道

近日,国家互联网信息办公室发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,并向社会公开征求意见。

作为我国第一部全面规范网络空间安全管理方面问题的基础性法律,2016年通过的《网络安全法》将过去散见于各种法规、规章中的规定上升到法律层面,进一步落实了政府有关部门和网络运营者等主体保障网络空间安全的主体责任,为我国构建网络安全监管体制奠定了坚实基础。

近年来,网络安全事件在全球范围内呈高发态势,据统计,自2017年以来,全球网络攻击泄漏数据记录的数量平均每年增长高达224%,对数字经济健康稳定发展构成了不容忽视的威胁。

随着网络空间安全防护形势变化,《网络安全法》部分法条内容亟待更新完善。多位专家学者在接受南方财经全媒体记者采访时表示,我国网络安全建设经过多年发展,已度过筑底线的早期阶段,当前应加强精细化安全治理能力,提高网络安全法治保障水平。

引入金钱罚、资格罚惩戒措施

本次拟修改的主要内容之一,是对违反网络运行安全一般规定和网络信息安全法律责任制度进行了调整,具体包括对违法相关规定、义务的行政处罚幅度进行调整和加入了从业禁止措施。

例如,在原版《网络安全法》第五十九条至第六十二条对于网络运营者、关键信息基础设施的运营者及其主管人员等责任主体,未遵守履行相关网络安全保护义务和规定的处罚金额,在原本“一万元以上十万元以下”、“十万元以上一百万元以下”等相对固定的罚金区间外,增添了“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”,对直接负责的主管人员和其他直接责任人员“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”等规定。

此外,对情节特别严重,违反第六十八条、第六十九条、第七十条中网络信息安全保护义务,发布或传输有关法律法规禁止发布或者传输的信息的,本次征求意见稿中也加入了营业额比例罚金和责任人从业资格禁止相关的执法规定。

从拟修改的具体内容来看,相关情节严重违法行为罚金的上下限都得到显著提升。西南政法大学民商法学院副教授曹伟在接受南方财经全媒体记者采访时表示:“可以肯定的是,此次征求意见稿在原来的基础上增加‘上一年度营业额百分之五以下罚款’此类内容,实际上是加大了对企业的处罚力度。”

中央党校(国家行政学院)政法部民商经济法室主任王伟指出,这是在总结我国相关法治实践,并与行政处罚法等相关法律衔接作出的规定。

事实上,在近年来出台的《数据安全法》《个人信息保护法》多部网络、数据相关领域的法律法规中,以营业额为基数设定罚金和吊销营业执照、禁止责任人从事相关职业等处罚方式已经被广泛应用,相关监管部门的执法能力得到显著加强。

将金钱罚、资格罚列入惩罚方式,集中明确了一点:法律是有牙齿的。” 南开大学法学院副院长、竞争法研究中心主任,中国新一代人工智能发展战略研究院特约研究员陈兵表示,法律责任设定的多元化,有利于进一步夯实执法部门对于相关法律法规的实施能力。

至于在何种情况下适用固定区间罚金,何种情况下适用营业额一定比例的罚金,曹伟表示,目前在实践中没有绝对的标准,具体的罚款数额通常会结合行为主体的主观过错、采购的产品或服务的数量或金额、其行为造成的损害程度等方面加以判定。

王伟进一步指出,在网络安全管理的重点领域中,对于行为人主观过错较大、行为性质特别恶劣、损害后果特别严重的违法行为,用重典加以规制,既能对相关主体产生威慑力,也能在损害行为发生后对其加以严厉制裁,体现过罚相当的法治原则。

完善关键信息基础设施和个人信息保护要求

除了对相关违法惩罚措施进一步补充和完善外,落实到具体安全执行层面,关键信息基础设施和个人信息保护是本次修改聚焦的两大方向。

网信办在对本次征求意见稿的说明中指出,关键信息基础设施是经济社会运行的神经中枢,为强化关键信息基础设施安全保护责任,进一步完善关键信息基础设施运营者有关违法行为行政处罚规定

在发展数字经济背景下,关键信息基础设施安全稳定运行直接关系到国民经济、社会生产平稳有序推进。绿盟科技首席合规咨询专家张睿告诉记者,结合去年9月正式施行的《关键信息基础设施安全保护条例》,当前正是各行业落实推动关键信息基础设施保护的发力期,而顶层安全法律、法规的及时修订能够更好地促进关键信息基础设施保护工作的有序开展。

个人信息保护方面,鉴于《个人信息保护法》规定了全面的个人信息保护法律责任制度,本次修改拟将《网络安全法》原有关个人信息保护的法律责任修改为转致性规定。

据受访专家介绍,所谓转致性规定,原本是国际私法领域的概念,是关于冲突规范的一种法律适用规定,可理解为当不同法律条文对同一领域的问题均有所规定时,明确相关问题最终适用其中一部法律,或在某部法律对相关问题没有明确规定时,转引到其他法律上,从而实现法律间的协同。

王伟指出,本次修改拟将《网络安全法》原有关个人信息保护的法律责任修改为转致性规定的主要原因,是近年来出台的《民法典》《个人信息保护法》《数据安全法》等立法已经对个人信息保护构建了较为完整的法律规范体系,但由于个人信息保护同样是网络安全领域的关键性问题,因此依然有必要在《网络安全法》中特别明确网络运营者、网络产品或服务提供者相关义务和责任,但对于损害他人个人信息权益的违法行为的法律后果、法律责任,则分别适用其他法律、行政法规。

拓展网络安全治理维度

在网信办对本次修改《网络安全法》征求意见稿的说明中,将主要修改内容划分为四个部分,分别为完善违反网络运行安全一般规定的法律责任制度、修改关键信息基础设施安全保护的法律责任制度、调整网络信息安全法律责任制度、修改个人信息保护法律责任制度。对于网络运营者等相关责任主体,在不同安全领域需要遵守的具体要求进行了更为细化地规定。

陈兵认为,在网络安全一般责任之外,还要特别区分出信息安全等责任,目的是为了与个人信息保护、数据跨境等领域的专门法律法规进行协调。

“作为网络安全治理的基本法,《网络安全法》既涉及基础设施安全,也涉及数据安全、个人信息安全、跨境安全等领域息息相关,需要通过更为精细化的立法涉及为整体的安全治理框架提供一个足够宽敞的制度底座,也使得相关运营主体或信息处理主体在履行安全义务时有更为明确的抓手。”陈兵说。

自2017年《网络安全法》正式实施以来,相关领域的法律法规持续落地,除《数据安全法》《个人信息保护法》等上位法外,《网络产品安全漏洞管理规定》《医疗卫生机构网络安全管理办法》等聚焦安全漏洞等关键问题或垂直领域的法规也相继出台。

对企业而言,监管要求的细化也意味着其所需承担的合规要求更加明确。张睿表示,在网络安全管理方面,企业组织可以融合质量管理、信息安全管理等相关体系,将合规管理融入企业管理闭环中,逐步建设完善合规体系,实现标准化管理体系建设。

值得注意的是,本次对第七十条法规的修改,在原本“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚”外,还添加了“法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得……”等要求。

对于文中“法律、行政法规没有规定的”信息发布、存储行为应如何理解,也是征求意见稿发布后社会广泛讨论的焦点。

曹伟表示,此处实际上是为了避免针对实践中纷繁复杂的信息内容进行的兜底性规定,即行为主体发布或传输其他法律法规没有规定的违法信息内容的情况下,将依据第七十条所规定的三档违法程度进行处罚。结合《网络安全法》维护网络空间主权和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益等立法目的来看,第七十条所涉及的“法律、行政法规没有规定的”信息内容可以理解为危害网络安全和国家安全或者侵害第三方合法权益的信息内容。

陈兵则从立法技术的角度对其进行了分析,他认为,网络空间治理具有高度复杂性和动态性,对于一些涉及网络信息存储、流传管理、解析使用过程的具体执法要求,目前的法律法规尚未对这部分违规行为进行明确列举,因此要在此处设定兜底条款。

他进一步指出,这一修改为强化网络空间治理提供了法治化依据,但也需要注意此类带有扩张性的立法,如何在实际执行中避免给相关从业者带来必要之外的经营责任和压力。

王伟表示,法条不是万能的,法律天然具有不完备性,面对纷繁复杂的网络空间,立法对具体违法信息和违法行为的界定难免会出现疏漏或空白。在这种情况下,就应当按照“有规则,依规则;没规则,依原则”的法律适用要求,允许行政机关基于立法目的以及法治原则,考量个案对公共秩序、社会公德、网络安全等方面的具体损害情况,对相关行为是否具有违法性作出认定和判断。

“当然,行政机关在行使此类裁量权时,应当确保符合立法目的和法治原则,并依法接受相应的司法审查和社会监督。”他补充道。

(作者:吴立洋 编辑:王俊)

吴立洋

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926