正值《網路安全法》正式施行滿五週年之際,國家網際網路資訊辦公室會同相關部門起草了《關於修改〈中華人民共和國網路安全法〉的決定(徵求意見稿)》(以下簡稱《徵求意見稿》),並於近日向社會公開徵求意見。修法之舉可謂恰逢其時:一是五年來網路安全發展日新月異,法律需要與時俱進、滿足新的需求;二是五年來網路安全法律體系逐步健全,法律之間需要更好的銜接協同。謹藉此文,加以學習並思考。
一、此次修法的四個總體特點
從《徵求意見稿》及其說明檔案來看,本次修法內容總體上呈現出以下四個特點。
一是聚焦法律責任。本次修法的六條內容,均是對《網路安全法》第六章“法律責任”的修訂。這充分體現了以法律責任務實推進法律實施的基本思路,必須有完善、明確的法律責任,才能有效保障法律所確立的權力、權利和義務的落實。這不僅是對公權力的規範,更是對網路安全各當事方權利的切實維護。
二是明確責任類別。在修訂的內容上,《徵求意見稿》多處體現了以“分類化”的思路整合原有相關條文,建立基本的網路安全法的責任門類:將原有分散在多個條文中、相似或相近的內容統一合併。這既有利於增強法律文字的簡潔、易懂性,更有利於提高司法實踐中對法律責任的認定效率。
三是健全責任體系。《徵求意見稿》在修訂內容上反映出的另一個特點,就是以“系統化”的思路建立健全網路安全法的責任體系。該體系不僅包含以“罰款”為代表的財務性責任,更有以“停業整頓”為代表的經營性責任,還有以“從業禁止”為代表的資格性責任。
四是注重法規銜接。《徵求意見稿》對兩處條文的修改,還體現了《網路安全法》對其生效之前、生效以後相關法律、法規有關法律責任內容的協同銜接。以轉致性規定的形式,進一步加強了同《資料安全法》《個人資訊保護法》《網際網路資訊服務管理辦法》等的關聯,可有效確保網路安全法律體系的一致性。
二、修法內容學習分析
本次《徵求意見稿》共六個條文,本部分將結合學習思考對其逐條淺析。
(一)第五十九條至第六十二條合併
【原文】將第五十九條、第六十條、第六十一條、第六十二條修改為:“違反本法第二十一條、第二十二條第一款和第二款、第二十三條、第二十四條第一款、第二十五條、第二十六條、第二十八條、第三十三條、第三十四條、第三十六條、第三十八條規定的網路執行安全保護義務或者導致危害網路執行安全等後果的,由有關主管部門責令改正,給予警告、通報批評;拒不改正或者情節嚴重的,處一百萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
有前款規定的違法行為,情節特別嚴重的,由省級以上有關主管部門責令改正,處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令停止相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高階管理人員或者從事網路安全管理和網路運營關鍵崗位的工作。”
【學習分析】該條修訂可重點關注三個變化要點。
一是明確了“網路執行安全”法律責任。將原有第五十九條至第六十二條共4個條文合併為1條,可統稱為“網路執行安全法律責任”。
二是加大了網路運營者在一般和嚴重情節中的處罰幅度。對網路運營者的罰款金額由“一萬元以上十萬元以下”,擴充為“一百萬元以下”;對直接負責的主管人員罰款數額則保持不變。
三是增加了“情節特別嚴重”法律責任的規定。在“網路執行安全”在適用“情節特別嚴重”責任時,三類責任均包含,且處罰力度均有提升。即:對網路運營者的罰款金額擴充為“處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款”;對直接負責的主管人員罰款數額提升為“十萬元以上一百萬元以下”;且對運營者和主管及主責任人還可分別並處以“停業整頓”為代表的經營性責任,和以“從業禁止”為代表的資格性責任。
(二)第六十三條、第六十七條修訂
【原文】將第六十三條、第六十七條修改為:“違反本法第二十七條、第四十六條規定,從事危害網路安全的活動,或者提供專門用於從事危害網路安全活動的程式、工具,或者為他人從事危害網路安全的活動提供技術支援、廣告推廣、支付結算等幫助,或者設立用於實施違法犯罪活動的網站、通訊群組,或者利用網路釋出涉及實施違法犯罪活動的資訊,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以並處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以並處十萬元以上一百萬元以下罰款。
單位有前款行為的,由公安機關沒收違法所得,處十萬元以上一百萬元以下罰款,並對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
違反本法第二十七條規定,受到治安管理處罰的人員,五年內不得從事網路安全管理和網路運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網路安全管理和網路運營關鍵崗位的工作。”
【學習分析】該條修訂可主要關注其對於責任型別的整合。
即將原來的第六十三條、第六十七條兩個條文整合為一種責任型別,我們可將該類法律責任稱為“危害網路安全活動及其輔助行為”責任。
除此之外,在責任方式、處罰程度等方面均與之前條文保持了基本一致。
(三)第六十四條修訂
【原文】將第六十四條修改為:“網路運營者、網路產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十四條規定,侵害個人資訊依法得到保護的權利的,依照有關法律、行政法規的規定處罰。”
【學習分析】該條修訂可主要關注三個變化要點。
一是法律責任轉致。因《個人資訊保護法》自2021年11月1日起施行,該條修訂主要體現了法律之間的一致性考量。
二是法律責任適用。從《徵求意見稿》該條內容的轉致來看,相應法律責任應適用《個人資訊保護法》第六十六條之規定。
三是法律責任變化。比較《個人資訊保護法》第六十六條與此前《網路安全法》第六十四條,我們可以看出侵害個人資訊權利法律責任的變化主要體現為:進一步強化了對違法責任追究,提高了處罰力度。具體體現在三處:第一,處罰標準不再強調是否有違法所得;第二,在“情節嚴重”的責任上,增加對主管、主責人員罰款的規定,並增加了對網路運營者“營業額處罰”的參照標準(“上一年度營業額百分之五以下罰款”),且此前的以“停業整頓”為代表的經營性責任仍然保留。
(四)第六十五條、第六十六條修訂
【原文】將第六十五條修改為:“關鍵資訊基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未透過的網路產品或者服務的,由有關主管部門責令停止使用,處採購金額一倍以上十倍以下或者上一年度營業額百分之五以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”
將第六十六條修改為:“關鍵資訊基礎設施的運營者違反本法第三十七條規定,在境外儲存網路資料,或者向境外提供網路資料的,依照有關法律、行政法規的規定處罰。”
【學習分析】該條修訂可主要關注三個變化要點。
一是該條修訂主要關注關鍵資訊基礎設施運營者,在責任型別上可稱為“關基運營者安全責任”,包含“使用不合規產品責任”(第六十五條)和“資料出境相關責任”(第六十六條)。
二是在“關基運營者使用不合規產品責任”(第六十五條)方面,主要變化是增加了“營業額”作為追責的參考標準。
三是“關基運營者資料出境相關責任”(第六十六條)方面,主要變化有兩處。第一,法律責任條款的轉致。該類責任主要適用《資料安全法》第四十六條,與《網路安全法》此前規定相比,提高了責任處罰力度,罰款金額區間由5-10萬元提高到10-100萬元;第二,增加了“嚴重情節”責任的規定,提高了罰款金額標準、並增加了以“停業整頓”為代表的經營性責任。可理解為提高執法的嚴謹性,最大限度保護關基運營者,維護其正常業務執行。
(五)第六十八條、第六十九條修訂
【原文】將第六十八條、第六十九條修改為:“違反本法第四十七條、第四十八條、第四十九條規定的網路資訊保安保護義務,或者不按照有關部門的要求對法律、行政法規禁止釋出或者傳輸的資訊採取停止傳輸、消除等處置措施的,或者不按照有關部門的要求對網路存在較大安全風險和發生安全事件採取措施的,由有關主管部門責令改正,給予警告、通報批評,沒收違法所得;拒不改正或者情節嚴重的,處一百萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
情節特別嚴重的,由省級以上有關主管部門責令改正,沒收違法所得,處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高階管理人員或者從事網路安全管理和網路運營關鍵崗位的工作。”
【學習分析】該條修訂可主要關注三個變化要點。
一是責任型別的合併,該修訂涉及的法律責任可稱為“對網路使用者釋出資訊管理”責任。
二是對“情節嚴重”的罰款上限提高,由“十萬元以上五十萬元以下”修訂為“一百萬元以下”。
三是增加了“情節特別嚴重”的責任規定,並加大了處罰力度。包括:提高了對網路運營者的罰款金額標準,並增加了以“停業整頓”為代表的經營性責任,還增加了以“從業禁止”為代表的資格性責任。
(六)第七十條修訂
【原文】將第七十條修改為:“釋出或者傳輸本法第十二條第二款和其他法律、行政法規禁止釋出或者傳輸的資訊的,依照有關法律、行政法規的規定處罰。
法律、行政法規沒有規定的,由有關主管部門責令改正,給予警告、通報批評,沒收違法所得;拒不改正或者情節嚴重的,處一百萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
情節特別嚴重的,由省級以上有關主管部門責令改正,沒收違法所得,處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高階管理人員或者從事網路安全管理和網路運營關鍵崗位的工作。”
【學習分析】該條修訂可主要關注四個變化要點。
一是明確責任型別,該條修訂涉及的法律責任可稱為“釋出違法資訊內容”責任,主要是指釋出傳播相關違法、有害內容應當承擔的法律責任。
二是完善責任銜接。梳理相關法律法規,可以發現該條修訂主要涉及責任內容與當前其他法律法規的銜接。從責任條款關聯度來看,主要包括《刑法》、《全國人民代表大會常務委員會關於加強網路資訊保護的決定》、《資料安全法》、《網際網路資訊服務管理辦法》等法律法規。
三是擴充套件責任覆蓋。該修訂結合法律法規的銜接,對原有《網路安全法》相應的“釋出違法資訊內容”法律責任範圍進行了擴充套件,對於“核心資料”的責任情形、不構成刑事責任的責任情形,以及“核心資料”之外責任的情形都予以涉及。
四是構建責任體系。該條修訂還從情節程度劃分,以及責任方式等方面,初步搭建了包含以“罰款”為代表的財務性責任、以“停業整頓”為代表的經營性責任、及以“從業禁止”為代表的資格性責任在內的綜合責任體系。
三、完善思考
結合對於本次修法思路的學習理解,提出以下完善建議,供參考指正。
一是《徵求意見稿》第一條第二款,“...並可以責令停止相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事;...”
是否將這兩處“可以”改為“應當”?以充分體現此類違法行為的危害性,並提升對這種違法行為處罰的力度。
二是《徵求意見稿》第二條第一款,“第六十五條修改為:“關鍵資訊基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未透過的網路產品或者服務的,由有關主管部門責令停止使用,處採購金額一倍以上十倍以下或者上一年度營業額百分之五以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”
是否有必要進一步明確這兩種處罰方式(粗體字部分)的選取標準?如:將這種處罰方式作為“情節嚴重”的責任適用情形,同時也可對於司法裁量空間予以必要限制。
三是《徵求意見稿》第五條,“...拒不改正或者情節嚴重的,處一百萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。”
該處對於主責主管人員的罰款標準,建議提高,如“五萬以上五十萬以下”。以呼應“情節嚴重”這一情形,並與該情形中提升了對運營者罰款數額保持一致。
《網路安全法》是奠定我國網路安全管理制度基礎性法律,可謂發揮了開先河、集大成、定框架的重要作用。如何完善發展立法,構建符合數字時代新特徵、滿足經濟社會新階段、新格局發展要求的網路安全制度體系,事關經濟社會發展的各個領域,需要產、學、研、用各領域集思廣益,發揮集體智慧。綠盟科技一向重視學習研究國家網路安全政策法規,並寄望發揮綠盟科技“專攻術業、成就所託”的宗旨願景,持續為國家網路安全體系和能力的提升貢獻綿薄。