南方財經全媒體記者 吳立洋 北京報道

近日，國家互聯網信息辦公室發佈了《關於修改〈中華人民共和國網絡安全法〉的決定（徵求意見稿）》，並向社會公開徵求意見。

作爲我國第一部全面規範網絡空間安全管理方面問題的基礎性法律，2016年通過的《網絡安全法》將過去散見於各種法規、規章中的規定上升到法律層面，進一步落實了政府有關部門和網絡運營者等主體保障網絡空間安全的主體責任，爲我國構建網絡安全監管體制奠定了堅實基礎。

近年來，網絡安全事件在全球範圍內呈高發態勢，據統計，自2017年以來，全球網絡攻擊泄漏數據記錄的數量平均每年增長高達224%，對數字經濟健康穩定發展構成了不容忽視的威脅。

隨着網絡空間安全防護形勢變化，《網絡安全法》部分法條內容亟待更新完善。多位專家學者在接受南方財經全媒體記者採訪時表示，我國網絡安全建設經過多年發展，已度過築底線的早期階段，當前應加強精細化安全治理能力，提高網絡安全法治保障水平。

引入金錢罰、資格罰懲戒措施

本次擬修改的主要內容之一，是對違反網絡運行安全一般規定和網絡信息安全法律責任制度進行了調整，具體包括對違法相關規定、義務的行政處罰幅度進行調整和加入了從業禁止措施。

例如，在原版《網絡安全法》第五十九條至第六十二條對於網絡運營者、關鍵信息基礎設施的運營者及其主管人員等責任主體，未遵守履行相關網絡安全保護義務和規定的處罰金額，在原本“一萬元以上十萬元以下”、“十萬元以上一百萬元以下”等相對固定的罰金區間外，增添了“處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款”，對直接負責的主管人員和其他直接責任人員“可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作”等規定。

此外，對情節特別嚴重，違反第六十八條、第六十九條、第七十條中網絡信息安全保護義務，發佈或傳輸有關法律法規禁止發佈或者傳輸的信息的，本次徵求意見稿中也加入了營業額比例罰金和責任人從業資格禁止相關的執法規定。

從擬修改的具體內容來看，相關情節嚴重違法行爲罰金的上下限都得到顯著提升。西南政法大學民商法學院副教授曹偉在接受南方財經全媒體記者採訪時表示：“可以肯定的是，此次徵求意見稿在原來的基礎上增加‘上一年度營業額百分之五以下罰款’此類內容，實際上是加大了對企業的處罰力度。”

中央黨校（國家行政學院）政法部民商經濟法室主任王偉指出，這是在總結我國相關法治實踐，並與行政處罰法等相關法律銜接作出的規定。

事實上，在近年來出臺的《數據安全法》《個人信息保護法》多部網絡、數據相關領域的法律法規中，以營業額爲基數設定罰金和吊銷營業執照、禁止責任人從事相關職業等處罰方式已經被廣泛應用，相關監管部門的執法能力得到顯著加強。

“將金錢罰、資格罰列入懲罰方式，集中明確了一點：法律是有牙齒的。” 南開大學法學院副院長、競爭法研究中心主任，中國新一代人工智能發展戰略研究院特約研究員陳兵表示，法律責任設定的多元化，有利於進一步夯實執法部門對於相關法律法規的實施能力。

至於在何種情況下適用固定區間罰金，何種情況下適用營業額一定比例的罰金，曹偉表示，目前在實踐中沒有絕對的標準，具體的罰款數額通常會結合行爲主體的主觀過錯、採購的產品或服務的數量或金額、其行爲造成的損害程度等方面加以判定。

王偉進一步指出，在網絡安全管理的重點領域中，對於行爲人主觀過錯較大、行爲性質特別惡劣、損害後果特別嚴重的違法行爲，用重典加以規制，既能對相關主體產生威懾力，也能在損害行爲發生後對其加以嚴厲制裁，體現過罰相當的法治原則。

完善關鍵信息基礎設施和個人信息保護要求

除了對相關違法懲罰措施進一步補充和完善外，落實到具體安全執行層面，關鍵信息基礎設施和個人信息保護是本次修改聚焦的兩大方向。

網信辦在對本次徵求意見稿的說明中指出，關鍵信息基礎設施是經濟社會運行的神經中樞，爲強化關鍵信息基礎設施安全保護責任，進一步完善關鍵信息基礎設施運營者有關違法行爲行政處罰規定。

在發展數字經濟背景下，關鍵信息基礎設施安全穩定運行直接關係到國民經濟、社會生產平穩有序推進。綠盟科技首席合規諮詢專家張睿告訴記者，結合去年9月正式施行的《關鍵信息基礎設施安全保護條例》，當前正是各行業落實推動關鍵信息基礎設施保護的發力期，而頂層安全法律、法規的及時修訂能夠更好地促進關鍵信息基礎設施保護工作的有序開展。

個人信息保護方面，鑑於《個人信息保護法》規定了全面的個人信息保護法律責任制度，本次修改擬將《網絡安全法》原有關個人信息保護的法律責任修改爲轉致性規定。

據受訪專家介紹，所謂轉致性規定，原本是國際私法領域的概念，是關於衝突規範的一種法律適用規定，可理解爲當不同法律條文對同一領域的問題均有所規定時，明確相關問題最終適用其中一部法律，或在某部法律對相關問題沒有明確規定時，轉引到其他法律上，從而實現法律間的協同。

王偉指出，本次修改擬將《網絡安全法》原有關個人信息保護的法律責任修改爲轉致性規定的主要原因，是近年來出臺的《民法典》《個人信息保護法》《數據安全法》等立法已經對個人信息保護構建了較爲完整的法律規範體系，但由於個人信息保護同樣是網絡安全領域的關鍵性問題，因此依然有必要在《網絡安全法》中特別明確網絡運營者、網絡產品或服務提供者相關義務和責任，但對於損害他人個人信息權益的違法行爲的法律後果、法律責任，則分別適用其他法律、行政法規。

拓展網絡安全治理維度

在網信辦對本次修改《網絡安全法》徵求意見稿的說明中，將主要修改內容劃分爲四個部分，分別爲完善違反網絡運行安全一般規定的法律責任制度、修改關鍵信息基礎設施安全保護的法律責任制度、調整網絡信息安全法律責任制度、修改個人信息保護法律責任制度。對於網絡運營者等相關責任主體，在不同安全領域需要遵守的具體要求進行了更爲細化地規定。

陳兵認爲，在網絡安全一般責任之外，還要特別區分出信息安全等責任，目的是爲了與個人信息保護、數據跨境等領域的專門法律法規進行協調。

“作爲網絡安全治理的基本法，《網絡安全法》既涉及基礎設施安全，也涉及數據安全、個人信息安全、跨境安全等領域息息相關，需要通過更爲精細化的立法涉及爲整體的安全治理框架提供一個足夠寬敞的制度底座，也使得相關運營主體或信息處理主體在履行安全義務時有更爲明確的抓手。”陳兵說。

自2017年《網絡安全法》正式實施以來，相關領域的法律法規持續落地，除《數據安全法》《個人信息保護法》等上位法外，《網絡產品安全漏洞管理規定》《醫療衛生機構網絡安全管理辦法》等聚焦安全漏洞等關鍵問題或垂直領域的法規也相繼出臺。

對企業而言，監管要求的細化也意味着其所需承擔的合規要求更加明確。張睿表示，在網絡安全管理方面，企業組織可以融合質量管理、信息安全管理等相關體系，將合規管理融入企業管理閉環中，逐步建設完善合規體系，實現標準化管理體系建設。

值得注意的是，本次對第七十條法規的修改，在原本“發佈或者傳輸本法第十二條第二款和其他法律、行政法規禁止發佈或者傳輸的信息的，依照有關法律、行政法規的規定處罰”外，還添加了“法律、行政法規沒有規定的，由有關主管部門責令改正，給予警告、通報批評，沒收違法所得……”等要求。

對於文中“法律、行政法規沒有規定的”信息發佈、存儲行爲應如何理解，也是徵求意見稿發佈後社會廣泛討論的焦點。

曹偉表示，此處實際上是爲了避免針對實踐中紛繁複雜的信息內容進行的兜底性規定，即行爲主體發佈或傳輸其他法律法規沒有規定的違法信息內容的情況下，將依據第七十條所規定的三檔違法程度進行處罰。結合《網絡安全法》維護網絡空間主權和國家安全、社會公共利益、保護公民、法人和其他組織的合法權益等立法目的來看，第七十條所涉及的“法律、行政法規沒有規定的”信息內容可以理解爲危害網絡安全和國家安全或者侵害第三方合法權益的信息內容。

陳兵則從立法技術的角度對其進行了分析，他認爲，網絡空間治理具有高度複雜性和動態性，對於一些涉及網絡信息存儲、流傳管理、解析使用過程的具體執法要求，目前的法律法規尚未對這部分違規行爲進行明確列舉，因此要在此處設定兜底條款。

他進一步指出，這一修改爲強化網絡空間治理提供了法治化依據，但也需要注意此類帶有擴張性的立法，如何在實際執行中避免給相關從業者帶來必要之外的經營責任和壓力。

王偉表示，法條不是萬能的，法律天然具有不完備性，面對紛繁複雜的網絡空間，立法對具體違法信息和違法行爲的界定難免會出現疏漏或空白。在這種情況下，就應當按照“有規則，依規則；沒規則，依原則”的法律適用要求，允許行政機關基於立法目的以及法治原則，考量個案對公共秩序、社會公德、網絡安全等方面的具體損害情況，對相關行爲是否具有違法性作出認定和判斷。

“當然，行政機關在行使此類裁量權時，應當確保符合立法目的和法治原則，並依法接受相應的司法審查和社會監督。”他補充道。

（作者：吳立洋 編輯：王俊）

責任編輯：吳劍 SF031