一、概述
2022年9月14日,国家互联网信息办公室发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(“《征求意见稿》”)。《征求意见稿》主要加重了《网络安全法》项下违法行为的法律责任,对违反网络运行安全义务、违反网络信息安全义务、违反关键信息基础设施安全保护义务及违反个人信息保护义务的罚则在体系上进行整合统一,并与《个人信息保护法》(“《个保法》”)、《数据安全法》等新法衔接协调。我们将在下文对《征求意见稿》体现的修订要点予以梳理、总结。
二、加重违反网络运行安全义务的法律责任
《征求意见稿》对未履行网络安全等级保护制度要求的安全保护义务、未制定实施网络安全事件应急预案、未对产品服务提供持续安全维护等违反网络运行安全一般规定的法律责任进行了整合统一,并补充了违反《网络安全法》第二十三条“网络关键设备和网络安全专用产品强制性认证检测要求”的罚则。而尤其值得关注的是,此次修订对统一后的法律责任在整体上进行加重。《征求意见稿》呼应《个保法》第六十六条的规定,将罚款上限抬高至五千万元或者上一年度营业额的百分之五,对直接责任人员的罚款上限也抬高至一百万元,同时增加了对其禁止任职的规定。

三、侵犯个人信息权利法律责任衔接《个保法》
《个保法》于2021年11月1日生效,在此之前对侵犯个人信息权利进行的处罚主要以《网络安全法》为依据。《个保法》生效之后,《网络安全法》中与个人信息保护相关的罚则内容需与《个保法》协调一致,以避免出现适用上的矛盾冲突。《征求意见稿》将侵犯个人信息权利的罚则改为指向《个保法》及其他法律、行政法规的转致性条款,一方面在体系上衔接新法,另一方面相比于原有罚则,在实质上加重了网络运营者侵犯个人信息权利的法律责任。

四、 加重关键信息基础设施安全保护法律责任
对于违反关键信息基础设施采购国家安全审查规定的法律责任,《征求意见稿》同样将罚金上限抬高至上一年度营业额的百分之五。对于违反关键信息基础设施数据境内存储和对外提供规定的法律责任,《征求意见稿》引入转致性条款,指向《数据安全法》第四十六条及《个保法》第六十六条,相比原有罚则均规定了更重的法律责任。

五、完善网络信息安全法律责任体系
《征求意见稿》对违反用户信息治理、安全管理、建立网络信息安全投诉举报制度等网络信息安全义务的法律责任进行了整合,统一将处罚上限调整至五千万元或上一年度营业额的百分之五,同时添加了对于直接责任人员的从业禁止规定。

六、结语
《征求意见稿》的核心在于加重《网络安全法》项下的违法责任,将罚款上限与个人责任均拉齐至与《个保法》一致,体现了国家对于维护网络安全的强势态度。此次修订尚处于征求意见阶段,距离正式生效仍有一段时间,从事网络运营的相关主体应积极履行网络运行安全、网络信息安全、个人信息保护义务,并对立法动态予以持续关注。
2022年9月14日,国家互联网信息办公室发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(“《征求意见稿》”)。《征求意见稿》主要加重了《网络安全法》项下违法行为的法律责任,对违反网络运行安全义务、违反网络信息安全义务、违反关键信息基础设施安全保护义务及违反个人信息保护义务的罚则在体系上进行整合统一,并与《个人信息保护法》(“《个保法》”)、《数据安全法》等新法衔接协调。我们将在下文对《征求意见稿》体现的修订要点予以梳理、总结。
二、加重违反网络运行安全义务的法律责任
《征求意见稿》对未履行网络安全等级保护制度要求的安全保护义务、未制定实施网络安全事件应急预案、未对产品服务提供持续安全维护等违反网络运行安全一般规定的法律责任进行了整合统一,并补充了违反《网络安全法》第二十三条“网络关键设备和网络安全专用产品强制性认证检测要求”的罚则。而尤其值得关注的是,此次修订对统一后的法律责任在整体上进行加重。《征求意见稿》呼应《个保法》第六十六条的规定,将罚款上限抬高至五千万元或者上一年度营业额的百分之五,对直接责任人员的罚款上限也抬高至一百万元,同时增加了对其禁止任职的规定。

三、侵犯个人信息权利法律责任衔接《个保法》
《个保法》于2021年11月1日生效,在此之前对侵犯个人信息权利进行的处罚主要以《网络安全法》为依据。《个保法》生效之后,《网络安全法》中与个人信息保护相关的罚则内容需与《个保法》协调一致,以避免出现适用上的矛盾冲突。《征求意见稿》将侵犯个人信息权利的罚则改为指向《个保法》及其他法律、行政法规的转致性条款,一方面在体系上衔接新法,另一方面相比于原有罚则,在实质上加重了网络运营者侵犯个人信息权利的法律责任。

四、 加重关键信息基础设施安全保护法律责任
对于违反关键信息基础设施采购国家安全审查规定的法律责任,《征求意见稿》同样将罚金上限抬高至上一年度营业额的百分之五。对于违反关键信息基础设施数据境内存储和对外提供规定的法律责任,《征求意见稿》引入转致性条款,指向《数据安全法》第四十六条及《个保法》第六十六条,相比原有罚则均规定了更重的法律责任。

五、完善网络信息安全法律责任体系
《征求意见稿》对违反用户信息治理、安全管理、建立网络信息安全投诉举报制度等网络信息安全义务的法律责任进行了整合,统一将处罚上限调整至五千万元或上一年度营业额的百分之五,同时添加了对于直接责任人员的从业禁止规定。

六、结语
《征求意见稿》的核心在于加重《网络安全法》项下的违法责任,将罚款上限与个人责任均拉齐至与《个保法》一致,体现了国家对于维护网络安全的强势态度。此次修订尚处于征求意见阶段,距离正式生效仍有一段时间,从事网络运营的相关主体应积极履行网络运行安全、网络信息安全、个人信息保护义务,并对立法动态予以持续关注。
