2022年9月14日,国家互联网信息办公室(“网信办”)发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(简称“修正案草案》”),并征求公众意见。若该决定被采纳,这将成为《网络安全法》自2016年颁布以来的首次修订。

本文重点关注《修正案草案》的要点,并阐述我们的见解和建议。

背景

《网络安全法》是中国首部关于网络安全保护的国家立法,并被广泛认为是中国的网络安全和数据保护框架的奠基石。《网络安全法》规范了中国境内的网络运营者对网络的建设、运营、维护和使用。其中,“网络”和“网络运营者”的定义非常广泛,足以涵盖中国的大多数信息系统及其所有者、运营者和管理者。

经过几年的酝酿,中国政府近年来加快了网络安全和数据安全保护的立法进度,最终在2021年颁布了《数据安全法》和《个人信息保护法》,这标志着中国网络安全和数据保护体系的建立。

《个人信息保护法》和《数据安全法》项下的规定,尤其是其中严厉的处罚措施,使得《网络安全法》的规定难以满足当下的监管要求,这也是中国政府计划修改《网络安全法》从而使其与其他新出台的法律保持一致的动因。

对处罚的主要修改

一、一般网络安全保护义务

《修正案草案》大幅提高了违反以下相关义务的处罚力度:

  1. 遵守网络安全等级保护(“等保”)的要求;
  2. 网络产品、服务应当符合相关国家标准的强制性要求
  3. 网络关键设备和网络安全专用产品应通过安全认证或安全检测后销售或提供;
  4. 网络运营者应开展实名认证;
  5. 网络安全事件应急预案;
  6. 开展网络安全认证、检测、风险评估以及向社会发布网络安全信息;
  7. 向执法机关提供技术支持和协助。

对违反上述一般网络安全保护义务的法律处罚的修订包括:

  • 将一般违法行为的罚款上限提高至对网络运营者最高可处罚100万元人民币,对直接责任人最高可处罚10万元人民币。
  • 针对情节特别严重的违规行为,引入与《个人信息保护法》相似的罚款处罚规定,即对网络运营者适用100万至5000万元人民币,或不超过其上一年度营业额5%的罚款,并对直接责任人处以10万至100万元人民币的罚款和/或禁止在中国担任特定管理职务(以下简称严重处罚

此外,《修正案草案》将非法入侵、干扰网络或窃取数据的处罚范围扩大至单位,还将在互联网上传播非法信息的罚款上限提高至100万元人民币。

二、 关键信息基础设施(“关基”)运营者相关义务

《修正案草案》调整了对关基运营者违反确保业务稳定和持续运行、实施安全保护措施、对网络产品和服务的采购进行保密、定期进行安全测试和评估等义务的处罚。

调整后的处罚措施包括:

  • 引入通报批评、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚措施;
  • 取消对拒不整改或导致危害网络安全等后果的罚款下限;
  • 引入严重处罚;
  • 纳入对违反《数据安全法》和《个人信息保护法》规定的数据本地化和数据出境要求的相关处罚。

除此以外,《网络安全法》要求,如果关基运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查(第35条)。《修正案草案》还增加了对违反安全审查义务采购网络产品和服务的处罚,即处以采购金额1至10倍,或者上一年度营业额5%以下的罚款。

三、 内容安全义务

《修正案草案》建议调整对违反用户发布信息管理义务、建立投诉举报机制义务以及禁止设置恶意程序或发布非法信息义务的处罚,

处罚措施调整如下:

  • 引入通报批评作为处罚;
  • 对拒不改正或情节严重的,罚款上限由50万元人民币提高至100万元人民币;
  • 在情节特别严重的情况下,引入严厉处罚。

此外,《修正案草案》还加强了对非法发布和传播信息的法律处罚,例如在情节特别严重的情况下引入严重处罚。

四、 个人信息保护义务

《修正案草案》将《个人信息保护法》对违反个人信息保护义务的处罚纳入到《网络安全法》的条款中,从而提高处罚力度。

总结

《修正案草案》大幅提高了对违反《网络安全法》大部分义务的处罚力度,使之与《个人信息保护法》和《数据安全法》的处罚力度相一致。显然,此举是为了促进网络运营者遵守《网络安全法》,并预示着网信办可能将进一步加大对《网络安全法》的执法力度。

企业应确保识别出其在《网络安全法》项下的合规差距并进行整改,特别是履行与等保、应急预案、内容安全和网络安全人员任命等相关的义务。