每日觀點：《網(wǎng)絡(luò)安全法》首次修訂，擬引入最高營業(yè)額5%罰金與從業(yè)資格禁止處罰

作為我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，2016年通過的《網(wǎng)絡(luò)安全法》將過去散見于各種法規(guī)、規(guī)章中的規(guī)定上升到法律層面，進一步落實了政府有關(guān)部門和網(wǎng)絡(luò)運營者等主體保障網(wǎng)絡(luò)空間安全的主體責任，為我國構(gòu)建網(wǎng)絡(luò)安全監(jiān)管體制奠定了堅實基礎(chǔ)。

近年來，網(wǎng)絡(luò)安全事件在全球范圍內(nèi)呈高發(fā)態(tài)勢，據(jù)統(tǒng)計，自2017年以來，全球網(wǎng)絡(luò)攻擊泄漏數(shù)據(jù)記錄的數(shù)量平均每年增長高達224%，對數(shù)字經(jīng)濟健康穩(wěn)定發(fā)展構(gòu)成了不容忽視的威脅。

(資料圖片僅供參考)

隨著網(wǎng)絡(luò)空間安全防護形勢變化，《網(wǎng)絡(luò)安全法》部分法條內(nèi)容亟待更新完善。多位專家學者在接受南方財經(jīng)全媒體記者采訪時表示，我國網(wǎng)絡(luò)安全建設(shè)經(jīng)過多年發(fā)展，已度過筑底線的早期階段，當前應加強精細化安全治理能力，提高網(wǎng)絡(luò)安全法治保障水平。

引入金錢罰、資格罰懲戒措施

本次擬修改的主要內(nèi)容之一，是對違反網(wǎng)絡(luò)運行安全一般規(guī)定和網(wǎng)絡(luò)信息安全法律責任制度進行了調(diào)整，具體包括對違法相關(guān)規(guī)定、義務的行政處罰幅度進行調(diào)整和加入了從業(yè)禁止措施。

例如，在原版《網(wǎng)絡(luò)安全法》第五十九條至第六十二條對于網(wǎng)絡(luò)運營者、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者及其主管人員等責任主體，未遵守履行相關(guān)網(wǎng)絡(luò)安全保護義務和規(guī)定的處罰金額，在原本“一萬元以上十萬元以下”、“十萬元以上一百萬元以下”等相對固定的罰金區(qū)間外，增添了“處一百萬元以上五千萬元以下或者上一年度營業(yè)額百分之五以下罰款”，對直接負責的主管人員和其他直接責任人員“可以決定禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員或者從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作”等規(guī)定。

此外，對情節(jié)特別嚴重，違反第六十八條、第六十九條、第七十條中網(wǎng)絡(luò)信息安全保護義務，發(fā)布或傳輸有關(guān)法律法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，本次征求意見稿中也加入了營業(yè)額比例罰金和責任人從業(yè)資格禁止相關(guān)的執(zhí)法規(guī)定。

從擬修改的具體內(nèi)容來看，相關(guān)情節(jié)嚴重違法行為罰金的上下限都得到顯著提升。西南政法大學民商法學院副教授曹偉在接受南方財經(jīng)全媒體記者采訪時表示：“可以肯定的是，此次征求意見稿在原來的基礎(chǔ)上增加‘上一年度營業(yè)額百分之五以下罰款’此類內(nèi)容，實際上是加大了對企業(yè)的處罰力度。”

中央黨校（國家行政學院）政法部民商經(jīng)濟法室主任王偉指出，這是在總結(jié)我國相關(guān)法治實踐，并與行政處罰法等相關(guān)法律銜接作出的規(guī)定。

事實上，在近年來出臺的《數(shù)據(jù)安全法》《個人信息保護法》多部網(wǎng)絡(luò)、數(shù)據(jù)相關(guān)領(lǐng)域的法律法規(guī)中，以營業(yè)額為基數(shù)設(shè)定罰金和吊銷營業(yè)執(zhí)照、禁止責任人從事相關(guān)職業(yè)等處罰方式已經(jīng)被廣泛應用，相關(guān)監(jiān)管部門的執(zhí)法能力得到顯著加強。

“將金錢罰、資格罰列入懲罰方式，集中明確了一點：法律是有牙齒的?！?/strong>南開大學法學院副院長、競爭法研究中心主任，中國新一代人工智能發(fā)展戰(zhàn)略研究院特約研究員陳兵表示，法律責任設(shè)定的多元化，有利于進一步夯實執(zhí)法部門對于相關(guān)法律法規(guī)的實施能力。

至于在何種情況下適用固定區(qū)間罰金，何種情況下適用營業(yè)額一定比例的罰金，曹偉表示，目前在實踐中沒有絕對的標準，具體的罰款數(shù)額通常會結(jié)合行為主體的主觀過錯、采購的產(chǎn)品或服務的數(shù)量或金額、其行為造成的損害程度等方面加以判定。

王偉進一步指出，在網(wǎng)絡(luò)安全管理的重點領(lǐng)域中，對于行為人主觀過錯較大、行為性質(zhì)特別惡劣、損害后果特別嚴重的違法行為，用重典加以規(guī)制，既能對相關(guān)主體產(chǎn)生威懾力，也能在損害行為發(fā)生后對其加以嚴厲制裁，體現(xiàn)過罰相當?shù)姆ㄖ卧瓌t。

完善關(guān)鍵信息基礎(chǔ)設(shè)施和個人信息保護要求

除了對相關(guān)違法懲罰措施進一步補充和完善外，落實到具體安全執(zhí)行層面，關(guān)鍵信息基礎(chǔ)設(shè)施和個人信息保護是本次修改聚焦的兩大方向。

網(wǎng)信辦在對本次征求意見稿的說明中指出，關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，為強化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護責任，進一步完善關(guān)鍵信息基礎(chǔ)設(shè)施運營者有關(guān)違法行為行政處罰規(guī)定。

在發(fā)展數(shù)字經(jīng)濟背景下，關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行直接關(guān)系到國民經(jīng)濟、社會生產(chǎn)平穩(wěn)有序推進。綠盟科技首席合規(guī)咨詢專家張睿告訴記者，結(jié)合去年9月正式施行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，當前正是各行業(yè)落實推動關(guān)鍵信息基礎(chǔ)設(shè)施保護的發(fā)力期，而頂層安全法律、法規(guī)的及時修訂能夠更好地促進關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的有序開展。

個人信息保護方面，鑒于《個人信息保護法》規(guī)定了全面的個人信息保護法律責任制度，本次修改擬將《網(wǎng)絡(luò)安全法》原有關(guān)個人信息保護的法律責任修改為轉(zhuǎn)致性規(guī)定。

據(jù)受訪專家介紹，所謂轉(zhuǎn)致性規(guī)定，原本是國際私法領(lǐng)域的概念，是關(guān)于沖突規(guī)范的一種法律適用規(guī)定，可理解為當不同法律條文對同一領(lǐng)域的問題均有所規(guī)定時，明確相關(guān)問題最終適用其中一部法律，或在某部法律對相關(guān)問題沒有明確規(guī)定時，轉(zhuǎn)引到其他法律上，從而實現(xiàn)法律間的協(xié)同。

王偉指出，本次修改擬將《網(wǎng)絡(luò)安全法》原有關(guān)個人信息保護的法律責任修改為轉(zhuǎn)致性規(guī)定的主要原因，是近年來出臺的《民法典》《個人信息保護法》《數(shù)據(jù)安全法》等立法已經(jīng)對個人信息保護構(gòu)建了較為完整的法律規(guī)范體系，但由于個人信息保護同樣是網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵性問題，因此依然有必要在《網(wǎng)絡(luò)安全法》中特別明確網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或服務提供者相關(guān)義務和責任，但對于損害他人個人信息權(quán)益的違法行為的法律后果、法律責任，則分別適用其他法律、行政法規(guī)。

拓展網(wǎng)絡(luò)安全治理維度

在網(wǎng)信辦對本次修改《網(wǎng)絡(luò)安全法》征求意見稿的說明中，將主要修改內(nèi)容劃分為四個部分，分別為完善違反網(wǎng)絡(luò)運行安全一般規(guī)定的法律責任制度、修改關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的法律責任制度、調(diào)整網(wǎng)絡(luò)信息安全法律責任制度、修改個人信息保護法律責任制度。對于網(wǎng)絡(luò)運營者等相關(guān)責任主體，在不同安全領(lǐng)域需要遵守的具體要求進行了更為細化地規(guī)定。

陳兵認為，在網(wǎng)絡(luò)安全一般責任之外，還要特別區(qū)分出信息安全等責任，目的是為了與個人信息保護、數(shù)據(jù)跨境等領(lǐng)域的專門法律法規(guī)進行協(xié)調(diào)。

“作為網(wǎng)絡(luò)安全治理的基本法，《網(wǎng)絡(luò)安全法》既涉及基礎(chǔ)設(shè)施安全，也涉及數(shù)據(jù)安全、個人信息安全、跨境安全等領(lǐng)域息息相關(guān)，需要通過更為精細化的立法涉及為整體的安全治理框架提供一個足夠?qū)挸ǖ闹贫鹊鬃?，也使得相關(guān)運營主體或信息處理主體在履行安全義務時有更為明確的抓手。”陳兵說。

自2017年《網(wǎng)絡(luò)安全法》正式實施以來，相關(guān)領(lǐng)域的法律法規(guī)持續(xù)落地，除《數(shù)據(jù)安全法》《個人信息保護法》等上位法外，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》等聚焦安全漏洞等關(guān)鍵問題或垂直領(lǐng)域的法規(guī)也相繼出臺。

對企業(yè)而言，監(jiān)管要求的細化也意味著其所需承擔的合規(guī)要求更加明確。張睿表示，在網(wǎng)絡(luò)安全管理方面，企業(yè)組織可以融合質(zhì)量管理、信息安全管理等相關(guān)體系，將合規(guī)管理融入企業(yè)管理閉環(huán)中，逐步建設(shè)完善合規(guī)體系，實現(xiàn)標準化管理體系建設(shè)。

值得注意的是，本次對第七十條法規(guī)的修改，在原本“發(fā)布或者傳輸本法第十二條第二款和其他法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌?，依照有關(guān)法律、行政法規(guī)的規(guī)定處罰”外，還添加了“法律、行政法規(guī)沒有規(guī)定的，由有關(guān)主管部門責令改正，給予警告、通報批評，沒收違法所得……”等要求。

對于文中“法律、行政法規(guī)沒有規(guī)定的”信息發(fā)布、存儲行為應如何理解，也是征求意見稿發(fā)布后社會廣泛討論的焦點。

曹偉表示，此處實際上是為了避免針對實踐中紛繁復雜的信息內(nèi)容進行的兜底性規(guī)定，即行為主體發(fā)布或傳輸其他法律法規(guī)沒有規(guī)定的違法信息內(nèi)容的情況下，將依據(jù)第七十條所規(guī)定的三檔違法程度進行處罰。結(jié)合《網(wǎng)絡(luò)安全法》維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益、保護公民、法人和其他組織的合法權(quán)益等立法目的來看，第七十條所涉及的“法律、行政法規(guī)沒有規(guī)定的”信息內(nèi)容可以理解為危害網(wǎng)絡(luò)安全和國家安全或者侵害第三方合法權(quán)益的信息內(nèi)容。

陳兵則從立法技術(shù)的角度對其進行了分析，他認為，網(wǎng)絡(luò)空間治理具有高度復雜性和動態(tài)性，對于一些涉及網(wǎng)絡(luò)信息存儲、流傳管理、解析使用過程的具體執(zhí)法要求，目前的法律法規(guī)尚未對這部分違規(guī)行為進行明確列舉，因此要在此處設(shè)定兜底條款。

他進一步指出，這一修改為強化網(wǎng)絡(luò)空間治理提供了法治化依據(jù)，但也需要注意此類帶有擴張性的立法，如何在實際執(zhí)行中避免給相關(guān)從業(yè)者帶來必要之外的經(jīng)營責任和壓力。

王偉表示，法條不是萬能的，法律天然具有不完備性，面對紛繁復雜的網(wǎng)絡(luò)空間，立法對具體違法信息和違法行為的界定難免會出現(xiàn)疏漏或空白。在這種情況下，就應當按照“有規(guī)則，依規(guī)則；沒規(guī)則，依原則”的法律適用要求，允許行政機關(guān)基于立法目的以及法治原則，考量個案對公共秩序、社會公德、網(wǎng)絡(luò)安全等方面的具體損害情況，對相關(guān)行為是否具有違法性作出認定和判斷。

“當然，行政機關(guān)在行使此類裁量權(quán)時，應當確保符合立法目的和法治原則，并依法接受相應的司法審查和社會監(jiān)督?！彼a充道。