促進法律法規銜接協調 提高網絡安全治理水平
——對修改網絡安全法征求意見稿的理解

□ 文 宋茂恩

《中華人民共和國網絡安全法》（以下簡稱網絡安全法）自2017年6月1日正式施行。作為我國第一部全面規范網絡空間安全管理的基礎性、專業性法律，網絡安全法從立法層面確立了網絡安全主權原則，建立了網絡運營者、網絡使用者以及網絡安全管理部門之間的聯系機制，明確了各方在網絡安全保護領域的權利與義務，創建了關鍵信息基礎設施保護制度，確立了個人信息保護規則，為構建網絡安全法律法規體系提供了基礎保障。網絡安全法是我國網絡空間法治建設的重要里程碑，是依法治網、化解網絡風險的法律重器，是讓互聯網在法治軌道上健康運行的重要保障，是依法引導我國網信事業沿著健康安全軌道運行的指南針。

近年來，數字經濟快速發展，數據安全法、個人信息保護法等法律法規相繼制定實施，為做好網絡安全法與相關法律之間的有效銜接、協調，完善法律責任制度，保護個人、組織在網絡空間的合法權益，維護國家安全和公共利益，進一步保障網絡安全，2022年9月14日，國家互聯網信息辦公室發布公告，會同相關部門起草了《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》（以下簡稱《征求意見稿》），向社會公開征求意見。

一、網絡安全法修改側重于與其他相關法律法規的銜接協調

隨著數字化進程的加快，與五年前網絡安全法施行時相比，網絡環境更加開放，與經濟社會融合程度更加深入，新技術、新業務、新應用層出不窮，這些都帶來了更多的網絡安全風險，特別是數據安全風險凸顯、個人信息保護要求深化、技術安全風險加劇，網絡安全防護的責任和邊界需要進一步規范和明確。

隨著網絡信息領域立法的實際操作性不斷增強，維護網絡空間安全政策和法律、行政法規逐步得到完善，相繼實施，對履行網絡運行安全、關鍵信息基礎設施安全、網絡信息安全和數據安全義務的主體應承擔的法律責任規定越來越具體、明確，網絡安全法有必要與新實施法律法規進行有效銜接協調，修改網絡安全法就是為了適應新形勢的需要。

二、網絡安全法修改內容重點在法律責任部分

《征求意見稿》明確，為做好網絡安全法與新實施的法律之間銜接協調，完善法律責任制度，對網絡安全法作出四部分修改：一是完善違反網絡運行安全一般規定的法律責任制度；二是修改關鍵信息基礎設施安全保護的法律責任制度；三是調整網絡信息安全法律責任制度；四是修改個人信息保護法律責任制度。

在具體條款方面，《征求意見稿》修改了網絡安全法第六章“法律責任”中的第五十九條至第七十條，整體豐富了處罰層級性，增加了處罰情形和種類，大幅度提高了處罰金額，進一步增強了執法靈活性，并通過轉致性規定加強法律間協同。

（一）豐富了處罰層級性

《征求意見稿》的修訂內容整合網絡安全法中不同主體需履行的義務，對其需承擔的法律責任作出分別規定。處罰標準由“一般違法”“拒不改正或情節嚴重”兩級，調整為“一般違法”“拒不改正或情節嚴重”“情節特別嚴重”三級，豐富了處罰的層級性，且情節特別嚴重的由省級以上有關主管部門執行，也明確了執法主體，厘清了各部門的職責，有利于提高執法質量。

（二）增加了處罰情形和種類

《征求意見稿》增加了第二十三條、第二十八條和第四十九條的法律責任。第二十三條為網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求進行安全認證或安全檢測，第二十八條為網絡運營者為維護國家安全和偵查犯罪活動提供技術支持和協助，第四十九條為網絡運營者建立網絡信息安全投訴、舉報制度。

在處罰種類方面，“一般違法”情形增加了“通報批評”的處罰方式，這也符合2021年修訂的《行政處罰法》的相關規定；“情節特別嚴重”情形增加了對直接負責的主管人員或其他責任人員“禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作”的從業禁止處罰，適用范圍為第十二條第二款、第二十一條、第二十二條第一款和第二款、第二十三條、第二十四條第一款、第二十五條、第二十六條、第二十八條、第三十三條、第三十四條、第三十六條、第三十八條、第四十七條、第四十八條和第四十九條，客觀上把從業禁止作為一種普遍的處罰措施，加強對相關責任人的威懾。

（三）提高了處罰額度

《征求意見稿》不僅提高了所有處罰標準中的處罰最高額，還增加了“上一年度營業額百分之五以下”的處罰。如針對違反網絡運行安全保護義務或者導致危害網絡運行安全等后果的行為增加了針對“情節特別嚴重”的處罰措施：由省級以上有關主管部門責令改正，處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令停止相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。第六十八條、第七十條也都增加了類似條款，規定針對違反規定的網絡運營者，最高可處五千萬元或上一年度營業額百分之五的罰款。

結合我國目前情況，按照上一年度營業額百分之五，有的企業算下來可能會達數百億元人民幣。今年7月21日，國家互聯網信息辦公室對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰決定：因違反《網絡安全法》《數據安全法》《個人信息保護法》對滴滴全球股份有限公司處人民幣80.26億元罰款。世界范圍內因違反個人信息保護規定迄今最高罰款金額是“劍橋分析案”：2019年7月24日美國聯邦貿易委員會（FTC）宣布與臉書（Facebook，現更名為Meta）達成的50億美元的和解令。

通過提高處罰力度有較大的威懾作用，可以提高包括企業在內的各個主體合規意識，同時修改也有利于《網絡安全法》《數據安全法》《個人信息保護法》以及其他法規在處罰力度上保持總體上的協調，避免出現法規回避、法規有意選擇的情況。

（四）調整罰款梯度，增強了執法靈活性

《征求意見稿》調整了違反網絡運行安全保護義務或者導致危害網絡運行安全等后果行為的行政處罰。原網絡安全法對違反上述規定行為企業的罰款分為多種罰款梯度：1～10萬、5～50萬、10～50萬、10～100萬等，《征求意見稿》的罰款幅度則調整為100萬以下罰款，類似情況在針對直接負責的主管人員或其他直接責任人員也進行了調整。該調整一方面可以提高網絡運營者和相關責任人員的違法成本，形成有力威懾，另一方面也擴大了執法部門的自由裁量權，以區分不同性質和程度的違法行為，并與行政處罰法的相關規定相協調。

（五）將法律責任通過轉致性規定實現法律間協同

所謂轉致性規定，原本是國際私法領域的概念，是關于沖突規范的一種法律適用規定。當不同法律條文對同一領域的問題均有所規定時，明確相關問題最終適用其中一部法律，或在某部法律對相關問題沒有明確規定時，轉引到其他法律上，從而實現法律間的協同。

《征求意見稿》擬修訂的第六十四條侵害個人信息、第六十六條違反規定在境外存儲網絡數據或者向境外提供網絡數據、第七十條發送或者傳輸法律法規禁止發布或傳輸的信息等情形，“依據有關法律、行政法規的規定處罰”，并明確了法律、行政法規沒有規定情形的處罰。這進一步完善了網絡安全與數據安全、個人信息保護等相關法律責任制度體系，責任內容邏輯更加緊湊清晰，法律責任規定更加規范完善。

三、網絡安全法修改的落實也需要協同

《征求意見稿》公眾意見反饋時間已經截止，從輿論反饋看，對《征求意見稿》進行實質性修改的可能性不大。網絡安全法的本次修改，有利于做好《網絡安全法》與相關法律的銜接協調，并在完善網絡信息領域法律體系建設上開創了新征程，在保護個人、組織網絡空間合法權益以及維護國家安全和公共利益上邁出了新的一步。修改后的網絡安全法的落實既需要相應的細則支持，也需要網絡信息領域法律體系的持續協同。

（一）需要進一步明確行政處罰的程序和標準

基于行政處罰法第五條的“遵循公正、公開的原則”，確保處罰以事實為依據，與違法行為的事實、性質、情節以及社會危害程度相當?！毒W絡安全法》修訂后應進一步明確行政處罰的程序，給行政相對人可預見的合理預期，將最終推動企業和相關負責人主動合規。

《征求意見稿》在本次修改中，多處增加了情節特別嚴重的情形，最高處罰額度都將上一年度營業額百分之五包含在內，這是在我國法律中，除了《反壟斷法》外的前所未有的力度。比如針對極端、突發、非常規網絡安全侵害情況的處罰規定，對各種特定種類的網絡信息設施實施大規模、長時間、大范圍的破壞行動就可能觸發“情況特別嚴重”，這與《數據安全法》《個人信息保護法》保持了立法上一致。但通過按比例處罰的方式，實現處罰強度與業務規模、業務影響相匹配的效果，應在具體落實中明確實施細則。

（二）執法部門自由裁量權需要細化裁量基準以提高確定性和便于具體落實

隨著人工智能、大數據、云計算等信息技術的快速發展，數字化進程加速推進，伴隨著產業數字化、數字產業化，網絡安全態勢也變得日益復雜，網絡安全面臨新形勢，網絡安全的邊界也在拓展和變化。充分認識數字經濟與傳統經濟不同的發展規律，適應數字經濟快速發展的要求，網絡信息領域法律法規需要保持必要的適應性，這也是保持一定自由裁量權的重要原因。

自由裁量權也會使法律法規確定性的部分喪失，導致對不同性質、不同程度的違法行為的執法解釋空間變大，同時也要防止相關部門、一些地方的選擇性執法或逐利性執法。出臺細化的裁量基準，形成可操作、體現比例原則的具體規定，既能夠有效提高確定性，也便于相關部門和地方具體落實。特別是“情節特別嚴重”情形的處罰標準較高、幅度較大，裁量標準有待進一步明確，也可以采取列舉“情節特別嚴重”情形，促進行政處罰裁量權的合理行使，確保實施執行的一致性和法律實效。

（三）網絡安全治理硬能力建設是網絡安全法有效落實的基礎

全球網絡安全格局動蕩不安，大規模網絡攻擊頻頻發生，網絡安全已成為國家安全的重要因素，持續加強網絡安全治理體系頂層設計、加強網絡安全治理力量建設、有效落實網絡安全法律法規，是提高網絡空間安全水平的基礎。

加強網絡安全治理技術能力建設，是網絡安全治理的硬能力，是做到“魔高一尺、道高一丈”的必要條件。有效落實網絡安全法，應分層次建立網絡安全防控體系，充分發揮包括研究機構、安全企業、社會團體在內的各類組織作用，形成多元、多層次網絡安全防控架構，使損害網絡安全無所遁形、威脅網絡安全無從下手，有效降低網絡安全風險。

（四）其他法律法規與網絡安全法的銜接協調

客觀地看，與網絡安全相關的信息技術發展很快，對網絡空間安全的認識也有一個逐步深入的過程，網絡信息領域法律體系建設過程既是一個與時俱進、不斷完善的過程，也是一個相互協調、優化銜接的過程。特別是《數據安全法》《個人信息保護法》等相關法律和《關鍵信息基礎設施安全保護條例》等相關行政法規也應與《網絡安全法》做好銜接協調。

《網絡安全法》定義的“網絡安全”“是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力?！奔匆杂布到y安全為特征的“網絡運行安全”和以完整性、保密性、可用性為內容的“信息安全”兩個方面。但《網絡安全法》還包含了個人信息保護、違法信息管控、數據跨境傳輸、知識產權保護、未成年人網絡保護等方面的規定，這也說明，以上相關領域的法律、行政法規也有與《網絡安全法》銜接協調的必要性。

當前，網絡空間安全形勢日益嚴峻，網絡滲透危害政治安全，網絡攻擊威脅經濟安全，網絡有害信息侵蝕文化安全，網絡恐怖和違法犯罪破壞社會安全，國際上爭奪和控制網絡空間戰略資源、搶占規則制定權和戰略制高點、謀求戰略主動權的競爭日趨激烈?！毒W絡安全法》是全面規范網絡空間安全管理的基礎性、專業性法律，其修改將進一步強化網絡安全、健全網絡信任體系、提高網絡安全管理的科學化規范化水平，最大限度利用網絡空間發展潛力，為經濟社會數字化轉型和更好更快發展創造條件。