《网络安全法》2017年6月1日实施后时隔五年,2022年09月14日,国家网信办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(下称“修订稿”)并公开征求意见。据悉,本次修订主要意在加强与新实施的法律之间的衔接协调,完善法律责任制度,进一步增强法律的严肃性和威慑力。
早在2015年,《网络安全法(草案征求意见稿)》由全国人大法工委公布并征求意见,征集时间为1个月;本次《修订稿》由网信办发布并征求意见,征集时间为15日。
结合近期立法、监管及执法情况,汇业律师事务所黄春林律师团队简要分析《网络安全法》修订的六大立法与执法趋势如下,仅供参考。
一、法律责任合并集中,执法灵活度提高
参照《个人信息保护法》第六十六条的立法技术,本次《修订稿》大量合并、归类和集中了法律责任条款,例如将原五十九条、第六十条、第六十一条、第六十二条合并为一条法律责任,映射了原第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务;又如,将原第六十八条、第六十九条合并为一条法律责任,映射了原第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务。
这样的立法技术处理,一方面是考虑到网络运行安全、网络信息安全的同类法律义务在违法行为、危害后果和执法管辖上具有一定的相似性,另一方面也极大地提高了未来执法活动中法律适用和罚则确定的灵活性。
二、“通报批评”成为新常态,舆情压力陡增
针对网络运行安全和网络信息安全违法行为,本次《修订稿》增加了三处“通报批评”的行政处罚措施,这也是面向当前执法活动的一个漏洞填补。
这一修订,一方面是实现与2021年修订的《行政处罚法》的制度衔接,因为《行政处罚法》第九条已经增加了通报批评的行政处罚;另一方面,监管执法实践中,网信办、工信部等实际上已经大量使用了通报批评这一“行政处罚”。
通报批评是一种典型的声誉罚,虽然表面上看处罚力度是最轻的,但极易诱发舆情风险。企业应当建立常规应急预案,除了及时响应监管部门(含测评机构等)的监管执法行动外,还应当从公关、市场、技术、客服、财务、法务等多维度应对潜在的舆情事件和业务连续性中断风险。
三、信息内容合规大过天,处罚力度加大
近年来,信息内容合规引起了社会各界的广泛关注,立法机构也发布和修订了一系列信息内容管理有关的规章和规范性文件,涵盖互联网及移动应用信息服务、直播、音视频、微博客、公众平台、群组、饭圈、账号信息、跟评信息、弹窗信息等网络信息内容生态治理。本次《修订稿》也顺应了这一趋势,总共修订六条其中两条涉及信息内容合规,充分体现了信息内容合规的重要性。
本次《修订稿》在原来第70条的基础上增加了“补丁”,增加了一款“法律、行政法规没有规定的”的情形,并将处罚金额顶格到“五千万元以下或者上一年度营业额百分之五以下”的“天花板”。同时,对标2021年修订的《行政处罚法》的从业限制,还增加了决定直接负责的主管人员和其他直接责任人员“禁止在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”的处罚措施。
此外,本次《修订稿》还将原第六十八条、第六十九条合并为一条法律责任,映射了原第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,并可以顶格处罚5000万或5%营业额,且可以对个人决定从业限制。
四、等保/关保制度“长牙齿”,处罚力度加大
《网络安全法》第二十一条首次从立法层面明确了网络安全等级保护制度。本次《修订稿》提高了第二十一条对应的罚则,即可以“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”,并可以“责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”;而且,对直接负责的主管人员和其他直接责任人员可以“处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”
对于关保制度,本次《修订稿》也参照等保罚则,大幅提高了关保违规的处罚力度。此外,作为《网络安全审查办法》的“牙齿”,本次《修订稿》还专门修订了原六十五条,将CIIO“使用未经安全审查或者安全审查未通过的网络产品或者服务的”罚款也同步顶格到“营业额的5%”。
五、法律责任转引个保法、数安法,提高法律适用协调性
首先,本次《修订稿》修订了原来个人信息违法的法律责任条款,明确规定“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚”,进而转引适用《个人信息保护法》等,罚款力度也从“100万”同步升级“5000万”和“5%”。该条一旦生效,未来监管执法部门在“追溯”一些《个人信息保护法》实施前的违法违规行为的时候,确定处罚金额也不会那么“拧巴”。不过,这一条修订有个漏洞,原来第二十二条第三款规制的对象不仅仅是个人信息,应该还包括非个人类的“用户信息”。因此,该修订反倒留下了法律逻辑漏洞。
其次,本次《修订稿》还修订了数据本地化、数据出境违法的法律责任条款,明确规定“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。”因为原三十七条规制的对象包括“重要数据”和“个人信息”,因此,CIIO违法在境外存储重要数据,或者向境外提供重要数据的,适用《数据安全法》第四十六条等规定,罚款最高是1000万元;CIIO违法在境外存储个人信息,或者向境外提供个人信息的,适用《个人信息保护法》第六十六条等规定,罚款最高是5000万元或营业额的5%。逻辑上似乎有点问题,是不是为了体现“以民为本”的思想呢?
六、网信办执法权限全面覆盖信息安全、网络安全、数据安全及个人信息保护
本次《修订稿》由国家网信办主导而不是人大法工委,充分体现了国家网信办的“统筹协调”地位。
此外,网信办前不久发布的《网信部门行政执法程序规定(征求意见稿)》拟废止《互联网信息内容管理行政执法程序规定》。根据《网信部门行政执法程序规定(征求意见稿)》,网信部门依职权管辖网络信息内容、网络安全、数据安全、个人信息保护等行政处罚案件。