前言
2022年9月14日,国家网信办在《中华人民共和国网络安全法》(“《网安法》”)实施五年后,发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(“《意见稿》”)。本次修订聚焦于《网安法》第六章的“法律责任”部分,旨在“做好《网安法》与新实施的法律之间衔接协调,完善法律责任制度,进一步保障网络安全”,将全面增强《网安法》的可操作性,确保《网安法》持续生命力,重申以安全促发展的原则。
日前,国家网信办亦发布以《网安法》为上位法依据之一的《网信部门行政执法程序规定(征求意见稿)》(“《执法规定》”),明确了网信部门的执法程序,并就管辖权问题作出清晰划定。《意见稿》与《执法规定》的联系与呼应将进一步为修订后的《网安法》落地实施提供坚实保障。
因此,本文将在梳理《意见稿》的重点修订内容的基础上,思考本次修订在我国网络空间治理层面和企业合规层面的建设性意义,并作出立法展望。
一、《网安法》的重点修订内容
《意见稿》共计作出六项修订。本部分以《关于修订〈中华人民共和国网络安全法〉的决定(征求意见稿)》中载明的四个修订面向为索引,基于修订前后的法条对比,就《意见稿》中六项修订的重点内容进行逐项梳理。
总体而言,可以认为《意见稿》的主要修法路径为理顺立法逻辑,弥补立法疏漏,增强与其他法律、法规衔接度,提升处罚幅度与立法精细度,包括引入“上一年度营业额百分之五”作为“情节特别严重”的处罚标准之一。我们同时也留意到,“情节特别严重”的处罚应当由省级以上有关主管部门作出,这是对《执法规定》中“省、自治区、直辖市网信部门依职权管辖本行政区域内重大、复杂的网络信息内容、网络安全、数据安全、个人信息保护等行政处罚案件”之职责划分的回应。
1. 完善违反网络运行安全一般规定的法律责任
从立法逻辑来看,《意见稿》第一项和第二项修订,均分别对违反《网安法》第三章中关于网络运行安全一般规定,包括未履行网络安全等级保护义务、网络产品和服务安全义务、违反用户身份管理规定等行为的法律责任进行整合;另一方面,第一项修订将违反第四十八条关于“电子信息、应用软件不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息”的罚则剥离,并在第五项修订中整合至同样规定网络信息安全保护义务的四十七、四十九条设立罚则。此外,还就违反第二十三条(网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求)和第二十八条(网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助)的行为设定法律后果,整体上弥补了立法疏漏、优化了立法逻辑。
从处罚标准来看,第一项修订在原有的一般违法、情节严重的情形基础上,增设“情节特别严重”这一加重情形,对此处“一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”。我们理解,该项用营业额进行处罚的规定承继《中华人民共和国反垄断法》《个信法》《网络数据安全管理条例(征求意见稿)》(“《网数条例》”),《意见稿》的第二至六项修订亦采取这一标准,大幅提升了原有的处罚标准,可对违反行为起到较强的震慑作用。
从处罚类型来看,第一项修订增设“通报批评”和“限制从业”两种处罚类型,“通报批评”是实践中广泛采用的处罚方式,而“限制从业”即可以“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”,充分发挥《网安法》的指引作用,提高从业者的合规意识。具体内容对比如下:
2. 修订关键信息基础设施安全保护的法律责任制度,衔接数据出境安全管理体系
《意见稿》第四项修订了针对关键信息基础设施运营者(“CIIO”)违反国家安全审查规定采购网络产品或服务的行为的法律责任,增设“处上一年度营业额百分之五以下罚款” 与原有的“处采购金额一倍以上十倍以下”择一适用。
此外,将CIIO未履行数据出境安全评估等数据跨境安全管理义务的法律责任修改为转致性规定。鉴于《数安法》《个信法》已对中国数据跨境传输提出了统领性规定,与《网数条例》《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》等配套法律法规共同构成数据出境安全管理义务群,明确了数据出境安全管理的义务与罚则,本次修订亦将增强《网安法》与我国数据出境安全管理体系的衔接度。
3. 调整网络信息安全法律责任制度,增设兜底条款
《意见稿》第五项和第六项均是对网络信息安全法律责任制度的调整。其中第五项与第一项的修法思路相类似,亦从整合同类违法行为之责任、弥补立法疏漏、调整处罚幅度和增设行政处罚类型四个方面作出修订,具体可见以下对比表格。
第六项对于第七十条之修订,则可以从两方面进行理解:
1)与第五项修订的关联性:由于本项修订对应的违法行为(第十二条第二款)与第五项修订(六十八条、六十九条)同属未履行网络信息安全保障义务的行为,处罚梯度与处罚标准与第四项修订保持一致具备合理性;
2)设置兜底条款:即在无法律、行政法规明确规定的情况下,也可依据本条款对发布传输违法信息的行为进行处罚。我们理解,尽管2020年实施的《网络信息内容生态治理规定》对于禁止发布的违法信息作出列举式规定,但由于互联网内容生态具备多样性,对其生态治理难以作出穷尽式规定,因此,设置兜底条款具有前瞻性意义。
4. 修订个人信息保护法律责任制度,设置转致性规定
《意见稿》第三项主要为对个人信息保护法律责任制度的修改,规定违反《网安法》第四章“网络信息安全”中对于个人信息的相关要求的法律责任直接适用《个信法》,有效增强了与《个信法》的衔接度,促进《网安法》《数安法》《个信法》“三驾马车”运行畅通。
二、《网安法》修订之思考与立法展望
1. 关于我国网络空间治理和企业合规的思考
自《网安法》于2017年6月生效实施以来,时隔五年即迎来首次修订。本次修订有力回应了实务与学界就《网安法》对于企业的威慑力不足,与后续制定的《个信法》等法律之间的衔接度亟待提高的法律实效问题,有利于充分发挥《网安法》在我国网络空间治理的筑基作用,实现安全与发展“双轮驱动、两翼齐飞”。
对于企业而言,有必要理解从《意见稿》的修订内容、《执法规定》的发布以及国家网信办近期举办全国网信系统行政执法培训班等立法、执法动向中折射出的强监管、促实效之确保《网安法》持续生命力,促使企业加强自身网络安全建设和数据合规制度,采取主动合规路径的深意。
2. 立法展望
由于网络安全事项内在的复杂性与更迭频繁性,秉持着深入理解《网安法》的规范意涵并避免法律适用模糊性的问题意识,我们亦期待如下问题能够乘修订之东风,得到进一步释明。
就《意见稿》的六项修订内容而言:
1)择一处罚的适用原则
整体来看,《意见稿》共计在四种情形下新增以“上一年度营业额百分之五以下罚款”与 “一百万元以上五千万元以下”或“处采购金额一倍以上十倍以下”择一适用作为处罚标准,但尚未明确采取就高或是就低原则进行适用。
2)处“上一年度营业额百分之五以下罚款”的合理性
一方面,除针对CIIO违反国家安全审查规定采购网络产品或服务的行为的法律责任进行修订的第四项修订以外,其他三项修订均以“情节特别严重”作为该等处罚的适用条件。
我们理解,尽管对于关键信息基础设施运营者设定的网络安全保障义务应当高于一般的网络运营者,但考虑到5%的处罚幅度相当可观,且该违法行为不包含主观要件,是否亦当考虑设置特定情节或行为后果为该等处罚设定门槛。
另一方面,对于“百分之五”这一比例作为“情节特别严重”情形之处罚的合理性需结合同样设置该比例的《个信法》《网数条例》进行分析论证,具体而言:
- 该处罚与《个信法》中“情节严重”的处罚标准相同
我们理解,尽管违反网络安全保护义务与违反个人信息保护义务的违法后果、对于个人和企业合法权益、公共安全造成的影响可能在一定程度上具有相当性,但由于《网安法》是捍卫我国网络空间主权、维护国家安全的法律重器,对于违反《网安法》“情节特别严重”的违法行为的处罚可能需要考量对国家安全的影响,论证《个信法》采取同一处罚标准的合理性。
- 该处罚与《网数条例》部分处罚规定一致
《网数条例》在两种情况下规定了营业额百分之五的处罚标准:数据处理者违法个人信息保护相关规定,情节严重的(第六十一条);以及互联网平台运营者拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款(六十八条)。
我们理解,对于第一种情况与《个信法》协调一致,在此不予赘述;但就第二种情况,对应的违反行为包括互联网平台运营者利用数据以及平台规则损害用户合法利益,利用数据误导、欺诈、胁迫用户,无正当理由限制用户访问其他互联网平台,利用个性化推送算法不符合规定等行为,且以“拒不改正”为适用情形。考虑到“情节特别严重”对国家安全、社会公共利益造成的影响可能较“拒不改正”更为严重,故与《网数条例》的对比视角来看,《意见稿》该等处罚的合理性亦需进一步考量。
3)对于“情节特别严重”的适用标准考量
如前所述,“情节特别严重”情形的处罚标准较高、幅度较大,立法者或可考虑列举“情节特别严重”的情形,以促进行政处罚裁量权合理行使,确保《网安法》实施执行的一致性和法律实效。
4)对于“从业禁止”处罚的期限考量
- 从业禁止“一定期限”的期限考量
《意见稿》第一项、第五项和第六项修订均增设了“从业禁止”处罚。2021年修订的《行政处罚法》增设了限制从业这一行政处罚类型,可以反映立法者对实践中广泛存在的不允许从事某种职业等管制措施法治化问题的立法回应。我们理解,《网安法》要求网络运营者设置网络安全负责人、关键信息基础设施运营者设置专门安全管理机构和安全管理负责人,由于实务中通常该等职责均由企业的高管担任,因此增设限制从业呼应了这一要求,符合网络安全治理以控制和预防为抓手的治理思路。
然而,由于“一定期限”的规定较为模糊,或可考虑设定一定年限作为上限,或规定期限区间。
- 保留终身从业禁止规定的合理性
《意见稿》第二项修订延续了《网安法》的规定,即违反第二十七条规定,受到刑事处罚的人员,不得从事网络安全管理和网络运营关键岗位的工作。我们理解,我国数部法律和行政法规中,从业禁止的期限从二年、三年、五年、十年[1]到终身不等,即从业禁止期限在立法实践中存在较多区间。
因此,考虑到二十七条中“明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助”的行为打击面广,从“受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作”之五年期限跃至终身,可能过于侧重处罚措施的惩戒性面向,不利于企业内部进行人员任用安排的自主性,亦恐损伤处罚措施的精准性,或可考虑采取如“五年至终身”的区间安排。
就与本次修订存在内在联系,但并未直接受到调整的《网安法》部分规范而言:
(1) “个人信息”等定义与《个信法》协调一致
《网安法》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,与《个信法》对于个人信息的定义存在一定程度的差异。考虑到《修订稿》的意旨之一在于增强与《个信法》之间的衔接度,则对于“个人信息”定义的差异可能引发解读争议,影响法律适用效果。
进一步而言,《网安法》第二十二条第三款规定,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。从该规定的文义解释来看,用户信息分为个人信息和非个人信息。因此,虽然《意见稿》第三项修订使得针对用户信息中的个人信息的违法行为可以依据《个信法》进行处罚,但这同时意味着用户信息中的非个人信息缺乏对应的处罚标准。
我们理解,《网安法》中除此之外仅存在一处提及“用户信息”,即第四十条规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”由于在制定《网安法》时《个信法》尚未出台,故该问题可能并非立法疏漏,而可能涉及不同法律之间定义与术语之间的协调一致,或可考虑将“用户信息”修改为“用户个人信息”来消除理解障碍。
(2) 对于《网安法》第三十七条的考量
《网安法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
我们理解,由于《网安法》对于 CIIO的规制相对严格,相关规定往往受到企业较高关注,故该条在实务中具备相当程度的争议,亟需就“境内运营”的概念和外延予以进一步明确,且由于CIIO也可能运营非关键信息基础设施,在其中产生的数据可能敏感程度相对较低,或可考虑以“运营关键信息基础设施”为限制性条件。
结语
在过去的五年,《网安法》作为网络空间治理的重要基础性法律弥补了网络安全的监管缺位问题,但《网安法》也同样需要顺应网络经济发展而更新,以延续《网安法》蓬勃的生命力,确保这部基础性法律的时效性和严肃性。
本次修订使《网安法》进一步落到实处,也与其他网络空间治理的规则保持同步更新,在日益丰富的网络法律中继续作为“中流砥柱”支撑起网络空间安全的屏障。企业的任务则在于准确理解修订的内在基础以及探讨空间。企业应当以修订为契机,加强对于《网安法》的规范理解,积极反思与加强自身的网络安全与数据合规体系建设,以新实践、新态度迎接未来可能生效的规范变化。
扫码下载文章
例如《药品管理法》第一百二十二、一百二十三条,规定了十年内禁止从事药品生产经营活动;第一百二十三条、第一百二十四条,则规定十年直至终身禁止从事药品生产经营活动,可以看到从业限制的梯度设置。