2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱“網(wǎng)絡(luò)安全法”),是我國(guó)第一部既涉及網(wǎng)絡(luò)安全,又涉及數(shù)據(jù)安全和個(gè)人信息保護(hù)的網(wǎng)絡(luò)與數(shù)據(jù)領(lǐng)域的綜合性和基礎(chǔ)性立法。網(wǎng)絡(luò)安全法實(shí)施五年以來(lái),數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及新修訂的行政處罰法等法律法規(guī)相繼在2021年實(shí)施。為做好網(wǎng)絡(luò)安全法與這些新實(shí)施的法律之間銜接協(xié)調(diào),完善法律責(zé)任制度,進(jìn)一步依法維護(hù)網(wǎng)絡(luò)安全,9月14日,國(guó)家網(wǎng)信辦發(fā)布了《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定(征求意見(jiàn)稿)》(以下簡(jiǎn)稱《征求意見(jiàn)稿》)。
筆者注意到,征求意見(jiàn)稿擬修訂的內(nèi)容聚焦了網(wǎng)絡(luò)安全法第六章的“法律責(zé)任”部分,最大亮點(diǎn)是改變了處罰類型和幅度,對(duì)于嚴(yán)重違法行為,加大了違法者的違法成本,如增加了“限制高管從業(yè)”的行為罰,即“禁止在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員”,以及增加了“上一年度營(yíng)業(yè)額百分之五以下罰款”的選擇性處罰等,這些處罰規(guī)定,具有很強(qiáng)的震懾作用。《征求意見(jiàn)稿》共作出六項(xiàng)修訂,主要涉及四個(gè)方面的內(nèi)容。
一、設(shè)置個(gè)人信息保護(hù)法律責(zé)任的轉(zhuǎn)致性規(guī)定
征求意見(jiàn)稿將第六十四條修改為:“網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反本法第二十二條第三款、第四十一條至第四十四條規(guī)定,侵害個(gè)人信息依法得到保護(hù)的權(quán)利的,依照有關(guān)法律、行政法規(guī)的規(guī)定處罰。”這是一項(xiàng)轉(zhuǎn)致性規(guī)定,“轉(zhuǎn)致”是國(guó)際私法中的一個(gè)定義,其含義是某一行為雖然屬于甲法的調(diào)整范圍,但甲法明確規(guī)定其法律后果應(yīng)適用乙法,因此在執(zhí)法實(shí)踐中依據(jù)乙法確定當(dāng)事人的權(quán)利義務(wù)。
2021年11月1日起施行的個(gè)人信息保護(hù)法第六十六條至第七十一條詳細(xì)設(shè)置了個(gè)人信息保護(hù)的法律責(zé)任制度,相比網(wǎng)絡(luò)安全法僅有一條(第六十四條)規(guī)定了個(gè)人信息保護(hù)的法律責(zé)任,后者的法律責(zé)任明顯不足。因此,《征求意見(jiàn)稿》將第六十四條修改為轉(zhuǎn)致性規(guī)定,即違反網(wǎng)絡(luò)安全法第二十二條第三款、第四十一條至第四十四條規(guī)定,侵害個(gè)人信息的違法行為,將轉(zhuǎn)致“依照有關(guān)法律、行政法規(guī)的規(guī)定處罰”,這里的“法律”指?jìng)€(gè)人信息保護(hù)法,“行政法規(guī)”主要指由國(guó)務(wù)院制定有關(guān)個(gè)人信息保護(hù)的法規(guī)。
《征求意見(jiàn)稿》對(duì)網(wǎng)絡(luò)安全法法律責(zé)任調(diào)整的最大看點(diǎn),是直接參照了個(gè)人信息保護(hù)法第六十六條第二款“情節(jié)嚴(yán)重”的相關(guān)處罰規(guī)定,其中有三處是涉及“限制高管從業(yè)”的行為罰,即“禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員”,還有四處是選擇性處罰,即“或者上一年度營(yíng)業(yè)額百分之五以下罰款”。特別是后面的選擇性處罰,對(duì)比歐盟GDPR違反信息披露和侵犯?jìng)€(gè)人信息行為的處罰,情節(jié)嚴(yán)重的罰款額度是2000萬(wàn)歐元或全球營(yíng)業(yè)額的4%(以較高者為準(zhǔn))。GDPR的選擇性處罰是“全球營(yíng)業(yè)額的4%(以較高者為準(zhǔn)),比如蘋果公司最近幾年的收入都超過(guò)了2000億美元,那么如果選擇“全球營(yíng)業(yè)額的4%,罰金就有可能高達(dá)80億美元。《征求意見(jiàn)稿》的選擇性處罰是“上一年度營(yíng)業(yè)額百分之五以下罰款”,這項(xiàng)罰款的金額與GDPR幾乎是一個(gè)等量級(jí)。
二、對(duì)違反網(wǎng)絡(luò)運(yùn)行安全一般規(guī)定的處罰類型和幅度作出調(diào)整
《征求意見(jiàn)稿》第一項(xiàng)將網(wǎng)絡(luò)安全法第五十九條、第六十條、第六十一條、第六十二條的處罰內(nèi)容合并,統(tǒng)一修改為:“違反本法第二十一條、第二十二條第一款和第二款、第二十三條、第二十四條第一款、第二十五條、第二十六條、第二十八條、第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)運(yùn)行安全保護(hù)義務(wù)或者導(dǎo)致危害網(wǎng)絡(luò)運(yùn)行安全等后果的,由有關(guān)主管部門責(zé)令改正,給予警告、通報(bào)批評(píng);拒不改正或者情節(jié)嚴(yán)重的,處一百萬(wàn)元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。
《征求意見(jiàn)稿》第一項(xiàng)在原有的一般違法、情節(jié)嚴(yán)重的情形基礎(chǔ)上,增設(shè)了“情節(jié)特別嚴(yán)重”的加重型處罰規(guī)定,即“處一百萬(wàn)元以上五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責(zé)令停止相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員或者從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。”
上述規(guī)定在“處一百萬(wàn)元以上五千萬(wàn)元以下”之后增加了一項(xiàng)選擇性處罰,即“或者上一年度營(yíng)業(yè)額百分之五以下罰款”,并增加了“限制高管從業(yè)”的行為罰,即“可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員或者從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作”。
三、調(diào)整關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者違反安全審查規(guī)定的處罰
網(wǎng)絡(luò)安全法第六十五條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第三十五條規(guī)定,使用未經(jīng)安全審查或者安全審查未通過(guò)的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的,由有關(guān)主管部門責(zé)令停止使用,處采購(gòu)金額一倍以上十倍以下罰款;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。”
《征求意見(jiàn)稿》第四項(xiàng)將第六十五條修改為:“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第三十五條規(guī)定,使用未經(jīng)安全審查或者安全審查未通過(guò)的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的,由有關(guān)主管部門責(zé)令停止使用,處采購(gòu)金額一倍以上十倍以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。”上述規(guī)定在“處采購(gòu)金額一倍以上十倍以下罰款”之后同樣增加了一項(xiàng)選擇性處罰“或者上一年度營(yíng)業(yè)額百分之五以下罰款”。
四、調(diào)整網(wǎng)絡(luò)信息安全保護(hù)義務(wù)的法律責(zé)任
《征求意見(jiàn)稿》第五項(xiàng)對(duì)違反網(wǎng)絡(luò)信息安全義務(wù)行為的法律責(zé)任進(jìn)行了整合,并調(diào)整了行政處罰幅度和從業(yè)禁止措施的規(guī)定。《征求意見(jiàn)稿》第五項(xiàng)在網(wǎng)絡(luò)安全法第六十八條“違反本法第四十七條”的基礎(chǔ)上增加了“第四十八條、第四十九條”,并將第六十八條和六十九條的法律責(zé)任進(jìn)行了整合,統(tǒng)一修改為:“違反本法第四十七條、第四十八條、第四十九條規(guī)定的網(wǎng)絡(luò)信息安全保護(hù)義務(wù),或者不按照有關(guān)部門的要求對(duì)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒉扇⊥V箓鬏敗⑾忍幹么胧┑?,或者不按照有關(guān)部門的要求對(duì)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn)和發(fā)生安全事件采取措施的,由有關(guān)主管部門責(zé)令改正,給予警告、通報(bào)批評(píng),沒(méi)收違法所得;拒不改正或者情節(jié)嚴(yán)重的,處一百萬(wàn)元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。”
《征求意見(jiàn)稿》將上述法律責(zé)任合并,增加了“通報(bào)批評(píng)”,并將網(wǎng)絡(luò)安全法第六十八條“拒不改正或者情節(jié)嚴(yán)重的,處十萬(wàn)元以上五十萬(wàn)元以下罰款”調(diào)整為“拒不改正或者情節(jié)嚴(yán)重的,處一百萬(wàn)元以下罰款”。
《征求意見(jiàn)稿》第五項(xiàng)增設(shè)了“情節(jié)特別嚴(yán)重”的規(guī)定,即“處一百萬(wàn)元以上五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照”,以及“對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員或者從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。”這是《征求意見(jiàn)高》第三次出現(xiàn)“或者上一年度營(yíng)業(yè)額百分之五以下罰款”的選擇性處罰的規(guī)定。
《征求意見(jiàn)稿》第六項(xiàng)在網(wǎng)絡(luò)安全法第七十條的基礎(chǔ)上增加了兩款規(guī)定,一是“法律、行政法規(guī)沒(méi)有規(guī)定的,由有關(guān)主管部門責(zé)令改正,給予警告、通報(bào)批評(píng),沒(méi)收違法所得;拒不改正或者情節(jié)嚴(yán)重的,處一百萬(wàn)元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款”;二是“情節(jié)特別嚴(yán)重的,由省級(jí)以上有關(guān)主管部門責(zé)令改正,沒(méi)收違法所得,處一百萬(wàn)元以上五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款,并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員或者從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。”《征求意見(jiàn)稿》第六項(xiàng)在“情節(jié)特別嚴(yán)重”的情形中,第四次提及了“或者上一年度營(yíng)業(yè)額百分之五以下罰款”的選擇性處罰。
關(guān)于發(fā)布或者傳輸違法信息,《征求意見(jiàn)稿》第七十條第二款修改的亮點(diǎn)是,即使法律、行政法規(guī)沒(méi)有規(guī)定,有關(guān)主管部門仍然可以依據(jù)本條款對(duì)發(fā)布或者傳輸網(wǎng)絡(luò)安全法第十二條第二款和其他法律、行政法規(guī)禁止發(fā)布或者傳輸違法信息的行為進(jìn)行處罰。第七十條第三款與《征求意見(jiàn)稿》第一項(xiàng)、第五項(xiàng)、第六項(xiàng)的內(nèi)容保持了一致。