自《中华人民共和国网络安全法》（下称“《网安法》”）2017年6月1日施行以来，至今已五年有余。在此期间，我国网络安全和数据安全法律体系的格局发生了巨大变化。2021年先后正式发布并施行的《中华人民共和国数据安全法》（下称“《数安法》”）与《中华人民共和国个人信息保护法》（下称“《个保法》”），既与《网安法》一起，共同构建了我国的网络、数据治理法律的基本框架，也在包括罚则在内的诸多方面对《网安法》的规定作出了补充乃至超越。

在此大背景下，国家互联网信息办公室（下称“网信办”）于2022年9月14日发布了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》（下称“《征求意见稿》”），旨在对《网安法》的罚则条款做集中性修改，同时在法律责任体系上对部分罚则进行整合，并与《数安法》、《个保法》等网络、数据安全领域的新法衔接。笔者将通过下文梳理并总结《征求意见稿》所包含的主要修订，以飨读者：

一、《征求意见稿》出台背景

　　《网安法》所规定的罚则条款见于其第五十九至七十条。总体而言，其中所规定的基础罚款金额普遍低于五十万元，对于升格处罚情形，则不高于一百万元。反观《数安法》与《个保法》，前者规定的罚款数额可达一千万元，而后者所规定的不履行个人信息保护义务责任，则为三部法律中，乃至我国整个网络、数据安全法律体系中最高者，即违法行为情节严重的，可并处五千万元以下或者上一年度营业额百分之五以下罚款。此外，对直接负责的主管人员和其他直接责任人员，《个保法》更进一步规定了择业禁止条款，可以决定禁止相关人员在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

　　这一法律责任在不同法律规定里差异过大的问题，在网信办于今年作出的某网络安全审查相关行政处罚决定中体现得尤为明显。网信办按照《网络安全审查办法》对涉案企业实施网络安全审查，违反该审查办法的，应依照《网安法》和《数安法》的规定处理。但涉案企业的违法事实是多方面的，同时存在违反个人信息保护义务与严重影响国家安全等数据处理活动，但《网安法》所规定的罚款数额最高仅为一百万元，与侵犯国家安全这一法益明显不匹配，以至于网信办综合考虑涉案企业违法行为的性质、持续时间、危害及情形，依据《网安法》、《数安法》、《个保法》和《行政处罚法》等有关规定，对涉案企业作出了顶格处罚。

　　可见，时隔五年，《网安法》所规定的法律责任已明显低于《数安法》、《个保法》等相关法律规定，尤其是《个保法》中的违反个人信息保护义务法律责任。而本次《征求意见稿》所作修改中的较大部分，也正是在整体上加重法律责任，使之与《数安法》和《个保法》在罚金数额上大致持平，并对部分违法行为规定了与《个保法》类似的择业禁止条款。

　　值得关注的是，网信办除了对上述实体法有修订外，还于9月8日发布了《网信部门行政执法程序规定（征求意见稿）》，同步完善对网络安全违法行为进行行政处罚的执法程序。因此，企业在关注《征求意见稿》对《网安法》法律责任部分修订的同时，也需关注网信办按照《征求意见稿》拟施行的行政执法的相应程序规定。

二、《征求意见稿》修订的主要内容

2.1 违反网络运行安全规定的法律责任

　　针对《网安法》原第五十九条至第六十二条的罚则，《征求意见稿》将其统一成一个法律责任条款。在统一的违法网络运行安全保护义务法律责任条款中，《网安法》中未设置罚则的第二十三和二十八条 [1] 也被一并纳入规制，一般网络运营者与关键信息基础设施运营者所适用的罚则也被统一。

　　在具体法律责任上，《征求意见稿》显著提高了《网安法》规定的违法行为处罚力度。在《网安法》下，相应条款所载罚款的最高数额为十万至一百万不等；而在《征求意见稿》中，“情节特别严重”对应的罚款数额为“一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”，相较之下整体提高了两倍至十倍不等，并与《个保法》第六十六条的违反个人信息保护义务法律责任基本保持了一致。除罚款外，《征求意见稿》还规定了与《个保法》相类似的择业禁止规定，禁止直接负责的主管人员和其他直接责任人员在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

　　此外，《征求意见稿》增设了“通报批评”这一处罚种类，与《行政处罚法》（2021修正）第九条保持一致。这一修改，令人联想到工信部定期发布的《关于侵害用户权益行为的APP通报》。因此，违反网络安全保护义务的网络运营者，也可能如同存在侵害用户权益行为的APP运营者一样，被网信办定期通报批评，以起到行业警示作用。

2.2 关键信息基础设施安全保护的法律责任

　　对于关键信息基础设施运营者（下称“CIIO”）违反国家安全审查规定采购网络产品或服务的行为，《征求意见稿》增设“处上一年度营业额百分之五以下罚款”的法律责任，并与《网安法》中既有的“处采购金额一倍以上十倍以下罚款”之规定择一适用。

　　就数据跨境传输，《网安法》第三十七条既规定了CIIO具有数据本地化存储的义务，又要求CIIO就所收集和产生的个人信息和重要数据出境前进行安全评估。

　　就此，《征求意见稿》规定，CIIO违反数据本地化要求在境外存储网络数据，或者未经安全评估向境外提供网络数据的，依照有关法律、行政法规的规定处罚，即：将CIIO违反数据跨境安全管理义务的法律责任整体转致至《数安法》第四十六条、《个保法》第六十六条以及《网络数据安全管理条例》（征求意见稿）第六十四条等相关规定。具体而言，CIIO违反数据本地化要求在境外存储重要数据，或者未经安全评估向境外提供重要数据，情节严重的，将被处以一百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款；而未经安全评估提供个人信息，情节严重的，则将处五千万元以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。尽管《数安法》、《个保法》仅规定了个人信息与重要数据的出境管理，但《网络数据安全管理条例》（征求意见稿）则可能将个人信息与重要数据之外的数据也纳入数据出境规制之中。

2.3 违反网络信息安全保护义务的法律责任

　　鉴于《网安法》第六十八条、六十九条均为违反网络信息内容生态治理的行为，《征求意见稿》将上述法律责任条款进行了整合，将罚款金额从最高五十万元整体提升到与《个保法》持平的最高五千万元或上一年度营业额百分之五，并与违反网络运行安全规定的罚则一样，新增了针对直接负责的主管人员和其他直接责任人员的择业禁止规定。

　　此外，在《网安法》原第七十条的基础上，《征求意见稿》还新增了一项兜底性规定，即发布《网安法》和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚；而在法律、行政法规没有规定时，则适用《征求意见稿》新增的罚则 [2] ，其处罚梯度、处罚标准与责任类型与违反网络运行安全规定或违反网络信息安全保护义务的情形相一致。这一兜底性规定能有效补足法律、行政法规中对相关行为对应罚则的空缺，以对发布、传输违法信息的行为形成闭环规制。

2.4 违反个人信息保护法律责任

　　如前所述，《网安法》的出台时间远远早于《个保法》，而后者针对个人信息保护，已规定了完整的罚则条款且相应法律责任显著高于《网安法》。因此，《网安法》中就侵害个人信息所规定的罚则早已过时，且可能与《个保法》罚则形成冲突。

　　本次《征求意见稿》将个人信息保护整体转致至有关法律、行政法规的规定。我们理解，有关法律、行政法规的规定包括但不限于《个人信息保护法》、《网络数据安全管理条例（征求意见稿）》中的相应罚则以及《刑法修正案（九）》所规定的侵犯公民个人信息罪。

三、结语

　　《网安法》作为我国网络、数据合规法律体系的“发端之作”，在其施行的最初数年有效弥补了我国网络安全领域法律监管缺位的问题，并在数据跨境传输、关键信息基础设施保护等多个方面为后续法律和下位法规的出台打下了良好基础。但是，《网安法》的规定须与时俱进，跟随着相关法律法规的出台而更新，以确保其时效性与一致性。而本次《征求意见稿》正是有效回应了这一问题。

　　当然，《征求意见稿》的修改相对集中于罚则部分，尚未对《网安法》囿于其较早出台时间而存在的其他问题作出回应，如未反映CIIO之外的数据出境路径、对“个人信息”的定义与《个保法》存在出入，以及未能涵盖《网络安全审查办法》所规定的网络安全审查适用范围等实体法问题和法律协调问题。

　　《网安法》的此次修订仍处于征求意见阶段，社会各界可能也会就上述问题提出立法建议。但是，《征求意见稿》中对罚则与法律责任的修改有较大概率在正式稿中得以保留，而这也意味着企业不履行《网安法》项下法律义务的合规风险将在正式稿施行后陡然升高。我们建议，构成网络运营者的相关企业应对包括《征求意见稿》在内的各类网络安全、数据安全立法动态保持持续关注，并积极履行各项法律义务，以实现企业持续合规。

[1] 《网安法》

第二十三条　网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

第二十八条　网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

[2] 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。

法律、行政法规没有规定的，由有关主管部门责令改正，给予警告、通报批评，没收违法所得；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

情节特别严重的，由省级以上有关主管部门责令改正，没收违法所得，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。