2025年3月28日,《网络安全法》2017年6月1日实施后时隔八年,国家网信办会同相关部门再次起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》(下称“2025修正草案”)并再次公开征求意见。在此之前,2022年09月14日,国家网信办会同相关部门首次起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》(下称“2022稿”)并首次公开征求意见。2025年3月,全国人大明确将修改《网络安全法》纳入本年度立法计划。预计,本次征求意见后,《网络安全法》修正立法进入最后的“直道冲刺”。
据悉,本次修订意在加强与相关法律之间的衔接协调,弥补相关法律责任漏洞,强化CII保护,细化责罚颗粒度,贯彻包容审慎原则,进一步增强《网络安全法》的科学性和导向性。
结合近期立法及执法情况,汇业律师事务所黄春林律师团队简要分析《网络安全法》2025年修订的六大立法与执法趋势如下,仅供参考。
一、细化责罚颗粒度,提高执法活动科学性
《2022稿》参照《个人信息保护法》第六十六条的立法技术,大量合并、归类和集中了法律责任条款,意图提高执法活动灵活性。本次《2025修正草案》秉持责罚相当的法治原则,进一步拆分、细化了相关罚则条款,明确违法行为与处罚力度的阶梯性,提高了执法活动的严肃性和科学性。
以违反《网络安全法》第二十一条规定(例如等保违法)为例,其违法行为和罚则对应关系如下:
通过上表不难发现如下趋势:(1)对于“一般违法行为”的罚款处罚,并不再以“拒不改正”为前置要件,也就是说企业首次违法即可能面临罚款的处罚,但一般不追究个人责任;(2)违法行为不涉及CII的,罚金一般不会超过200万,但业务连续性的风险(例如停业整顿或关闭应用程序)仍然可能存在。
最后,《2025修正草案》还首次明确,有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权,提高执法活动科学性。
二、法律责任转致适用个保法、数安法等,提高法律适用协调性
首先,本次《2025修正草案》规定,下列三种违法行为转致适用个保法、数安法等法律、行政法规的规定,这样不仅增强了立法的协调性,理论罚款上限也从网安法的“100万”同步升格为“5000万”和“5%”:
(1)发布或传输违法信息内容的;
(2)侵害个人信息权益的;
(3)CIIO“在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据的”。
值得注意的是,关于第(1)种违法行为,《2025修正草案》删除了《2022稿》旨在强化信息内容安全责任的“补丁条款”。彼时,《2022稿》专门增加“补丁条款”,即 “法律、行政法规没有规定的”,处罚金额甚至顶格到“五千万元以下或者上一年度营业额百分之五以下”的“天花板”。当时,业界颇有争议,有人认为该条款违反“法不禁止即合法”的法治原则。此外,《网络安全法》将该类法律责任转致出去后,哪个“法律、行政法规”来承接,实践中还有待系列清朗行动检验。毕竟,之前关于信息内容安全违规的处罚,大多都是适用《网络安全法》,而其他规定了内容安全法律责任的“法律、行政法规”并不多见,即便有规定(例如《互联网信息服务管理办法》),相关责任也相对较“轻”。但无论如何,该条的调整,但愿本身就代表一种趋势吧。
此外,关于第(3)种违法行为,转致适用也可能会造成法律适用漏洞。因为,这里明确了重要数据相关的两种违法行为:“在境外存储重要数据”及“向境外提供重要数据”,但是《数据安全法》第四十六只规定了“向境外提供重要数据”的罚则,而没有“在境外存储重要数据”的罚则。关保条例和网数条款也找不到相关的罚则。唯一的合理解释是: “在境外存储重要数据”逻辑上必然会导致“向境外提供重要数据”。但与其这样,不如这次一并修正到位。
三、信息内容安全监管调整思路,重点夯实平台治理责任
《2025修正草案》在信息内容安全监管发力方向上作出调整,从原来的强化信息内容违法行为的直接打击处罚,调整为重点夯实平台的信息内容违规治理责任,加大对平台在违法信息内容治理不力的处罚力度。
如前所述,《2025修正草案》直接删掉了直接打击违法信息内容的“补丁条款”。此外,《2025修正草案》还删除了《2022稿》中对违反《网络安全法》第四十八条第一款的信息内容直接违规内容的处罚条款。
作为本次修订的重头戏之一,相较于《网络安全法》,《2025修正草案》强化了平台治理责任并加大了违规处罚力度。《2025修正草案》明确,网络运营者有下列违法行为的,可以采取通报批评、停业整顿、关闭应用程序、对公司最高1000万元/个人最高100万元的罚款:
(1)网络平台对用户发布的法律、行政法规禁止发布或者传输的信息,未停止传输,未采取消除等处置措施,未保存有关记录,未向有关主管部门报告的;
(2)电子信息发送或应用软件下载服务平台知道其用户发送的电子信息、提供的应用软件含有法律、行政法规禁止发布或者传输的信息的,未停止提供服务,未采取消除等处置措施,未保存有关记录,未向有关主管部门报告的;
(3)其他网络运营者对法律、行政法规禁止发布或者传输的信息,不按照有关部门的要求停止传输,不采取消除等处置措施,不保存有关记录的。
四、坚持包容审慎导向,明确从轻、减轻处罚情形
《2025修正草案》延续了《网络数据安全管理条例》为标志的包容审慎导向,适度调低了处罚力度,明确了从轻、减轻和不予处罚原则的适用。
首先,相较于《2022稿》,《2025修正草案》适度调低了部分违法行为的处罚上限,通篇最高处罚金额对齐《数据安全法》的“1000万元”上限标准,大幅低于《2022稿》及《个人信息保护法》的“5000万”和“5%”上限标准。
其次,相较于《2022稿》,《2025修正草案》维持了《网络安全法》关于实名认证违法、网络安全检测认证违法等的较轻处罚力度。
再次,减少了“通报批评”的适用,删除了《2022稿》中关于违反《网络安全法》第二十一条等一般违法行为(例如未开展等保、未制定制度等)适用“通报批评”的规则,适度降低了企业的被“舆论审判”的舆情风险。
最后,《2025修正草案》还明确规定,网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。略有遗憾的是,本次没有将“尽职合规免责”和“勤勉合规减责”的正向激励机制纳入立法。
五、分类施策松中有紧,强化CII保护力度
《2025修正草案》坚持分类施策原则,在包容审慎原则之外,强化了针对关键信息基础设施(CII)的违法打击力度。
《2025修正草案》强调,因下列行为造成CII丧失局部或主要功能等严重危害网络安全后果的,对企业最高可以处以罚款1000万元,对直接负责的主管人员最高可以处以罚款100万元:
(1)违反《网络安全法》第二十一条规定的一般合规义务;
(2)网络安全事件应急预案、处理及报告违规,
(3)设置恶意程序;
(4)未及时对产品或服务存在安全风险采取补救措施;
(5)从事或帮助从事非法侵入、干扰网络活动,导致。
此外,《2025修正草案》进一步完善了CIIO使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处罚措施,从简单粗暴的“停止使用”改为“责令限期改正、消除对国家安全的影响”。
六、填补法律责任漏洞,强化关键产品和专用产品管理
《2025修正草案》本次修订的另一大亮点之一,即首次从法律层面明确了销售或者提供违法违规的网络关键设备和网络安全专用产品的法律责任。根据《网络安全法》二十三条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。《2025修正草案》明确,违反前述规定的,由有关主管部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
