網絡合規觀察 |《網絡安全法》首次修訂的回顧與展望_風聞
走出去智库-走出去智库官方账号-2022-09-22 19:38
走出去智庫觀察
近日,國家網信辦會同相關部門公佈《關於修改〈中華人民共和國網絡安全法〉的決定(徵求意見稿)》(簡稱《意見稿》),並向社會公開徵求意見。意見反饋截止時間為2022年9月29日。****
走出去智庫(CGGT)特約法律專家、金杜律師事務所合夥人寧宣鳳指出,過去五年《網絡安全法》作為網絡空間治理的重要基礎性法律彌補了網絡安全的監管缺位問題,但《網絡安全法》也同樣需要順應網絡經濟發展而更新,以延續《網絡安全法》蓬勃的生命力,確保這部基礎性法律的時效性和嚴肅性。本次修訂使《網絡安全法》進一步落到實處,也與其他網絡空間治理的規則保持同步更新,在日益豐富的網絡法律中繼續作為“中流砥柱”支撐起網絡空間安全的屏障。****
****《網絡安全法》有哪些重要修改?今天,走出去智庫(CGGT)刊發金杜律師事務所寧宣鳳、吳涵、張浣然的文章,供關注網絡安全管理的讀者參考。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
1、儘管2020年實施的《網絡信息內容生態治理規定》對於禁止發佈的違法信息作出列舉式規定,但由於互聯網內容生態具備多樣性,對其生態治理難以作出窮盡式規定,因此,設置兜底條款具有前瞻性意義。
2、儘管對於關鍵信息基礎設施運營者設定的網絡安全保障義務應當高於一般的網絡運營者,但考慮到5%的處罰幅度相當可觀,且該違法行為不包含主觀要件,是否亦當考慮設置特定情節或行為後果為該等處罰設定門檻。
****3、由於《網安法》對於********關鍵信息基礎設施運營者(CIIO)的規制相對嚴格,相關規定往往受到企業較高關注,故該條在實務中具備相當程度的爭議,亟需就“境內運營”的概念和外延予以進一步明確,且由於CIIO也可能運營非關鍵信息基礎設施,在其中產生的數據可能敏感程度相對較低,或可考慮以“運營關鍵信息基礎設施”為限制性條件。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
前言
2022年9月14日,國家網信辦在《中華人民共和國網絡安全法》(“《網安法》”)《網安法》實施五年後,發佈了《關於修改〈中華人民共和國網絡安全法〉的決定(徵求意見稿)》(“《意見稿》”)。本次修訂聚焦於《網安法》第六章的“法律責任”部分,旨在“做好《網安法》與新實施的法律之間銜接協調,完善法律責任制度,進一步保障網絡安全”,將全面增強《網安法》的可操作性,確保《網安法》持續生命力,重申以安全促發展的原則。
日前,國家網信辦亦發佈以《網安法》為上位法依據之一的《網信部門行政執法程序規定(徵求意見稿)》(“《執法規定》”),明確了網信部門的執法程序,並就管轄權問題作出清晰劃定。《意見稿》與《執法規定》的聯繫與呼應將進一步為修訂後的《網安法》落地實施提供堅實保障。
因此,本文將在梳理《意見稿》的重點修訂內容的基礎上,思考本次修訂在我國網絡空間治理層面和企業合規層面的建設性意義,並作出立法展望。
01、《網安法》的重點修訂內容
《意見稿》共計作出六項修訂。本部分以《關於修訂〈中華人民共和國網絡安全法〉的決定(徵求意見稿)》中載明的四個修訂面向為索引,基於修訂前後的法條對比,就《意見稿》中六項修訂的重點內容進行逐項梳理。
總體而言,可以認為《意見稿》的主要修法路徑為理順立法邏輯,彌補立法疏漏,增強與其他法律、法規銜接度,提升處罰幅度與立法精細度,包括引入“上一年度營業額百分之五”作為“情節特別嚴重”的處罰標準之一。我們同時也留意到,“情節特別嚴重”的處罰應當由省級以上有關主管部門作出,這是對《執法規定》中“省、自治區、直轄市網信部門依職權管轄本行政區域內重大、複雜的網絡信息內容、網絡安全、數據安全、個人信息保護等行政處罰案件”之職責劃分的回應。
1. 完善違反網絡運行安全一般規定的法律責任
從立法邏輯來看,《意見稿》第一項和第二項修訂,均分別對違反《網安法》第三章中關於網絡運行安全一般規定,包括未履行網絡安全等級保護義務、網絡產品和服務安全義務、違反用户身份管理規定等行為的法律責任進行整合;另一方面,第一項修訂將違反第四十八條關於“電子信息、應用軟件不得設置惡意程序,不得含有法律、行政法規禁止發佈或者傳輸的信息”的罰則剝離,並在第五項修訂中整合至同樣規定網絡信息安全保護義務的四十七、四十九條設立罰則。此外,還就違反第二十三條(網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求)和第二十八條(網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助)的行為設定法律後果,整體上彌補了立法疏漏、優化了立法邏輯。
從處罰標準來看,第一項修訂在原有的一般違法、情節嚴重的情形基礎上,增設“情節特別嚴重”這一加重情形,對此處“一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款”。我們理解,該項用營業額進行處罰的規定承繼《中華人民共和國反壟斷法》《個信法》《網絡數據安全管理條例(徵求意見稿)》(“《網數條例》”),《意見稿》的第二至六項修訂亦採取這一標準,大幅提升了原有的處罰標準,可對違反行為起到較強的震懾作用。
從處罰類型來看,第一項修訂增設“通報批評”和“限制從業”兩種處罰類型,“通報批評”是實踐中廣泛採用的處罰方式,而“限制從業”即可以“禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員或者從事網絡安全管理和網絡運營關鍵崗位的工作”,充分發揮《網安法》的指引作用,提高從業者的合規意識。具體內容對比如下:
2. 修訂關鍵信息基礎設施安全保護的法律責任制度,銜接數據出境安全管理體系
《意見稿》第四項修訂了針對關鍵信息基礎設施運營者(“CIIO”)違反國家安全審查規定採購網絡產品或服務的行為的法律責任,增設“處上一年度營業額百分之五以下罰款” 與原有的“處採購金額一倍以上十倍以下”擇一適用。
此外,將CIIO未履行數據出境安全評估等數據跨境安全管理義務的法律責任修改為轉致性規定。鑑於《數安法》《個信法》已對中國數據跨境傳輸提出了統領性規定,與《網數條例》《個人信息出境標準合同規定(徵求意見稿)》《數據出境安全評估辦法》等配套法律法規共同構成數據出境安全管理義務羣,明確了數據出境安全管理的義務與罰則,本次修訂亦將增強《網安法》與我國數據出境安全管理體系的銜接度。
3. 調整網絡信息安全法律責任制度,增設兜底條款
《意見稿》第五項和第六項均是對網絡信息安全法律責任制度的調整。其中第五項與第一項的修法思路相類似,亦從整合同類違法行為之責任、彌補立法疏漏、調整處罰幅度和增設行政處罰類型四個方面作出修訂,具體可見以下對比表格。
第六項對於第七十條之修訂,則可以從兩方面進行理解:
****·與第五項修訂的關聯性:****由於本項修訂對應的違法行為(第十二條第二款)與第五項修訂(六十八條、六十九條)同屬未履行網絡信息安全保障義務的行為,處罰梯度與處罰標準與第四項修訂保持一致具備合理性;
****·設置兜底條款:****即在無法律、行政法規明確規定的情況下,也可依據本條款對發佈傳輸違法信息的行為進行處罰。我們理解,儘管2020年實施的《網絡信息內容生態治理規定》對於禁止發佈的違法信息作出列舉式規定,但由於互聯網內容生態具備多樣性,對其生態治理難以作出窮盡式規定,因此,設置兜底條款具有前瞻性意義。
4. 修訂個人信息保護法律責任制度,設置轉致性規定
《意見稿》第三項主要為對個人信息保護法律責任制度的修改,規定違反《網安法》第四章“網絡信息安全”中對於個人信息的相關要求的法律責任直接適用《個信法》,有效增強了與《個信法》的銜接度,促進《網安法》《數安法》《個信法》“三駕馬車”運行暢通。
02、《網安法》修訂之思考與立法展望
1. 關於我國網絡空間治理和企業合規的思考
自《網安法》於2017年6月生效實施以來,時隔五年即迎來首次修訂。本次修訂有力回應了實務與學界就《網安法》對於企業的威懾力不足,與後續制定的《個信法》等法律之間的銜接度亟待提高的法律實效問題,有利於充分發揮《網安法》在我國網絡空間治理的築基作用,實現安全與發展“雙輪驅動、兩翼齊飛”。
對於企業而言,有必要理解從《意見稿》的修訂內容、《執法規定》的發佈以及國家網信辦近期舉辦全國網信系統行政執法培訓班等立法、執法動向中折射出的強監管、促實效之確保《網安法》持續生命力,促使企業加強自身網絡安全建設和數據合規制度,採取主動合規路徑的深意。
2. 立法展望
由於網絡安全事項內在的複雜性與更迭頻繁性,秉持着深入理解《網安法》的規範意涵並避免法律適用模糊性的問題意識,我們亦期待如下問題能夠乘修訂之東風,得到進一步釋明。
就《意見稿》的六項修訂內容而言:
****(1) 擇一處罰的適用原則
整體來看,《意見稿》共計在四種情形下新增以“上一年度營業額百分之五以下罰款”與 “一百萬元以上五千萬元以下”或“處採購金額一倍以上十倍以下”擇一適用作為處罰標準,但尚未明確採取就高或是就低原則進行適用。
****(2)處“上一年度營業額百分之五以下罰款”的合理性
一方面,除針對CIIO違反國家安全審查規定採購網絡產品或服務的行為的法律責任進行修訂的第四項修訂以外,其他三項修訂均以“情節特別嚴重”作為該等處罰的適用條件。
我們理解,儘管對於關鍵信息基礎設施運營者設定的網絡安全保障義務應當高於一般的網絡運營者,但考慮到5%的處罰幅度相當可觀,且該違法行為不包含主觀要件,是否亦當考慮設置特定情節或行為後果為該等處罰設定門檻。****
另一方面,對於“百分之五”這一比例作為“情節特別嚴重”情形之處罰的合理性需結合同樣設置該比例的《個信法》《網數條例》進行分析論證,具體而言:
·該處罰與《個信法》中“情節嚴重”的處罰標準相同****
我們理解,儘管違反網絡安全保護義務與違反個人信息保護義務的違法後果、對於個人和企業合法權益、公共安全造成的影響可能在一定程度上具有相當性,但由於《網安法》是捍衞我國網絡空間主權、維護國家安全的法律重器,對於違反《網安法》“情節特別嚴重”的違法行為的處罰可能需要考量對國家安全的影響,論證《個信法》採取同一處罰標準的合理性。
·該處罰與《網數條例》部分處罰規定一致
《網數條例》在兩種情況下規定了營業額百分之五的處罰標準:數據處理者違法個人信息保護相關規定,情節嚴重的(第六十一條);以及互聯網平台運營者拒不改正的,處上一年度銷售額百分之一以上百分之五以下的罰款(六十八條)。
我們理解,對於第一種情況與《個信法》協調一致,在此不予贅述;但就第二種情況,對應的違反行為包括互聯網平台運營者利用數據以及平台規則損害用户合法利益,利用數據誤導、欺詐、脅迫用户,無正當理由限制用户訪問其他互聯網平台,利用個性化推送算法不符合規定等行為,且以“拒不改正”為適用情形。考慮到“情節特別嚴重”對國家安全、社會公共利益造成的影響可能較“拒不改正”更為嚴重,故與《網數條例》的對比視角來看,《意見稿》該等處罰的合理性亦需進一步考量。****
****(3) 對於“情節特別嚴重”的適用標準考量
如前所述,“情節特別嚴重”情形的處罰標準較高、幅度較大,立法者或可考慮列舉“情節特別嚴重”的情形,以促進行政處罰裁量權合理行使,確保《網安法》實施執行的一致性和法律實效。
****(4)對於“從業禁止”處罰的期限考量
·從業禁止“一定期限”的期限考量****
《意見稿》第一項、第五項和第六項修訂均增設了“從業禁止”處罰。2021年修訂的《行政處罰法》增設了限制從業這一行政處罰類型,可以反映立法者對實踐中廣泛存在的不允許從事某種職業等管制措施法治化問題的立法回應。我們理解,《網安法》要求網絡運營者設置網絡安全負責人、關鍵信息基礎設施運營者設置專門安全管理機構和安全管理負責人,由於實務中通常該等職責均由企業的高管擔任,因此增設限制從業呼應了這一要求,符合網絡安全治理以控制和預防為抓手的治理思路。
然而,由於“一定期限”的規定較為模糊,或可考慮設定一定年限作為上限,或規定期限區間。****
·保留終身從業禁止規定的合理性
《意見稿》第二項修訂延續了《網安法》的規定,即違反第二十七條規定,受到刑事處罰的人員,不得從事網絡安全管理和網絡運營關鍵崗位的工作。我們理解,我國數部法律和行政法規中,從業禁止的期限從二年、三年、五年、十年[1]到終身不等,即從業禁止期限在立法實踐中存在較多區間。
因此,考慮到二十七條中“明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助”的行為打擊面廣,從“受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作”之五年期限躍至終身,可能過於側重處罰措施的懲戒性面向,不利於企業內部進行人員任用安排的自主性,亦恐損傷處罰措施的精準性,或可考慮採取如“五年至終身”的區間安排。
就與本次修訂存在內在聯繫,但並未直接受到調整的《網安法》部分規範而言:
****(1) “個人信息”等定義與《個信法》協調一致
《網安法》將個人信息定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”,與《個信法》對於個人信息的定義存在一定程度的差異。考慮到《修訂稿》的意旨之一在於增強與《個信法》之間的銜接度,則對於“個人信息”定義的差異可能引發解讀爭議,影響法律適用效果。****
進一步而言,《網安法》第二十二條第三款規定,網絡產品、服務具有收集用户信息功能的,其提供者應當向用户明示並取得同意;涉及用户個人信息的,還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。從該規定的文義解釋來看,用户信息分為個人信息和非個人信息。因此,雖然《意見稿》第三項修訂使得針對用户信息中的個人信息的違法行為可以依據《個信法》進行處罰,但這同時意味着用户信息中的非個人信息缺乏對應的處罰標準。
我們理解,《網安法》中除此之外僅存在一處提及“用户信息”,即第四十條規定,“網絡運營者應當對其收集的用户信息嚴格保密,並建立健全用户信息保護制度。”由於在制定《網安法》時《個信法》尚未出台,故該問題可能並非立法疏漏,而可能涉及不同法律之間定義與術語之間的協調一致,或可考慮將“用户信息”修改為“用户個人信息”來消除理解障礙。****
****(2)對於《網安法》第三十七條的考量
《網安法》第三十七條規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
我們理解,由於《網安法》對於 CIIO的規制相對嚴格,相關規定往往受到企業較高關注,故該條在實務中具備相當程度的爭議,亟需就****“境內運營”的概念和外延予以進一步明確****,且由於CIIO也可能運營非關鍵信息基礎設施,在其中產生的數據可能敏感程度相對較低,或可考慮以“運營關鍵信息基礎設施”為限制性條件****。
結語
在過去的五年,《網安法》作為網絡空間治理的重要基礎性法律彌補了網絡安全的監管缺位問題,但《網安法》也同樣需要順應網絡經濟發展而更新,以延續《網安法》蓬勃的生命力,確保這部基礎性法律的時效性和嚴肅性。
本次修訂使《網安法》進一步落到實處,也與其他網絡空間治理的規則保持同步更新,在日益豐富的網絡法律中繼續作為“中流砥柱”支撐起網絡空間安全的屏障。企業的任務則在於準確理解修訂的內在基礎以及探討空間。企業應當以修訂為契機,加強對於《網安法》的規範理解,積極反思與加強自身的網絡安全與數據合規體系建設,以新實踐、新態度迎接未來可能生效的規範變化。
腳註:
[1] 例如《藥品管理法》第一百二十二、一百二十三條,規定了十年內禁止從事藥品生產經營活動;第一百二十三條、第一百二十四條,則規定十年直至終身禁止從事藥品生產經營活動,可以看到從業限制的梯度設置。
來源:金杜研究院