《网络安全法》施行五年后迎来首次修改 网络运营者应如何应对？

作为我国第一部全面规范网络空间安全管理方面问题的基础性法律，《网络安全法》是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。此次修改涉及哪些方面，会对哪些组织和人群造成影响，相关企业组织和从业人员需要做出什么准备和调整，安全419在此做出梳理分析供大家参考。

《征求意见稿》修改变化：加大处罚力度与上限 多部法律无缝衔接

根据国家网信办“关于修改《中华人民共和国网络安全法》的决定（征求意见稿）的说明”，此番修改是为了适应在《网络安全法》实施之后的修订及制定的《行政处罚法》《数据安全法》《个人信息保护法》，要做好法律之间衔接协调，主要包括四个方面：完善违反网络运行安全一般规定的法律责任制度；修改关键信息基础设施安全保护的法律责任制度；调整网络信息安全法律责任制度；修改个人信息保护法律责任制度。

具体而言，本次修改内容仅涉及《网络安全法》第六章“法律责任”章节，其他关于安全保障责任与义务方面的规定均没有变化。

1、整合提升同一大类违法行为的处罚幅度和上限

此次《征求意见稿》将原来多条针对违反不同条款的行为的处罚种类和幅度合并为同一表述，从“处一万元以上十万元以下罚款”、“处五万元以上五十万元以下罚款”、“处十万元以上一百万元以下罚款”不同处罚额度统一合并提升到“处一百万元以下罚款”，总体提升了处罚力度和上限，就高不就低。

2、罚款幅度大幅提高 营业额5%对齐个保法

违反现有《网络安全法》的企业主体被罚款额度100万元封顶，个人10万元封顶，力度难以震慑较大规模的机构组织及其高管。此次《征求意见稿》对于企业而言，罚款从最高100万提高到5000万或上一年度营业额的5%；对于个人而言，罚款从最高10万元提高到100万。这与2021年实施的《个人信息保护法》相关处罚力度对齐，将对大型集团、行业巨头等产生有效威慑，提升法律权威性。

3、行政处罚新增禁业处罚措施 违法成本上升

违法判定在“一般违法行为”和“情节严重”的基础上，增加了“情节特别严重”。此次《征求意见稿》对于企业而言，新增“通报批评”的行政处罚形式；对于个人而言，增加了“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”，有力提升对高级管理层人员的违法惩戒效果。

4、剥离法律责任 多部法律处罚措施保持一致

在只有《网络安全法》的年代，其承担着数据安全保护、个人信息保护、关键信息基础设施保护等多重功能，随着一系列新法颁布，此次修改将对应的法律责任进行剥离。关键信息基础设施数据出境的相关处罚主要参照《数据安全法》和《关键信息基础设施安全保护条例》规定执行；侵犯个人信息主体权利的法律责任，相关处罚主要参照《个人信息保护法》规定执行。

5、加强违法信息内容监管 兜底条款捕捉漏网之鱼

现行《网络安全法》针对“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的”情况，法律责任表述为其他法律法规有规定的，从其规定。此次《征求意见稿》增加了兜底性罚则，新增其他法律法规没有规定的情况下，依据《网络安全法》三档违法程度进行处罚。

网络运营主体应对：梳理多部法律义务清单 提前做好评估和自查

可以看到，本次修改工作的核心在于加重《网络安全法》项下的违法责任，将罚款上限与个人责任与其他法律拉齐一致，体现了国家对于维护网络安全的强势态度。此次修订尚处于征求意见阶段，距离正式生效仍有一段时间，从事网络运营的相关主体应积极履行网络运行安全、网络信息安全、个人信息保护义务，并对立法动态予以持续关注。

首先建议所有的网络运营者做好《网络安全法》的义务清单重新梳理，并注意与《数据安全法》《个人信息保护法》的义务清单进行衔接，梳理好彼此的关系。对于《征求意见稿》修订条款中所涉及的相关法定义务开展前期风险评估工作，避免适用最高处罚机制。

对于关键信息基础设施单位，需要注意做好网络安全审查的自查，避免因未及时更换网络产品，导致面临最高处罚机制风险，并严格落实《关键信息技术设施安全保护条例》的义务责任。

对于跨境或出海企业，涉及数据出境的，需要注意《数据出境安全评估办法》以及其他法律法规的义务和处罚机制的设置，对于数据出境安全评估应该引起最高度的重视，避免触发多条红线。

对于企业或个人的信息传播行为，需要事前建立好审核机制，完善当前的内容发布审核流程以及做好自身网络产品的合法性评估，避免传播虚假信息，避免侵害用户的名誉、隐私、知识产权等合法权益，否则面临最高处罚机制适用风险。

对于企业的CSO以及其他直接负责的高管，考虑开展安全意识和技能培训，提高“履职意识”和“风险意识”，避免适用《征求意见稿》的顶格处罚，甚至可能面临禁业和刑事责任的风险。

(文章来源：安全419)