2017年6月1日起施行的《中华人民共和国网络安全法》（以下简称“网络安全法”），是我国第一部既涉及网络安全，又涉及数据安全和个人信息保护的网络与数据领域的综合性和基础性立法。网络安全法实施五年以来，数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》以及新修订的行政处罚法等法律法规相继在2021年实施。为做好网络安全法与这些新实施的法律之间衔接协调，完善法律责任制度，进一步依法维护网络安全，9月14日，国家网信办发布了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》（以下简称《征求意见稿》）。

笔者注意到，征求意见稿拟修订的内容聚焦了网络安全法第六章的“法律责任”部分，最大亮点是改变了处罚类型和幅度，对于严重违法行为，加大了违法者的违法成本，如增加了“限制高管从业”的行为罚，即“禁止在一定期限内担任相关企业的董事、监事、高级管理人员”，以及增加了“上一年度营业额百分之五以下罚款”的选择性处罚等，这些处罚规定，具有很强的震慑作用。《征求意见稿》共作出六项修订，主要涉及四个方面的内容。

一、设置个人信息保护法律责任的转致性规定

征求意见稿将第六十四条修改为：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定，侵害个人信息依法得到保护的权利的，依照有关法律、行政法规的规定处罚。”这是一项转致性规定，“转致”是国际私法中的一个定义，其含义是某一行为虽然属于甲法的调整范围，但甲法明确规定其法律后果应适用乙法，因此在执法实践中依据乙法确定当事人的权利义务。

2021年11月1日起施行的个人信息保护法第六十六条至第七十一条详细设置了个人信息保护的法律责任制度，相比网络安全法仅有一条（第六十四条）规定了个人信息保护的法律责任，后者的法律责任明显不足。因此，《征求意见稿》将第六十四条修改为转致性规定，即违反网络安全法第二十二条第三款、第四十一条至第四十四条规定，侵害个人信息的违法行为，将转致“依照有关法律、行政法规的规定处罚”，这里的“法律”指个人信息保护法，“行政法规”主要指由国务院制定有关个人信息保护的法规。

《征求意见稿》对网络安全法法律责任调整的最大看点，是直接参照了个人信息保护法第六十六条第二款“情节严重”的相关处罚规定，其中有三处是涉及“限制高管从业”的行为罚，即“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员”，还有四处是选择性处罚，即“或者上一年度营业额百分之五以下罚款”。特别是后面的选择性处罚，对比欧盟GDPR违反信息披露和侵犯个人信息行为的处罚，情节严重的罚款额度是2000万欧元或全球营业额的4%（以较高者为准）。GDPR的选择性处罚是“全球营业额的4%（以较高者为准），比如苹果公司最近几年的收入都超过了2000亿美元，那么如果选择“全球营业额的4%，罚金就有可能高达80亿美元。《征求意见稿》的选择性处罚是“上一年度营业额百分之五以下罚款”，这项罚款的金额与GDPR几乎是一个等量级。

二、对违反网络运行安全一般规定的处罚类型和幅度作出调整

《征求意见稿》第一项将网络安全法第五十九条、第六十条、第六十一条、第六十二条的处罚内容合并，统一修改为：“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的，由有关主管部门责令改正，给予警告、通报批评；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

《征求意见稿》第一项在原有的一般违法、情节严重的情形基础上，增设了“情节特别严重”的加重型处罚规定，即“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”

上述规定在“处一百万元以上五千万元以下”之后增加了一项选择性处罚，即“或者上一年度营业额百分之五以下罚款”，并增加了“限制高管从业”的行为罚，即“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”。

三、调整关键信息基础设施运营者违反安全审查规定的处罚

网络安全法第六十五条规定：“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

《征求意见稿》第四项将第六十五条修改为：“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”上述规定在“处采购金额一倍以上十倍以下罚款”之后同样增加了一项选择性处罚“或者上一年度营业额百分之五以下罚款”。

四、调整网络信息安全保护义务的法律责任

《征求意见稿》第五项对违反网络信息安全义务行为的法律责任进行了整合，并调整了行政处罚幅度和从业禁止措施的规定。《征求意见稿》第五项在网络安全法第六十八条“违反本法第四十七条”的基础上增加了“第四十八条、第四十九条”，并将第六十八条和六十九条的法律责任进行了整合，统一修改为：“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务，或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的，或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的，由有关主管部门责令改正，给予警告、通报批评，没收违法所得；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

《征求意见稿》将上述法律责任合并，增加了“通报批评”，并将网络安全法第六十八条“拒不改正或者情节严重的，处十万元以上五十万元以下罚款”调整为“拒不改正或者情节严重的，处一百万元以下罚款”。

《征求意见稿》第五项增设了“情节特别严重”的规定，即“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”，以及“对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”这是《征求意见高》第三次出现“或者上一年度营业额百分之五以下罚款”的选择性处罚的规定。

《征求意见稿》第六项在网络安全法第七十条的基础上增加了两款规定，一是“法律、行政法规没有规定的，由有关主管部门责令改正，给予警告、通报批评，没收违法所得；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”；二是“情节特别严重的，由省级以上有关主管部门责令改正，没收违法所得，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”《征求意见稿》第六项在“情节特别严重”的情形中，第四次提及了“或者上一年度营业额百分之五以下罚款”的选择性处罚。

关于发布或者传输违法信息，《征求意见稿》第七十条第二款修改的亮点是，即使法律、行政法规没有规定，有关主管部门仍然可以依据本条款对发布或者传输网络安全法第十二条第二款和其他法律、行政法规禁止发布或者传输违法信息的行为进行处罚。第七十条第三款与《征求意见稿》第一项、第五项、第六项的内容保持了一致。

编辑 黄彬彬 审核 洪鹏辉