Expert Interpretation: Implementing the Holistic National Security Concept to Escort the Construction of a Cyber Power

近日，《网络安全法（修正草案再次征求意见稿）》向社会公开征求意见。《网络安全法》此次修改坚持问题导向，顺应当前国内外网络安全发展新形势新要求，拟构建更加科学合理的网络安全法律责任框架，有助于提升法律体系的系统性和协调性。<br> 一、适应网络安全发展新形势新需求<br> （一）贯彻落实总体国家安全观的应有之义<br> 网络安全是国家安全的重要组成部分。党中央高度重视网络安全工作，提出要坚持筑牢国家网络安全屏障、加强网络空间法治建设等明确要求。习近平总书记强调，“没有网络安全就没有国家安全”。《网络安全法（修改）》被列入《十四届全国人大常委会立法规划》，本次修改是贯彻落实总体国家安全观的重要举措，有助于提升国家网络安全保障能力。<br> （二）护航网络强国建设的迫切需要<br> 当前，网络安全已成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。关键信息基础设施网络安全问题突出，全球关键信息基础设施遭受攻击的案例越来越多。数据泄露事件层出不穷，当前全球数据量激增，数据处理活动更加频繁，数据泄露已经成为全球网络安全的主要威胁，呈现出泄露规模体量增大、涉及行业增多、持续时间较长、引发原因多样等趋势。《网络安全法（修正草案再次征求意见稿）》专门针对关键信息基础设施保护和数据泄露问题健全法律责任规定，将进一步完善网络安全制度体系。<br> （三）提升网络安全法律体系协同性的重要举措<br> 《网络安全法》于2016年出台，构建了网络运行安全、网络数据安全、个人信息保护等基础制度。《数据安全法》《个人信息保护法》于2021年相继出台，进一步加强了对数据安全和个人信息权益的保障。几部立法出台时间跨度大，所处的国内外形势、法律责任制度存在差异。如，《网络安全法》对侵害个人信息权益和网络数据安全的违法行为，规定了处100万元以下的罚款；《个人信息保护法》对侵害个人信息权益的行为最高可以处5000万元或上一年度营业额5%的罚款。为做好立法之间的体系化衔接，维护整体法律制度的系统性和协调性，《网络安全法（修正草案再次征求意见稿）》拟对相关制度作出调整。<br> （四）提出共同应对网络安全问题的中国方案<br> 网络安全已经成为全球面临的关键问题，有关国家和地区纷纷重视通过立法应对网络安全威胁和挑战。2024年5月，新加坡国会通过《网络安全法》修正案，完善网络安全相关制度；11月，欧盟公布《网络弹性法》，明确数字产品全生命周期的网络安全要求，规定了制造商、进口商等多方主体的网络安全义务；12月，英国正式实施《网络安全法》，针对大型科技平台规定更多保护网络安全的举措。对《网络安全法》进行修改，不仅满足自身内在发展与治理需求，也将为共同应对网络安全威胁贡献中国方案。<br> 二、法律责任制度设计更为精细<br> 《网络安全法（修正草案再次征求意见稿）》聚焦法律责任章节进行调整完善，涉及网络运行安全、网络信息安全等多方面内容。<br> （一）修改理念上体现统筹高质量发展和高水平安全<br> 《网络安全法（修正草案再次征求意见稿）》在保障网络安全的同时，充分兼顾了发展需求。《网络安全法（修正草案再次征求意见稿）》结合违法行为的危害程度等因素确定处罚措施，既针对主体重要、危害后果严重的违法行为适度提升处罚力度，显著增加违法成本，为网络秩序、经济发展、社会利益筑牢安全防线；也通过把握治理尺度、调整处罚力度，为技术创新营造包容环境。整体来看，《网络安全法（修正草案再次征求意见稿）》兼顾了风险防控和创新驱动的立法思路，在守护安全的前提下，能够激活发展动能、驱动产业繁荣，实现高质量发展和高水平安全的良性互动。<br> （二）修改重点上突出分类分级治理<br> 《网络安全法（修正草案再次征求意见稿）》抓住关键对象和核心问题，进行分级分类治理，设置宽严相济的法律责任。一方面，区分一般网络运营者和关键信息基础设施运营者。对于违反《网络安全法》第二十一条、第二十五条和第三十三条、第三十四条、第三十六条、第三十八条规定的，针对一般网络运营者和关键信息基础设施运营者分别设置了相应的罚款。另一方面，区分一般违法行为、造成严重危害网络安全后果、特别严重危害网络安全后果的情形，对影响深远的典型违法行为进行重点处置。例如，《网络安全法（修正草案再次征求意见稿）》针对造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的违法行为，对网络运营者最高可处一千万元的罚款。另外，对销售或提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品这一具有较大安全风险的违法行为，也设置了专门的法律责任条款。<br> （三）法律协调上注重有机衔接<br> 《网络安全法（修正草案再次征求意见稿）》针对已经在其他立法中规定的问题明确转致规定。对于近年来已经在《数据安全法》《个人信息保护法》等立法中做出规定的，《网络安全法（修正草案再次征求意见稿）》未进行重复规定，而是设置转致条款。如合并后的第七十一条，拟明确对违反个人信息保护、数据跨境流动等规定的行为，依照有关法律、行政法规的规定处理、处罚。这样的规定既有效避免了相关立法之间的重复和冲突，也体现了具体问题精准应对的制度设计目标。<br> （四）处置处罚措施上体现精准设置<br> 《网络安全法（修正草案再次征求意见稿）》结合行为的危害程度、影响范围、主观恶意等多方面因素，精准设置违法行为的处置处罚力度。一方面，针对关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的，将原来的“由有关主管部门责令停止使用”修改为“由有关主管部门责令限期改正、消除对国家安全的影响”，既给予运营者一定的改正时间，又有效维护了国家安全。另一方面，与《行政处罚法》做好衔接，增加第七十二条，对三类违法行为予以从轻、减轻或者不予行政处罚：第一类是主动消除或者减轻违法行为危害后果；第二类是违法行为轻微并及时改正，且没有造成危害后果；第三类是初次违法且危害后果轻微并及时改正。这一规定更好地推进严格规范公正文明执法，体现了坚持“处罚与教育相结合”的原则，为新技术新应用创新发展留足空间。<br> （五）制度整合上突出系统优化<br> 《网络安全法（修正草案再次征求意见稿）》在原有制度基础上进行部分整合，让整部立法更加规范化、体系化。原第六十八条、第六十九条第一项均关于对违法发布或传输信息的处置，此次修改专门对其进行合并和完善，更新为第六十九条，并分为三种不同程度的法律责任进行处罚：第一种是违反一般传输或发布要求的，可以责令改正、给予警告、通报批评，最高罚款额度为五十万元；第二种是拒不改正或者情节严重的，最高可处二百万元罚款，且可以责令暂停相关业务、停业整顿、关闭网站或者应用程序等；第三种是造成特别严重影响、特别严重后果的，最高可处一千万元罚款，并可采取责令暂停相关业务、停业整顿、关闭网站或者应用程序等措施。<br> 三、网络安全制度保障作用将不断增强<br> 党的二十届三中全会提出要“完善国家安全法治体系”“加强网络安全体制建设”。《网络安全法》是网络安全领域的基础性法律，深入贯彻落实党中央要求对其进行适时修改，是全面统筹高质量发展和高水平安全的重要要求，也是适应当前新形势的现实需要。《网络安全法（修正草案再次征求意见稿）》拟明确各方责任、强化关键信息基础设施保护等，有利于强化全社会网络安全风险意识，更好践行总体国家安全观，为构建全方位、多层次的国家安全体系提供有力保障。《网络安全法》的修改将更好发挥法治对改革发展稳定的引领、规范、保障作用，护航网络强国建设。（作者：余晓晖 第十四届全国政协委员、中国信息通信研究院院长）