Expert Interpretation: Improving the Legal Liability System to Strengthen the Cybersecurity Barrier

《网络安全法》作为我国网络安全领域的基础性法律，自2017年施行以来，在维护网络空间主权、国家安全、社会公共利益以及保护公民、法人和其他组织合法权益等方面发挥了重要作用。然而，随着网络空间的复杂性和不确定性不断增强，网络攻击、数据泄露、关键信息基础设施威胁等事件频发，有关法律制度已难以适应新的风险挑战。近日，国家网信办会同相关部门起草了《网络安全法（修正草案再次征求意见稿）》（以下简称“征求意见稿”），从征求意见稿来看，主要是做好与《数据安全法》《个人信息保护法》等相关法律法规的衔接协调，完善法律责任制度，将进一步保障网络安全。<br> 一、推进依法治理，有效应对网络安全形势需要<br> 近年来，网络攻击手段不断升级，我国面临的网络安全形势日益严峻复杂。一是个人信息和重要数据泄露风险频发。贩卖个人信息和重要数据获利成为黑产的主要手段之一，一些联网数据库存在未授权访问或弱口令漏洞，容易导致姓名、身份证号、手机号等数据泄露。二是勒索软件攻击呈持续增长趋势。勒索攻击的主流威胁形态已经演变成“勒索软件即服务（RaaS）+定向攻击”收取高额赎金的模式，制造、医疗、金融、建筑、能源和公共管理等行业频繁成为勒索攻击的目标。2024年全球公开披露的勒索软件攻击事件超过5700起，我国某金融机构驻外子公司被勒索组织Hunters攻击，泄露数据量达6.6TB。三是网络安全漏洞风险依然严峻。2024年，国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞1.8万个，其中高危漏洞占比达46.4%。“微软蓝屏”事件虽然并非安全漏洞，但也导致全球超过850万台设备运行故障，造成巨大经济损失。随着大数据、云计算、人工智能等新技术的广泛应用，网络安全技术的应用场景也越来越广泛，势必也将引入新的安全风险。<br> 在此形势下，增强法律威慑力已成为修改《网络安全法》的必然要求。部分企业为追求经济利益，忽视网络安全责任，导致数据泄露、网络攻击、安全漏洞等事件和风险频发。而现行《网络安全法》对违法主体的处罚额度较低，这对其经济利益影响较为有限，也远低于数据泄露所造成的经济损失和社会影响。<br> 此次修改拟完善法律责任制度，规定造成严重或特别严重危害网络安全后果等违法情形的法律责任，并通过提高罚款金额、增加处罚种类等措施加大了相关违法行为的处罚力度。一是拟明确对造成数据泄露严重后果的处罚措施。对网络运营者不履行网络安全保护义务造成大量数据泄露等严重危害网络安全后果的，拟规定最高可处以二百万元罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照。二是拟明确对违法销售或提供网络关键设备和网络安全专用产品的处罚措施。对违反本法第二十三条销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，拟规定由有关主管部门责令改正或停止违法行为，给予警告、没收违法产品和违法所得，根据违法所得金额处以不同数额的罚款。三是拟加大对网络运营者等主体不履行网络信息安全管理义务的处罚力度。造成特别严重影响、特别严重后果的情形拟明确最高可处以一千万元罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，同时对直接负责的主管人员和其它责任人员最高处以一百万元罚款。这将提高违法成本，促使主动建立健全网络安全管理制度，提升网络安全技术防护能力，落实网络运营者主体责任，并对潜在的违法者形成更强的威慑，有效遏制网络违法犯罪行为的发生。<br> 二、细化责任体系，加强关键信息基础设施安全防护<br> 关键信息基础设施是关系到国家安全、国计民生和公共利益的重要基础设施，受地缘政治和国家间冲突的影响，某些组织通过分布式拒绝服务（DDoS）攻击、系统漏洞、网络钓鱼、勒索软件等方式，对我国能源、交通、金融、公共、通信、科技等重要领域实施网络攻击，窃取重要敏感数据，将网络空间演变成为国家博弈的重要战场。2023年5月起，我国某大型高科技企业遭疑似境外机构网络攻击，其邮件服务器被控制并植入后门程序，并以此为跳板攻击该公司及下属企业30余台设备，大量邮件数据和商业秘密信息被窃取。2024年8月，我国某研究单位遭疑似境外机构网络攻击，270余台主机被控，大量商业秘密信息被窃取。<br> 强化关键信息基础设施运营者的网络安全主体责任，是保障国家网络安全的关键环节。此次修改进一步完善了关键信息基础设施安全保护的法律责任制度，有利于推动其更好地落实网络安全主体责任、加强安全防护。一是明确对不履行义务导致关键信息基础设施丧失功能情形的处罚措施。关键信息基础设施运营者不履行网络安全保护义务，造成关键信息基础设施丧失局部功能等严重危害网络安全后果的，拟规定最高可处以二百万元罚款，造成丧失主要功能等特别严重危害网络安全后果的，最高可处以一千万元罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员处以相应罚款。二是优化对违规使用网络产品或服务的处罚措施。关键信息基础设施运营者违规使用未经安全审查或者安全审查未通过的网络产品或者服务的，其处罚措施拟由现行法律规定的“责令停止使用”调整为“责令限期改正、消除对国家安全的影响”，为关键信息基础设施运营者兼顾安全与发展提供了空间。三是优化对违规存储或传输个人信息和重要数据的处罚措施。针对关键信息基础设施运营者违规在境外存储个人信息和重要数据、或者向境外提供个人信息和重要数据的情形，拟将其处罚措施调整为“依照有关法律、行政法规的规定处理、处罚”，将增强《网络安全法》与《数据安全法》《个人信息保护法》的衔接，提升了网络安全法律体系的整体协调性。<br> 三、引入从轻、减轻、不予行政处罚情形，激励运营者主体参与网络安全治理<br> 网络安全是一项系统工程，涉及的领域广、方面多，大多数网络安全事件和风险都具有跨地区、跨部门、跨行业的特点。仅仅依靠单一个体防御已经无法应对复杂的网络安全形势，迫切需要发挥政府、企业、社会组织等各种主体作用，加强网络安全协作。其中，网络运营者承担着网络和信息系统安全防护的实际工作，在网络安全事件应对、风险防范等工作中占有重要地位，网络运营者的参与对加强网络安全防护至关重要。<br> 此次修改拟引入情节轻微情形下的豁免机制，即对网络运营者存在主动消除或减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的，依照《行政处罚法》的规定从轻、减轻或者不予行政处罚。这一机制的引入具有重要意义，一方面，它有利于引导运营者主体自觉遵守法律法规，减轻其合规负担，避免因轻微违法而面临严厉处罚；另一方面，它能够有效打消运营者主体的顾虑，激励其主动配合网络安全管理，积极履行网络安全义务，更好地发挥其主体作用。<br> 《网络安全法》的修改是适应新时代网络安全需求的重要举措。在全球网络安全形势日益严峻的背景下，为进一步加强网络威胁发现及防御能力，有效应对国家级有组织网络攻击，需要综合发挥各方作用，共同打造国家网络安全纵深防御体系。此次修改结合当前网络安全工作实际，通过增强法律威慑力、细化责任体系、引入豁免机制等创新举措，加强了网络安全领域相关法律法规的协同性，提升了法律的威慑力和执行力，促进了运营者主体履行网络安全义务的积极性，将为维护国家网络安全、建设网络强国提供更坚实的法治保障。（作者：刘博 国家互联网应急中心副主任）