新《网络安全法》第六十一条第三款针对造成大量数据泄露、关键信息基础设施丧失局部或主要功能等严重情形,大幅提高罚款幅度,并规定三种违法行为造成上述后果的依该款处罚。第六十九条对不履行违法信息处置义务造成特别严重后果的,处二百万元以上一千万元以下罚款并可关停业务。第六十四条明确不履行实名制义务可关闭网站或应用程序,第六十七条细化使用未经安全审查产品责任为限期改正、停止使用、消除影响。第七十三条明确违反本法但具有《中华人民共和国行政处罚法》规定的从轻、减轻或不予处罚情形的,依法适用。第七十七条将域外适用范围扩大至一切危害中华人民共和国网络安全的活动,可依法冻结财产或采取制裁措施。本次修法通过增设“贯彻总体国家安全观”“推进网络强国建设”等纲领性条款,并构建“宽严相济”的法律责任体系,显著提升了网络安全治理的法治化、系统化水平。
再次,严惩严重违法。针对不履行网络运行安全保护义务的法律责任,《中华人民共和国网络安全法》(以下简称《网络安全法》)第六十一条第三款规定,对于造成大量数据泄露、关键信息基础设施丧失局部功能等严重情形,以及造成关键信息基础设施丧失主要功能等特别严重情形,提高了罚款幅度。
新《网络安全法》第六十一条第三款区分了不履行网络运行安全保护义务的不同严重情形,并设置了相应的罚款。对于造成大量数据泄露、关键信息基础设施丧失局部功能等严重后果,以及导致关键信息基础设施丧失主要功能等特别严重后果的情形,大幅提高了罚款额度。此外,第六十二条第二款、第六十五条第二款、第六十九条第二款规定,三种违法行为造成第六十一条第三款规定的后果的,依照该款规定处罚。总之,可以概括为,网络经营者违反《网络安全法》相关规定,有下列行为之一,造成第六十一条第三款规定的严重危害网络安全后果,或特别严重危害网络安全后果的,依照该款规定处罚:
(1)不依法履行本法第二十三条、第二十七条规定的网络安全保护义务的;
(2)设置恶意程序的;
(3)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(4)违规开展网络安全认证、检测、风险评估等活动,或违规向社会发布网络安全信息。
此外,对于网络经营者不依法履行违法信息处置义务,造成特别严重影响、特别严重后果的违法行为,新《网络安全法》第六十九条规定由有关主管部门处二百万元以上一千万元以下罚款,责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。
最后,细化法律责任。对于网络经营者未履行实名制义务的行为,现行法第六十一条规定,“可以由有关主管部门责令……关闭网站……”。目前实践中,网络经营者经营应用程序时违反实名制义务的,执法机关依据该条规定下架违规应用程序。从技术中立的角度,关闭网站的表达应涵盖了关闭应用程序自然是应有之义。新《网络安全法》第六十四条则直接在文本上明确,对于不履行实名制义务的行为,责令关停措施既包括关闭网站,也包括关闭应用程序。
此外,新《网络安全法》第六十七条将使用未经安全审查或者安全审查未通过的网络产品或者服务的法律责任,由责令“停止使用”细化为责任“限期改正、停止使用、消除对国家安全的影响”。
2.具体解读
新《网络安全法》在加强违法处罚力度上有两个重点,一是横向加强“轻重两端”的处罚力度,二是纵向压实两个领域的法律责任。横向上,新法就网络安全保护义务、使用认证产品义务、内容治理义务等多领域实现了“违法即罚款,严重则重罚”。对“轻端”不具“拒不改正或者导致危害后果”情节的违法行为也引入了罚款处罚;对“重端”导致严重、特别严重危害后果的违法行为则规定了严厉的制裁。纵向上,新法则明显强化了对两个领域的打击力度。一是填补责任空白,落实对使用未通过安全认证产品的责任追究;二是全面加强违反网络内容义务的责任追究,对于拒绝履行违法信息处置义务且情节严重的,最高可处1000万元罚款并关停。
(五)明确可适用从轻、减轻或者不予处罚
1.修改情况
新《网络安全法》第七十三条明确,违反本法规定,但具有《中华人民共和国行政处罚法》(以下简称《行政处罚法》)规定的从轻、减轻或者不予处罚情形的,依照其规定从轻、减轻或者不予处罚。
2.具体解读
具体来看,《中华人民共和国行政处罚法》关于从轻、减轻或者不予处罚情形的规定,主要是第三十二条与第三十三条。
第三十二条 当事人有下列情形之一,应当从轻或者减轻行政处罚:
(一)主动消除或者减轻违法行为危害后果的;
(二)受他人胁迫或者诱骗实施违法行为的;
(三)主动供述行政机关尚未掌握的违法行为的;
(四)配合行政机关查处违法行为有立功表现的;
(五)法律、法规、规章规定其他应当从轻或者减轻行政处罚的。
第三十三条 违法行为轻微并及时改正,没有造成危害后果的,不予行政处罚。初次违法且危害后果轻微并及时改正的,可以不予行政处罚。
当事人有证据足以证明没有主观过错的,不予行政处罚。法律、行政法规另有规定的,从其规定。
对当事人的违法行为依法不予行政处罚的,行政机关应当对当事人进行教育。
因违反《网络安全法》而产生的行政处罚,适用《行政处罚法》关于从轻、减轻或者不予处罚的规定,本是应有之义。此前,《网络数据安全管理条例》第五十九条也明确了,网络数据安全管理领域的行政处罚应适用《行政处罚法》关于从轻、减轻或者不予处罚的规定。本次修改在网络安全领域明确了这一点,有助于进一步激励网络经营者在网络安全工作中做好合规“留痕”,并在涉嫌违规时配合执法机关调查,主动采取补救措施。
(六)扩大《网络安全法》的域外适用范围
1.修改情况
新《网络安全法》将第七十五条改为第七十七条,修改为:“境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的,依法追究法律责任;造成严重后果的,国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”
2.具体解读
相较于现行法《网络安全法》将域外适用限定在危害我国关键信息基础设施并造成严重后果的情形,新《网络安全法》的域外适用范围拓宽到了一切危害我国网络安全的活动。
除了以上对现行《网络安全法》的核心实质修改,本次修改还包括合并重复条款等形式调整,以及表达措辞的文字性修改,如删去原第十八条第二款等,在此不详细展开。
二、本次修法的亮点与特色
(一)纲举目张,纲领性条款引领网络安全
本次《网络安全法》的修改在总则部分增设了两条具有深远意义的纲领性条款,为网络安全工作提供了引领旗帜。
首先,通过增设新法第三条,实现了在法律上确立党管网络安全的根本原则。本条是将党的创新理论转化为法治实践的关键举措。正如习近平总书记强调的“没有网络安全就没有国家安全”,网络安全是国家安全在数字空间的直观体现。网络安全不仅是表层的技术或管理问题,更与国家主权、安全、发展利益深度融合。该条明确“贯彻总体国家安全观”“统筹发展和安全”,进一步明确了网络安全工作必须运用系统思维,在推动数字经济蓬勃发展的同时筑牢安全屏障,实现高质量发展和高水平安全的平衡,最终服务于“推进网络强国建设”这一战略目标。
其次,新法第二十条首次在基础性法律中为人工智能治理构建了系统框架。当前,以生成式人工智能为代表的新技术领域取得了突破性进展,其在赋能社会的同时,也带来了深度伪造、自动化网络攻击及大规模数据滥用等新型网络安全威胁。本条鲜明地提出了“支持”与“监管”并重的治理策略,为构建适应新技术的网络安全防护体系指明了方向。一方面,国家支持全链条研发创新,旨在抢占技术竞争制高点,并提升我国在人工智能技术上的自主能力;另一方面,明确要求“完善伦理规范”“加强风险监测评估和安全监管”,实质上将人工智能安全纳入了网络安全整体框架,为防范和化解由新技术引发的系统性安全风险划定了红线和底线。这一规定标志着人工智能治理已被正式纳入国家网络安全战略与法律体系,它向网络安全工作传递出清晰信号:必须前瞻性地将人工智能安全作为核心议题,确保技术创新行进在安全、可靠的轨道上。
(二)宽严相济,提升违法威慑与合规激励
《网络安全法》修改的另一亮点,是优化法律责任体系,构建了一套“宽严相济”的执法工具箱,精准平衡了违法威慑与合规激励。此次加重处罚力度,是应对当前网络安全形势严峻性、复杂性的必然要求。随着数字经济的深度发展,网络攻击、数据泄露等安全事件危害加剧,旧有罚则威慑力不足的问题日益凸显,难以有效遏制漠视安全义务的违法行为。因此,新法通过新设法律责任、降低处罚适用门槛、大幅提升罚款数额等一系列措施,显著提升了违法成本。同时,新法通过区分违法后果的危害程度、构建阶梯式责任体系,使处罚力度与危害后果更为紧密地挂钩,从而激励网络经营者在事前采取审慎的预防措施,在事中与事后尽力控制损害范围。
在加重处罚增强威慑力的同时,新法第七十三条明确网络安全执法适用《行政处罚法》关于从轻、减轻或不予处罚的规定,体现了“宽严相济”的治理智慧。这一规定认可并鼓励主动合规与事后补救行为。对于内部制度健全、注重合规留痕、在出现隐患时能主动报告并积极配合调查、努力消除影响的网络经营者,可依法获得法律责任的减免。
新法实施后,执法将依据行为的危害性、主体的合规态度等因素,实现更加精准高效的监管。新法“严”的一面,能够对潜在违法者形成有力震慑,使其不敢逾越红线;“宽”的一面,则有助于增强守法者的行为预期和合规意愿。可以预见,未来将逐步形成执法精准监管、企业主动担责、社会协同共治的网络安全良好治理态势。
来源:“学习强国”平台
