《网络安全法》迎重大修订
《网络安全法》自2017年施行以来,为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,提供了有力的法律保障。随着网络和信息技术日益融入社会生产生活,网络安全风险进一步凸显。2021年以来,《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等网络安全相关立法相继制定实施,《中华人民共和国行政处罚法》(以下简称《行政处罚法》)修订出台,《网络安全法》需要适应形势加强与新出台法律的衔接协调,对相关法律责任制度作出科学优化,进一步保障网络安全。
2023年9月,《十四届全国人大常委会立法规划》发布,明确将“网络安全法(修改)”列入了“第一类项目:条件比较成熟、任期内拟提请审议的法律草案”。2025年3月28日,国家网信办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》(“2025年修正草案”),向社会公开征求意见。
增加处罚种类、提升罚款金额
将第五十九条修改为:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处一万元以上五万元以下罚款;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处五万元以上十万元以下罚款;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。”
同时,第五十九条新增第三款情形:“有前两款行为,造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,由有关主管部门处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,由有关主管部门处二百万元以上一千万元以下罚款,并责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员处二十万元以上一百万元以下罚款。”
新增未使用安全认证产品的法律责任
新增一条款,作为第六十一条:“违反本法第二十三条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,由有关主管部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。”
新增一条款,作为第六十四条:“有本法第六十条第一项、第二项和第六十三条行为,造成本法第五十九条第三款规定的后果的,依照该款规定处罚。”
将第六十五条改为第六十七条,修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令限期改正、消除对国家安全的影响,并处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
压实平台主体责任,勒紧内容安全红线
将第六十八条、第六十九条第一项合并,作为第六十九条,修改为:“网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告的,或者违反本法第五十条规定,不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告、通报批评,可以处五万元以上五十万元以下罚款;拒不改正或者情节严重的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
网络运营者有前款规定的违法行为,造成特别严重影响、特别严重后果的,由有关主管部门处二百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前两款规定处罚。”
转致适用数安法、个保法
将第六十四条第一款、第六十六条、第七十条合并,作为第七十一条,修改为:“有下列行为之一的,依照有关法律、行政法规的规定处理、处罚:
(一)发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的;
(二)违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的;
(三)违反本法第三十七条规定,关键信息基础设施的运营者在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据的。”
引入从轻、减轻、不予行政处罚情形
增加一条,作为第七十二条:“网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。
有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。”
《网络安全法》的修改是适应新时代网络安全需求的重要举措。在全球网络安全形势日益严峻的背景下,为进一步加强网络威胁发现及防御能力,有效应对国家级有组织网络攻击,需要综合发挥各方作用,共同打造国家网络安全纵深防御体系。此次修改结合当前网络安全工作实际,通过增强法律威慑力、细化责任体系、引入豁免机制等创新举措,加强了网络安全领域相关法律法规的协同性,提升了法律的威慑力和执行力,促进了运营者主体履行网络安全义务的积极性,将为维护国家网络安全、建设网络强国提供更坚实的法治保障。
