《法治周末》记者 朱雨晨

实施了5年多的网络安全法,迎来首次修改。

9月14日,国家互联网信息办公室发布《关于修改的决定(征求意见稿)》,向社会公开征求意见。

此次修改,拟调整违反网络安全法的行政处罚种类和幅度,大幅提高罚款金额;同时,拟完善关键信息基础设施运营者有关违法行为的行政处罚规定,新增网络信息安全其他违法行为的法律责任规定。

鉴于个人信息保护法规定了全面的个人信息保护法律责任制度,此次修改,还拟将原有关个人信息保护的法律责任修改为转致性规定。

受访专家表示,此次修改,在很大程度上,更有利于做好网络安全法与相关法律的衔接协调,并且在完善网络安全法律体系上开创了新征程,在保护个人、组织网络空间合法权益以及维护国家安全和公共利益上迈出了新的一步。

修改背景

网安法实施5年多,影响深远

网络安全法于2017年6月1日正式实施。深耕互联网领域多年的北京京师律师事务所王综玮律师在接受《法治周末》记者采访时表示,网络安全法实施5年多,影响深远。

她指出,作为我国网络领域的第一部专业性法律,网络安全法从立法层面确立了网络安全主权原则,化繁为一,建立了网络运营者、网络使用者以及网络安全管理部门之间的联系机制,明确了各方在网络安全保护领域的权利与义务,创建了关键信息基础设施保护制度,建立了个人信息保护规则,为构建网络安全法律法规体系提供了基础保障。

细细说来,一是构建了网络安全法律体系的基石。

随着网络安全法的深入实施,我国的网络安全保护法律规范和体系逐渐健全,从网络信息内容治理领域,到个人信息保护领域,再到数据安全领域,网络安全法与网络信息内容生态治理规定、个人信息保护法、数据安全法等法律法规,共同搭建起网络安全领域的治理体系。

二是构建了关键信息基础设施的网络安全保护屏障。

网络安全法实施以来,关键信息基础设施保护制度得以建立并逐步完善,从监督、安全审查、应急演练、安全保护管理等方面都加强了关键信息基础设施保护,强化了关键信息基础设施保护能力,从而预防关键领域的网络安全风险。

三是建立了网络安全保护的行政法律责任与刑事、民事法律责任的衔接机制。

网络安全法对未履行网络运行安全义务、违反用户身份管理规定、违反关键信息基础设施采购国家安全审查规定等违法行为规定了一系列行政责任,并与刑法、民法典等法律相衔接、协作,构建起完整的保障网络安全的法律责任体系。

“但是,站在网络安全法实施五周年的起点向前看,在现阶段疫情反复与居家办公常态的前提下,网络环境开放、用户角色增加、防护边界扩张、5G等应用与技术的突破带来了各类新的网络风险,包括新的数据安全风险、个人信息保护风险、技术安全风险等,层出不穷,千变万化。”王综玮说,网络安全法的修改,正是在网络技术的跨越式发展背景下和落地实施中遇到的困境与难题中,与时俱进、扬长避短。

多位专家学者在接受媒体采访时也指出,在当前技术攻防态势和国际环境共同影响下,对于关键信息基础设施的保护,以及对各类网络安全违法犯罪行为的惩治重要性日益凸显。同时,随着个人信息保护法等相关法律法规的逐步出台和完善,也需要网络安全法作出适应性调整,保持相关法律法规同步协调。

修改亮点一

提高行政处罚上限,引入资格罚

王综玮对《法治周末》记者表示,本次网络安全法的修改主要涉及第六章的“法律责任”部分,拟修改的主要内容之一,是对违反网络运行安全一般规定和网络信息安全法律责任制度进行了调整,具体包括对违反相关规定、义务的行政处罚幅度进行调整和加入了从业禁止措施。

例如,对一般违反网络安全法网络运行安全保护义务或者导致危害网络运行安全等后果的行为,本次修改进行了条款合并,对违反情节严重的,除了常规处罚措施外,不仅加大了罚款力度,从最高100万元,提高到5000万元或上一年度营收的5%罚款,还对直接责任人增加了从业禁止措施。

而对于不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,情节严重的,本次修改后,将处于100万元以上5000万元以下或者上一年度营业额百分之五以下罚款。

中国政法大学传播法研究中心副主任朱巍在接受《法治周末》记者采访时也表示,对违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度进行调整,大幅度提高罚款金额,是本次网络安全法修改的主要特征之一。

网络安全法规范的是网络运营者,而网络运营者的类型,大到互联网头部企业,小到小型机构或者个体运营者,多种多样,体量不一。以前的罚则是一刀切,即同时适用于不同体量的网络运营者,但这样一来对大型互联网头部企业就失去了威慑力,为此,这次修改改变了处罚类型和幅度,改为对严重的违法行为,按照上限5000万元或者上一年度营业额5%罚款。

王综玮认为,对一些大型互联网企业,以往采取的一刀切处罚模式,容易造成处罚力度不够大,也容易失去威慑力度。加大违法成本,区分处罚的阶段式适用方式,既有利于规范大型运营者,也对中小型运营者起到了震慑作用,更有利于规范网络运营者的网络安全义务和责任。

而对于直接负责的主管人员和其他直接责任人员,本次修改还增加了“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”的规定。

“本次修改,增加了对责任人的处罚,规定了从业禁止措施,在一定程度上对网络运营者的负责人敲响了警钟。”王综玮说,有关负责人要通过各种方式提高网络安全意识,做好守法的网络运营者。

南开大学法学院副院长、竞争法研究中心主任陈兵在接受媒体采访时也强调,将金钱罚、资格罚列入惩罚方式,集中明确了一点:法律是有牙齿的。“法律责任设定的多元化,有利于进一步夯实执法部门对于相关法律法规的实施能力。”

修改亮点二

新增罚则 给网络内容安全安上“牙齿”

网信办在对本次征求意见稿的说明中指出,关键信息基础设施是经济社会运行的神经中枢。在发展数字经济背景下,关键信息基础设施安全稳定运行直接关系到国民经济、社会生产平稳有序推进。

为了强化关键信息基础设施安全保护责任,进一步完善关键信息基础设施运营者有关违法行为行政处罚规定,本次网络安全法修改强化了关键信息基础设施安全保护的法律责任制度。

王综玮指出,本次修改针对关键信息基础设施运营者违反网络安全法的两种行为增加了罚则,一是使用未经安全审查或者安全审查未通过的网络产品或者服务的行为;二是在境外存储网络数据或者向境外提供网络数据的行为。“这些都紧密贴合了当前实际工作的需要。”

《法治周末》记者注意到,本次修改意见中有多条涉及针对关键信息基础设施运营者违反网络运行安全保护义务或者导致危害网络运行安全等后果的,罚款金额由原先的10万元罚款上限提高至100万元罚款上限。

值得注意的是,本次修改特别对提供未经安全审查的产品或服务的关键信息基础设施运营商的罚款金额上限提高至年收入的5%或是采购金额的10倍。

在朱巍看来,本次网络安全法修改还有一个特别重要的点,那就是在网络内容安全领域为网络安全法安上了自己的“牙齿”。

朱巍认为,网络安全法它不仅是广义上讲的网络安全的法律,同时,它还是内容安全的法律。这里讲的内容安全,包括内容的边界、违法内容发布者以及平台要承担主体责任的范围等。这次修改,把平台的主体责任,包括发布者的责任都给明确了,而且把责任也提高了。

朱巍说,网络安全法第十二条第二款的内容,实际就是目前为止,除了宪法之外,关于内容安全的一个非常高位阶的法律。以前,在没有网络安全法第十二条第二款内容之前,一般把内容安全叫“九不准”。对于违反网络内容安全规定的,以前没有基于网络安全法直接的罚则,只有转制性的法律规定,需按其他法律法规来处罚。

但本次修改之后,对于违反网络内容安全的,就可以直接援引网络安全法进行处罚了。在一定程度上讲,把网络安全法转化成网络内容安全法,这是一个重要的步骤。“以前没有罚则的法律,可能是缺乏一定的‘牙齿’,现在,把这个‘牙齿’安上了,所以,今后,对于互联网内容安全治理、网络晴朗都将起到一个至关重要的作用。”朱巍说。

IBM报告：不断增多的网络安全风险威胁着医疗保健行业

尽管企业在网络安全方面的投资比以往任何时候都要多，但数据泄露的成本和强度仍在继续攀升。那么，为什么企业在网络安全投资和记录数据泄露费用之间的差距越来越大。由于数据泄露的平均成本超过435万美元，预计2022年将打破全球企业泄露的所有以往记录。这比2020年386万美元的平均数据泄露成本高出12.7%。调查还发现，83%的企业报告了多次泄露，平均需要277天才能发现泄露。因此，企业必须检查网络安全技术堆栈，以确定差距和需要改进的领域。

IBM的报告将网络安全风险置于聚光灯下一个有效的方法是加强围绕身份管理和特权访问凭证的安全性。更多的企业需要采用身份定义作为新的安全边界。根据IBM的报告，19%的泄露事件中特权凭证遭到破坏。凭据被盗导致的平均违规持续时间为327天。企业必须检查他们的网络安全技术栈，以确定任何差距和需要改进的领域该报告还展示了企业对其整体IT基础设施和安全技术栈的隐性信心的依赖。身份和访问管理、特权访问管理和云安全漏洞使得代价高昂的违规行为成为可能。当零信任可以将典型的违规损失减少近100万美元时，79%的关键基础设施公司没有实施零信任。为了降低违规的频率，企业必须将隐含信任视为开放的后门，让黑客可以访问他们的系统、密码和最敏感的机密信息。此外，我们建议检查网络安全实践，以防范当今的数字危险。企业的关键要点该论文还量化了医疗保健领域不断扩大的网络安全差距的规模。根据IBM的分析，医疗保健数据泄露的平均成本估计为1010万美元，创造了新的记录，比去年的923万美元高出近100万美元。医疗保健行业的平均违约成本是12年来最高的，自2020年以来增长了41.6%。数据显示，随着成本失控给全球企业和客户带来财务压力，数据泄露的成本正以通货膨胀的速度增加。参与IBM研究的企业中有60%声称，他们的产品和服务成本因黑客入侵而增加。与此同时，供应链中断、乌克兰冲突和商品需求疲软持续存在。在支付医疗费用方面，消费者已经在苦苦挣扎。预计到2022年，成本将上升6.5%。

IBM的研究还发现，在数据泄露后的12到24个月内，仍然会产生大约30%的成本，从而导致消费者的价格持续上涨。很明显，网络攻击正在演变成引发连锁反应的市场压力因素。我们看到，这些网络攻击加剧了通货膨胀压力。优先考虑这三个领域可以帮助网络安全预算紧张的医疗保健提供商降低入侵成本，同时推进零信任计划。一个实用的零信任体系结构必须具有有效、灵活并同时保护机器和人的身份的身份访问管理。根据IBM的研究，交互式代数操作在降低被检查的零信任组件的违约成本方面是最成功的。