《網(wǎng)絡安全法》作為我國網(wǎng)絡安全領域的基礎性法律�����,自2017年施行以來�,在維護網(wǎng)絡空間主權、國家安全�����、社會公共利益以及保護公民�、法人和其他組織合法權益等方面發(fā)揮了重要作用。然而�����,隨著網(wǎng)絡空間的復雜性和不確定性不斷增強�����,網(wǎng)絡攻擊�、數(shù)據(jù)泄露、關鍵信息基礎設施威脅等事件頻發(fā)�,有關法律制度已難以適應新的風險挑戰(zhàn)。近日�����,國家網(wǎng)信辦會同相關部門起草了《網(wǎng)絡安全法(修正草案再次征求意見稿)》(以下簡稱“征求意見稿”),從征求意見稿來看�,主要是做好與《數(shù)據(jù)安全法》《個人信息保護法》等相關法律法規(guī)的銜接協(xié)調(diào),完善法律責任制度�����,將進一步保障網(wǎng)絡安全�����。
一�、推進依法治理,有效應對網(wǎng)絡安全形勢需要 近年來�����,網(wǎng)絡攻擊手段不斷升級�,我國面臨的網(wǎng)絡安全形勢日益嚴峻復雜�����。一是個人信息和重要數(shù)據(jù)泄露風險頻發(fā)�����。販賣個人信息和重要數(shù)據(jù)獲利成為黑產(chǎn)的主要手段之一,一些聯(lián)網(wǎng)數(shù)據(jù)庫存在未授權訪問或弱口令漏洞�,容易導致姓名、身份證號�、手機號等數(shù)據(jù)泄露。二是勒索軟件攻擊呈持續(xù)增長趨勢�����。勒索攻擊的主流威脅形態(tài)已經(jīng)演變成“勒索軟件即服務(RaaS)+定向攻擊”收取高額贖金的模式�,制造、醫(yī)療�����、金融�、建筑、能源和公共管理等行業(yè)頻繁成為勒索攻擊的目標�����。2024年全球公開披露的勒索軟件攻擊事件超過5700起�,我國某金融機構駐外子公司被勒索組織Hunters攻擊,泄露數(shù)據(jù)量達6.6TB�����。三是網(wǎng)絡安全漏洞風險依然嚴峻。2024年�,國家信息安全漏洞共享平臺(CNVD)共收錄通用軟硬件漏洞1.8萬個,其中高危漏洞占比達46.4%�����。“微軟藍屏”事件雖然并非安全漏洞�,但也導致全球超過850萬臺設備運行故障,造成巨大經(jīng)濟損失�。隨著大數(shù)據(jù)、云計算�����、人工智能等新技術的廣泛應用�����,網(wǎng)絡安全技術的應用場景也越來越廣泛�,勢必也將引入新的安全風險�。 在此形勢下,增強法律威懾力已成為修改《網(wǎng)絡安全法》的必然要求�����。部分企業(yè)為追求經(jīng)濟利益,忽視網(wǎng)絡安全責任�����,導致數(shù)據(jù)泄露�����、網(wǎng)絡攻擊�、安全漏洞等事件和風險頻發(fā)。而現(xiàn)行《網(wǎng)絡安全法》對違法主體的處罰額度較低�����,這對其經(jīng)濟利益影響較為有限�����,也遠低于數(shù)據(jù)泄露所造成的經(jīng)濟損失和社會影響�����。 此次修改擬完善法律責任制度,規(guī)定造成嚴重或特別嚴重危害網(wǎng)絡安全后果等違法情形的法律責任�����,并通過提高罰款金額�����、增加處罰種類等措施加大了相關違法行為的處罰力度�����。一是擬明確對造成數(shù)據(jù)泄露嚴重后果的處罰措施�。對網(wǎng)絡運營者不履行網(wǎng)絡安全保護義務造成大量數(shù)據(jù)泄露等嚴重危害網(wǎng)絡安全后果的,擬規(guī)定最高可處以二百萬元罰款�����,并可以責令暫停相關業(yè)務�、停業(yè)整頓、關閉網(wǎng)站或者應用程序�����、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照�。二是擬明確對違法銷售或提供網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的處罰措施。對違反本法第二十三條銷售或者提供未經(jīng)安全認證�、安全檢測或者安全認證不合格、安全檢測不符合要求的網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的�,擬規(guī)定由有關主管部門責令改正或停止違法行為,給予警告�、沒收違法產(chǎn)品和違法所得,根據(jù)違法所得金額處以不同數(shù)額的罰款�����。三是擬加大對網(wǎng)絡運營者等主體不履行網(wǎng)絡信息安全管理義務的處罰力度�����。造成特別嚴重影響�����、特別嚴重后果的情形擬明確最高可處以一千萬元罰款�����,并可以責令暫停相關業(yè)務�����、停業(yè)整頓、關閉網(wǎng)站或者應用程序�、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,同時對直接負責的主管人員和其它責任人員最高處以一百萬元罰款�����。這將提高違法成本�����,促使主動建立健全網(wǎng)絡安全管理制度�����,提升網(wǎng)絡安全技術防護能力�,落實網(wǎng)絡運營者主體責任,并對潛在的違法者形成更強的威懾�����,有效遏制網(wǎng)絡違法犯罪行為的發(fā)生�����。 二�、細化責任體系�,加強關鍵信息基礎設施安全防護 關鍵信息基礎設施是關系到國家安全�、國計民生和公共利益的重要基礎設施,受地緣政治和國家間沖突的影響�����,某些組織通過分布式拒絕服務(DDoS)攻擊�、系統(tǒng)漏洞�、網(wǎng)絡釣魚、勒索軟件等方式�����,對我國能源�����、交通�����、金融�、公共、通信�����、科技等重要領域實施網(wǎng)絡攻擊,竊取重要敏感數(shù)據(jù)�,將網(wǎng)絡空間演變成為國家博弈的重要戰(zhàn)場。2023年5月起�����,我國某大型高科技企業(yè)遭疑似境外機構網(wǎng)絡攻擊�,其郵件服務器被控制并植入后門程序,并以此為跳板攻擊該公司及下屬企業(yè)30余臺設備�����,大量郵件數(shù)據(jù)和商業(yè)秘密信息被竊取�。2024年8月,我國某研究單位遭疑似境外機構網(wǎng)絡攻擊�,270余臺主機被控,大量商業(yè)秘密信息被竊取�。 強化關鍵信息基礎設施運營者的網(wǎng)絡安全主體責任,是保障國家網(wǎng)絡安全的關鍵環(huán)節(jié)�。此次修改進一步完善了關鍵信息基礎設施安全保護的法律責任制度,有利于推動其更好地落實網(wǎng)絡安全主體責任�、加強安全防護。一是明確對不履行義務導致關鍵信息基礎設施喪失功能情形的處罰措施�����。關鍵信息基礎設施運營者不履行網(wǎng)絡安全保護義務,造成關鍵信息基礎設施喪失局部功能等嚴重危害網(wǎng)絡安全后果的�����,擬規(guī)定最高可處以二百萬元罰款�����,造成喪失主要功能等特別嚴重危害網(wǎng)絡安全后果的�����,最高可處以一千萬元罰款�����,并可以責令暫停相關業(yè)務�、停業(yè)整頓�����、關閉網(wǎng)站或者應用程序�����、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員處以相應罰款�����。二是優(yōu)化對違規(guī)使用網(wǎng)絡產(chǎn)品或服務的處罰措施�。關鍵信息基礎設施運營者違規(guī)使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡產(chǎn)品或者服務的,其處罰措施擬由現(xiàn)行法律規(guī)定的“責令停止使用”調(diào)整為“責令限期改正�、消除對國家安全的影響”,為關鍵信息基礎設施運營者兼顧安全與發(fā)展提供了空間�����。三是優(yōu)化對違規(guī)存儲或傳輸個人信息和重要數(shù)據(jù)的處罰措施�。針對關鍵信息基礎設施運營者違規(guī)在境外存儲個人信息和重要數(shù)據(jù)、或者向境外提供個人信息和重要數(shù)據(jù)的情形�����,擬將其處罰措施調(diào)整為“依照有關法律�、行政法規(guī)的規(guī)定處理、處罰”�,將增強《網(wǎng)絡安全法》與《數(shù)據(jù)安全法》《個人信息保護法》的銜接,提升了網(wǎng)絡安全法律體系的整體協(xié)調(diào)性。 三�����、引入從輕�、減輕、不予行政處罰情形�����,激勵運營者主體參與網(wǎng)絡安全治理 網(wǎng)絡安全是一項系統(tǒng)工程�,涉及的領域廣、方面多�����,大多數(shù)網(wǎng)絡安全事件和風險都具有跨地區(qū)�����、跨部門�����、跨行業(yè)的特點�����。僅僅依靠單一個體防御已經(jīng)無法應對復雜的網(wǎng)絡安全形勢�,迫切需要發(fā)揮政府、企業(yè)�����、社會組織等各種主體作用�,加強網(wǎng)絡安全協(xié)作。其中�����,網(wǎng)絡運營者承擔著網(wǎng)絡和信息系統(tǒng)安全防護的實際工作�,在網(wǎng)絡安全事件應對、風險防范等工作中占有重要地位�����,網(wǎng)絡運營者的參與對加強網(wǎng)絡安全防護至關重要�����。 此次修改擬引入情節(jié)輕微情形下的豁免機制�,即對網(wǎng)絡運營者存在主動消除或減輕違法行為危害后果、違法行為輕微并及時改正且沒有造成危害后果或者初次違法且危害后果輕微并及時改正等情形的,依照《行政處罰法》的規(guī)定從輕�����、減輕或者不予行政處罰�����。這一機制的引入具有重要意義�����,一方面�����,它有利于引導運營者主體自覺遵守法律法規(guī)�����,減輕其合規(guī)負擔�,避免因輕微違法而面臨嚴厲處罰�;另一方面,它能夠有效打消運營者主體的顧慮�����,激勵其主動配合網(wǎng)絡安全管理,積極履行網(wǎng)絡安全義務�,更好地發(fā)揮其主體作用。 《網(wǎng)絡安全法》的修改是適應新時代網(wǎng)絡安全需求的重要舉措�。在全球網(wǎng)絡安全形勢日益嚴峻的背景下,為進一步加強網(wǎng)絡威脅發(fā)現(xiàn)及防御能力�����,有效應對國家級有組織網(wǎng)絡攻擊�,需要綜合發(fā)揮各方作用,共同打造國家網(wǎng)絡安全縱深防御體系�����。此次修改結合當前網(wǎng)絡安全工作實際�,通過增強法律威懾力、細化責任體系�����、引入豁免機制等創(chuàng)新舉措�,加強了網(wǎng)絡安全領域相關法律法規(guī)的協(xié)同性,提升了法律的威懾力和執(zhí)行力�,促進了運營者主體履行網(wǎng)絡安全義務的積極性�,將為維護國家網(wǎng)絡安全�、建設網(wǎng)絡強國提供更堅實的法治保障。
來源:網(wǎng)信中國
