网络安全法拟作出四部分修改，长扬科技给出七条建议

据新华社消息，国家网信办会同相关部门起草的《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》已于14日公布，向社会公开征求意见。这是《网络安全法》于2017年6月1日发布实施5周年以来，迎来的首次修订。

网络安全法自施行以来，为维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，提供了有力法律保障。随着我国不断完善网络安全和数据安全等法律法规，不断健全相关法律法规体系，做好网络安全法与新实施的法律之间衔接协调，完善法律责任制度十分必要。

此次拟对网络安全法作出四部分修改，包括：完善违反网络运行安全一般规定的法律责任制度，修改关键信息基础设施安全保护的法律责任制度，调整网络信息安全法律责任制度，修改个人信息保护法律责任制度。

值得注意的是，此次修法提高了处罚的上限，最高可至5000万或者上年度营业额的5%。惩处力度的加码将促进相关企业加快落实安全合规建设工作。

四类修改内容

• 完善违反网络运行安全一般规定的法律责任制度。

结合当前网络运行安全法律制度实施情况，拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。

• 修改关键信息基础设施安全保护的法律责任制度。

关键信息基础设施是经济社会运行的神经中枢，为强化关键信息基础设施安全保护责任，进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。

• 调整网络信息安全法律责任制度。

适应网络信息安全工作实际，对违反网络信息安全义务行为的法律责任进行整合，调整了行政处罚幅度和从业禁止措施，新增对法律、行政法规没有规定的有关违法行为的法律责任规定。

• 修改个人信息保护法律责任制度。

鉴于个人信息保护法规定了全面的个人信息保护法律责任制度，拟将原有关个人信息保护的法律责任修改为转致性规定。

修改解读

本次修改内容只涉及《网络安全法》第六章“法律责任”部分内容，其余内容均未变动。现将修改思路和内容归纳如下：

大幅提高罚款幅度。

对企业的罚款，从最高100万，提高到5000万或上一年度营业额的5%；对个人的罚款，从最高10万元，提高到100万。

将行政处罚的幅度，从两个增加到三个。

在“一般违法行为”和“情节严重”的基础上，增加了“情节特别严重”（对应5000万罚款、5%和吊销营业执照等）。

增加行政处罚的责任形式。

对企业，新增“通报批评”的行政处罚形式。

对个人，在从业禁止措施上，在此前规定的“禁止一定期限内禁止从事网络安全管理和网络运营关键”之外，新增“一定期限内禁止担任董事、监事、高级管理人员”。

法律条文合并。

将此前的多个条文，合并或整合为一个条文，行文更加精简。

剥离了法律责任：数安的归数安，个保的归个保。

此前的《网络安全法》，承担着保护关基、个人信息的功能，由于新法的颁布，本次修改将属于数安和个保的法律责任进行剥离。其一，关基数据出境的构成要件和法律责任，将根据《数据出境安全评估办法》、《数据安全法》第四十六条以及《个人信息保护法》第六十六条等条文解决。其二，侵犯个人信息主体权利的法律责任，由个保法解决。

加强对“违法信息内容” 的监管，增加兜底条款网住“漏网之鱼”。

此前规定：关于“违法信息内容”的法律责任，其他法律法规有规定的，从其规定。为避免遗漏，本次新增一条：其他法律法规没有规定的情况下，依据《网络安全法》的三档违法程度进行处罚。

长扬建议

征求意见稿将罚款的上限调整到五千万元或者上一年度营业额的百分之五，甚至可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，这极大地提高了大型企业的违法成本，相关政企单位需加大对企业数据合规制度构建的重视程度。

一. 时刻牢记“合法合规不越线”的基本经营准则，在《中华人民共和国网络安全法》的基本框架内开展一切生产经营活动，满足等级保护要求，以及“系统建设与安全建设同步规划、同步建设、同步使用”的三同步原则，决不越雷池半步。

二. 在落实和提升网络安全全生命周期的相关能力建设的过程中，应遴选和采购经安全审查过的网络产品或者服务，尤其是涉及国计民生的关键信息基础设施行业，应优先选择自主可控的国产软硬件产品。

三. 网络安全建设不能单一地依赖于某一款或某几款产品，应建设一套完整的“事前有防范、事中有监测、事后有追溯”的安全纵深防御体系，形成具有主动防御和协同运营能力的新一代网络安全保障体系，实现工业信息系统长期安全稳定运行。

四. 建立以“资产、漏洞、威胁”为核心的安全监测运营闭环处置体系。实现从网络安全数据的采集、监测、防御、分析、处置、考核一体化全过程管理。通过利用平台级大数据安全建模，针对输入的多源日志、流量进行实时分析、关联分析，进行事件的聚合、精简、挖掘，对事件进行漏洞、资产关联分析，将系统实时风险全状况尽收眼底，切实提升运营者的整体防护能力。

五. 明确网络安全第一责任人，在系统生命周期各阶段明确责任部门及安全职责，同时明确责任分工，责任到人，在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。

六. 加强网络安全人才队伍的建设。通过网络安全理论和实战培训，加强对工业控制系统安全知识、最新网络安全事件、安全政策解读、安全技术、应急演练、安全攻防等相关知识的培训。打造既具备网络安全专业技术能力，又具备业务场景化规划建设能力的专业、复合型的工业网络安全专业人才，并制定吸引、稳定人才的措施，以确保人才不外流。

七. 提供足够的资金保障。最好在每年预算中规划出一定数额的资金，专款专用，与此同时，在进行基本建设和技术改造时，要充分考虑安全建设的需求。

关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》意见的通知

为了做好《中华人民共和国网络安全法》与相关法律的衔接协调，完善法律责任制度，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，我办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，现向社会公开征求意见。公众可通过以下途径和方式反馈意见：

1.通过电子邮件将意见发送至：law@cac.gov.cn。

2.通过信函将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络法治局，邮编：100044，并在信封上注明“《网络安全法》意见”。

意见反馈截止时间为2022年9月29日。

国家互联网信息办公室

2022年9月12日

关于修改《中华人民共和国网络安全法》的决定（征求意见稿）

一、将第五十九条、第六十条、第六十一条、第六十二条修改为：“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的，由有关主管部门责令改正，给予警告、通报批评；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节特别严重的，由省级以上有关主管部门责令改正，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”

二、将第六十三条、第六十七条修改为：“违反本法第二十七条、第四十六条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，或者设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。”

三、将第六十四条修改为：“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定，侵害个人信息依法得到保护的权利的，依照有关法律、行政法规的规定处罚。”

四、将第六十五条修改为：“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

将第六十六条修改为：“关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，依照有关法律、行政法规的规定处罚。”

五、将第六十八条、第六十九条修改为：“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务，或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的，或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的，由有关主管部门责令改正，给予警告、通报批评，没收违法所得；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

情节特别严重的，由省级以上有关主管部门责令改正，没收违法所得，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”

六、将第七十条修改为：“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。

法律、行政法规没有规定的，由有关主管部门责令改正，给予警告、通报批评，没收违法所得；拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

情节特别严重的，由省级以上有关主管部门责令改正，没收违法所得，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”

此外，对条文序号作了相应调整。