(网经社讯)2022年9月14日,国家互联网信息办公室(以下简称“网信办”)发布关于征求《关于修改<中华人民共和国网络安全法>的决定(征求意见稿)》(以下简称“《征求意见稿》”)意见的通知[1],意见征求截止日期为9月29日。
该《征求意见稿》为《中华人民共和国网络安全法》(以下简称“《网络安全法》”)自2017年正式施行以来的首次修订,旨在与2021年相继修订的《中华人民共和国行政处罚法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等法律进行衔接协调,以完善法律责任制度,进一步保障网络安全。
本次修订主要调整《网络安全法》第六章“法律责任”[2]部分,对于违反网络运行安全、用户个人信息保护、关键信息基础设施安全保护、网络信息安全的行为加大处罚力度,并对其中特定责任条款作出转致性规定,具体修订内容详见下文。
一、完善违反网络运行安全一般规定的法律责任制度
《征求意见稿》将违反网络运行安全保护义务的法律责任统一规定至“第一款”及“第二款”中。
(一)《征求意见稿》第一款
1、调整法律责任逻辑
现行《网络安全法》将网络运营者[3]、关键信息基础设施的运营者[4]违反网络运行安全保护义务的法律责任,分散规定于第五十九条至第六十二条中,而《征求意见稿》将上述条文整合为“第一款”,对违反该类义务的行为制定统一的处罚标准。
《征求意见稿》第一款中指明的网络运行安全保护义务(规定于《网络安全法》第二十一条至第二十六条、第二十八条、第三十三条至三十四条、三十六条、三十八条)主要包括:1)网络运营者应按照网络安全等级保护制度要求,履行安全保护义务;2)网络产品及服务应符合国家标准强制要求,网络产品及服务提供者应对前者提供安全维护;3)网络关键设备和网络安全专用产品应由具备资格的机构安全认证合格或安全检测符合要求后,方可销售和提供;4)网络运营者应要求用户提供真实身份信息,否则不得向其提供服务;5)网络运营者应制定网络安全事件预案并及时处置安全风险;6)网络运营者应遵守国家规定开展网络安全认证、检测、风险评估、安全信息发布等活动;7)网络运营者应为公安机关、国家安全机关维护国家安全和侦查犯罪活动提供技术支持和协助;8)关键信息基础设施运营者应确保其具有业务持续稳定运行的性能、履行额外的安全保护义务、与网络产品和服务的提供者签订安全保密协议、进行年度风险监测评估及报送。
相较现行《网络安全法》,《征求意见稿》将原本未设置法律责任的“网络关键设备和安全专用产品的认证检测义务”、以及法律责任原本设置于第六十九条的“网络运营者的技术支持和协助义务”列入网络运行安全保护义务的法律责任条款中。同时,将原有的“电子信息和应用软件的信息安全要求”,列入后文的网络信息安全法律责任条款中,使得法律责任条款的分配更具有整体性及逻辑性。
2、调整行政处罚种类及幅度
《征求意见稿》第一款在整合法律责任规定的同时,也相应增加了针对违法行为的行政处罚种类并提高行政处罚幅度,具体而言:
(1)制定三级行政处罚标准
《征求意见稿》第一款将现有的两级行政处罚标准修订至三级,分别为:
第一级:违反网络运行安全保护义务或者导致危害网络运行安全等后果;
第二级:拒不改正或情节严重;
第三级:违法行为情节特别严重。
(2)提高行政处罚幅度
《征求意见稿》第一款针对“拒不改正或情节严重”(第二级)的违法企业,行政处罚金额统一提升至单位罚款最高一百万元、主管及直接责任人罚款一万至十万元;针对“违法行为情节特别严重”(第三级)的违法企业,通过引入比例罚款制度将行政处罚金额统一提升至“单位罚款最高五千万元,或者罚款最高上一年度营业额的百分之五”,以大幅提高罚金上限。
据中国科学技术大学公共事务学院网络空间安全学院教授左晓栋[5]表示,《征求意见稿》之所以作出这样的修改,是为解决行政机关针对不同体量企业进行罚款的难题。现行《网络安全法》的罚则需同时适用于各种体量的网络运营者,为照顾小型运营者的利益,立法者不得不将处罚幅度设置的较低,导致该法对大型互联网头部企业失去了威慑力,此次修订改变了该法的处罚标准和幅度,针对运营者严重的违法行为(第三级处罚标准),将按照上限五千万元,或者上一年度营业额的百分之五进行罚款,该修改将大幅增加行政处罚的威慑力。
(3)引入行政处罚种类
《征求意见稿》第一款引入“通报批评”作为行政处罚措施之一,为网信办在执法实践中对违法企业的通报点名行为提供法律依据,该修订或意味着通报批评将成为网络安全主管部门今后处罚企业的常用手段。
同时,第一款吸纳《个人信息保护法》的立法经验,引入“直接负责人的从业禁止”措施,通过可能“禁止高管或其他直接负责人在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”的规定,增强直接负责人履职的责任感,以更好的促进并监督企业履行网络运行安全保护义务。
*法条对比请见下表,修改部分以红色字体表示:
《网络安全法》 | 《征求意见稿》 |
第五十九条 网络运营者不履行本法第二十一条(网络安全等级保护制度)、第二十五条(网络运营者针对网络安全事件的应急处置)规定的网络安全保护义务的; 法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条(关键信息基础设施建设的安全要求)、第三十四条(关键信息基础设施运营者的安全保护义务)、第三十六条(关键信息基础设施采购的安全保密义务)、第三十八条(关键信息基础设施的定期安全监测评估)规定的网络安全保护义务的; 法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 | 第一款 违反本法第二十一条、第二十二条第一款和第二款、第二十三条(网络关键设备和安全专用产品的认证检测)、第二十四条第一款、第二十五条、第二十六条、第二十八条(网络运营者的技术支持和协助义务)、第三十三条、第三十四条、第三十六条、第三十八条规定(修改后版本,在此处删去第四十八条第一款的法律责任)的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评; 拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
|
第六十条 违反本法第二十二条第一款、第二款(网络产品和服务提供者的安全义务)和第四十八条第一款(电子信息和应用软件的信息安全要求)规定,有下列行为之一的: (一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。 法律责任:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: | |
第六十一条 网络运营者违反本法第二十四条第一款(网络用户身份管理制度)规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的; 法律责任:由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | |
第六十二条 违反本法第二十六条(开展网络安全认证活动以及发布网络安全信息应遵守规定)规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的; 法律责任:由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。 |
(二)《征求意见稿》第二款
现行《网络安全法》将任何个人和组织从事危害网络安全的行为的法律责任,分散规定于第六十三条及第六十七条中,而《征求意见稿》将上述条文整合为“第二款”,对该类违法行为制定统一的处罚标准,并增加处罚力度。
《征求意见稿》第二款提高了行政处罚的幅度,针对尚不构成犯罪的违法个人,处罚金额统一提升至“五万至五十万元”,情节较重的则统一提升至“十万至一百万元”。针对尚不构成犯罪的违法企业,处罚金额统一提升至“十万至一百万元”。
值得注意的是,该款保留了现行《网络安全法》第六十三条规定的“从业禁止”措施,与第一款新增的从业禁止措施不同的是,该从业禁止限制的主体包括从事危害网络安全行为且受到治安管理/刑事处罚的任何人员。
*法条对比请见下表,修改部分以红色字体表示:
《网络安全法》 | 《征求意见稿》 |
第六十三条 违反本法第二十七条(禁止危害网络安全的行为)规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助; 法律责任:尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。 单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 | 第二款 违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。 单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 |
第六十七条 违反本法第四十六条(禁止利用网络从事与违反犯罪相关的活动)规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息; 法律责任:尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。 单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 |
二、修改个人信息保护法律责任制度
由于现行《网络安全法》实施时,《个人信息保护法》还未纳入全国人大的立法规划[6],立法者为满足公众对于个人信息保护的需求,将提供网络产品或服务时可能涉及的个人信息保护问题(收集个人信息的合法性、使用个人信息的限制、用户的信息删除权及更正权)纳入了《网络安全法》的规制范围。
鉴于2021年实施的《个人信息保护法》对个人信息保护义务规定了更为全面细致的法律责任制度,《征求意见稿》第三款将该类法律责任修改为转致性规定,即如果网络运营者、网络产品或服务的提供者违反个人信息保护的相关义务,则按照《个人信息保护法》等法律法规的规定进行处罚。根据《个人信息保护法》第六十六条规定:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款”,该转致性规定实质提高了个人信息保护违法行为的处罚上限,且该规定将统一个人信息保护相关法律责任的处罚标准,避免相同违法行为被处以不同处罚。
*法条对比请见下表,修改部分以红色字体表示:
《网络安全法》 | 《征求意见稿》 |
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款(网络产品和服务提供者收集用户信息需取得同意)、第四十一条至第四十三条(个人信息收集使用规则、网络运营者的个人信息保护义务、个人信息的删除权和更正权)规定; 法律责任:侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条(禁止非法获取、买卖、提供个人信息)规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息; 法律责任:尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 | 第三款 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。
|
三、修改关键信息基础设施安全保护的法律责任制度
关键信息基础设施是经济社会运行的神经中枢,为强化关键信息基础设施的安全保护责任,进一步完善关键信息基础设施运营者有关违法行为的行政处罚规定,《征求意见稿》将关键信息基础设施运营者的安全保护法律责任整合进“第四款”,对该类法律责任进行转致性规定,并增加行政处罚力度。
《征求意见稿》第四款所规定的法律责任主要针对关键信息基础设施运营者的两种违法行为,包括未经安全审查采购关健信息基础设施使用的网络产品或服务[7]以及违反关键信息基础设施数据境内存储和对外提供的要求。
其中,针对关键信息基础设施运营者的第一种违法行为,《征求意见稿》第四款引入比例罚款制度,将对运营者处以“最高上一年度营业额百分之五的罚款”,提高罚款上限。
针对关键信息基础设施运营者第二种违法行为,《征求意见稿》第四款对相关法律责任作出转致性规定,即运营者在境外存储网络数据或者向境外提供网络数据的将根据《数据安全法》及《个人信息保护法》等相关法律法规的规定进行处罚。根据《数据安全法》第四十六条规定:“违反本法规定向境外提供重要数据的,可以并处十万元以上一百万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,直接负责的主管人员及其他责任人员处十万元以上一百万元以下罚款”,以及上文提及的《个人信息保护法》第六十六条规定(处五千万元以下或者上一年度营业额百分之五以下罚款),该转致性规定实质性提高了处罚力度并促使三部法律合理衔接。
*法条对比请见下表,修改部分以红色字体表示:
《网络安全法》 | 《征求意见稿》 |
第六十五条 关键信息基础设施的运营者违反本法第三十五条(关键信息基础设施采购的国家安全审查)规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的; 法律责任:由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | 第四款 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
第六十六条 关键信息基础设施的运营者违反本法第三十七条(关键信息基础设施数据的境内存储和对外提供)规定,在境外存储网络数据,或者向境外提供网络数据的; 法律责任:由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | 第四款 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。
|
四、调整网络信息安全法律责任制度
为适应网络信息安全工作实际,《征求意见稿》第五款与第六款对违反网络信息安全义务行为的法律责任进行整合,调整了行政处罚幅度和从业禁止措施,并新增对法律、行政法规未规定的有关违法行为的法律责任规定。
(一)调整法律责任逻辑
《征求意见稿》第五款中指明的网络信息安全义务(规定于《网络安全法》第四十七条、第四十八条、第四十九条、第六十九条第一款、新增义务)主要包括:1)网络运营者应加强对用户发布信息的管理;2)任何个人和组织发送的电子信息、提供的应用软件均不得设置恶意程序,不得含有禁止发布或传输的信息,电子信息发送服务提供者及应用软件下载服务提供者应履行安全管理义务;3)网络运营者应建立网络信息安全投诉举报制度;4)应按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的;5)应按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施。
《征求意见稿》将原本分散于《网络安全法》数条规定中的网络信息安全法律责任合并至第五款,促使法律责任规定变得清晰简单。同时,《征求意见稿》第五款将原本未设置法律责任的“网络运营者的投诉举报及配合监督检查义务”以及“应按照规定对安全事件采取处置措施的义务”列入网络信息安全法律责任条款,这意味着网络运营者将面临更严格的网络信息安全保护义务,若网络运营者未及时处理相关投诉举报、或未及时采取措施消除网络安全事件的影响,都有可能面临处罚风险。
(二)调整行政处罚种类及幅度
《征求意见稿》第五款及第六款对行政处罚种类及幅度的调整与第一款类似,也将现有的两级行政处罚标准修订至三级:针对“违法行为情节特别严重”(第三级)的违法企业,引入比例罚款制度,将行政处罚金额统一提升至“单位罚款一百万至五千万元,或者罚款最高上一年度营业额的百分之五”。同时引入“通报批评”及“直接负责人的从业禁止”作为行政处罚措施,以更好的促进并监督企业履行网络信息的安全管理义务。
*法条对比请见下表,修改部分以红色字体表示:
《网络安全法》 | 《征求意见稿》 |
第六十八条 网络运营者违反本法第四十七条(网络运营者处置违法信息的义务)规定; 法律责任:对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款(电子信息和应用软件提供者处置违法信息的义务)规定的安全管理义务的,依照前款规定处罚。 | 第五款 违反本法第四十七条、第四十八条(第一款为电子信息和应用软件的信息安全要求)、第四十九条(网络运营者投诉举报及配合监督检查的义务)规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。 |
第六十九条 网络运营者违反本法规定,有下列行为之一的:, (一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的; (二)拒绝、阻碍有关部门依法实施的监督检查的; (三)拒不向公安机关、国家安全机关提供技术支持和协助的。 法律责任:由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款: | |
第七十条 发布或者传输本法第十二条第二款(不得发布危害国家安全等扰乱社会秩序的信息)和其他法律、行政法规禁止发布或传输的信息的; 法律责任:依照有关法律、行政法规的规定处罚。 | 第六款 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。 法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。 |
五、企业应对建议
(一)重新梳理《网络安全法》下的义务清单
《征求意见稿》整合了现行《网络安全法》下的部分义务,新增了特定义务的法律责任条款,与《数据安全法》以及《个人信息保护法》中的义务进行衔接,并在此基础上大幅提高违反义务所导致的行政罚款,经修订后的违法单位最高罚款可达五千万或上年度营业额的百分之五。
企业作为网络运营者,应根据《征求意见稿》提出的新要求,重新梳理企业的网络安全相关合规义务及对应的法律责任,重点注意本次修改的“网络运行安全、用户个人信息保护、关键信息基础设施安全保护、网络信息安全义务”及相关法律责任,并制定合规义务清单,以开展合规义务的符合性评估工作,避免违反义务导致高额罚款。
其中,企业若为关键信息基础设施运营者,还需结合《网络安全审查办法》、《关键信息基础设施安全保护条例》等相关法律法规的要求,落实网络产品或服务网络安全审查的自查评估,并结合《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等法律法规的要求,落实数据出境安全评估,避免触及其他法规项下更严格的处罚机制。
(二)落实员工培训
由于《征求意见稿》在法律责任部分引入禁业限制并提高直接责任人的罚款金额,企业作为网络运营者应制定培训计划,针对企业高管以及其他直接负责的业务管理层,开展网络安全意识和技能培训,提高企业高管及其他负责人的履职意识以及风险意识,避免企业的管理人员适用《征求意见稿》的高额罚款,甚至面临禁业和刑事责任的风险。
(三)关注立法动态
《征求意见稿》的发布,在一方面适应时代发展趋势,调整处罚种类并提高处罚力度,在另一方面与其他法律进行紧密衔接,使各类法律条款协调统一简洁明了。但该《征求意见稿》尚在征求意见阶段,最终是否能解决《网络安全法》下的处罚困境并实现不同法律同步适用的协调性问题,仍需企业及社会各界持续关注。企业应持续追踪该法的后续动态,以及时调整并完成网络安全合规工作。
