清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

熟悉飒姐团队的老友都知道,飒姐致力于帮助新科技领域的从业者(尤其是创业者)解决法律问题。而新科技领域尤其是Web3相关领域的法律合规一定绕不开一个词——网络空间治理与监管,再直白一点说,一定绕不开网络安全法与个人信息保护法。而网络安全法就是今天飒姐团队要唠的主角。

熟悉网安法动态的老友们一定知道就在两天前,也就是3月28日,国家网信办公布了《网络安全法(修正草案再次征求意见稿)》(以下简称“意见稿”),今天,飒姐团队就带大家简要分析一下该意见稿的核心要点,助力在新科技领域打拼的老友理解监管的新思路。

法律责任制度全面强化

意见稿对于违法行为法律责任制度全面强化主要体现在三个方面,也就是“加大罚款数额、细化违法情形分类和新增若干禁令”。

首先就是加大罚款数额,现行《网络安全法》对违法行为的罚款额度实际上是比较低的,例如现行网安法对网络运营者未履行安全义务的罚款上限为50万元,这点钱基本上就属于“罚酒三杯”了。意见稿则根据违法后果的严重性,将罚款上限大幅提高至1000万元。比如意见稿规定,“造成大量数据泄露或关键信息基础设施丧失局部功能的,罚款上限从50万元提升至200万元;若导致关键信息基础设施丧失主要功能,罚款最高达1000万元”。

其次就是所谓的“丧失主要功能”和“丧失局部功能”,这就是飒姐团队归纳的细化违法情形分类。无论是网络安全法还是个人信息保护法,对于法律后果的描述之前大致都是“造成严重后果”或“造成特别严重的后果”。而修正案则对于违法情形及其后果进行了进一步细化,出现了“丧失局部功能”与“丧失主要功能”说法,使得执法更具有可操作性。

最后就是新增了若干禁令。意见稿新增了若干的禁止性条款,如意见稿明确规定了销售不合格网络设备的禁令,即“明确禁止提供未经安全认证或检测的设备,填补了现行法对供应链安全监管的空白。又如意见稿强化了违规使用境外存储的禁令,即关键信息基础设施运营者违规在境外存储或传输数据,将直接适用《数据安全法》等专门法处罚,强化跨境数据流动的合规要求。

以上三大点都展现出了意见稿对于法律责任制度的全面强化,一言以蔽之,网络安全法的规制越来越细致,罚则越来越严重。

专门强调CII保护

CII保护即关键信息基础设施保护,从整体看现行的网络安全法对于CII运营者的义务规定较为原则化,而意见稿则进行了全面责任强化

还是以前面提到的例子来说明,CII运营者使用未经安全审查的网络产品或服务,处罚措施从“责令停止使用”调整为“限期改正+消除国家安全影响”,同时处以采购金额1-10倍罚款。这一调整既给予整改空间,又通过经济处罚倒逼合规采购;

再举个容易理解的例子,某在全国有重要影响的金融机构就是很典型的CII运营者,该机构如果因为系统漏洞,导致哪怕15分钟左右的支付功能瘫痪,按照新的意见稿,其也可能被认定为“主要功能丧失”,而这样的CII运营者如果出现以上后果,最高可面临千万元的罚款。

同时意见稿也注意了不同法律之间的衔接,比如意见稿删除了现行法中关于CII数据出境的具体罚则,转而规定“依照《数据安全法》处理”,避免了法律冲突,也体现了立法体系的协调性。

豁免机制引入

除了以上两点“从严”的成分,意见稿也在某种程度上实现了刚柔并济,比如意见稿新增了从轻、减轻或不予处罚”的情形,包括规定了“主动消除危害后果”的情形,例如企业发现数据泄露后及时补救并报告,可能免于处罚;规定了“初次违法且后果轻微”的情形,这就为中小企业提供了容错空间,避免“一刀切”执法对企业生存的冲击。同时豁免机制的引入也与《行政处罚法》衔接,要求主管部门制定裁量基准,既保障执法统一性,又鼓励企业建立内部合规体系。

简单的对比

飒姐团队简单总结了一下现行网络安全法与目前意见稿的核心差异,供各位老友参考:

写在最后

飒姐团队提醒各位老友以及帮助新科技领域从业者奋斗在第一线的法务或律师同仁们,此次修正草案通过提高违法成本、细化责任分类、引入柔性执法,构建了更具威慑力与灵活性的网络安全法律体系。

对企业而言,合规风险与成本上升已成定局,但豁免机制也为主动合规提供了激励。相关法务或者律师在处理相关案件时,需重点关注“后果严重性”的举证、多部法律的交叉适用,以及豁免情形的认定标准,从而为客户提供精准的法律护航。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。