《網絡安全法》作為我國網絡安全領域的基礎性法律,自2017年施行以來,在維護網絡空間主權、國家安全、社會公共利益以及保護公民、法人和其他組織合法權益等方面發揮了重要作用。然而,隨著網絡空間的復雜性和不確定性不斷增強,網絡攻擊、數據泄露、關鍵信息基礎設施威脅等事件頻發,有關法律制度已難以適應新的風險挑戰。近日,國家網信辦會同相關部門起草了《網絡安全法(修正草案再次征求意見稿)》(以下簡稱“征求意見稿”),從征求意見稿來看,主要是做好與《數據安全法》《個人信息保護法》等相關法律法規的銜接協調,完善法律責任制度,將進一步保障網絡安全。
近年來,網絡攻擊手段不斷升級,我國面臨的網絡安全形勢日益嚴峻復雜。一是個人信息和重要數據泄露風險頻發。販賣個人信息和重要數據獲利成為黑產的主要手段之一,一些聯網數據庫存在未授權訪問或弱口令漏洞,容易導致姓名、身份證號、手機號等數據泄露。二是勒索軟件攻擊呈持續增長趨勢。勒索攻擊的主流威脅形態已經演變成“勒索軟件即服務(RaaS)+定向攻擊”收取高額贖金的模式,制造、醫療、金融、建筑、能源和公共管理等行業頻繁成為勒索攻擊的目標。2024年全球公開披露的勒索軟件攻擊事件超過5700起,我國某金融機構駐外子公司被勒索組織Hunters攻擊,泄露數據量達6.6TB。三是網絡安全漏洞風險依然嚴峻。2024年,國家信息安全漏洞共享平臺(CNVD)共收錄通用軟硬件漏洞1.8萬個,其中高危漏洞占比達46.4%。“微軟藍屏”事件雖然并非安全漏洞,但也導致全球超過850萬臺設備運行故障,造成巨大經濟損失。隨著大數據、云計算、人工智能等新技術的廣泛應用,網絡安全技術的應用場景也越來越廣泛,勢必也將引入新的安全風險。 在此形勢下,增強法律威懾力已成為修改《網絡安全法》的必然要求。部分企業為追求經濟利益,忽視網絡安全責任,導致數據泄露、網絡攻擊、安全漏洞等事件和風險頻發。而現行《網絡安全法》對違法主體的處罰額度較低,這對其經濟利益影響較為有限,也遠低于數據泄露所造成的經濟損失和社會影響。 此次修改擬完善法律責任制度,規定造成嚴重或特別嚴重危害網絡安全后果等違法情形的法律責任,并通過提高罰款金額、增加處罰種類等措施加大了相關違法行為的處罰力度。一是擬明確對造成數據泄露嚴重后果的處罰措施。對網絡運營者不履行網絡安全保護義務造成大量數據泄露等嚴重危害網絡安全后果的,擬規定最高可處以二百萬元罰款,并可以責令暫停相關業務、停業整頓、關閉網站或者應用程序、吊銷相關業務許可證或者吊銷營業執照。二是擬明確對違法銷售或提供網絡關鍵設備和網絡安全專用產品的處罰措施。對違反本法第二十三條銷售或者提供未經安全認證、安全檢測或者安全認證不合格、安全檢測不符合要求的網絡關鍵設備和網絡安全專用產品的,擬規定由有關主管部門責令改正或停止違法行為,給予警告、沒收違法產品和違法所得,根據違法所得金額處以不同數額的罰款。三是擬加大對網絡運營者等主體不履行網絡信息安全管理義務的處罰力度。造成特別嚴重影響、特別嚴重后果的情形擬明確最高可處以一千萬元罰款,并可以責令暫停相關業務、停業整頓、關閉網站或者應用程序、吊銷相關業務許可證或者吊銷營業執照,同時對直接負責的主管人員和其它責任人員最高處以一百萬元罰款。這將提高違法成本,促使主動建立健全網絡安全管理制度,提升網絡安全技術防護能力,落實網絡運營者主體責任,并對潛在的違法者形成更強的威懾,有效遏制網絡違法犯罪行為的發生。 關鍵信息基礎設施是關系到國家安全、國計民生和公共利益的重要基礎設施,受地緣政治和國家間沖突的影響,某些組織通過分布式拒絕服務(DDoS)攻擊、系統漏洞、網絡釣魚、勒索軟件等方式,對我國能源、交通、金融、公共、通信、科技等重要領域實施網絡攻擊,竊取重要敏感數據,將網絡空間演變成為國家博弈的重要戰場。2023年5月起,我國某大型高科技企業遭疑似境外機構網絡攻擊,其郵件服務器被控制并植入后門程序,并以此為跳板攻擊該公司及下屬企業30余臺設備,大量郵件數據和商業秘密信息被竊取。2024年8月,我國某研究單位遭疑似境外機構網絡攻擊,270余臺主機被控,大量商業秘密信息被竊取。 強化關鍵信息基礎設施運營者的網絡安全主體責任,是保障國家網絡安全的關鍵環節。此次修改進一步完善了關鍵信息基礎設施安全保護的法律責任制度,有利于推動其更好地落實網絡安全主體責任、加強安全防護。一是明確對不履行義務導致關鍵信息基礎設施喪失功能情形的處罰措施。關鍵信息基礎設施運營者不履行網絡安全保護義務,造成關鍵信息基礎設施喪失局部功能等嚴重危害網絡安全后果的,擬規定最高可處以二百萬元罰款,造成喪失主要功能等特別嚴重危害網絡安全后果的,最高可處以一千萬元罰款,并可以責令暫停相關業務、停業整頓、關閉網站或者應用程序、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員處以相應罰款。二是優化對違規使用網絡產品或服務的處罰措施。關鍵信息基礎設施運營者違規使用未經安全審查或者安全審查未通過的網絡產品或者服務的,其處罰措施擬由現行法律規定的“責令停止使用”調整為“責令限期改正、消除對國家安全的影響”,為關鍵信息基礎設施運營者兼顧安全與發展提供了空間。三是優化對違規存儲或傳輸個人信息和重要數據的處罰措施。針對關鍵信息基礎設施運營者違規在境外存儲個人信息和重要數據、或者向境外提供個人信息和重要數據的情形,擬將其處罰措施調整為“依照有關法律、行政法規的規定處理、處罰”,將增強《網絡安全法》與《數據安全法》《個人信息保護法》的銜接,提升了網絡安全法律體系的整體協調性。 三、引入從輕、減輕、不予行政處罰情形,激勵運營者主體參與網絡安全治理 網絡安全是一項系統工程,涉及的領域廣、方面多,大多數網絡安全事件和風險都具有跨地區、跨部門、跨行業的特點。僅僅依靠單一個體防御已經無法應對復雜的網絡安全形勢,迫切需要發揮政府、企業、社會組織等各種主體作用,加強網絡安全協作。其中,網絡運營者承擔著網絡和信息系統安全防護的實際工作,在網絡安全事件應對、風險防范等工作中占有重要地位,網絡運營者的參與對加強網絡安全防護至關重要。 此次修改擬引入情節輕微情形下的豁免機制,即對網絡運營者存在主動消除或減輕違法行為危害后果、違法行為輕微并及時改正且沒有造成危害后果或者初次違法且危害后果輕微并及時改正等情形的,依照《行政處罰法》的規定從輕、減輕或者不予行政處罰。這一機制的引入具有重要意義,一方面,它有利于引導運營者主體自覺遵守法律法規,減輕其合規負擔,避免因輕微違法而面臨嚴厲處罰;另一方面,它能夠有效打消運營者主體的顧慮,激勵其主動配合網絡安全管理,積極履行網絡安全義務,更好地發揮其主體作用。 《網絡安全法》的修改是適應新時代網絡安全需求的重要舉措。在全球網絡安全形勢日益嚴峻的背景下,為進一步加強網絡威脅發現及防御能力,有效應對國家級有組織網絡攻擊,需要綜合發揮各方作用,共同打造國家網絡安全縱深防御體系。此次修改結合當前網絡安全工作實際,通過增強法律威懾力、細化責任體系、引入豁免機制等創新舉措,加強了網絡安全領域相關法律法規的協同性,提升了法律的威懾力和執行力,促進了運營者主體履行網絡安全義務的積極性,將為維護國家網絡安全、建設網絡強國提供更堅實的法治保障。
來源:網信中國
版權所有;長治市城鎮熱力有限公司 聯系電話:0355-2250681 地址:長治市高新開發區 ICP備案號:晉ICP備19010096號
