近日，国家互联网信息办公室发布《关于修改的决定（征求意见稿）》（以下简称“《征求意见稿》”），向社会公开征求意见。《网络安全法》（以下简称“《网安法》”）于2017年正式实施，是我国网络领域的第一部专业性法律。随着近年来信息技术的发展，新的数据技术安全风险时有发生，个人信息保护也在不断面临更为严峻的挑战，《数据安全法》、《个人信息保护法》（以下简称“《个保法》”）相继出台，《网安法》也到了作出调整，以适应现阶段形势的时候。

本次修订共涉及四个方面，包括违反网络运行安全一般规定的法律责任制度、关键信息基础设施安全保护的法律责任制度、网络信息安全法律责任制度、个人信息保护法律责任制度，拟调整七处，我们梳理如下：

一、完善违反网络运行安全一般规定的法律责任制度

修改要点：新增了违反《网安法》第二十三条[1]、第二十八条[2]的法律责任及“情节特别严重的”处罚；对于一般的违法行为，新增“通报批评”这一处罚方式；加大了网络运营者的处罚力度、上调网络运营者的罚款上限；除“直接负责的主管人员”，“其他直接责任人员”也将面临罚款处罚——进一步明确了网络运行安全法律责任。值得一提的是，在该处修改中拟引入资格罚，增加对直接责任人的从业禁止处罚。

修改关键信息基础设施安全保护的法律责任制度

修改要点：网信办在《征求意见稿》说明中指出，关键信息基础设施是经济社会运行的神经中枢，而这两处修改正是聚焦关键信息基础设施运营者。对“使用未经安全审查或者安全审查未通过的网络产品或者服务的行为”及“在境外存储网络数据或者向境外提供网络数据的行为”两种行为增加了罚则。具体来看，第六十五条新增了“上一年度营业额百分之五以下罚款”的处罚标准；第六十六条通过法律责任条款转致，提高罚款金额标准，加强责任处罚力度。

三、调整网络信息安全法律责任制度

修改要点：除了个人罚款上限的提高，更值得关注的是，此处的禁业规定：如受到治安管理处罚或刑事处罚，任何组织和个人都可能成为处罚对象。

修改要点：将《网安法》第四十九条第一款规定的“网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。”纳入了责任范围。同时，整体上加大处罚力度。

修改要点：针对发布违法信息内容的责任，本条扩大了其责任内容范围，扩展《网安法》的法律责任范围，并且完善了该条所涉及的责任内容与其他现行法律法规的衔接，形成更为健全的处罚体系。

四、修改个人信息保护法律责任制度

修改要点：由于《个保法》有更完整、全面的个人信息保护法律责任制度，该处修改是对网络运营者侵犯个人信息权利法律责任转致，相应法律责任将适用《个保法》的相关规定的处罚标准。

我们来看《个保法》第六十六条的规定：违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

不难看出，《个保法》与《网安法》的规定相比更为严格、细致，此次修订从实质上提高了对网络运营者侵犯个人信息权利的处罚力度。

综上，本次《征求意见稿》中最大的两个修改亮点，一是调整行政处罚的种类和幅度，如对一般违法行为、情节严重的规定细化，不仅调整了对企业处罚的力度，也调整了对直接负责人员的处罚力度，新增的从业禁止规定，为网络运营者、负责人提高网络安全意识敲响了警钟。二是大幅提高罚金上限，加大执法力度，如按照上限5000万元或者上一年度营业额5%罚款的规定，改变了以往“一刀切”的处罚方式，更好地规制了互联网企业，尤其是头部企业的合规发展。

近年来，在网络安全、数据安全、个人信息保护等方面，不断加大执法力度已经是一种必然的趋势，本次《网安法》的修订，也再次印证了国家在立法层面对网络安全的强硬态度。违法必究、执法必严的前提是做到有法可依。在《数据安全法》、《个保法》的基础上，本次修订是对我国网络安全法律体系建设的一次完善，相信将会对我国产生更深远的影响。

[1] 《网络安全法》第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

[2] 《网络安全法》第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。