近日，国家互联网信息办公室发布了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，向社会公开征询意见。《网络安全法》自2017年施行以来，为维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，提供了有力法律保障。

一、修改背景

1.后疫情时代，全球网络安全形势日趋严峻，大规模网络攻击此起彼伏，直接影响国家安全，加强网络安全顶层设计、完善我国网络安全防护体系刻不容缓。

2.十四五规划出台，数字化社会建设进入快车道，人工智能、大数据、云计算等信息技术飞速发展。数据作为新兴核心生产要素，呈现爆发式增长，随之而来的数据安全问题越发尖锐。

3.党的十八大以来，以习近平同志为核心的党中央高度重视、统筹推进网络安全和信息化工作，《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》、《关键信息基础设施安全保护条例》等相继施行。作为国内首部网络安全领域的完善法律条文，《网络安全法》应当及时调整以适应新的政治经济形势，与其他新施行的法律条文衔接协调，共同构建完备的网络安全法律体系。

二、修改内容

1.完善违反网络运行安全一般规定的法律责任制度。

结合当前网络运行安全法律制度实施情况，拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。

2.修改关键信息基础设施安全保护的法律责任制度。

关键信息基础设施是经济社会运行的神经中枢，为强化关键信息基础设施安全保护责任，进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。

3.调整网络信息安全法律责任制度。

适应网络信息安全工作实际，对违反网络信息安全义务行为的法律责任进行整合，调整了行政处罚幅度和从业禁止措施，新增对法律、行政法规没有规定的有关违法行为的法律责任规定。

4.修改个人信息保护法律责任制度。

鉴于《中华人民共和国个人信息保护法》规定了全面的个人信息保护法律责任制度，拟将原有关个人信息保护的法律责任修改为转致性规定。

三、修改前后对比

1.处罚力度加强，企业违法成本更高

未充分履行网络运行安全保护义务或者导致危害网络运行安全等后果的，除原要求的责令改正、警告、增加通报批评外，拒不改正或情节严重的罚款上限提高，由1万-10万或5万-50万提高到100万以下。

拒不改正或情节严重的可暂停业务、关停网站、吊销营业执照等。违反21条、第22条第1款和第2款、第23条、第25条、第28条、第33条、第34条、第36条、第38条的，新增可并处责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

2.新增情节特别严重的处罚--单位高额罚款，责任到人

若情节特别严重，单位将面临高额罚款：罚金新增5000万元以下或上一年度营业额5%以下，该标准与《个人信息保护法》保持一致。

此外，单位负责人将面临10万元以上100万元以下罚款，并禁止担任董事、监事、高级管理人员和安全类关键岗位。

3.责任范围有所修整，更加明确

Ⅰ、新修订条款中，对《网络安全法》的59-62条、27条、46条、64条的责任范围进行了融合梳理，使其逻辑更清晰.

Ⅱ、调整了关键信息基础设施运营者违反境内存储与安全评估义务（第37条）所涉及的处罚标准，取消了《网络安全法》第66条中的具体处罚措施规定，代之以“依照有关法律、行政法规的规定处罚”。

Ⅲ、延续了网络运营者对用户发布信息的管理的义务内容，同时将《网络安全法》第48条的内容归纳为统一的责任内容，改变了原先第48条第1款的责任内容与第2款的责任内容分属不同法律条纹的情况。

Ⅳ、将建立网络信息安全投诉、举报制度新增纳入责任范围，网络运营者未建立相关制度、公布投诉、举报方式等信息，或未及时受理并处理有关网络信息安全的投诉和举报或配合监管部门检查的行为，可能面临处罚。

Ⅴ、删除第69条中的规定情形，并将其细化新增在其他条文中。网络运营者若不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的，或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的，即便符合《网络安全法》第47-49条规定的网络信息安全保护义务，也面临着处罚风险。

Ⅵ、除了涉及《网络安全法》第12条第2款外，延续了《网络安全法》第70条的规定，同时将“其他法律、行政法规禁止发布或者传输的信息”也纳入了责任内容范围。

4.多部法律条款合并，实现了协调统一

《个人信息保护法》对个人信息保护的处罚细则做了全面规定，对此，《网络安全法》不再规定具体的处罚细则，援引对应规定。

《数据安全法》中对关键信息基础设施运营者在境外存储网络数据或向境外提供网络数据进行了相关规定，此处不再规定具体处罚细则，援引相关内容。

四、政企单位应对措施

针对《网络安全法》的新要求，数智科技建议政企单位从以下几个方面做出应对措施：

1.时刻牢记“合法合规不越线”的基本经营准则，在《网络安全法》的基本框架内建设、运营、维护和使用网络，展开一切生产经营活动，决不越雷池半步。

2.针对本行业、本单位建立切实可行的数据安全防护体系，建立数据分类分级管理、敏感数据识别、梳理数据资产清单、加强数据交易和数据交换的全生命周期防护措施。

3.建立完善的网络安全管理制度，明确各级网络安全相关工作的分工和责任，做到分工明确，责任到人；并同步建立网络信息安全投诉、举报制度，确保单位用网合法合规。

4.建立健全的网络安全人才培训深造和能力培养的配套机制，推动建立专业技术人才的聘用制度，培养一批既懂信息化又懂网络安全技术、既懂业务又懂管理的“新技术人才”。

5.政企单位要遴选和采购经安全审查过的网络产品或者服务，负担关键信息基础设施的主管和运营，要兼顾技术先进性原则，优先使用国产软硬件产品，确保安全可控。

6.积极与主管部门、监管部门互动，化被动监管为主动上报，在安全事件预警通报、检查处置、应急响应场景中加强与网信、公安部门的协同。