《网络安全法》作为我国网络安全领域的基础性法律,自2017年施行以来,在维护网络空间主权、国家安全、社会公共利益以及保护公民、法人和其他组织合法权益等方面发挥了重要作用。然而,随着网络空间的复杂性和不确定性不断增强,网络攻击、数据泄露、关键信息基础设施威胁等事件频发,有关法律制度已难以适应新的风险挑战。
早在2022年9月,国家网信办曾经发布过《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》;2025年3月28日,国家网信办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》(“2025年修正草案”),向社会公开征求意见。
《网络安全法》到底要修订哪些条款,怎么修订?与《数据安全法》《个人信息保护法》等相关法律法规如何衔接协调?对网络运营者又有什么影响及变化?本文将完整梳理现行法律与拟修订版本的条款对比,帮助大家更清晰地理解应履行的安全义务及相关法律责任。
1
增加处罚种类、提升罚款金额
第五十九条修改:
2025年 修正草案 | 2017年 现行法 |
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处一万元以上五万元以下罚款;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 | 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 |
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处五万元以上十万元以下罚款;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 | 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 |
同时,第五十九条新增第三款情形:
新增
有前两款行为,造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,由有关主管部门处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,由有关主管部门处二百万元以上一千万元以下罚款,并责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员处二十万元以上一百万元以下罚款。
2025年修正草案拟构建与风险匹配的法治威慑体系。首先,提升处置处罚精细化程度,将违法行为根据依据违法性质、主观恶性及危害后果划分为“一般违法”“拒不改正或者导致危害网络安全等后果”“严重危害网络安全后果”“特别严重危害网络安全后果”等,分别对应阶梯式处置处罚;其次,提高罚款金额上限,进一步强化威慑,形成违法成本与社会危害程度成正比的惩戒梯度。
这将大力提高违法成本,促使主动建立健全网络安全管理制度,提升网络安全技术防护能力,落实网络运营者主体责任,并对潜在的违法者形成更强的威慑,有效遏制网络违法犯罪行为的发生。
2
新增未使用安全认证产品的法律责任
新增一条款:
新增
违反本法第二十三条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,由有关主管部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
未经认证的网络关键设备、存在漏洞的服务器等“带病入网”问题一旦被恶意利用,可能引发数据泄露、关键信息基础设施瘫痪等连锁危机,依法加强监管有助于从源头拦截风险输入。
这一变化弥补了上位法的空白,尤其随着2017年、2023年国家网信办以及工信部、公安部和国家市场监督管理总局四部门的《网络关键设备和网络安全专用产品目录》,以及后续的《关于调整网络安全专用产品安全管理有关事项的公告》,这一问题更加突出,自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。此次2025年修正草案拟针对相关违规情形完善法律责任,根据违法所得情形分梯度进行处罚,有利于为网络空间安全提供坚实保障。
将第六十五条改为第六十七条:
2025年 修正草案 | 2017年 现行法 |
第六十七条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令限期改正、消除对国家安全的影响,并处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | 第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
对关基运营者违法采购网络关键设备和网络安全专用产品违法的行为,增加了消除国家安全影响的要求。从法律责任角度,从原来的责令停止使用,修订为责令限期改正、消除对国家安全的影响,但如果不能消除国家安全的影响,多半还是要责令停止使用的。这主要是考虑到了实践中未经国家安全审查的程序性要求与实体法的安全要求,以及立法的本意,避免一刀切的同时也避免影响到一些不得不采购的关键设备或者安全专用产品,从而影响到实际的业务运营。
3
压实平台主体责任,勒紧内容安全红线
将第六十八条、第六十九条第一项合并,作为第六十九条:
2025年 修正草案 | 2017年 现行法 |
网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告的,或者违反本法第五十条规定,不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告、通报批评,可以处五万元以上五十万元以下罚款;拒不改正或者情节严重的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 网络运营者有前款规定的违法行为,造成特别严重影响、特别严重后果的,由有关主管部门处二百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前两款规定处罚。 电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前两款规定处罚。 | 第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。 第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款: (一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的; |
为防范新形势下网络信息内容安全风险对国家安全、政治安全带来的风险挑战,结合近年来网络信息内容执法实践,借鉴国外相关立法法律责任制度的新调整,完善2017年现行法第六十八条、第六十九条针对的违法情形,调整未向有关主管部门报告和不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施情形的法律责任,明确对造成特别严重影响、特别严重后果的违法情形的处置处罚措施,最高可以罚款1000万并关停!
4
转致适用数安法、个保法
将第六十四条第一款、第六十六条、第七十条合并,作为第七十一条:
2025年 修正草案 | 2017年 现行法 |
第七十一条,修改为:“有下列行为之一的,依照有关法律、行政法规的规定处理、处罚: (一)发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的; (二)违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的; (三)违反本法第三十七条规定,关键信息基础设施的运营者在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据的。” | 第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。 |
《网络安全法》实施后,我国相继制定修订《数据安全法》《个人信息保护法》等法律法规,2025年修正草案加强了与相关法律的有机衔接,确保法律规范协调、统一,为执法活动提供了更清晰、明确的标准,也相当于提高了对相关违法行为的原法律责任。
也就是说,发布或传输违法信息内容的、侵害个人信息权益的、关键信息基础设施的运营者“在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据的”,这三种违法行转致适用《数据安全法》《个人信息保护法》等法律法规的规定,理论罚款上限也从《网络安全法》的“100万”同步升格为“5000万”和“5%营业额”。
此外,对于“关键信息基础设施的运营者在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据的”,应结合《网络数据安全管理条例》《规范和促进数据跨境流动的规定》等进一步修订立法表述,将“存储”和“提供”合并为“提供”。
5
引入从轻、减轻、不予行政处罚情形
新增一条款:
新增
网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。
此次修改拟引入情节轻微情形下的豁免机制,即对网络运营者存在主动消除或减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《行政处罚法》的规定从轻、减轻或者不予行政处罚。
这一机制的引入具有重要意义,一方面,它有利于引导运营者主体自觉遵守法律法规,减轻其合规负担,避免因轻微违法而面临严厉处罚;另一方面,它能够有效打消运营者主体的顾虑,激励其主动配合网络安全管理,积极履行网络安全义务,更好地发挥其主体作用。
《网络安全法》的修改是适应新时代网络安全需求的重要举措。此次修改通过增强法律威慑力、细化责任体系、引入豁免机制等创新举措,加强了网络安全领域相关法律法规的协同性,提升了法律的威慑力和执行力,促进了运营者主体履行网络安全义务的积极性,将为维护国家网络安全、建设网络强国提供更坚实的法治保障。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
📍发表于:中国 北京
