从立法逻辑来看，《意见稿》第一项和第二项修订，均分别对违反《网安法》第三章中关于网络运行安全一般规定，包括未履行网络安全等级保护义务、网络产品和服务安全义务、违反用户身份管理规定等行为的法律责任进行整合；另一方面，第一项修订将违反第四十八条关于“电子信息、应用软件不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息”的罚则剥离，并在第五项修订中整合至同样规定网络信息安全保护义务的四十七、四十九条设立罚则。此外，还就违反第二十三条（网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求）和第二十八条（网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助）的行为设定法律后果，整体上弥补了立法疏漏、优化了立法逻辑。

从处罚标准来看，第一项修订在原有的一般违法、情节严重的情形基础上，增设“情节特别严重”这一加重情形，对此处“一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”。我们理解，该项用营业额进行处罚的规定承继《中华人民共和国反垄断法》《个信法》《网络数据安全管理条例（征求意见稿）》（“《网数条例》”），《意见稿》的第二至六项修订亦采取这一标准，大幅提升了原有的处罚标准，可对违反行为起到较强的震慑作用。

从处罚类型来看，第一项修订增设“通报批评”和“限制从业”两种处罚类型，“通报批评”是实践中广泛采用的处罚方式，而“限制从业”即可以“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”，充分发挥《网安法》的指引作用，提高从业者的合规意识。具体内容对比如下：

《意见稿》第四项修订了针对关键信息基础设施运营者（“CIIO”）违反国家安全审查规定采购网络产品或服务的行为的法律责任，增设“处上一年度营业额百分之五以下罚款” 与原有的“处采购金额一倍以上十倍以下”择一适用。

此外，将CIIO未履行数据出境安全评估等数据跨境安全管理义务的法律责任修改为转致性规定。鉴于《数安法》《个信法》已对中国数据跨境传输提出了统领性规定，与《网数条例》《个人信息出境标准合同规定（征求意见稿）》《数据出境安全评估办法》等配套法律法规共同构成数据出境安全管理义务群，明确了数据出境安全管理的义务与罚则，本次修订亦将增强《网安法》与我国数据出境安全管理体系的衔接度。

《意见稿》第五项和第六项均是对网络信息安全法律责任制度的调整。其中第五项与第一项的修法思路相类似，亦从整合同类违法行为之责任、弥补立法疏漏、调整处罚幅度和增设行政处罚类型四个方面作出修订，具体可见以下对比表格。

第六项对于第七十条之修订，则可以从两方面进行理解：

● 与第五项修订的关联性：由于本项修订对应的违法行为（第十二条第二款）与第五项修订（六十八条、六十九条）同属未履行网络信息安全保障义务的行为，处罚梯度与处罚标准与第四项修订保持一致具备合理性；

● 设置兜底条款：即在无法律、行政法规明确规定的情况下，也可依据本条款对发布传输违法信息的行为进行处罚。我们理解，尽管2020年实施的《网络信息内容生态治理规定》对于禁止发布的违法信息作出列举式规定，但由于互联网内容生态具备多样性，对其生态治理难以作出穷尽式规定，因此，设置兜底条款具有前瞻性意义。

《意见稿》第三项主要为对个人信息保护法律责任制度的修改，规定违反《网安法》第四章“网络信息安全”中对于个人信息的相关要求的法律责任直接适用《个信法》，有效增强了与《个信法》的衔接度，促进《网安法》《数安法》《个信法》“三驾马车”运行畅通。

“条款一”修订并融合了《网安法》的第五十九条至第六十二条的规定，这些规定所包含的具体责任为：

网络运营者应按照网络安全等级保护制度的要求，履行安全保护义务（第二十一条）；

网络产品、服务应当符合相关国家标准的强制性要求（第二十二条第一款），网络产品、服务的提供者提供安全维护的责任（第二十二条第二款）；

网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供（第二十三条）；

网络运营者要求用户提供真实身份信息的义务（第二十四条第一款）；

网络运营者按要求履行网络安全事件相关义务（第二十五条）；

遵守国家规定开展网络安全认证、检测、风险评估、发布等活动（第二十六条）；

网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助（第二十八条）；

关键信息基础设施运营者履行安全技术措施（第三十三条）、额外安全保护义务（第三十四条）、签订安全保密协议（第三十六条）、年度检测评估及报送义务（第三十八条）。

结合《网安法》的第五十九条至第六十二条的规定可知，“条款一”新增了违反《网安法》第二十三条与第二十八条的法律责任。这意味着，若网络运营者未按要求认证或检测并销售或提供网络关键设备或网络安全专用产品，则企业及直接责任人员均面临着较高的处罚风险。根据2022年年初工信部等四部门发布的《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》可知，网络关键设备或网络安全专用产品的认证和检测结果通过中国网信网、工业和信息化部网站、公安部网站和认监委网站同步公布和更新，企业可保持关注。此外，对于公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动，网络运营者应当提供技术支持和协助，否则将面临处罚。

除上述新增的法律责任外，“条款一”并未把《网安法》第五十九条至第六十二条规定的所有法律责任囊括在内，例如《网安法》第四十八条第一款规定的电子信息及应用软件不得设置恶意程序不得含有禁止发布或传输的信息。结合《意见稿》的其余修订可知，此处修订进一步调整了相应法律责任的逻辑，将用户信息管理所涉及的相关法律责任汇总在新的条款之中，下文将详细说明。

“条款一”在融合了上述责任内容的同时，对违反上述法律责任的行为均提高了处罚标准。具体分为三级：

违反网络运行安全保护义务或者导致危害网络运行安全等后果的，由有关主管部门责令改正，给予警告、通报批评；

拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；

情节特别严重的，由省级以上有关主管部门责令改正，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

据此可知，对于一般的违法行为，“条款一”新增了“通报批评”的处罚方式。对于“拒不改正或者情节严重的”的违法行为，“条款一”将对企业的罚款上限调整至了一百万元，同时，除“直接负责的主管人员”，“其他直接责任人员”也面临着一万元以上十万元以下的罚款。这意味着在实践中，除管理层外直接接触相关工作的企业员工（例如信息安全部门、数据管理部门）若未履行《网安法》下的义务受处罚的几率有所增加。此外，“条款一”新增了“情节特别严重的”最高级处罚，罚金最高上限等同于《个人信息保护法》第六十七条的规定，即五千万元以下或者上一年度营业额百分之五以下罚款，以及停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等严厉的行政处罚措施。而对于直接负责的主管人员和其他直接责任人员而言，则不仅面临着最高一百万元的罚款，还可能受“从业禁止”的处罚，在一定期限内禁止担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

“条款二”修订并融合了《网安法》的第二十七条及第四十六条的规定，具体为：

任何个人和组织禁止从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动，禁止为上述活动提供程序、工具、技术支持、广告推广、支付结算等帮助（第二十七条）；

任何个人和组织不得设立用于违法犯罪活动的网站、通讯群组，不得利用网络发布违法犯罪活动的信息（第四十六条）。

“条款二”将《网安法》中涉嫌利用网络实施违法乃至犯罪行为的责任内容整合至一处，逻辑上更为清晰。

“条款二”在融合了上述责任内容的同时，整合了相应违法内容的处罚标准，具体分为以下情况：

违反《网安法》第二十七条、第四十六条规定，构成犯罪的，则由相关刑事法律法规及司法解释予以规制；

尚不构成犯罪的：a）对个人：由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；b）对企业：由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

尚不构成犯罪但情节较重的：a）对个人：处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款；b）对企业：由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

根据上述处罚标准可知，“条款二”在规定了相应行政处罚措施的同时，也按照《行政处罚法》第八条第二款的要求，保留了追究相关主体刑事责任的规定。此外，“条款二”提高了对个人的罚款上限，也即一般情况下的五十万元以下罚款以及情节较重时的一百万元以下罚款（原规定为十万元/五十万元）。对单位的违法行为，则保留了原处罚措施与力度。同时，“条款二”延续了《网安法》第六十三条第三款规定中的“禁业规定”，也即受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。此处的“禁业规定”应区别于“条款一”中企业直接负责的主管人员和其他直接责任人员的“从业禁止”，前者在处罚力度更为严厉的同时，其针对群体也并非仅为企业的责任人员，“任何个人和组织”均可能成为处罚对象，且需满足 “受到治安管理处罚”及“受到刑事处罚”的条件。

“条款三”延续了《网安法》第六十四条所涉及的具体责任内容：

网络产品、服务具有收集用户信息功能的，应遵守关于个人信息保护的规定（第二十二条第三款）；

网络运营者收集、使用个人信息所遵循的原则及规定（第四十一条）；

网络运营者确保个人信息安全及未经被收集者同意不得提供的义务（第四十二条）；

网络运营者应保障个人删除及更正个人信息的权利（第四十三条）；

任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息（第四十四条）。

根据上述责任内容可知，“条款三”将《网安法》中涉及个人信息的相关责任汇总至一起，在逻辑上更为清晰。

“条款三”取消了原《网安法》第六十四条中规定的具体处罚标准，而代之以“依照有关法律、行政法规的规定处罚”。结合网信办“关于修改《中华人民共和国网络安全法》的决定（征求意见稿）的说明”可知，《意见稿》所体现的趋势为，《网安法》中有关个人信息保护的法律责任将修改为转致性规定。也即，存在未来《网安法》中涉及个人信息保护的责任内容以《个人信息保护法》或其他个人信息保护法律法规的处罚标准直接适用的可能性。

根据《意见稿》，“条款四”将《网安法》第六十五条修改为：“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

“条款四”并未改变《网安法》第六十五条所规定的责任内容，即根据《网安法》第三十五条，关键信息基础设施运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。根据2022年2月正式实施的《网络安全审查办法》可知，关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险，影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。而在网络安全审查视野下的“网络产品和服务”，主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

此外，“条款四”新增了“上一年度营业额百分之五以下罚款”的处罚标准，关键信息基础设施运营者应当格外注意。

“条款五”将《网安法》第六十六条修改为：“关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，依照有关法律、行政法规的规定处罚。”

“条款五”调整了关键信息基础设施运营者违反境内存储与安全评估义务（第三十七条）所涉及的处罚标准，取消了《网安法》第六十六条中的具体处罚措施规定，代之以“依照有关法律、行政法规的规定处罚”。《数据安全法》第四十六条规定，违反本法第三十一条规定（关键信息基础设施运营者应履行境内存储或数据出境安全评估义务），向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

“条款六”修订调整了《网安法》第六十八条、第六十九条的相关内容，其具体责任内容为：

网络运营者对用户发布信息的管理（第四十七条）；

任何个人和组织发送的电子信息、提供的应用软件不得设置恶意程序，不得含有禁止传输的信息，相关服务提供者应当履行安全管理义务（第四十八条）；

网络运营者应当建立网络信息安全投诉、举报制度（第四十九条）。

网络运营者应按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的，或者按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施（“条款六新增”）

在责任内容方面，“条款六”延续了网络运营者对用户发布信息的管理的义务内容，同时将《网安法》第四十八条的内容归纳为统一的责任内容，改变了原先第四十八条第一款的责任内容与第二款的责任内容分属不同法条的情况。同时，“条款六”将网络运营者建立网络信息安全投诉、举报制度也新增纳入了责任范围，这意味着网络运营者未建立相关制度、公布投诉、举报方式等信息，或未及时受理并处理有关网络信息安全的投诉和举报或配合监管部门检查的行为，可能面临处罚。

此外，“条款六”删除了《网安法》第六十九条规定情形，并将其细化新增在条文中。这意味着，网络运营者若不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的，或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的，即便符合《网安法》第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务，也面临着处罚风险。

“条款六”在融合了上述责任内容的同时，对违反上述法律责任的行为均提高了处罚标准。具体分为三级：

由有关主管部门责令改正，给予警告、通报批评，没收违法所得；

拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；

情节特别严重的，由省级以上有关主管部门责令改正，没收违法所得，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

对于一般的违法行为，“条款六”新增了“通报批评”的处罚方式。对于“拒不改正或者情节严重的”的违法行为，“条款六”将对企业的罚款上限调整至了一百万元。此外，“条款六”类似“条款一”的情况，新增了“情节特别严重的”最高级处罚，罚金最高上限等同于《个人信息保护法》第六十七条的规定，即五千万元以下或者上一年度营业额百分之五以下罚款，以及停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等严厉的行政处罚措施。而对于直接负责的主管人员和其他直接责任人员而言，则不仅面临着最高一百万元的罚款，还可能受“从业禁止”的处罚，在一定期限内禁止担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

“条款七”所涉及的《网安法》第十二条第二款，并规定禁止发布、传输危害网络安全，危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

除《网安法》第十二条第二款所涉及内容外，“条款七”延续了《网安法》第七十条的规定，同时将“其他法律、行政法规禁止发布或者传输的信息”也纳入了责任内容范围。

“条款七”补充扩展了《网安法》第七十条有关处罚标准的规定，也即相关主体触犯本条规定，但法律、行政法规没有规定时：

由有关主管部门责令改正，给予警告、通报批评，没收违法所得；

拒不改正或者情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；

情节特别严重的，由省级以上有关主管部门责令改正，没收违法所得，处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。

据此可知，“条款七”补充了在没有相关法律法规规定时的处罚标准，同时类似“条款一”及“条款六”，规定了“情节特别严重”的最高标准，应当引起相关主体关注。

参照《个人信息保护法》第六十六条的立法技术，本次《意见稿》大量合并、归类和集中了法律责任条款，例如将原五十九条、第六十条、第六十一条、第六十二条合并为一条法律责任，映射了原第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务；又如，将原第六十八条、第六十九条合并为一条法律责任，映射了原第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务。

这样的立法技术处理，一方面是考虑到网络运行安全、网络信息安全的同类法律义务在违法行为、危害后果和执法管辖上具有一定的相似性，另一方面也极大地提高了未来执法活动中法律适用和罚则确定的灵活性。

针对网络运行安全和网络信息安全违法行为，本次《意见稿》增加了三处“通报批评”的行政处罚措施，这也是面向当前执法活动的一个漏洞填补。

这一修订，一方面是实现与2021年修订的《行政处罚法》的制度衔接，因为《行政处罚法》第九条已经增加了通报批评的行政处罚；另一方面，监管执法实践中，网信办、工信部等实际上已经大量使用了通报批评这一“行政处罚”。

通报批评是一种典型的声誉罚，虽然表面上看处罚力度是最轻的，但极易诱发舆情风险。企业应当建立常规应急预案，除了及时响应监管部门（含测评机构等）的监管执法行动外，还应当从公关、市场、技术、客服、财务、法务等多维度应对潜在的舆情事件和业务连续性中断风险。

近年来，信息内容合规引起了社会各界的广泛关注，立法机构也发布和修订了一系列信息内容管理有关的规章和规范性文件，涵盖互联网及移动应用信息服务、直播、音视频、微博客、公众平台、群组、饭圈、账号信息、跟评信息、弹窗信息等网络信息内容生态治理。本次《意见稿》也顺应了这一趋势，总共修订六条其中两条涉及信息内容合规，充分体现了信息内容合规的重要性。

本次《意见稿》在原来第70条的基础上增加了“补丁”，增加了一款“法律、行政法规没有规定的”的情形，并将处罚金额顶格到“五千万元以下或者上一年度营业额百分之五以下”的“天花板”。同时，对标2021年修订的《行政处罚法》的从业限制，还增加了决定直接负责的主管人员和其他直接责任人员“禁止在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”的处罚措施。

此外，本次《意见稿》还将原第六十八条、第六十九条合并为一条法律责任，映射了原第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务，并可以顶格处罚5000万或5%营业额，且可以对个人决定从业限制。

《网安法》第二十一条首次从立法层面明确了网络安全等级保护制度。本次《意见稿》提高了第二十一条对应的罚则，即可以“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”，并可以“责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”；而且，对直接负责的主管人员和其他直接责任人员可以“处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。”

对于关保制度，本次《意见稿》也参照等保罚则，大幅提高了关保违规的处罚力度。此外，作为《网络安全审查办法》的“牙齿”，本次《意见稿》还专门修订了原六十五条，将CIIO“使用未经安全审查或者安全审查未通过的网络产品或者服务的”罚款也同步顶格到“营业额的5%”。

首先，本次《意见稿》修订了原来个人信息违法的法律责任条款，明确规定“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定，侵害个人信息依法得到保护的权利的，依照有关法律、行政法规的规定处罚”，进而转引适用《个人信息保护法》等，罚款力度也从“100万”同步升级“5000万”和“5%”。该条一旦生效，未来监管执法部门在“追溯”一些《个人信息保护法》实施前的违法违规行为的时候，确定处罚金额也不会那么“拧巴”。不过，这一条修订有个漏洞，原来第二十二条第三款规制的对象不仅仅是个人信息，应该还包括非个人类的“用户信息”。因此，该修订反倒留下了法律逻辑漏洞。

其次，本次《意见稿》还修订了数据本地化、数据出境违法的法律责任条款，明确规定“关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，依照有关法律、行政法规的规定处罚。”因为原三十七条规制的对象包括“重要数据”和“个人信息”，因此，CIIO违法在境外存储重要数据，或者向境外提供重要数据的，适用《数据安全法》第四十六条等规定，罚款最高是1000万元；CIIO违法在境外存储个人信息，或者向境外提供个人信息的，适用《个人信息保护法》第六十六条等规定，罚款最高是5000万元或营业额的5%。逻辑上似乎有点问题，是不是为了体现“以民为本”的思想呢？

本次《意见稿》由国家网信办主导而不是人大法工委，充分体现了国家网信办的“统筹协调”地位。

此外，网信办前不久发布的《网信部门行政执法程序规定（征求意见稿）》拟废止《互联网信息内容管理行政执法程序规定》。根据《网信部门行政执法程序规定（征求意见稿）》，网信部门依职权管辖网络信息内容、网络安全、数据安全、个人信息保护等行政处罚案件。

整体来看，《意见稿》共计在四种情形下新增以“上一年度营业额百分之五以下罚款”与 “一百万元以上五千万元以下”或“处采购金额一倍以上十倍以下”择一适用作为处罚标准，但尚未明确采取就高或是就低原则进行适用。

一方面，除针对CIIO违反国家安全审查规定采购网络产品或服务的行为的法律责任进行修订的第四项修订以外，其他三项修订均以“情节特别严重”作为该等处罚的适用条件。

我们理解，尽管对于关键信息基础设施运营者设定的网络安全保障义务应当高于一般的网络运营者，但考虑到5%的处罚幅度相当可观，且该违法行为不包含主观要件，是否亦当考虑设置特定情节或行为后果为该等处罚设定门槛。

另一方面，对于“百分之五”这一比例作为“情节特别严重”情形之处罚的合理性需结合同样设置该比例的《个信法》《网数条例》进行分析论证，具体而言：

● 该处罚与《个信法》中“情节严重”的处罚标准相同

我们理解，尽管违反网络安全保护义务与违反个人信息保护义务的违法后果、对于个人和企业合法权益、公共安全造成的影响可能在一定程度上具有相当性，但由于《网安法》是捍卫我国网络空间主权、维护国家安全的法律重器，对于违反《网安法》“情节特别严重”的违法行为的处罚可能需要考量对国家安全的影响，论证《个信法》采取同一处罚标准的合理性。

● 该处罚与《网数条例》部分处罚规定一致

《网数条例》在两种情况下规定了营业额百分之五的处罚标准：数据处理者违法个人信息保护相关规定，情节严重的（第六十一条）；以及互联网平台运营者拒不改正的，处上一年度销售额百分之一以上百分之五以下的罚款（六十八条）。

我们理解，对于第一种情况与《个信法》协调一致，在此不予赘述；但就第二种情况，对应的违反行为包括互联网平台运营者利用数据以及平台规则损害用户合法利益，利用数据误导、欺诈、胁迫用户，无正当理由限制用户访问其他互联网平台，利用个性化推送算法不符合规定等行为，且以“拒不改正”为适用情形。考虑到“情节特别严重”对国家安全、社会公共利益造成的影响可能较“拒不改正”更为严重，故与《网数条例》的对比视角来看，《意见稿》该等处罚的合理性亦需进一步考量。

如前所述，“情节特别严重”情形的处罚标准较高、幅度较大，立法者或可考虑列举“情节特别严重”的情形，以促进行政处罚裁量权合理行使，确保《网安法》实施执行的一致性和法律实效。

● 从业禁止“一定期限”的期限考量

《意见稿》第一项、第五项和第六项修订均增设了“从业禁止”处罚。2021年修订的《行政处罚法》增设了限制从业这一行政处罚类型，可以反映立法者对实践中广泛存在的不允许从事某种职业等管制措施法治化问题的立法回应。我们理解，《网安法》要求网络运营者设置网络安全负责人、关键信息基础设施运营者设置专门安全管理机构和安全管理负责人，由于实务中通常该等职责均由企业的高管担任，因此增设限制从业呼应了这一要求，符合网络安全治理以控制和预防为抓手的治理思路。

然而，由于“一定期限”的规定较为模糊，或可考虑设定一定年限作为上限，或规定期限区间。

● 保留终身从业禁止规定的合理性

《意见稿》第二项修订延续了《网安法》的规定，即违反第二十七条规定，受到刑事处罚的人员，不得从事网络安全管理和网络运营关键岗位的工作。我们理解，我国数部法律和行政法规中，从业禁止的期限从二年、三年、五年、十年[1]到终身不等，即从业禁止期限在立法实践中存在较多区间。

因此，考虑到二十七条中“明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助”的行为打击面广，从“受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作”之五年期限跃至终身，可能过于侧重处罚措施的惩戒性面向，不利于企业内部进行人员任用安排的自主性，亦恐损伤处罚措施的精准性，或可考虑采取如“五年至终身”的区间安排。

《网安法》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”，与《个信法》对于个人信息的定义存在一定程度的差异。考虑到《意见稿》的意旨之一在于增强与《个信法》之间的衔接度，则对于“个人信息”定义的差异可能引发解读争议，影响法律适用效果。

进一步而言，《网安法》第二十二条第三款规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。从该规定的文义解释来看，用户信息分为个人信息和非个人信息。因此，虽然《意见稿》第三项修订使得针对用户信息中的个人信息的违法行为可以依据《个信法》进行处罚，但这同时意味着用户信息中的非个人信息缺乏对应的处罚标准。

我们理解，《网安法》中除此之外仅存在一处提及“用户信息”，即第四十条规定，“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”由于在制定《网安法》时《个信法》尚未出台，故该问题可能并非立法疏漏，而可能涉及不同法律之间定义与术语之间的协调一致，或可考虑将“用户信息”修改为“用户个人信息”来消除理解障碍。

《网安法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

我们理解，由于《网安法》对于 CIIO的规制相对严格，相关规定往往受到企业较高关注，故该条在实务中具备相当程度的争议，亟需就“境内运营”的概念和外延予以进一步明确，且由于CIIO也可能运营非关键信息基础设施，在其中产生的数据可能敏感程度相对较低，或可考虑以“运营关键信息基础设施”为限制性条件。

在过去的五年，《网安法》作为网络空间治理的重要基础性法律弥补了网络安全的监管缺位问题，但《网安法》也同样需要顺应网络经济发展而更新，以延续《网安法》蓬勃的生命力，确保这部基础性法律的时效性和严肃性。

本次修订使《网安法》进一步落到实处，也与其他网络空间治理的规则保持同步更新，在日益丰富的网络法律中继续作为“中流砥柱”支撑起网络空间安全的屏障。企业的任务则在于准确理解修订的内在基础以及探讨空间。企业应当以修订为契机，加强对于《网安法》的规范理解，积极反思与加强自身的网络安全与数据合规体系建设，以新实践、新态度迎接未来可能生效的规范变化。