近期《网络安全法》修改成为社会热点事件,飒姐团队已经在之前的文章中,已经为大家进行了较为详细的旧法与新法修订草案的对比(详情见《重磅|《网络安全法》修订,要罚100万?!》)。今天飒姐团队将会继续为大家带来《网络安全法》修订草案的亮点解读。
今天我们就与大家深入聊一聊《网络安全法》修改草案中一个创新亮点:从业禁止,从其可能的影响范围入手,与大家探讨其未来的立法趋势和对元宇宙、Web3行业可能产生的实际影响。
一、 网络安全责任人不履责,或面临:高额罚款+从业禁止
随着《网络安全法》修订进入公开征求意见阶段,网络运营者未来不履行网络安全义务或将面临更加严厉的处罚后果。一旦发生严重网络安全事件,或不履行网络安全义务情节严重的,网络运营者将面临的可能是5000万罚款或者上一年度营业额5%的罚款;而对网络安全负直接责任的主管人员和其他直接责任人,面临的罚款可能是高达100万,甚至还可能面临一定期限内的从业禁止风险。可以感受到,网络安全的强监管时代即将到来。
二、 强监管的时代浪潮
《网络安全法》自2017年6月1日正式施行以来,已有五年之久。期间,我国互联网行业各类新业态发展迅速,与之相应的法律法规体系也紧随其后。《数据安全法》《个人信息保护法》相继出台,与《网络安全法》共同构成了网络安全法律体系的“三大基石”。
《网络安全法》虽然是网络安全法律基石的元老,但是适用效果却没有《数据安全法》《个人信息保护法》明显。这在某某互联网企业违反网络安全审查规定受到巨额罚款的警示效果中感受尤为明显。主要原因是,与《数据安全法》《个人信息保护法》相比,《网络安全法》所规定的罚款额度普遍偏低,对企业一般性罚款低于五十万元,情形严重性罚款也不高于一百万元;对相关责任人罚款仅为一到十万元。
近年来,网络安全事件频发,企业在网络安全防护方面具有主体责任。然而在巨额经济利益面前,当前《网络安全法》百万级别的处罚措施,已经对企业和责任人不足以产生警示和震慑效应。由于网络安全措施具有较高的技术性,履行网络安全保护职责,需要相应的人员、技术等成本,更有企业甚至认为网络安全义务履行、整改的成本过高,以缴纳罚款代替网络安全义务履行。同时,在互联网行业,从事网络安全行业的人员往往专业技术性粘性强,为了追逐互联网行业商业利润高,有企业在接受网络安全处罚后,换个方式继续重操旧业。
这些现象已经说明,尽管《网络安全法》在网络安全监管的早期确实发挥了弥补法律空白的基础性作用,但是随着《数据安全法》《个人信息保护法》的出台,处罚力度已经远后于时代。
三、 乘风而上
为了追上网络安全领域强监管的时代浪潮,《网络安全法》主动对标《数据安全法》和《个人信息保护法》的处罚幅度。对于企业罚款,从百万级别提升至五千万,或者是上一年度营业额的百分之五;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。
网络安全工作直接负责人和其他责任人是落实网络安全义务的关键。根据以往的行政执法实践,没有将法律责任追溯到人,是导致监管效果不明显的重要原因之一。
再次提醒网络安全责任人,再不提升网络安全意识,不按照监管部门的要求履行网络安全义务,那么将面临高额罚款和从业禁止的“双重风险”。
而且,网络安全责任人将面临的是全部网络安全义务的履行责任。通过《网络安全法》征求意见稿,可以看到,从一般性网络运营安全和关键信息基础设施运营安全,再到网络信息安全管理和信息发布安全,均设置了“双重风险”。
写在最后
虽然《网络安全法》的此次修订还处于征求意见阶段,未来社会各界也可能提出相关的立法建议,立法部门会对征求意见稿做相应调整。但是,《网络安全法》对标强监管的趋势是阻挡不住的。这也意味着企业未来履行网络安全义务的职责将在正式稿施行后陡然升高。我们建议,网络运营者和网络安全责任人高度关注立法动态,有必要提前开展法律风险合规。