去年7月，微软Windows系统大规模“蓝屏”事件造成约850万台计算机系统崩溃，外媒称之为“史上最大规模IT故障”。在数据处理活动日益频繁的当下，完善网络安全制度体系已成为一项重大时代课题。

2017年，我国《网络安全法》正式施行，其后几年互联网对经济社会的渗透改造不断加速，网络安全形势发生重大变化。为此，国家网信办会同相关部门起草《中华人民共和国网络安全法（修正草案再次征求意见稿）》（下称《征求意见稿》），于近日向社会公开征求意见，反馈截止日期为4月27日。

《征求意见稿》发布。图源网信中国公众号

《征求意见稿》拟细化违反网络安全保护义务的行政处罚种类，并普遍提高罚款额度，明确了违法行为与处罚力度的阶梯性。同时拟设转致条款，明确对违反个人信息保护、数据跨境流动等规定的行为，依照有关法律法规处理，加强了法律间衔接性；拟引入豁免机制，通过从轻、减轻、不予行政处罚等减轻运营者合规负担，提高参与网络安全治理的积极性。

“阶梯式”细化处罚标准，提高罚款额度

2022年9月，国家网信办曾发布《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，近日的《征求意见稿》系第二版。国家网信办在相关说明中提到了修改背景，称《网络安全法》需要适应形势，加强与新出台法律的衔接协调，对相关法律责任制度作出科学优化，进一步保障网络安全。

《征求意见稿》拟调整违反网络安全保护义务或者造成危害网络安全后果等情形的行政处罚种类和力度。

具体而言，针对不履行网络安全保护义务的一般网络运营者，从无罚款拟修改为可处1万元-5万元罚款；拒不改正或者导致危害网络安全等后果的，从原来的罚款1万元-10万元增加到5万-50万元；对直接负责人从罚款5000元-5万元增加到1万元-10万元。

针对关键信息基础设施运营者的处罚，一般情形下，由无罚款拟修改为可处5万元以上10万元以下罚款，拒不改正情形以及对直接负责人的罚款额度不变。

另外拟新增一种情形——造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，新增罚款标准50万元-200万元，对直接负责人等可处5万元-20万元罚款；造成关键信息基础设施丧失主要功能等特别严重后果的，新增罚款标准200万元-1000万元，对直接负责人员处20万元-100万元罚款。

上述变化基本可概括为，原法律规定的仅需受有关主管部门责令改正、警告的违法情形，拟修改为可处以罚款；原可处罚款的违法情形，罚款额度普遍提升了2-5倍。

北京理工大学智能科技法律研究中心研究员王磊表示，上述规定细化了违法情节、损害后果与处罚力度之间的梯度对应关系，提升处罚裁量的科学性，推动企业在不同阶段采取差异化的安全投入。

拟首次明确违反供应链安全要求法律责任

《网络安全法》第二十三条规定，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

《征求意见稿》拟首次明确违法违规销售或提供前述产品行为的法律责任。新增规定——销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

随着技术发展和设备更新，监管部门多次明确前述设备产品的具体范围。2017年，国家网信办等四部门发布《网络关键设备和网络安全专用产品目录》，2023年又更新了该目录（下称《目录》）。

网络安全形势日益严峻，加强网络安全法规建设至关重要。此次《征求意见稿》的发布，标志着我国在网络安全法规建设上又迈出了重要一步。