盈科|解读 北京与上海网络安全管理行政处罚裁量基准之比较研究(上)
以不履行网络安全保护义务为例
已被浏览252次
更新日期:2021-06-28
来源:盈科律师事务所
《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日落地施行,时至今日,《网络安全法》已实施满四周年。本法第六章“法律责任”中对网络运营者、关键信息基础设施运营者、有关职能部门、机构、组织、个人等不履行本法所设定的义务,设置了相应的罚则,主要包括警告、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照、冻结财产、拘留等行政处罚措施;另,给他人造成损害的,应依法承担民事责任,构成犯罪的,依法追究刑事责任。
《网络安全法》是现阶段我国已实施的网络空间管理和数据保护的一部基础性法律,在实施的过程中,还需要依靠部门规章、司法解释以及其他规范性文件来细化处罚标准,以避免执法主体自由裁量幅度过大而出现执法上的诸多问题。本文中笔者拟通过北京与上海两地网络安全管理行政处罚裁量基准的对比研究,来看《网络安全法》落地实施的路径;在文末第五部分,笔者亦结合2021年9月1日即将生效的《中华人民共和国数据安全法》(以下简称《数据安全法》)与《网络安全法》的适用冲突进行了初步探讨。相关组织和个人亦可对比自查是否已经履行网络安全保护义务,真正做到“数据千万条,安全第一条”。
一、 公安局进行行政处罚的主要法律依据
《上海市公安局关于网络安全管理行政处罚的裁量基准》(以下简称《上海基准》,全文请参见:https://www.shanghai.gov.cn/202109gfxwj/20210509/8ab33f0379df4c9884270738e34a1f1f.html)于2021年3月8日起施行,有效期至2026年3月7日。
在此之前,北京市公安局也发布了2021年的《北京市网络安全管理行政处罚裁量基准》(以下简称《北京基准》,全文请参见:http://gaj.beijing.gov.cn/wsgs/zqxx/xzcfcljz/202003/t20200327_1743475.html)。《上海基准》中列明了公安局进行行政处罚的主要法律依据有:
与之相对比,《北京基准》除了上述法律依据之外,另增加了《计算机病毒防治管理办法》(2000年中华人民共和国公安部令第51号)以及《计算机信息网络国际联网管理暂行规定》(1996年中华人民共和国国务院令第195号)两部法律文件,因此,《北京基准》所规制的网络安全违法行为类型也更为宽泛。
二、 网络运营者不履行网络安全保护义务之行政处罚措施对比
(一)法律依据
北京与上海两地对网络运营者不履行网络安全保护义务实施行政处罚的法律依据主要为《网络安全法》第二十一条,第二十五条和第五十九条。
(二)两地裁量基准具体对比
对比北京与上海两地对网络运营者不履行网络安全保护义务实施行政处罚裁量基准,我们可列表如下,区别之处笔者用红色标注:
由上表可以看出,针对网络运营者不履行网络安全保护义务的行政处罚措施,虽然两地的裁量基准都分为三阶,但对于具体的违法情节,仍存在以下区别:(1)《北京基准》将网络数据被泄露、被窃取、被篡改列入了违法情节中,在《数据安全法》生效之后,可能会产生适用冲突问题,但规范性文件的特点是灵活度大,2022版的《北京基准》很可能会针对此项作出一定的调整;而《上海基准》中的本条仍聚焦网络系统的安全。(2)《上海基准》将未履行《网络安全法》第二十五条规定的违法行为,对应放在第二阶和第三阶裁量基准中,即“在发生危害网络安全的事件时,未立即启动应急预案,或者未采取相应的补救措施,或者未按照规定向有关主管部门报告的”和“在发生危害网络安全的事件时,未立即启动应急预案,且未采取相应的补救措施,且未按照规定向有关主管部门报告的”,两阶对比区别仅在一个“且”字,行文可谓相当精准;而《北京基准》没有列举关于“未实施应急预案及补救措施、未及时报告”的违法行为本身,因此只能根据这一违法行为产生的后果来进行裁量。
三、关键信息基础设施的运营者不履行网络安全保护义务之行政处罚措施对比
(一)法律依据
对网络运营者不履行网络安全保护义务实施行政处罚的法律依据主要包括《网络安全法》第三十三条,第三十四条、第三十六条、第三十八条和第五十九条第二款。具体规定如下:
(二)两地裁量基准具体对比
两相对比,主要区别有以下三点:(1)《北京基准》将网络数据被泄露、被窃取、被篡改列入了违法情节中,《上海基准》仍侧重网络系统的安全;(2)按照《上海基准》的规定,违法行为的数量及“再次”违法行为会直接影响定阶;(3)《北京基准》第三阶中直接针对违法所得进行罚没,并在罚没违法所得的基础上“并处违法所得5倍以上10倍以下罚款”,在没有违法所得的情况下,才对网络运营者“处50万元以上100万元以下罚款”;而《上海基准》第三阶裁量基准与违法所得并无关联,直接对网络运营者“处50万元以上100万元以下罚款”,同时“对直接负责的主管人员处5万元以上10万元以下罚款”。
四、《信息系统安全保护条例》有关不履行网络安全保护义务之行政处罚措施对比
《北京基准》和《上海基准》中进行行政处罚的主要法律依据都列明了1994年国务院第147号令发布的《信息系统安全保护条例》(2011年修订),该条例是我国为了保护计算机信息系统的安全,促进计算机的应用和发展而制定的第一部行政法规,至今仍是我国网络安全领域的重要法律渊源之一。由于该条例规定了一系列网络运营者所应当履行的网络安全保护义务,因此放在本文中一并予以比较分析。
(一)法律依据
(二)两地裁量基准具体对比
通过比较,可以看出《上海基准》将本项违法行为的裁量基准分为两阶,处以警告的违法行为包括:未实施网络安全等级保护测评、未进行国际联网备案、未及时报告信息系统案件且都尚未造成危害后果或社会影响的;如实施前述违法行为两项以上,或第二次实施同种违法行为,或拒不整改,或未在指定期限内未进行整改且造成严重威胁的,才进行停机整顿的行政处罚。相比之下,北京的执法机构对于本项违法行为的自由裁量权更大,只要网络运营者未实施本条规定的等级保护测评等网络安全保护义务,公安机构都可处以停机整顿的行政处罚措施,这对于一家日常正常运营中的企业来说无疑损失巨大,违法成本很高。
五、与《数据安全法》的适用冲突
值得注意的是,《数据安全法》已经于2021年6月10日经人大常委会审议通过,并将于2021年9月1日起施行。根据该法第四十五条规定,开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,相应的处罚措施包括警告、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,可并处五万元以上二百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上二十万元以下罚款;对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
结合前文的内容,针对网络安全保护义务和数据安全保护义务,笔者认为以下情形可能会造成《网络安全法》与《数据安全法》的适用冲突:
第一,根据《数据安全法》第二十七的规定,履行数据安全保护义务,“应当在网络安全等级保护制度的基础上”进行,这表明了《数据安全法》突出强调网络安全等级保护制度的基础地位。同时,《网络安全法》第二十一条规定“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务……”,那么,如果数据处理者(《数据安全法》第三条:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。)同时也是网络运营者(《网络安全法》第七十六条:网络运营者是指网络的所有者、管理者和网络服务提供者。),在其没有履行网络安全等级保护义务的情况下,仅就罚款这一单项处罚来看,是应适用《数据安全法》五万至二百万元的罚款金额?还是按照《网络安全法》的规定适用一万到一百万元的罚款金额?
第二,《数据安全法》第二十九条规定:“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”,同时,《网络安全法》第二十五条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告”,这两条规定的数据保护义务和网络安全保护义务有一定的重合,如果数据处理者亦为网络运营者,在发现系统漏洞等风险时,没有立即采取补救措施,且没有向有关主管部门报告,是应适用《数据安全法》还是《网络安全法》的处罚规定?
笔者认为,发生此类适用冲突的情况下,关键是看对违法行为如何定性。在目前《数据安全法》配套法规尚未出台,但《网络安全法》配套法规以及规范性法律文件已经出台的情况下,如果违法行为侧重网络安全,则公安局等执法机构仍会选择按照已开始实施的配套规定如《北京基准》、《上海基准》等进行裁量;如果违法行为侧重数据安全,则应按照《数据安全法》的规定进行处罚,且依“新法优于旧法”的法律适用规则,执法机构亦有充分的理由选择适用《数据安全法》。
六、结语
2020年4月9日,中共中央、国务院公布了《关于构建更加完善的要素市场化配置体制机制的意见》,明确提出“加快培育数据要素市场”。而数据资源整合和安全保护是构建数据要素市场的生命线。对于开展数据处理活动的组织、个人来说,应看到国家对网络空间管理和数据保护的监管日趋完善的趋势,尽早关注、提前部署,积极履行网络安全和数据安全保护义务,不断规范业务模式,完善内部流程,提升数据治理能力,以充分释放数据红利,进而推动数字经济高质量发展。
作者简介:张良 律师
