新网络安全法热点解读

    很多人都经历过App账号“注册容易注销难”问题，也曾遭遇被强制索要无关权限，这些困扰用户的违规行为今后将面临更严厉的打击。今年1月1日起，新修订的《中华人民共和国网络安全法》正式施行，及时回应了AI（人工智能）的发展与监管、个人信息保护相关法律衔接、提升处罚精度等社会热点问题，与我们的生活息息相关。

    AI首次入法完善伦理规范

    当前，AI迅速发展，给人们的生产生活带来诸多便利。但AI也被用于制作发布谣言、不实信息，给人们造成了困扰。

    网络时代，像为珠峰装电梯、长城贴瓷砖、黄河设玻璃护栏等，是近几年出现的典型的网络谣言，网传图文视频为AI生成的虚假信息，内容虽然荒唐，但因传播广泛，官方不得不紧急辟谣，提醒网民切勿相信此类谣言。“AI生成不实信息，到底应该怎么办？”这一疑问指向的正是人工智能的健康发展问题。如何在促进科技创新与安全风险预防间寻求平衡成为破题关键。

    《网络安全法》施行八年迎来首次大修，AI被正式纳入法条。其中，第二十条将人工智能安全治理纳入网络安全，确立了人工智能发展与安全并重的指导原则。明确规定：国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。

    网络运营者对用户信息须严格保密

    近年来，个人信息安全问题层出不穷：线上招聘平台将公民简历信息违规提供给他人；医院的云端问诊系统因存储服务器未开启加密保护，导致问诊数据泄露；犯罪团伙勾结快递行业工作人员，窃取个人信息并出售牟利……如今，个人信息保护机制遭遇多重风险，部分App成“隐私刺客”，威胁公众的人身和财产安全。

    在此背景下，网络安全法第四十二条新增条款，强调网络运营者负有对其收集的用户信息严格保密的义务，并建立健全用户信息保护制度；要求网络运营者处理个人信息时，应当遵守本法和民法典、个人信息保护法等法律、行政法规的规定。同时，新法第七十一条明确，违反网络安全法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。

    此外，第四十三条规定再次对网络运营者收集和使用个人信息划定了红线，即应当遵循合法、正当、必要的原则，公开规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定。

    为严重违法设定更高处罚标准

    近日，湖南某科技公司工作人员将大量用户数据拷贝至企业内网数据库，并打开企业内网的公共互联网访问端口，导致相关数据大规模暴露。网络运营者是网络危险源开启与控制的责任主体，实践中因网络运营者建立网络安全和数据安全管理制度不完善、未采取技术防护措施引发的网页篡改、数据泄露事故时有发生，已对网络安全造成严重影响。

    此次网络安全法修订虽未调整网络运营者的定义，但在义务主体层面，新法第六十一条第一款和第二款已经根据网络运营者的经营特征，通过区分一般网络运营者与关键信息基础设施（如公共通信、能源、交通、金融等领域的网络设施和信息系统）运营者的方式，提升了处置处罚精度。

    同时，新修订的网络安全法尝试根据数据处理活动的风险等级以及违法行为造成后果的严重程度，构建起更具层次性的梯度处罚体系。以第六十九条为例，网络运营者对法律、行政法规禁止发布或者传输的信息未尽信息管理义务的，处罚标准在原来“一般违法”“拒不改正或者情节严重”两级的基础上，增加了“造成特别严重影响、特别严重后果的”情形，并设定了更高的处罚标准。依据损害后果严重程度的不同，网络运营者未尽信息管理义务的，罚款金额区间限定在5万元以上50万元以下，至200万元以上1000万元以下。此次修订引入了精细化的“分级分类治理”模式，在构建罚过相当责任体系的同时，有助于推动网络运营者履行与其经营活动性质及行为后果相一致的安全义务。

    加大处罚力度实行“首违即罚”

    加大监管力度,显著提高违法成本是此次网络安全法修订的亮点之一。其直指当前网络安全领域的核心风险，在提升罚款上限的同时，通过扩大规制范围提升网络安全法的威慑力。

    提升罚款金额是最为直观的增加违法成本的方式。网络安全法第六十一条新增第三款，网络运营者及关键信息基础设施的运营者不履行特定网络安全保护义务，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处50万元以上200万元以下罚款，对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处200万元以上1000万元以下罚款，对直接负责的主管人员和其他直接责任人员处20万元以上100万元以下罚款。新法不仅关注运营者自身责任，而且强调将责任传导到个人，大幅提升直接负责的主管人员和其他直接责任人员的经济责任。

    同时，网络安全法确立了首违即罚制度。新法第六十一条第一款及第二款首次明确：网络运营者不履行特定网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处1万元以上5万元以下罚款……关键信息基础设施的运营者不履行特定网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处5万元以上10万元以下罚款……首违即罚制度的确立，突破了以往“责令改正”的前置程序，明确授权主管部门在首次发现违法行为时，就有权在责令改正、给予警告的同时，直接作出罚款决定。

    对境外网络攻击将采取制裁措施

    中国国家网络与信息安全信息通报中心去年发现了一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对我国和其他国家发起网络攻击，带来巨大安全风险。境外网络攻击不仅直接威胁国家安全，也危害公民个人权益。网络攻击突破安全屏障时，个人隐私便成为首当其冲的攻击目标，社交媒体、消费评价等社会活动及身份证号等敏感个人信息极易产生大规模泄露，引发隐私与财富的双重危机。

    新修订的网络安全法第七十七条规定：境外的机构、组织、个人从事危害中华人民共和国网络安全活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。新法明确，网络安全法的适用范围由危害关键信息基础设施并造成严重后果，扩展为危害国家网络安全。通过取消受害对象以及损害后果严重性程度的双重限制，新法将所有来自境外的、危害国家网络安全的违法行为纳入网络安全法的管辖范围。换言之，只要境外主体实施了危害国家网络安全的活动，我国即可依法追究其相应责任，且不限于一般性法律责任，必要时，有关机关可针对性采取冻结财产或其他必要的制裁措施，在确保网络安全法前瞻性与灵活性的基础上，大幅提升对境外网络攻击的威慑力。

    新法第七十七条的直接规制对象虽是境外违法主体，但该条款社会效应的最终落点仍在于保护国内公众个人、企业和国家的切身利益，通过提供网络环境的“远端防护”，在网络疆域构建“法律防火墙”，从根本上保护数字资产、个人隐私以及社会运行安全。

    （《北京日报》1.14 胡金辉）