《网络安全法》再次征求意见：违法行为处罚力度空前，企业合规迫在眉睫

2025年3月28日，国家网信办发布《中华人民共和国网络安全法（修正草案再次征求意见稿）》（以下简称“2025修正草案”），这是自2017年《网络安全法》实施以来的第三次重大修订，也是继2022年首次修订征求意见后的再次调整。此次修订不仅强化了法律责任体系的衔接性，更对违法行为的处罚力度进行了“加码”，标志着我国网络安全治理进入“严监管、高处罚”的新阶段。

一、处罚力度全面升级：最高罚款1000万元，执法颗粒度细化

与2022年修订稿相比，2025修正草案对违法行为的罚款上限和适用场景进行了显著调整。例如：

1、关键信息基础设施（CII）违法：若因违反网络安全义务导致CII丧失主要功能，企业最高可被处以1000万元罚款，直接责任人最高罚100万元。

2、网络信息安全违规：平台未及时处置违法信息或未履行报告义务，最高罚款从200万元提升至1000万元，并可能被责令停业整顿。

3、新增设备与产品责任：首次明确销售或提供未经安全认证的网络设备及专用产品的法律责任，违法所得超10万元的，可并处1-3倍罚款。

值得注意的是，“拒不改正”不再是罚款前置条件。企业首次违法即可能面临直接处罚，且对“情节特别严重”的情形引入阶梯式罚款，如对网络信息内容安全违规的罚款幅度从50万-200万元调整为最高1000万元。

二、关键信息基础设施（CII）保护：从“底线要求”到“精准打击”

CII作为国家安全的核心领域，此次修订进一步强化了其保护力度：

· 违法后果分级：首次区分“丧失局部功能”与“丧失主要功能”两种危害后果，处罚标准差异显著，前者最高罚款200万元，后者则升至1000万元。

· 产品使用限制调整：针对CII运营者使用未经安全审查的网络产品，从“停止使用”改为“责令限期改正+消除影响”，更注重风险的实际消除而非简单叫停。

这一调整体现了立法者对CII运营复杂性的考量，既避免“一刀切”影响业务连续性，又通过高额罚款形成威慑。

三、法律责任的“转致适用”：与《个保法》《数安法》无缝衔接

修正草案将部分违法行为直接转致适用《个人信息保护法》（个保法）和《数据安全法》（数安法），例如：

·个人信息侵权：侵害个人信息权益的行为转致适用《个保法》，理论罚款上限从100万元升至5000万元或企业年营业额5%。

·数据跨境风险：CII运营者违规向境外提供重要数据，适用《数安法》的严格罚则，填补了此前“境外存储重要数据”的立法漏洞。

这一调整不仅统一了法律适用标准，还通过“高额罚款+业务限制”双轨制，倒逼企业建立全生命周期数据合规体系。

四、新增责任与漏洞填补：从设备销售到平台治理

修正草案首次明确多项新增法律责任：

1、网络设备与产品：销售未经安全认证或检测不合格的网络关键设备，除没收违法所得外，最高可处3倍罚款。

2、平台主体责任：强化平台对违法信息的主动处置义务，如未停止传输违法信息或未保存记录，平台最高面临1000万元罚款，直接责任人最高罚100万元。

3、内容安全兜底条款：删除2022年修订稿中“补丁条款”，避免法律适用争议，转而通过转致机制覆盖更多场景。

此外，修正草案还减少了“通报批评”的适用场景，降低企业舆情风险，体现了立法在严格与包容之间的平衡。

五、包容审慎与合规激励：首次明确从轻处罚情形

尽管处罚力度空前，但修正草案也体现了“惩教结合”原则：

·合规减责机制：企业若能主动消除危害后果、及时改正或系初次违法且后果轻微，可依法从轻、减轻或免于处罚。

·裁量基准统一：要求主管部门制定行政处罚裁量标准，避免执法尺度不一。

这一设计为企业的合规整改提供了空间，也呼应了《行政处罚法》的立法精神。

结语：合规转型是企业的唯一出路

此次《网络安全法》的修订，不仅是立法技术的完善，更是对数字经济时代安全风险的直接回应。从“5000万罚款天花板”到“关键设备全链条追责”，企业面临的合规压力已从“可选”变为“必选”。

对于中小企业而言，需尽快完成以下动作：

1、数据分类分级：识别重要数据与核心数据，落实本地化存储要求；

2、风险评估常态化：定期开展网络安全审计，尤其是CII运营者；

3、技术防护升级：采用加密、访问控制等技术，防范数据泄露风险。

网络安全无小事，唯有主动合规，方能在“严监管”时代行稳致远。