一、法律责任部分的细化调整

《2025征求意见稿》主要对于《网络安全法》中关于法律责任的相关内容作出了诸多调整。

（一）网络运行安全的法律责任

在网络运行安全的法律责任方面，第59条即作出了数项调整：

《2025征求意见稿》的说明中指出此次修订参照《数据安全法》调整了现行《网络安全法》第59条罚款幅度，增加相应处罚规定。

就第21条、第25条规定的网络运营者的网络安全保护义务，对于非CIIO的罚则有所调整：对一般违法的，除责令改正、给予警告外，还新增可处以一万元以上五万元以下罚款；对拒不改正或者导致危害网络安全等后果的，处罚由“处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款”调整为“处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款”。在这一部分，整体的处罚力度提高，新增了无需“拒不改正或者导致危害网络安全等后果”即可适用的处罚金额，整体的处罚金额额度也均有上调。而对于CIIO，虽未调整其“拒不改正或者导致危害网络安全等后果”的处罚金额额度，但也新增了违法即直接适用的处罚金额。

《2025征求意见稿》新增了加重处罚环节：其要求，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，所处罚款金额大幅上升至二百万元以下，并新增责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照等处罚，且对相关人员也可处以至多二十万元以下罚款。对造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处罚金额更可升至一千万元，且可同时采取前述各项措施，对相关人员的处罚金额也升至一百万元以下。

我们注意到，此次对第59条的修订仅针对《网络安全法》第21及25条，以及第33条、第34条、第36条、第38条的违法情况（延续原有的对象），而没有涵盖《2022征求意见稿》增加的违反第22条第1款和第2款、第23条、第24条第1款、第26条、第28条的情况。这些条款中，仅有第23条在《2025征求意见稿》中通过新增第61条对应规定了新的罚则，其他罚则则仍维持了《网络安全法》的规定，未有新的调整。可以说，针对不同的法律义务的违法情况，《2025征求意见稿》也考量了不同规定所保护的法益的情况，有针对性地选择调整了部分处罚金额和处罚形式；适当地收窄了部分《2022征求意见稿》提出的处罚抓手和尺度。以第24条第1款为例，该条主要要求网络运营者为用户办理如入网手续、提供即时通讯等各项服务，与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。该条的对应罚则为第61条，其规定“拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”，这里的处罚金额范围甚至高于《网络安全法》目前第59条的一般违法情况的处罚金额，且已涵盖本次第59条新增的主管部门可施加的各项处罚形式。而针对这一法益的情况，《2025征求意见稿》没有特别新增责令改正和给予警告时的并行罚金处罚，也没有提及加重处罚的特殊情形。《2025征求意见稿》表现出对于这类已有规定的处罚范围的认可，可能无需以修订形式特别加强对此类法益的保护。总之，此次对第59条的修订呈现出了针对不同网络运行安全的法律责任对应法益的区别保护态度，并对不同违法程度设置了更为详细的不同的处罚阶梯。

不论法规如何变化，作为网络运营者的企业仍然应该牢固坚守其网络安全保护和管理责任的基石。比如，做到完善网络安全管理制度，根据《2025征求意见稿》修订内部网络安全制度，明确网络安全保护的责任部门和人员；继续强化技术安全防护能力，部署防火墙、入侵检测、加密传输等基础措施，在数据分类分级管理的基础上对不同级别的数据实施加密、脱敏、最小权限访问等安全措施；建立漏洞扫描、补丁更新、应急响应流程（如在规定时间内修复高危漏洞等）。在供应链、第三方风险管理上，尽量做到供应商的资质审查（如云平台、外包开发的供应商应提供其安全资质），在相关采购协议中明确供应商的数据安全保护责任和违约赔偿条款。在安全事件监测上，加强部署安全运营中心或第三方监测工具，以便及时发现异常行为，并应在发生网络安全事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

（二）销售、提供网络关键设备和网络安全专用产品的法律责任

《2025征求意见稿》新增了第61条，规定如违反第23条，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的法律责任；明确关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处置处罚措施[1]。现行《网络安全法》并未对第23条有专门的罚则，《2025征求意见稿》将处罚细分为：责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

根据国家网信办等六部委于2023年4月12日发布的《关于调整网络安全专用产品安全管理有关事项的公告》，自2023年7月1日起，列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术网络安全专用产品安全技术要求》等相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。《2025征求意见稿》新增第61条的规定因应了前述强制性要求的规定，为这一制度确定了法律责任的保障基石。企业在可能涉及此类范围的设备和产品时，应当做好核查工作。如确实落入该等范围，则应确保相关设备或产品已由具备资格的机构安全认证合格或者安全检测符合要求。

（三）补充数项危害网络安全的法律责任

《2025征求意见稿》增加第64条，将违反第60条第1项、第2项和第63条的行为连接至《2025征求意见稿》第59条第3款规定的处罚（如造成其规定的后果）。具体来说，如涉及如下情况：（1）设置恶意程序；（2）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告；（3）从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的/关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，按相应程度，根据前述第59条第3款规定处以更高数额的罚款及相应处罚措施。这一新增规定与前述第59条的规定衔接，在现有第59条规制的法条对应的违法行为的基础上进一步扩大了危害网络安全行为的处罚界限，使得网络运行安全的法律责任的罚则更为立体。不过，这种罚则与罚则间前后数次交叉引用的行文稍显繁复，也许可以在正式发布的修正文本中予以完善。

（四）CIIO使用未经过/通过国家安全审查的网络产品/服务的责任

《2025征求意见稿》将原第65条变为第67条，对于CIIO使用未经安全审查或者安全审查未通过的网络产品或者服务的处罚，维持了原并处罚款的金额，但将由有关主管部门责令“停止使用”改为“限期改正、消除对国家安全的影响”。这一变化将即时停止调整为允许限期改正，在坚持维护国家安全的同时，又使相关业务不至于骤然停止，体现了对CIIO的实际运营的情况的考量，给予其自行消除风险的机会。

二、网络信息安全的相关法律责任

《2025征求意见稿》将原第68条、第69条第1项合并，作为新的第69条。

《2025征求意见稿》的说明中即指出，此项调整结合了近年来网络信息内容执法实践，借鉴了国外相关立法法律责任制度的新调整，调整未向有关主管部门报告和不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施情形的法律责任，明确对造成特别严重影响、特别严重后果的违法情形的处置处罚措施。总体而言，此次的调整对违反对应法律规定的责任做了升级，新增了涵盖的情形并上调了部分处罚的幅度。

从规制的法律义务来看，既有的第68条第1款规制的是网络运营者对发布或者传输的违法信息的安全管理处置义务，第68条第2款规制的是电子信息发送服务提供者、应用软件下载服务提供者的安全管理处置义务，第69条第1款则是针对配合有关部门要求的安全管理处置义务。这三个方面在《2025征求意见稿》的新的第69条中均予以继承，但在具体的处罚阶梯幅度上有所变化。对于原第68条第1款的网络运营者的安全管理处置义务，新增了对未履行向有关主管部门报告的义务的处罚。在一般程度的违法行为的处罚上，合并了对于网络运营者在自主管理管理和配合有关部门要求安全管理的义务上的罚则：无需拒不改正或者情节严重的前提，便可处以五万元至五十万元的罚款；而拒不改正或者情节严重的，则统一将处罚标准升格为：处五十万元至二百万元区间的罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对相关个人处五万元至二十万元区间的罚款。此外，新增对造成特别严重影响、特别严重后果的处罚，对单位其金额可上至一千万元，对个人可上至一百万元。此外，对于电子信息发送服务提供者、应用软件下载服务提供者也同步适用上述处罚标准。

一般理解，上述罚则主要针对的是平台运营者的安全管理义务。结合近年来的网络治理实践，《2025征求意见稿》对平台运营商违反其安全管理义务展现了更高的处罚力度，明确严格要求其及时处置网络违法行为。平台运营者等主体需要更加关注近年来对互联网平台治理相关的行政法规、规定和办法，通过相关制度和技术手段健全其对违规行为的监测和处置。比如，在信息的检测上，需要加强其信息实时检测机制，常见的如通过AI内容审核系统进行敏感词汇及图片的识别，并在高风险的内容上（如直播或评论区等）设置必要的人工审核机制；在用户管理上，完善用户协议和隐私政策，设置明确的用户违规处分机制。在处置流程上，可以根据信息的类别设置不同级别的处置和应对措施，并相应留存事件及其处置的记录。在内部合规体系上，建立内部的定期合规审计及必要的演练机制，加强员工对于安全管理义务的学习和培训。在供应商、服务商的管理上，需要在相关协议中明确其遵守法定义务，并约定相应的违约赔偿条款。

三、适用有关法律、行政法规的情形

《2025征求意见稿》将现行《网络安全法》第64条第1款、第66条、第70条合并，作为第71条。

众所周知，《网络安全法》是我国网络安全和数据、个人信息保护等领域“三架马车”中第一部施行的法律。其第一次从国家级别的法律立法层面树立起了对个人信息保护、关键信息基础设施保护等领域的系统规范。随着后续我国立法和监管发展，已出现一些更有针对性的法律和行政法规对其规制的内容进一步完善细化。以《网络安全法》第22条第3款、第41条至第43条规定的对个人信息的保护义务为例，其规制的主要内容在《个人信息保护法》的相关条款中也已体现：

除上述举例的《个人信息保护法》的相关条款外，在《网络数据安全管理条例》等行政法规和规章中也已有相应的细化表述。基于《个人信息保护法》及相关行政法规和规章，主管部门也可以对违反相关规定的单位和个人处以对应的行政处罚。不过，考虑到目前部分法规的处罚条款的“颗粒度”等问题，该则转致条款的细化适用问题也有待进一步明确。

又如，《网络安全法》第37条规定了CIIO在境外存储个人信息和重要数据应当办理网信部门组织的数据出境安全评估，现行的第66条是对应的罚则。在《个人信息保护法》和《数据安全法》颁布后，个人信息和数据维度个人信息/数据违规出境也拥有了对应的罚则。从具体表述上看，三部法律的对应罚则存在不同。在《促进和规范数据跨境流动规定》《数据出境安全评估办法》等关于数据出境安全评估的实操规则施行后，相关违法处罚已有了实操的依据。在这一背景下，《2025征求意见稿》明确了转致适用的规定。

平行对比来看：相较《网络安全法》第66条，《数据安全法》第46条没有“没收违法所得”的表述，但在一般违法情形下对单位的处罚金额范围高于《网络安全法》（对个人的处罚金额持平）；而情节严重的情形的处罚金额更是高于《网络安全法》。《个人信息保护法》第66条在一般违法情形下对单位的处罚金额上限高于《网络安全法》（须符合“拒不改正”的前提），对个人的处罚金额则略低于《网络安全法》；而在情节严重情况下的处罚力度则远超前者。不过，《网络安全法》第66条的处罚对象是CIIO，在《数据安全法》和《网络安全法》的罚则中则未专门列出对CIIO违法的适用情形。考虑到CIIO的特殊性质，未来是否会有相关法规明确，CIIO的违法情况构成前述“情节严重”的情形，从而触发其较高的处罚阈值呢？

在2024年发布的《国务院关于进一步规范和监督罚款设定与实施的指导意见》（“《国发〔2024〕5号》”）中指出：同一行政法规、规章对不同违法行为设定罚款的要相互协调，不同行政法规、规章对同一个违法行为设定罚款的要相互衔接，避免畸高畸低。基于这一精神，《2025征求意见稿》对不同法律法规的转致适用规定是值得肯定的。

四、从轻、减轻或者不予行政处罚的情形

《2025征求意见稿》新增了第72条：“网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的，依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。有关主管部门依据职责制定相应的行政处罚裁量基准，规范行使行政处罚裁量权。”

2021年修订的《行政处罚法》第5条规定：行政处罚遵循公正、公开的原则。设定和实施行政处罚必须以事实为依据，与违法行为的事实、性质、情节以及社会危害程度相当。其第32条规定的应当从轻或者减轻行政处罚的情形中就包括“主动消除或者减轻违法行为危害后果”。其第33条也规定：违法行为轻微并及时改正，没有造成危害后果的，不予行政处罚。初次违法且危害后果轻微并及时改正的，可以不予行政处罚。在《国发〔2024〕5号》中也指出，应当科学适用过罚相当原则；行政法规、规章新设罚款和确定罚款数额时，要坚持过罚相当，做到该宽则宽、当严则严，避免失衡。行政机关实施罚款等处罚时，要统筹考虑相关法律规范与行政处罚法的适用关系，符合行政处罚法第32条规定的从轻、减轻处罚或者第33条等规定的不予、可以不予处罚情形的，要适用行政处罚法依法作出相应处理。类似“宽严相济”在刑法学中的概念，《2025征求意见稿》既在针对部分违法行为的罚则中加重了对特定情形的处罚，也适当体现了行政法中的“比例原则”和“过罚相当”等原则，对部分情形留有了相对从轻、减轻或者不予行政处罚的情形。网络安全领域作为我国较为特殊的行政监管领域，其涉及的企业面非常宽广，监管的内容又相对敏感。主管部门对该领域的违法事件的处罚也应相应遵循一定的原则。

此外，《行政处罚法》第34条规定：行政机关可以依法制定行政处罚裁量基准，规范行使行政处罚裁量权。《国发〔2024〕5号》也鼓励行政机关制定不予、可以不予、减轻、从轻、从重罚款等处罚清单，依据行政处罚法、相关法律规范定期梳理、发布典型案例，加强指导、培训。如《2025征求意见稿》的更新落地后，我们也期待主管部门结合修订内容和《行政处罚法》及《国发〔2024〕5号》等文件的规定，适时总结和发布相关处罚标准和典型案例、指导文件，以帮助企业更好地开展其合规建设。

五、结语

除前述条款外，《2025征求意见稿》还就个别语言（如将“关闭网站”修改为“关闭网站或者应用程序”）和条款编号作出了调整。根据《2025征求意见稿》的说明，2025年3月，《全国人民代表大会常务委员会工作报告》已将修改《网络安全法》列入2025年的立法工作任务。此次《2025征求意见稿》即是基于前期实践对相关规定作出的适时调整，我们期待修订工作将听取和吸收更多的社会意见。《2025征求意见稿》展现出了对部分违法行为分场景从严监管的姿态，同时也强调了执法中的“比例原则”和“过罚相当”等原则。企业仍需据此加强其网络安全和数据合规建设，不断学习立法和监管的新动态，以使其不断合规高效地开展业务。

注释：

[1] 关于《中华人民共和国网络安全法（修正草案再次征求意见稿）》的说明：三：修改的主要内容