引言
2025年10月28日,十四届全国人大常委会第十八次会议审议通过关于修改《中华人民共和国网络安全法》的决定。新修改的《网络安全法》(以下称“《修改稿》”)将于2026年1月1日起施行。这是2016年《网络安全法》出台以来的首次修改。《网络安全法》(以下称“原法”)与《数据安全法》《个人信息保护法》一并构成我国网络法领域的顶层设计。而《网络安全法》出台远早于《数据安全法》和《个人信息保护法》,且其内容详实,涉及网络信息安全、关键信息基础设施安全、数据安全和个人信息保护等,是网络法治的起源和重要的上位法依据。
《网络安全法》是一部综合性、基础性、全面性的法律,对网络领域合规工作尤为重要,其修改工作受到社会各界广泛关注。从修改历程看,自2022年启动《网络安全法》修改工作以来,国家网信办两次向社会公开征求意见,分别发布了《关于修改<中华人民共和国网络安全法>的决定(征求意见稿)》(以下称“2022年修改稿”)[1]和《中华人民共和国网络安全法(修正草案再次征求意见稿)》(以下称“2025年修改稿”)[2];从修改内容看,《修改稿》更为科学、合理,以调整法律责任为主线,兼顾人工智能等发展趋势,首次从法律层面回应了人工智能治理的内容。
我们通过本文,希望帮助相关企业梳理本次修改的内容,特别是明确相关法律责任的变化,协助企业开展合规相关工作,主要包括以下内容:
(1)逐条解读修改情况及历史脉络;
(2)分析法律责任变化情况和对企业及从业人员的影响;
(3)关键合规启示。
01 总则条款的不变与变
《修改稿》对总则条款进行了增补,将总体国家安全观的内容写入,作为网络安全法治的基本指导,同时首次增加了人工智能条款,从法律层面框定了人工智能发展的基础规范。
1. 明确总体国家安全观作为网络安全法治的基本指导
《修改稿》增加了一条作为第三条,网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。总体国家安全观是党的历史上第一个被确立为国家安全工作指导思想的重大战略思想,是中国共产党和中国人民捍卫国家主权、安全、发展利益百年奋斗实践经验和集体智慧的结晶,是马克思主义国家安全理论中国化的最新成果,是习近平新时代中国特色社会主义思想的重要组成部分,是新时代国家安全工作的根本遵循和行动指南[3]。《网络安全法》作为网络安全甚至网络领域最为基础的法律,将总体国家安全观与网络安全基础法律相融合,体现了法治网络、法治安全的基本思路,也将是通过法律形式固化下来的长期准则。
2. 回应人工智能治理发展需要
《修改稿》将原第十八条拆为两款,并增加一条作为第二十条。
《修改稿》第二十条首次在法律层面对人工智能作出规定。了解《网络安全法》的历史就会知道,《网络安全法》开创了诸多网络领域法律制度的先河。比如,《网络安全法》是互联网信息内容的唯一法律层级的上位法依据;《网络安全法》首先在法律位阶中规定个人信息保护问题,并成为《个人信息保护法》的制度渊源之一;《网络安全法》是数据跨境的最早法律规定。本次修改过程中,在最后审议阶段规定了人工智能相关内容,无疑释放了清晰的法治信号,意味着我国人工智能立法已经从法治计划走向具体立法层面。
“人工智能专条”虽然只有一条,但是高度凝练,涉及丰富的内容,包括四个方面:
(1)强调基础支撑,“明确国家支持人工智能基础理论研究和算法等关键技术研发”。《国务院关于深入实施“人工智能+”行动的意见》(国发〔2025〕11号)中第一项重点行动就是“人工智能+”科学技术,要求加速科学发展进程,驱动技术研发模式创新和效能提升,创新哲学社会科学研究方法。该意见将“提升模型基础能力”列为八大基础支撑之一,明确加强基础理论研究,支持多路径技术探索和模型基础架构创新。《国务院办公厅关于加快场景培育和开放 推动新场景大规模应用的实施意见》(国办发〔2025〕37号)中要求在人工智能领域加强关键核心技术攻关和推广应用,加快高价值应用场景培育和开放,更好满足科技、产业、消费、民生、治理、全球合作等各领域发展需要。
(2)明确资源供给,“确定推进训练数据资源、算力等基础设施建设”。训练数据对于人工智能特别是生成式人工智能尤为关键,而训练数据的合法性备受关注。《生成式人工智能服务暂行办法》中要求生成式人工智能服务提供者使用具有合法来源的数据和基础模型,涉及个人信息的应当取得个人同意或者符合法律、行政法规规定的其他情形。实践中,生成式人工智能高度依赖海量训练数据,数据来源合法性常常成为合规实务的难点问题。《修改稿》的这一规定,可以理解为是对训练数据活动的肯定,只要符合法律相关合规要求,即能够开展相关活动。同时,训练数据本身也被视为一种资源,成为人工智能发展的基础设施之一。
(3)确定伦理规范,“完善人工智能伦理规范”。国内已建立起多层次的人工智能伦理规范体系,形成治理框架和重点风险防控思路。《新一代人工智能伦理规范》(2021年)作为国家新一代人工智能治理专业委员会发布的核心伦理文件,提出6项基本伦理要求和18项具体伦理要求;《关于加强科技伦理治理的意见》(2023年)提出伦理先行、依法依规、敏捷治理等治理原则,要求将科技伦理要求贯穿科学研究、技术开发等科技活动全过程,加快推进科技伦理治理法律制度建设,加强科技伦理风险预警与跟踪研判等;《科技伦理审查办法(试行)》(2023年)要求从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应当设立科技伦理(审查)委员会,对相关科技活动进行科技伦理审查;《人工智能科技伦理管理服务办法(试行)(公开征求意见稿)》(2025年)明确了人工智能科技活动的伦理要求,帮助企业切实提升科技伦理风险防范能力。
《修改稿》首次在法律中明确提出人工智能伦理规范,势必将成为后续人工智能相关立法的重要渊源和主要依据。同时,由《网络安全法》来首次规定人工智能治理的内容,也反映出安全因素在当前人工智能发展阶段的重要性,宜在合规层面重视安全保障能力。
(4)风险治理路径,“加强风险监测评估和安全监管”。《修改稿》明确了风险治理的思路,即根据风险高低设置不同的责任义务。风险治理思路在欧盟《人工智能法》(AIA)中体现得十分明显,其将人工智能划分为高、中、低等不同等级,对高风险人工智能系统规定了严格的合规义务,以防止其产生破坏性风险。我国在相关政策文件中亦初步形成了风险治理的思路,《新一代人工智能伦理规范》第八条要求加强风险防范,增强底线思维和风险意识,加强人工智能发展的潜在风险研判,及时开展系统的风险监测和评估,建立有效的风险预警机制,提升人工智能伦理风险管控和处置能力。《修改稿》作为法律文件对风险思路予以确定,反映出未来相当长时间内我国治理人工智能的基本态度和法治路径。
此外,《修改稿》不仅明确治理人工智能,也要求运用人工智能治理,第二十条第二款修改增加人工智能等新技术作为网络安全管理创新方式,代表了未来监管方式改革的趋势,更加反映出数字经济时代新型监管特点。
02 强化与数据法律的衔接
《修改稿》在原法第四章第四十条中增加第二款,修改形成第四十二条,明确“网络运营者处理个人信息,应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定”。
《网络安全法》第四章为“网络信息安全”,包括两部分内容,网络信息内容管理和个人信息保护。其中,个人信息保护部分是在2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》的基础上作出的法律层面的原则性规定。从当时的历史背景来看,原《网络安全法》明确了个人信息处理的基本原则和主要规则,确定了知情同意的基础框架。随着数字经济发展的深入,个人信息处理的场景、方式等发生了变化,2020年《民法典》从民事保护的角度规定了个人信息处理相关要求,2021年《个人信息保护法》对个人信息保护作出了全面性、基础性的规定。《修改稿》适应法治变化需要和产业发展实际,增加该款衔接性规定,能够增强法律规范的针对性、有效性、协同性。
需要说明的是,该款衔接性规定虽增加于第四十二条第二款,但其应适用于《修改案》所有有关个人信息处理的条款。就该款内容而言,其适用于“网络运营者处理个人信息”,而非仅限于第四十二条第一款规定的网络运营者收集用户信息的情形;就该款位置而言,其作为第四章第一条,具有第四章的总则性质,对第四章中相关内容(个人信息保护)均应发生效力。据此,对于《修改稿》有关个人信息保护的规定,则应结合《个人信息保护法》等综合理解。例如,《修改稿》第四十三条第一款(原法第四十一条第一款)要求网络运营者收集、使用个人信息应当经被收集者同意,而《个人信息保护法》第十三条已经明确了包括同意在内的七种合法性基础,因此个人信息处理者处理个人信息时,应按照《个人信息保护法》第十三条取得相应的合法性基础,而非按照《修改稿》第四十三条第一款必须取得个人同意。
03 重中之重——法律责任的修改
自2022年启动《网络安全法》修改工作以来,“2022年修改稿”和“2025年修改稿”均未对《网络安全法》实体内容进行修改,而只对法律责任部分进行了调整,以更好地与《数据安全法》《个人信息保护法》等网络法治领域的平行法律相匹配。《修改稿》虽增加了总体原则、人工智能、数据法衔接等条款,但未对《网络安全法》主要制度进行修改,这说明《网络安全法》自实施以来,其主要制度在实践落实中发挥了应有的效果,仍应予以坚持。《修改稿》主要调整的是法律责任部分,表明在新的发展环境中,相关法律制度需要更科学、合理的法律责任,以敦促网络运营者践行合规义务,确保网络安全。
1. 网络运行安全和关键信息基础设施安全保护
《修改稿》对原法第五十九条进行了重要调整,加大了涉及网络运行安全和关键信息基础设施安全的法律责任。
*删除线部分为《中华人民共和国网络安全法(修正草案再次征求意见稿)》内容
第六十一条是关于网络运行安全义务的法律责任,涉及一般义务和关键信息基础设施运营者的特殊义务,对应的是第二十三条(网络安全等级保护制度)、第二十七条(网络运营者的应急处置措施)、第三十五条(关键信息基础设施建设三同步要求)、第三十六条(关键信息基础设施运营者的安全保护义务)、第三十八条(关键信息基础设施采购的安全保密义务)、第四十条(关键信息基础设施的定期安全检测评估)。
《修改稿》加大了一般性违法的处罚力度,原法第五十九条对于一般性违法行为,首先是规定由有关主管部门责令改正和给予警告,只有拒不改正或者导致危害网络安全等后果的,才对单位和直接负责的主管人员罚款。修改后,只要违反相关条款,即可处以罚款,一般性罚款数额为一万元以上五万元以下,拒不改正或者导致危害网络安全等后果的为五万元以上五十万元以下(原法为一万元以上十万元以下),直接负责的主管人员为一万元以上十万元以下(原法为五千元以上五万元以下)。《修改稿》相较于“2025年修改稿”,还将“其他直接责任人员”纳入可能处罚的人员范围以内,增加了处罚力度,也与《数据安全法》《个人信息保护法》的法律责任保持了一致;不仅如此,《修正案》还删除了《中华人民共和国网络安全法(修正草案再次征求意见稿)》中“责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照”的处罚种类,而主要以罚款作为处罚手段。
个人最高可能被处罚100万元。《修改稿》增加了对造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的处罚,明确由有关主管部门处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,由有关主管部门处二百万元以上一千万元以下罚款,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。值得注意的是,“2025年修改稿”针对“造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的”情形,仅规定对直接负责的主管人员进行处罚,而《修改稿》则增加了“其他直接责任人员”,这需要相关从业者格外关注。
2. 网络产品和服务提供者的安全义务以及电子信息和应用软件的信息安全要求
《修改稿》新增一款法律责任,作为第六十二条第二款:“有前款第一项、第二项行为,造成本法第六十一条第三款规定的后果的,依照该款规定处罚。”
第六十二条第一款是对于违反第二十四条第一款、第二款和第五十条第一款规定的法律责任,其中第一项是“设置恶意程序的”,第二项是“对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的”;第六十一条第三款规定的后果即“造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的”。第五十条第一款是指 “任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。”
原法第六十条的处罚措施包括警告和罚款,其中对单位的罚款幅度为五万元以上五十万元以下,对直接负责的主管人员的罚款幅度为一万元以上十万元以下。修改后,如果构成第六十一条第三款规定的后果的,按照该款规定处罚。这体现为罚款幅度的提升和处罚人员的增加,对单位的罚款幅度为五十万元以上二百万元以下二百万元以上一千万元以下;对人员的罚款不仅包括直接负责的主管人员,还增加了其他直接责任人员,罚款幅度为五万元以上二十万元以下/二十万元以上一百万元以下。
3. 网络关键设备和安全专用产品的认证
《修改稿》增加一条法律责任,即第六十三条,作为第二十五条的罚则。第二十五条是关于网络关键设备和安全专用产品认证检测的规定,工信部、公安部等对电信设备、网络专用产品等建立了安全认证和安全检测的制度,《网络安全法》在总结实践经验的基础上,对网络关键设备和网络安全专用产品安全认证、检测制度作了规定,但并未规定法律责任。本次修改专门增加了法律责任,明确了责任后果,从而能够提升网络关键设备和安全专用产品的使用规范,有效保障网络领域供应链安全。
相较于“2025年修改稿”,《修改稿》将“责令改正或者停止违法行为”明确为“停止销售或者提供”,删除了“没收违法产品”的内容而保留了“没收违法所得”。同时,《修改稿》明显增加了处罚力度,增加了“没有违法所得或者违法所得不足十万元”的法律责任,将“违法所得十万元以上”的罚款上限提升为违法所得五倍以下,同时增加了“责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”的处罚手段。
4. 增加了实名制义务的法律责任
《修改稿》第六十四条在原法第六十一条的基础上,增加了对应用程序的处罚,将原规定中的“关闭网站”修改为“关闭网站或者应用程序”。《修改稿》第六十四条是第二十六条第一款的法律责任。第二十六条第一款是关于真实身份登记的规定,即“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”
修改后,网络运营者未依法落实真是身份登记法律义务的,将有可能被关闭应用程序,这也符合移动互联网发展的特点,与个人信息保护等相关监管行动保持了一致。
5. 提升了漏洞管理法律责任
《修改稿》第六十五条(原法第六十二条)是第二十八条(原法第二十六条)的法律责任。《修改稿》第二十八条要求,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。《修改稿》第六十五条仍然采取了阶梯式处罚的方法,对于一般性违法,原法仅规定了责令改正和给予警告,而《修改稿》在此基础上还规定“可以处一万元以上十万元以下罚款”;对于拒不改正或者情节严重的,《修正稿》将原法规定的对单位的“一万元以上十万元以下罚款”提升为“十万元以上一百万元以下”,将“关闭网站”的处罚调整为“关闭网站或者应用程序”;增加了与第六十一条第三款的衔接,即违反本条第一款,造成本法第六十一条第三款固定的后果的,依照改款规定处罚。
6. 关键信息基础设施采购国家安全审查规定
《修改稿》将第六十五条改为第六十七条,将现行“责令停止使用”的措施改为了“责令限期改正、停止使用、消除对国家安全的影响”。其中的一个细节是,《中华人民共和国网络安全法(修正草案再次征求意见稿)》曾在此条中将原法规定的“停止使用”予以删除,但《修改稿》又增加回来,逻辑上更为合理。
7. 网络信息安全
《修改稿》将原法第六十八条、第六十九条第一项合并,作为第六十九条。原法第六十八条和第六十九条第一项是关于网络信息安全的法律责任,涉及原法第四十七条(修改后为第四十九条)、第四十八条(修改后为第五十条)和第五十条(修改后为第五十二条)。修改后,统一了对第四十九条、第五十条和第五十二条规定的法律责任。《修改稿》第四十九条是关于网络运营者主动发现和处置违法信息的义务,第五十条是关于电子信息发送服务提供者和应用软件下载服务提供者主动发现和处置违法信息的义务,第五十二条是关于国家网信部门和有关部门发现违法信息,可以要求网络运营者进行处理的规定,原法对此分别规定了不同的法律责任,修改后予以统一,并设置了阶梯式的处罚措施,对于单位的罚款上限由最高五十万元,提升至最高一千万元,对于直接负责的主管人员和其他直接责任人员的罚款上限由最高十万元,提升至最高一百万元。
《修改稿》与“2025年修改稿”基本一致,其中一个细节是将“通报批评”修改为“予以通报”。根据《行政处罚法》的规定,“通报批评”为一项行政处罚的种类。《修正稿》的调整可能是放弃了“通报批评”这一行政处罚种类,而采取了不具有行政处罚性质的“通报”作为一种警示性措施,但也有可能仅为简化表述,其本质仍然是行政处罚性质的“通报批评”。
*删除线部分为《中华人民共和国网络安全法(修正草案再次征求意见稿)》内容
8. 个人信息保护
《修改稿》将第六十四条第一款、第六十六条、第七十条合并,作为第七十一条。第六十四条第一款是关于个人信息保护的法律责任,第六十六条是关于关键信息基础设施数据跨境的法律责任,第七十条是关于发布或者传输违法信息的法律责任。修改后的第七十一条统一对上述三类行为的处理、处罚作出了规定,即转致有关法律、行政法规的规定。
对于个人信息保护,我国已经于2021年出台并实施了《个人信息保护法》,对个人信息处理活动进行了全面的规定,从实质效果上已经替代了《网络安全法》有关个人信息保护的规定;对于关键信息基础设施数据跨境问题,我国陆续出台了《数据安全法》《个人信息保护法》《促进和规范数据跨境流动规定》以及相关配套,对于关键信息基础设施运营者以及关键信息基础设施运营者以外的数据跨境流动活动进行了全面、细致的规定,从实质效果上也已经替代了《网络安全法》第三十七条的规定;对于违法信息,《网络安全法》第十二条第二款规定了一般性禁止性要求,但并未设置实质性的法律责任,而是规定“依照有关法律、行政法规的规定处罚”,实践中具体指向哪些法律、行政法规还有待进一步观察。
9. 从轻、减轻或者不予行政处罚的情形
《修改稿》新增一条作为第七十三条:“违反本法规定,但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的,依照其规定从轻、减轻或者不予处罚”。
《行政处罚法》(2021年修订)第三十二条、第三十三条规定了从轻或者减轻行政处罚、“首违不罚”的要求,其中第三十二条明确了五种应当从轻或者减轻行政处罚的情形:(1)主动消除或者减轻违法行为危害后果的;(2)受他人胁迫或者诱骗实施违法行为的;(3)主动供述行政机关尚未掌握的违法行为的;(4)配合行政机关查处违法行为有立功表现的;(5)法律、法规、规章规定其他应当从轻或者减轻行政处罚的;第三十三条明确,违法行为轻微并及时改正,没有造成危害后果的,不予行政处罚。初次违法且危害后果轻微并及时改正的,可以不予行政处罚。当事人有证据足以证明没有主观过错的,不予行政处罚。法律、行政法规另有规定的,从其规定。对当事人的违法行为依法不予行政处罚的,行政机关应当对当事人进行教育。
相较而言,“2025年修改稿”并未全部覆盖《行政处罚法》的相关情形,仅规定“网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。”《修改稿》与《行政处罚法》保持一致,意味着网络运营者可以全面按照《行政处罚法》规定的情形得以从轻、减轻或者不予行政处罚的结果。
《修改稿》虽然删除了“有关主管部门依据职责制定相应的行政处罚裁量基准,规范行使行政处罚裁量权”的表述,但是《行政处罚法》第三十四条明确了行政机关可以依法制定行政处罚裁量基准,规范行使行政处罚裁量权。2025年6月,中央网信办发布《关于印发<网信部门行政处罚裁量权基准适用规定>的通知》,详细规定了网信部门适用行政处罚裁量权基准。因此,《修改稿》虽然删除了相关表述,但是并不影响有关主管部门依据职责行使相应的行政处罚裁量权。
04 对企业合规的启示
《网络安全法》是我国网络领域最早、最重要、最基础的法律之一,其修改工作将对网络领域执法实践和合规工作产生深远影响。从《修改稿》内容来看,相关内容更为科学、制度安排更为精细、法律责任更为明确,提升了相应的法律责任但较为科学,相应增加了处罚手段,对企业合规具有重要指导意义。
1. 宽严并济精准提升法律责任
本次修改以问题为导向,重点强化网络安全法律责任,加大对违法行为处罚力度,对网络运行安全、网络信息安全等的法律责任进行了全面修改完善。相较于现行《网络安全法》,罚款上限由最高一百万元,提升至一千万元,增加了处罚的阶梯情形,丰富了处罚措施种类(如关闭应用程序等)。但是相较于历次征求意见的情况,处罚力度有所缓和也更为科学,如“2022年修改稿”中罚款上限多为五千万元或上一年度营业额百分之五,虽然与《个人信息保护法》持平,但是与网络安全领域违法活动的特定、性质等匹配度不够精确。个人信息处理活动本身以批量化、大规模为特点,个人信息滥用、泄露等安全事件往往容易涉及海量的个人信息,给个人造成难以消除的、持续性的损害或影响,因此需要设置较高的处罚数额。相对而言,网络安全领域则通常以规范网络运营者的网络运行活动为目标,虽然也可能造成大规模的危害影响,但不必然以规模性、群体性为特点,因而设置较低档的法律责任更为合理。不过,从合规的角度需要注意的是,本次修改虽然下调了罚款上限,也规定了免除、减轻处罚的要求,但是增加了处罚的适用场景,特别是将现行仅为“责令改正”的一些活动直接纳入了处罚范围,而对于企业而言,行政处罚不仅是罚款数额的高低,也涉及信用记录、市场信誉等综合因素,需要对此格外注意。
2. 突出内容管理要求
《网络安全法》是我国内容管理的最顶层立法,是内容管理相关行政法规、部门规章和规范性文件的主要上位法依据。新形势下网络信息内容安全风险对国家安全、政治安全带来新的风险挑战,亟需积极应对防范。本次修订意味着我国将对网络内容安全加大处罚力度,规范网络空间信息服务活动,这对于ICP、网络直播、短视频、社交平台、MCN等企业来说尤其值得关注,宜提前梳理内容安全风险,规范内容合规工作,及时和定期开展内容合规培训。
3. 强化供应链安全管理
网络领域的供应链安全涉及网络产品和服务的采购、开发、使用和管理等过程,确保供应链安全可靠,能够有效防范网络安全风险,同时也是网络安全管理中的关键环节之一。本次修改对销售或者提供网络关键设备和网络安全专用产品、关键信息基础设施运营者使用网络产品或者服务的安全审查等进行了重点规定,强化了处置处罚措施,以充分保障网络领域供应链安全。
4. 明确数据泄露法律责任
本次修改中,第五十九条是重点内容之一,修改稿专门增加了大量数据泄露的情形,明确了相关处罚规定,且将因恶意程序、安全缺陷、漏洞等导致的数据泄露后果转致第五十九条的法律责任,充分表明了立法机关和监管机构对数据泄露的关注和监管态度。值得注意的是,今年9月,国家网信办正式出台《网络安全事件报告管理办法》,对报告事项、报告流程等作出了清晰规定。我国亦通过长期的法治努力构建了一整套的数据泄露防治体系,开展了一系列针对数据泄露或隐患的执法活动。但是,数据泄露仍在部分领域、部分环节存在高发态势,损害了国家安全、数据安全和个人利益,也对企业经营和合规造成负面影响,亟需从合规层面补全落实。相关企业宜建立相应的应急管理机制,并开展必要的应急演练活动,及时识别和防范数据泄露风险。
5. 网络领域综合合规体系
随着网络领域的法律体系不断完善,执法实践不断丰富,网络领域合规日益呈现结构化、精细化的趋势,逐渐形成了网络安全、内容安全、数据安全和个人信息保护的总体框架和具体规则。《网络安全法》修改出台后,也预示着网络领域合规将走向纵深实施阶段,从合规的角度宜注重体系搭建、制度规范、培训考核和应急管理等综合维度,从而有效防范合规风险,创造合规价值。
脚注:
[1] 参见:关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知_中央网络安全和信息化委员会办公室
[2] 参见:关于公开征求《中华人民共和国网络安全法(修正草案再次征求意见稿)》意见的通知_中央网络安全和信息化委员会办公室
[3] 参见:学习资料 | 总体国家安全观_共产党员网
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
