引言

2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议通过了关于修改《中华人民共和国网络安全法》的决定,新《网络安全法》将自2026年1月1日起施行。这是《网络安全法》自2017年6月1日实施以来的首次修订,共涉及十四项修订内容,旨在回应网络安全形势的新要求、新挑战。

本次《网络安全法》修订主要涉及:对人工智能的健康发展做出框架性规定,加重了不履行网络安全保护义务的法律责任,强化与《数据安全法》《个人信息保护法》等相关法律的协同性,扩大法律的域外适用情形。

一、修订背景

《网络安全法》自2017年6月1日正式施行以来,一直作为我国网络安全领域的基础性法律,在保护我国信息网络安全、推进网络强国战略等方面发挥关键作用。但新形势下人工智能等新技术的发展给网络安全带来了新的挑战,而旧法在责任后果设定上滞后于经济社会发展、威慑力不足,网络违法行为仍屡有发生,并呈现出新的特征:攻击更智能、更快速、更隐蔽,传统防御体系面临系统性失效风险。

为了回应实践中产生的新问题,全国人大常委会通过“小切口”对《网络安全法》进行了修改,为我国实现“加快建设网络强国”、“加强网络领域国家安全能力建设”、“深化网络空间安全综合治理”等“十五五规划”的目标奠定法律基础。

二、修订要点

(一)增加关于人工智能安全与发展的框架性规定

为把握人工智能发展和治理主动权,推动我国人工智能朝着有益、安全、公平方向健康有序发展,新《网络安全法》新增第20条规定,“国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。”该条从宏观层面明确了国家对人工智能的战略定位和发展方向,意味着后续我国的人工智能治理将从局部监管转向系统性规制,寻求人工智能发展与安全的平衡。

(二)强化与个人信息、数据安全相关法律的衔接

原《网络安全法》第40条至第45条为个人信息保护的专门规定,这些规定在2021年《个人信息保护法》生效前对于我国个人信息保护发挥了重要作用。但随着2021年11月1日《个人信息保护法》这部个人信息保护领域的基础法律的正式施行,加之2021年1月1日起施行的《民法典》人格权编也有规定“隐私权和个人信息保护”的相关内容,原《网络安全法》基本完成了个人信息保护的历史使命。因此,新《网络安全法》第42条明确:“网络运营者处理个人信息,应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。”

此外,新《网络安全法》第71条第1款明确:“有下列行为之一的,依照有关法律、行政法规的规定处理、处罚:......(二)违反本法第二十四条第三款、第四十三条至第四十五条规定,侵害个人信息权益的;(三)违反本法第三十九条规定,关键信息基础设施的运营者在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据的。”正式将侵害个人信息权益、违规进行重要数据处理等行为的具体处罚规则通过转介条款的方式交由个人信息、重要数据相应的法律法规具体规制,增强了法律体系的协调性和一致性,填补了可能存在的监管空白。

(三)升级处罚力度,扩大责任人范围

对于不履行网络安全保护义务的企业及个人,新《网络安全法》提高了罚款的上限及下限,大幅加大了处罚的力度,例如顶格罚款由旧法的100万提升至了1000万,从而对网络安全违法行为形成更有效的威慑。重点条文如下表:

违规行为

新《网络安全法》条文

解读

不履行网络安全保护义务。

第61条 网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处一万元以上五万元以下罚款;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处五万元以上十万元以下罚款;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前两款行为,造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,由有关主管部门处五十万元以上二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,处二百万元以上一千万元以下罚款,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

1、罚款上限及下限均翻倍;

2、除“直接负责的主管人员”,“其他直接责任人员”也被纳入处罚对象。

产品、服务存在安全缺陷或漏洞,导致大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果。

第62条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:

(一)设置恶意程序的;

(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;

(三)擅自终止为其产品、服务提供安全维护的。

有前款第一项、第二项行为,造成本法第六十一条第三款规定的后果的,依照该款规定处罚。

导致严重危害网络安全后果的:

1、罚款上限及下限均翻倍;

2、除“直接负责的主管人员”,“其他直接责任人员”也被纳入处罚对象。

网络关键设备和网络安全专用产品安全认证不合格、安全检测不符合要求。

第63条 违反本法第二十五条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,由有关主管部门责令停止销售或者提供,给予警告,没收违法所得;没有违法所得或者违法所得不足十万元的,并处二万元以上十万元以下罚款;违法所得十万元以上的,并处违法所得一倍以上五倍以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的,依照其规定。

本次修订的新增要求,从源头筑牢网络安全硬件防线,堵住供应链漏洞,最严重的可被停业整顿、吊销营业执照。

关键信息基础设施的运营者使用未通过安全审查的网络产品或服务。

第67条关键信息基础设施的运营者违反本法第三十七条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令限期改正、停止使用、消除对国家安全的影响,处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

* 第37条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

新增限期整改和消除对国家安全影响的处罚;“直接负责的主管人员”及“其他直接责任人员”均被纳入处罚对象。

违规开展网络安全认证、检测、评估,或者向社会发布产品安全缺陷、漏洞等网络安全信息。

第65条 违反本法第二十八条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告,可以处一万元以上十万元以下罚款;拒不改正或者情节严重的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款行为,造成本法第六十一条第三款规定的后果的,依照该款规定处罚。

*第28条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

最严重的可被停业整顿、吊销营业执照。

新《网络安全法》的罚则条款体现出以下几个特点。

第一,处罚力度空前:罚款下限及上限大幅提升,可适用停业整顿及吊销营业执照进行处罚的违法行为场景增多。这意味着网络安全合规已成为直接影响企业存续发展的重要风险点。

第二,扩大"双罚制"适用范围:以上多条罚则均明确规定, 在对单位进行行政处罚的同时, 可以对直接负责的主管人员甚至其他直接责任人员处以罚款。如2025年10月江西银行苏州分行网络及数据安全违规被罚67.2万一案中,合规部副总经理、支行行长、支行客户经理均因违反数据安全管理规定被纳入罚款对象;华瑞银行因数据安全管控不足被罚70万元一案中,信息科技部安全团队负责人因数据安全管控不足、问题整改不彻底被给予警告。这意味着后续“双罚制”极有可能将在我国的网络安全及数据安全治理中得到更加广泛的落地。

第三,强化合规“不处罚”机制,新增从轻、减轻处罚的情形:新《网络安全法》第73条明确,对于主动消除/减轻危害后果的、初次违法且危害后果轻微并及时改正等情形,可以依法从轻、减轻处罚。据此,如企业不慎发生网络安全或数据安全事件,理应及时响应及采取补救措施。

(四)扩张制裁境外主体的情形

新《网络安全法》第77条将对境外主体追究中国法律责任的情形从境外主体“从事危害中国关键信息基础设施安全的活动”扩张至“从事危害中国网络安全的活动”,大幅降低了境外主体适用本法罚则的标准。这意味着,只要境外的主体从事危害我国网络安全的活动,例如境外不法分子频繁对我国实施网络攻击的,我国就可以依据本条对境外主体采取冻结财产等制裁措施。同时,非关键信息基础设施系统也需防范境外攻击。

三、影响分析与应对建议

本次修订虽以“小切口”方式聚焦法律责任制度,但蕴含深刻变革信号,对企业的合规实践提出了更高要求。

第一,可以预见,新《网络安全法》添加关于人工智能安全与发展的框架性规定后,国家后续将加快出台人工智能合规相关制度,加强人工智能的风险监测和安全监管,从而引导企业更好地应对人工智能快速发展对于个人权利、社会伦理等带来的冲击。

第二,新《网络安全法》处罚力度空前,不仅提高罚款下限与上限,还扩张了“双罚制”、停业整顿及吊销营业执照的适用范围。这意味着网络安全合规不再仅仅关乎企业产品及服务的竞争力,而已成为直接影响企业存续发展的重要风险点。比如生产销售的网络关键设备和网络安全专用产品的企业,将首先面临网络安全防护能力的严峻考验。

新《网络安全法》意味着企业被动应对网络及数据安全要求的时代已经终结,应主动将安全内化为企业的能力及竞争力,具体而言,一方面,我们应当继续健全有效、长效的网络及数据安全合规体系,及时自我发现和切实纠正产品安全、数据安全问题,及时响应及补救不慎发生的网络安全或数据安全事件;另一方面,全体员工理应将网络及数据安全视为个人的履职红线,避免“双罚制”扩张及落地影响企业可持续经营及个人职业发展,这样才能在新时代背景下行稳致远。

本文作者:X.M,Zh.DY,M.AT

免责声明

本文所述信息均来自合法公开渠道,我们不对信息的真实性、完整性或准确性作出任何形式的明示或暗示的保证。本文内容仅供分享、交流和学习之用,任何人不应将本文的全部或部分内容作为决策依据。因依赖本文内容所造成的任何后果,由行为人自行承担全部责任。本免责声明不构成法律、财务、医疗或其他专业建议,建议在做出任何决定前咨询相关专业人士。

声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。