文 | 密码法治实践创新基地主任 马民虎;西北大学法学院/知识产权学院讲师 方婷
新修改的《中华人民共和国网络安全法》(以下简称《网络安全法》)已于2026年1月1日起施行。本次修改以网络强国为战略引领,通过积极回应新兴技术风险、大幅提高违法成本等关键举措,系统增强了法律在技术规制、全链条防控、刚性与柔性约束等方面的网络韧性,为我国网络安全治理现代化提供了更为坚实的制度基础。以人工智能(AI)为代表的新技术带来的系统性影响在深度、广度与速度上,正深刻重塑发展进程与安全范式。面对新技术带来的安全风险,我国亟须以提升网络韧性为导向,主动调适法律体系,着力构建具备持续应对、快速恢复与动态演进能力的网络安全空间。
一、网络韧性与网络安全法律的内在关联
世界经济论坛(WEF)在《2026年全球网络安全展望》报告中指出,随着AI驱动的威胁激增、地缘政治动荡以及供应链脆弱性,增强韧性的紧迫性从未如此清晰。网络韧性不仅限于一项技术功能,其已成为支撑经济稳定、国家安全与社会公信力的战略要务。简单而言,网络韧性是指系统遭受攻击或者破坏时,能够持续感知威胁、有效抵御冲击、快速恢复运行,并从中获得适应与演进的能力。它不仅强调传统的防御和业务连续性,更突出在受损情况下吸收影响、维持核心功能,以及实现平稳恢复和迭代适应的动态生存力。
网络韧性和网络安全法律之间有着内在联系,以欧盟《网络韧性法案》(CRA)和我国《网络安全法》为例进行分析。自2020年以来,韧性概念在欧盟的安全与监管话语中日益受到重视,标志着一种更深层次的安全范式转变。CRA构建了全链条源代码与组件安全规制体系。通过采用“强制透明+全生命周期追责”模式,以软件物料清单(SBOM)与代码测试实现源头可控,覆盖全品类数字产品,可快速应对跨境数字产品风险。CRA通过规范性干预,重新校准产品制造商在设备整个生命周期的责任结构,将数字安全从发布时的静态功能重新定义为不断演变的长期承诺。这意味着,定期更新、透明的漏洞报告和负责任的补丁管理,已从行业最佳实践进一步转变为维护数字信任的法律强制要求。对欧盟而言,韧性体现为对数字化产品和厂商主体全链条的安全风险识别,通过降低故障和风险的可能“单点”、拉升安全基线、寻求域内替代,实现网络空间整体的安全可控。
从我国来看,原法作为我国网络安全领域的基础性、综合性法律,诞生于数字经济发展的早期阶段,奠定了我国依法治网的新格局,开启了网络空间安全法治建设的宏大叙事,在八年的淬炼中验证了其对网络韧性提升的重要制度保障。有关主管部门围绕网络安全审查、漏洞管理、关键信息基础设施(以下简称“关基”)保护、商用密码应用、安全事件报告、AI治理等重点领域,陆续出台一系列配套文件,逐步构建起层次分明、覆盖关键环节的规范要求,为我国网络韧性建设注入持续的制度活力。然而,面对AI、供应链攻击等新型威胁时,原法在风险预防、责任梯度、技术响应等方面逐渐显露出一定的滞后性与不足,这也要求进一步推动我国网络安全治理思路向“系统韧性构建”的持续演进与深化。新法既扎根于我国网络空间治理的既有实践经验,又直面数智时代的系统性风险与复杂挑战,为网络韧性的提升奠定了更为坚固的法治基础。
从全球治理趋势来看,网络空间风险已从零散攻击演变为系统性威胁,传统“静态准入、边界防御”的安全范式难以应对不确定性挑战,CRA等法律规则均体现了从网络安全向网络韧性的安全范式转向,我国新法亦通过联动现有配套制度,将漏洞与事件报告一体化、供应链全生命周期安全等韧性要求融入法律条款,将抽象的网络韧性具象化为法定的义务和责任要求。
二、《网络安全法》修改推动“安全保障”迈向“韧性治理”
从韧性价值看,网络安全的内涵已从传统上保障数据保密性、完整性、可用性,延展至与政治安全、经济安全、社会安全、科技安全等多维度联动的系统性安全。新法以网络强国建设为战略目标,明确将坚持中国共产党的领导和贯彻总体国家安全观作为网络安全工作的根本遵循,充分表明网络安全法治已成为深度嵌入国家安全法治体系的基础性制度安排,标志着在基础法层面,将网络安全全面拓展至与政治、经济、社会、科技等深度融合的大安全格局,确保我国在纷繁复杂的国际博弈与技术浪潮中始终保持正确方向,维护国家主权、安全和发展利益。
(一)从分散规制到顶层设计:补齐人工智能治理的上位法依据
在当前全球AI治理呈现“欧盟重安全规制”与“美国重促进发展”的差异化立法背景下,我国立足AI发展阶段与国情实际,采取了以部门规章和规范性文件为主的“敏捷响应、分散施策”治理路径,对算法安全、合成内容等重点领域进行规范。这一模式在灵活应对新兴技术风险的同时,面临体系性不强、效力位阶较低等问题。新法新增第二十条,通过法律形式明确我国关于AI治理的基本立场,确立鼓励创新与防控风险并重的治理框架,为网络韧性注入“发展型安全”理念,为我国实现高水平科技自立自强提供法治保障,展现了立法对技术变迁的深刻回应与价值塑造。
这一修改具有重要的韧性价值:一方面,通过规制AI自身风险,避免其成为网络空间的脆弱点,新法在实施中可通过《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》等,对AI部署和使用进行约束,防控因技术滥用可能引发的社会信任危机。这一路径与构建网络生态可持续信任机制的内在要求高度契合,体现了“以规则促韧性”的治理逻辑;另一方面,通过鼓励AI在安全领域的应用,如利用AI实时监测关基漏洞,可快速适配威胁变化,践行“以技术应对技术风险”的韧性治理思路,从网络安全基本法层面对AI赋能安全提供制度支持,同时也符合法律回应智能时代信任赤字,实现“以智治智”的核心制度设计。“支持人工智能研发”的规定是以技术创新增强韧性的直接体现,通过法律层面的战略引导,推动网络安全从底线防御转向能力提升,为构建抗冲击、快恢复、能适应的网络空间奠定制度基础。
(二)从规范缺位到责任闭环:健全供应链韧性治理的安全责任规则
内生韧性强调安全能力与业务系统深度融合,要求系统在面临断供、后门植入等外部压力时能维持基本运行,源代码和底层设备作为构建网络空间的基础逻辑,具有最高级别(接近或等同系统)的安全权限,新法强化了对源代码和底层设备的安全规制,本质上要求开发者将安全属性作为产品的“必选项”而非可选配置,实现供应链安全嵌入。为强化供应链的底层韧性,新法增加第六十三条,对销售或提供不符合要求的网络关键设备和网络安全专用产品的行为设置梯度罚款,增设最高“违法所得五倍”的罚款甚至吊销证照等惩戒措施,倒逼供应链监管从“自愿合规”转向“强制追责”,有效保障网络领域供应链安全。从实践来看,这一变化可有效切断含漏洞产品进入关基的渠道,避免引发系统性级联风险,处罚力度的增加本质上是将监管触角延伸至供应链的最前端,通过规制源代码和底层设备安全以阻断风险的源头输入。
在关基供应链安全与韧性治理方面,新法可通过《网络安全审查办法》具体规定,将“业务连续性”与“功能完整性”纳入法律责任范畴,并借助千万级罚则形成有力威慑,从而压实网络产品与服务提供者的主体责任,阻断风险在供应链中的传导,系统推动关基韧性保障能力的实质提升。
(三)从合规管理到韧性治理:强化法律责任体系演进的牵引作用
法律责任不仅是惩处违法行为的工具,更是推动系统性韧性构建的杠杆。大幅提升法律责任能够有效促使义务主体更主动地履行安全保护义务,从而支撑网络空间在高压威胁环境下保持持续运行与快速恢复的能力。新法针对不同主体、不同程度的违法行为设置差异化法律责任,为各类市场主体创造更清晰、可预期的合规环境,夯实数字中国、网络强国的安全底座。注重诸法之间的责任衔接,引入《中华人民共和国行政处罚法》(以下简称《行政处罚法》)“从轻、减轻或者不予处罚情形”的相关要求,构建更为协调的治理格局。
一方面,新法将关基运营者的相关违法行为贯穿安全保护始终,在等级保护、关基保护、网络安全审查等方面,均引入严厉的梯度化处罚,对造成关基功能丧失及造成(特别)严重危害后果的行为,处罚金额上限跃升至一千万元。此外,全面实施双罚制,同步追责单位与直接责任人。新法显著放大对个人的惩戒,对直接负责的主管人员和其他直接责任人员,罚款上限提升至一百万元,这种“穿透式”责任设定迫使高管层将网络韧性目标纳入经营决策的核心考核指标。这一举措促使关基运营者聚焦于人的双重属性:人既是系统中最不确定的脆弱点,也是最根本的韧性来源。由此,运营者需将对人员的赋能转化为真正的“稳健底线”,推动安全建设从合规程序向韧性底线升级。在漏洞规制与安全事件报告场景下,新法通过大幅提升不及时报告行为的处罚力度,强化关基的韧性保障,该罚则体系与《网络产品安全漏洞管理规定》明确的漏洞补救与报告义务,《国家网络安全事件报告管理办法》确立的分级分类报告要求,形成具有强制约束力的协同机制,从而系统推动漏洞治理与安全事件响应向一体化、高韧性的方向演进。
另一方面,新法强化了从“单行立法”到“多法联动”的体系协同。网络韧性是涉及多主体的复合目标,需体系化衔接。针对数据出境和个人信息保护,新法新增转致条款,将侵害个人信息权益行为、关基运营者违法在境外存储或向境外提供个人信息和重要数据等情形的法律责任改为衔接性规定,科学优化相关法律责任制度,强化相关法律之间的衔接协同,通过体系协同提升韧性制度的落地效能,避免“九龙治水”导致的韧性短板。同时,统筹考虑《网络安全法》和《行政处罚法》之间的适用关系,推动实现网络安全领域执法工作的精细化。
三、以车联网与数字政府韧性治理为例的场景化适用和验证
车联网是数字韧性治理中复杂度最高的场景之一,其数字系统直接关联车辆物理功能,安全失效可能引发公共安全事件。同时,在全球风险社会叠加政务数字化转型的背景下,数字政府韧性治理已成为保障公共服务连续性与提升系统适应力的核心支柱。
(一)以密钥管理为核心的车联网韧性治理
传统车联网供应链呈现多层级、分布式特征,不同零部件的密钥、数字证书由不同的供应商管理,整车厂(OEM)往往只掌握接口而无法穿透审计底层的密钥存储与分发机制,形成“信任盲点”,导致其无法实现全链条审计与应急响应,易引发系统性韧性失效,一旦供应链中的某个供应商发生根密钥泄露,OEM在分布式管控模式下无法快速完成密钥轮换,将导致攻击窗口期被无限拉长。
新法通过强化供应链责任、漏洞管理与风险上报义务,为车联网韧性治理提供法律支撑。新法第六十条可适用于整车厂对供应链关键产品进行认证检测的场景,弥合内生韧性治理需求。此外,结合新法第二十条,OEM可运用AI技术实现密钥异常监测,推动车联网从“分散不可控”走向“集中可治理”,提升全域系统韧性。
(二)数字政府韧性治理之爱沙尼亚案例启示
2017年,爱沙尼亚电子身份标识(eID)ROCA漏洞事件凸显了数字政府韧性治理的核心挑战。作为该国数字公共服务的统一信任根,eID因其底层RSA算法存在安全缺陷,导致攻击者可在特定条件下推导或恢复私钥,造成数字证书的安全性失效,进而致使当时爱沙尼亚近76万张身份证面临信任失效的风险。此次危机使爱沙尼亚陷入“立即停用则政府停摆、继续使用则风险扩大”的两难局面,这一“数字政府连续性悖论”表明,高效集约化的架构可能加剧系统韧性风险。为化解危机,爱沙尼亚建立了基于职能优先级的更新机制,将医疗急救、公共安全人员列为优先更新对象,并推广受漏洞影响较小的移动身份证(Mobile-ID)作为应急认证方式。这种“分级保障、动态接续”的机制与新法“能适应”的韧性理念高度契合。
新法第三条“统筹发展和安全”原则,可指导数字政府在效率与韧性间取得平衡。此外,新法对关基的强化保护,可避免数字政府因单点漏洞引发全域瘫痪。从爱沙尼亚的案例启示来看,未来我国需进一步细化数字政府“最小关键服务”清单,明确应急降级机制,可通过配套规则,明确关键公共服务不中断的标准,为数字政府韧性治理提供更具体的制度指引。
四、系统推进网络韧性法治建设的发展路径
当前,全球网络空间安全形势错综复杂,地缘政治博弈不断向网络空间延伸,网络攻击呈现出国家背景下的高度组织化、智能化和精准化特征。随着AI、量子计算等前沿技术的加速演进,我国网络空间安全法治正进入战略机遇与风险挑战并存、不确定性与难以预料因素增多的新阶段。在此背景下,网络韧性已成为衡量网络安全水平的关键指标。
唯有立足全局、坚持系统治理,平衡安全与发展、刚性与柔性、国内与国际,推动法治体系从“网络安全保障”向“网络强国引领”下的“高水平网络韧性建设”转型升级,才能有效应对智能时代的多重风险,为数字经济高质量发展提供坚实保障。“十五五”规划已开局,立足新发展阶段,我国网络韧性法治建设仍需在关键领域持续深化、系统推进。
一是健全供应链安全制度,加快建立覆盖漏洞管理、源代码审计等关键环节的实施规范,明确“最小关键服务”“应急降级机制”等可操作指标,推动形成漏洞治理与安全事件报告一体化的制度闭环,切实实现网络韧性“抗冲击、快恢复、能适应”的本质要求。近年来,地缘政治博弈加剧,“脱钩断链”风险日趋常态化。黎巴嫩首都电子产品爆炸等事件警示,必须加快关键核心技术自主创新与国产化替代进程,防范因供应链不可控因素导致的安全漏洞被利用,进而威胁关基、政务系统和重要数据安全。
与此同时,应积极推动建立跨境网络安全事件协同处置与漏洞信息共享机制,在网络安全风险制度的共识范围内,加强对CRA等法律相关规则的谈判,为推动全球网络安全空间集体韧性贡献中国方案。
二是聚焦AI技术滥用对社会秩序和网络空间安全的系统性风险,加快构建具有前瞻性的制度体系。AI治理已成为渗透各国网络安全框架的全局性议题,各国在传统网络安全治理框架中全面强化对AI应用的规制。我国作为AI创新与应用大国,应在法治层面主动布局,通过综合性立法明确伦理约束、风险分级、内容鉴定等安全基准,并探索监管沙盒、创新试点等弹性机制,在规范发展与鼓励创新之间保持动态平衡。须在立法落实、治理精细化、技术融合及国际协同等方面持续深化,推动AI治理从当前侧重的“模型治理、内容治理”转向“系统治理、行为治理”,确保安全向前,并在风险发生时具备足够的自我修复能力。
三是构建专业化、跨领域、高韧性的现代化执法与调查支撑体系,推动形成适应技术演进、具备系统韧性的现代化网络执法范式。面对车联网、AI治理、数字政府等复杂场景,通过《网络安全法》等法律前瞻布局,优化资源配置,强化执法部门的全天候在线巡查、精准化现场核查、智能化事件溯源能力,确保对新型网络犯罪与高级别威胁的快速响应与有效处置。通过专项立法或强制性标准,细化并压实网络运营者、关基运营者及数据处理者等主体的技术协助义务,规范涉事数据与材料的留存、调取流程,打通执法取证的关键环节,形成公私协同的治理合力。推动执法模式从事后处置向事中干预和事前防护延伸,从单点打击向系统防控升级,从而建立适应技术迭代、贯穿数字社会运行全周期的韧性执法新范式。
四是重视冲突预防和响应机制,加快抗量子密码迁移落地。未来一段时期,局部冲突与大国博弈交织的态势将持续,以美国为首的西方国家将持续以立法、制裁、清单、技术封锁等方式遏制我国在前沿领域的发展,以维护其技术主导地位。我国需在法治层面完善网络空间冲突预防与响应机制,尤其应将特殊状态下对国家级网络攻击的监测、溯源、反制及恢复等措施,纳入网络安全乃至国家安全法律体系的整体框架,明确授权程序与实施边界,避免在重大网络危机中陷入被动应对,切实提升在复杂国际环境下的网络空间极限生存力与控制力。同时,应高度重视密码技术在网络攻防对抗中的关键作用,尽早启动并系统推进抗量子密码的迁移与落地部署,以确保在量子计算机大规模商用后,我国网络安全防线依然稳固。【本文系国家社会科学基金青年项目“网络安全信息共享的法律保障研究”(项目编号:21CFX057)的阶段性研究成果】
(本文刊登于《中国信息安全》杂志2026年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
