何治乐,公安部第三研究所副研究员
2025年10月28日,《中华人民共和国网络安全法》(以下简称《网络安全法》)完成实施以来的首次修改,于2026年1月1日正式实施。此次修改是以弥合、修补、协调法律责任为主的框架性完善,更是在总体国家安全观指导下,应对数字化时代复杂安全挑战的深刻制度回应。作为我国网络安全治理的基本法,《网络安全法》实现了依法治网的跨越式发展,成为我国网络安全治理进程的重要里程碑。近十年间,社会整体数字化转型的加速,促使网络安全观念下的治理外延持续扩展,治理领域不断细分,产生规范系统内部统筹协调的客观需要。此次修改确立了贯彻总体国家安全观的根本性指导地位,回应了以人工智能为代表的新技术发展需要,实现诸法之间法律责任的协调统一,在法法衔接的基础上进一步使网络安全领域各项安全保障制度焕发新的活力。
一、《网络安全法》推进依法治网新格局
2016年4月19日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平主持召开网络安全和信息化工作座谈会并发表重要讲话,提出“要加快网络立法进程,完善依法监管措施,化解网络风险”,为网络空间治理指明方向。随后,网络空间的基础性、综合性法律《网络安全法》正式发布,奠定了我国依法治网的基本格局,呈现网络空间治理的中国方案。
一是多法并行实施,织牢织密网络空间治理体系。《网络安全法》正式施行后,《中华人民共和国密码法》《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《关键信息基础设施安全保护条例》《商用密码管理条例》《网络数据安全管理条例》《公共安全视频图像信息系统管理条例》等法律、行政法规相继颁布,共同构筑起逻辑严密、覆盖全面、运转高效的网络空间治理制度体系。与此同时,在网络安全审查、数据出境安全管理、网络身份认证公共服务、个人信息合规审计、人脸识别技术应用、信息内容生态治理、商用密码使用及应用安全性评估等重点领域,配套制度规则密集出台、纵深推进,筑牢依法管网、依法治网的坚实根基。与此同时,《网络安全等级保护条例》以及治理网络违法行为、促进人工智能健康发展方面的立法也在加紧制定中,展现出我国网络安全法律体系科学演进的进程。从“单点突破”到“系统构建”的立法进程,不仅织牢织密了网络空间治理的制度之网,也为数字中国建设、网络强国建设提供了坚实可靠的法治保障。
二是主体更加多元,推动安全生态共建共治共享。从《网络安全法》明确网络运营者,网络安全服务机构,网络产品、服务提供者,行业组织,大众传播媒介等多类主体;到《数据安全法》引入数据处理者、从事数据交易中介服务的机构,《个人信息保护法》进一步界定个人信息处理者,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者;再到《网络数据安全管理条例》细化网络数据处理者、第三方产品和服务提供者、保险公司等角色,参与网络安全治理的主体日趋精细化、多元化,逐步形成覆盖运营运维、数据处理、产品服务、用户使用全链条的共建共治共享生态。与之相应的,事前预防、事中处置、事后追责三位一体的全周期防护机制日益健全,推动网络安全治理向体系化、协同化纵深发展。
三是治理模式不断创新,监管执法活动持续走深走实。在日益完善的法治框架下,网信、公安、工信等主管监管部门持续发力,加速完善行政执法程序规定,综合运用行政指导、行政检查、行政处罚手段纵深推动监管执法从事后追责、被动响应模式,向主动预测、精准施策的现代化治理转变。
在执法内容方面,重点围绕网络安全等级保护、数据全流程保护、个人信息超范围采集、侵犯个人信息、供应链安全等方面,并向数据出境安全评估、新技术新应用安全风险评估等领域延伸,推动构建覆盖全面、重点突出的执法体系。在执法对象方面,覆盖互联网、能源、教育、医疗、电子政务、金融等重点行业,以及国家机关、事业单位、科研院所、大型企业、供应链核心单位等多类主体。在执法方式方面,形成以常态化监督检查为主,灵活运用“一案双查”、专项行动、攻防演练,探索线上巡查、技术检测和现场核查相结合的模式,有效提升执法效能。同时,部门间联合检查、协同执法成为常态,增强监管合力,减轻义务主体合规负担。在处置措施方面,注重刚柔并济,对大案要案依法强化行政处罚力度的同时,积极借助约谈、隐患整改、风险提示等弹性方式,引导市场主体提高合规意识,为行业健康发展留出空间,体现治理的力度与温度。
四是顺应技术发展规律,构建包容审慎的监管框架。平衡安全与发展是科技立法应秉持的基本理念,以人工智能为代表的新技术立法进程深刻体现了这一理念的深化与实践。我国在“是否制定统一人工智能法”的问题上经历了审慎研究与充分论证。从国务院2023年、2024年立法工作计划中“人工智能法”的表述,演进为2025年“推进人工智能健康发展立法工作”的部署,折射出立法节奏与监管力度关系的重新思考与调适。在技术快速迭代、应用场景深入拓展的阶段,我国注重把握人工智能发展的内在逻辑与阶段特征,优先通过部门规章和规范性文件等较为灵活的立法形式,结合指南、标准、伦理规范等治理工具引导产业有序探索,同时稳步推进立法研究与制度储备。这种“软法先行、立法跟进”的路径,既为技术创新留出必要空间,也为适时构建稳定、权威的法律框架奠定实践基础,体现了在动态发展中寻求安全与发展最大公约数的治理智慧。
二、《网络安全法》修改的主要内容
随着量子计算、人工智能等新技术日新月异,网络空间的大国竞争与地缘政治博弈愈加激烈,美国、欧盟、俄罗斯、新加坡等重要国家和地区持续更新完善网络安全相关政策立法。党的二十大和二十届三中全会对增强立法系统性、整体性、协同性、时效性等作出重要部署。为贯彻党中央决策部署,落实《十四届全国人大常委会立法规划》,适应网络安全新形势与新挑战,有关部门稳步推进《网络安全法》修改工作。此次修改立足中国国情,着力构建更为成熟、更加完备的网络空间法治体系,推动我国依法治网事业向系统深化、效能提升的新阶段迈进。
一是坚持守正创新,为网络强国建设锚定法治航向。习近平总书记指出“没有网络安全就没有国家安全”。网络安全已成为国家安全的重要组成部分,并与政治安全、文化安全、社会安全、科技安全深度融合、相互支撑。党的十八大以来,国家网信事业实现了历史性跨越,其中“坚持党的领导,贯彻总体国家安全观”是经过实践检验的根本遵循和行动指南。此次修法最为显著的成果和亮点是增加第三条,将这一核心原则以法律条文形式纳入网络安全领域基本法,并明确“统筹发展和安全,推进网络强国建设”,为应对风高浪急的国际形势和错综复杂的风险挑战提供更为明确的战略指引。同时,也将促使网络安全考量更深融入各行业、各领域的政策制定和立法文件,要求网络运营者建立更具全局视野的“大安全”合规框架。
二是坚持问题导向,为人工智能健康发展构建治理框架。当前,我国通过《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理暂行办法》《互联网信息服务深度合成管理规定》《人工智能生成合成内容标识办法》等一系列部门规章和规范性文件,针对算法治理、生成式人工智能、深度合成等具体风险领域实现精准监管,有效回应新技术发展和产业创新初期的治理需求。此次修法结合新技术发展的阶段性问题,预判未来风险,在法律层面新增第二十条,明确“支持人工智能基础理论研究和算法等关键技术研发”,同时要求“完善人工智能伦理规范,强化风险监测评估与安全监管”,既为未来制定“促进人工智能健康发展”的法律指明方向,也为应对技术动态演进中的新型风险预留制度接口。下一步,各部门将健全下位配套制度,规范人工智能产品设计、研发、上市和使用等全流程安全管理。
三是坚持系统观念,为协调法律责任体系化筑牢制度根基。此次修法的核心要点是调整、优化法律责任:第一,强化与既有法律责任的横向衔接和系统调适,注重与《数据安全法》《个人信息保护法》《中华人民共和国治安管理处罚法》(以下简称《治安管理处罚法》)等法律在重要数据出境、个人信息保护相关违法行为责任认定方面的协调统一,解决执法实践中大量案件的法律竞合适用问题,减少自由裁量权,维护执法公平性。第二,结合安全保护和实际监管需求,拓展法律责任的横向覆盖范围,新增针对“销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品”违法行为的责任,解决因罚则缺位造成的“违法难究”现实困境,填补监管空白。第三,围绕网络运行安全、网络产品和服务管理、信息内容管理等方面,大幅提升违法行为的惩戒力度,设置阶梯式、分层次的处罚机制,尤其对造成大量数据泄露、关键信息基础设施丧失局部(主要)功能等(特别)严重危害网络安全后果的违法行为,最高可对单位罚款一千万元,对直接负责的主管人员和其他直接责任人员罚款一百万元。
此次修法意味着企业尤其是大型网络平台、重要数据处理者、关键信息基础设施运营者等面临的合规压力与法律责任空前强化,必须系统性检视、调整、升级现有合规体系,以主动适应更严格的法律规范与监管环境,切实防范因违法行为引发重大经营与声誉风险。值得注意的是,修法在坚守安全底线的前提下,亦注重为创新发展保留必要空间,进一步明确从轻、减轻或不予行政处罚的适用要求。这一制度设计在强化法律刚性的同时,也体现了法治的柔性与韧性,为相关主体及时补救、主动纠错、配合监管提供了明确的激励和指引,有助于推动形成宽严相济、教罚结合的执法格局。
三、我国网络安全法治的未来发展路径
《网络安全法》的修改是筑牢网络安全法治基石的重要举措,它不仅体现了法律顺应现实需要的动态完善,也为未来我国网络空间治理指明了方向。面对快速变化的技术环境与日益复杂的治理需求,如何在立法、执法层面共同发力以应对快速演进的技术风险与监管挑战,成为需要持续探讨的问题。
从立法层面看,需秉持宏观视野、构建完整体系,对新技术安全本质作出法理思考与包容回应,打通从传统安全到网络和数据安全,再到量子计算、人工智能安全的全路径,形成更为严密、有力的网络安全治理之网。一是尽快推进重要行政法规的修订工作,保持法律体系的整体协调。《网络安全法》修改尤为关注关键信息基础设施运行安全法律责任部分的完善,调整、提升整体处罚力度,《关键信息基础设施安全保护条例》作为其重要的配套行政法规,应当尽快启动修订工作,保持与《网络安全法》的一致性。二是加快推动《网络安全等级保护条例》出台,为网络安全法治体系注入更强制度动能。贯彻落实《国务院2025年度立法工作计划》部署要求,结合公安部十一局对等级保护工作的新要求,与时俱进丰富等级保护制度的内涵和外延,加快条例的制定和颁布,从行政法规层面细化《网络安全法》中关于“国家实行网络安全等级保护制度”的原则性规定。为进一步压实网络运营者、网络安全服务机构等各方责任,形成层层传导、环环紧扣的义务落实机制,推动网络安全保护向更精细、更高效的方向演进。三是聚焦专门领域,探索更为精细化和差异化的制度要求。针对网络关键设备和网络安全专用产品管理、数据安全风险评估、信息与通信技术(ICT)供应链安全、关键信息基础设施背景审查等重点环节,推动出台“小快灵”立法文件,构建更具操作性规范体系。同时,在强化安全基线的基础上,可考虑为中小企业设置合理的责任豁免或分级合规机制,实现精准治理与产业活力的平衡。四是前瞻布局新兴技术治理,以规范性引领安全可信发展。以此次修法为契机,针对人工智能、抗量子密码等前沿技术,加快研究制定包容审慎的政策法律,并综合运用风险动态评估、分类分级监管、合规激励等治理工具,在防范系统性风险的同时充分释放技术潜力,实现规范管理与赋能增效的有机统一。
从执法层面看,应持续推进网络安全行政执法的规范化建设。此次大幅完善法律责任体系,在一定程度上表明我国网络安全治理的重心由前端的“制度构建”转向中后端的“执法落地”。下一步,建议从三个方面持续深化执法机制:一是统一违法行为名称认定。结合《数据安全法》《个人信息保护法》及新修订的《治安管理处罚法》等法律,制定或调整《网络安全法》项下的违法行为名称,增强法律体系内部的协调性与行为认定的清晰度。二是健全行政处罚裁量基准。针对罚款额度已经提升至最高一千万元的实际情况,为保障过罚相当、裁量统一,建议由国家层面的主管部门制定统一的行政处罚裁量指导意见。地方监管部门可在此基础上,结合本地实际进一步细化量化本区域的裁量基准,并建立执行情况的动态监督与定期评估机制,确保行政机关合理、公正地行使自由裁量权,增强执法公信力。三是强化执法能力与技术赋能。持续加强网络安全行政执法人员尤其是基层一线人员的技能培训,推动其善用、会用《网络安全法》《数据安全法》等法律法规,积极引入数字化、智能化手段赋能执法全过程,全面提升执法响应速度、研判精度与执行效能。
四、结 语
在网络安全与数据安全、个人信息保护、人工智能等高度融合且法律体系持续健全的背景下,对《网络安全法》进行修改正当其时,具有重要的时代意义和实践价值。此次修改以“坚持中国共产党的领导、贯彻总体国家安全观”为根本原则,以“推进网络强国建设”为方向指引,不仅回应了我国网络空间综合治理的迫切需求,也为“十五五”时期乃至更长远的网络安全法治发展明确了路径。展望未来,我国网络安全法治体系的深化,仍须以《网络安全法》为核心,更为彰显基本法的系统性与前瞻性,既能适应当前法律体系的协同推进,切实维护网络空间安全,又需对前沿技术可能带来的新型风险保持敏感度和适应力,为未来技术治理预留合理的制度空间。
(本文刊登于《中国信息安全》杂志2026年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
