2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议通过了《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》。新修订的《中华人民共和国网络安全法》(以下简称网络安全法)将自2026年1月1日起施行。
作为网络安全领域的基础性法律,现行网络安全法自2017年6月1日正式实施以来,已成为构建我国网络安全法治体系的基石。8年来,该法在捍卫国家网络空间主权与安全、明确网络运营者责任义务、规范网络信息传播秩序、保障关键信息基础设施安全运行等方面发挥了重要作用。
当前,全球信息技术正经历快速的革命性演进,以人工智能为代表的新一代信息技术加速融合渗透。这些技术在深刻改变生产生活方式的同时,也使网络安全形势趋于复杂多元。新型网络攻击、数据泄露等风险持续显现,治理难度显著提升。
为适应网络安全面临的新形势与新要求,本次网络安全法的修改立足实践,聚焦制度补强与机制创新,重点在压实网络经营者主体责任、构建弹性包容的责任机制、强化法律衔接等方面作出系统调整与制度优化。以下,本文将介绍本次修法的具体情况,以及其亮点与特色。
一、修法的具体情况与解读
(一)明确网络安全工作的根本原则
1.修改情况
新网络安全法增加了一条作为第三条:“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。”
2.具体解读
本条确立了网络安全工作的基本原则,将“网络安全工作坚持中国共产党的领导”等内容写入网络安全法,具有重大的政治意义、战略意义和实践指导意义,为执法者、网络经营者等所有网络安全工作者提供了行为指引和价值导向。
本条以国家法律的形式,确立了党对网络安全工作全面领导的根本原则,明确了网络安全工作的根本政治保证和方向遵循。“贯彻总体国家安全观”要求以系统、辩证的思维看待网络安全,将其置于国家发展全局中谋划,实现各领域安全统筹治理;“统筹发展和安全”明确了网络安全工作的基本方针,强调不能脱离发展谈安全,也不能牺牲安全求发展,必须在推动数字经济、网络技术蓬勃发展的同时,筑牢安全屏障;“推进网络强国建设”则指明了网络安全工作的战略目标,凸显了坚实的网络安全保障是建设网络强国的前提和基石。
(二)明确网络安全工作应支持人工智能安全与发展
1.修改情况
新网络安全法增加一条,作为第二十条:“国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。”
“国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。”
2.具体解读
此举标志着国家支持人工智能等关键技术安全与发展的立场,首次在基础法律这一位阶得以明确。本条虽主要属于宣示性条款,但也为产业发展与网络安全工作释放了明确信号,提出了具体指引。
对于网络经营者,特别是人工智能技术研发企业与应用单位,本条规定为产业明确了制度预期,并指明了合规建设的新方向。其中第一款“国家支持……”的表述,向市场传递了明确的政策信号,从事人工智能技术研发、算力基础设施建设以及安全技术等领域的企业,有望获得更有利的政策环境与发展空间。同时,第二款鼓励“运用人工智能提升网络安全保护水平”,这提示广大网络运营者应积极引入或研发基于人工智能的安全工具,应用于威胁监测、自动化响应、漏洞管理等环节。
对于网络安全主管部门,本条则确立了“发展与安全并重”的监管原则,要求在执法中把握平衡,避免抑制创新,同时也推动监管方式向专业化、技术化方向转型。主管部门需创新执法技术、提升专业能力,运用人工智能等新工具实施精准监管与风险防控,以实现对新兴技术的高水平治理。
(三)强化与相关法律法规的适用衔接
1.修改情况
就网络安全法与《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律的衔接适用,有两处改动。
一是将现行法第四十条改为第四十二条,并增加一款作为第二款,规定网络运营者处理个人信息应当遵守本法以及《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律、行政法规的规定。
二是将现行法第六十四条、第六十六条、第七十条合并,作为第七十一条,规定发布、传输禁止发布、传输的信息的,侵害个人信息权益的,违反数据跨境管理规定的,非法获取、出售、提供个人信息,尚不构成犯罪的,依照有关法律、行政法规的规定处理、处罚。
2.具体解读
现行网络安全法第四章第四十条至第四十五条就个人信息保护的专门规定,是《中华人民共和国民法典》与《中华人民共和国个人信息保护法》生效前,我国个人信息保护工作在基础法律层面的主要依据。2021年1月、11月,《中华人民共和国民法典》《中华人民共和国个人信息保护法》先后生效施行,实现了对网络安全法相关规定的完全覆盖。本次修改选择通过第四十条第二款,做好个人信息保护领域中网络安全法与前两者的衔接。
此外,在《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》以及其他关于网络经营者的内容治理责任的法律、行政法规出台后,网络安全法与这些新推出的专门法律法规,就网络经营者违反相关义务的法律责任的规定既有重叠之处,也有冲突之处。本次修改则将相关的几个现行法条文中的具体规定一并删去,以引致条款的形式,规定依照有关法律、行政法规的规定处罚,解决了这些规则重叠与冲突。
(四)加强网络安全违法处罚力度
1.修改情况
本次修改以多种方式,加重了违反网络安全保护义务以及其他合规义务的法律责任,具体包括新设法律责任、提高罚款金额、严惩严重违法,以及细化法律责任四种。
一方面,新设法律责任。根据新网络安全法第六十一条、第六十五条、第六十九条规定,以下三种行为即使不存在拒不改正或者导致危害网络安全等后果的情节,也可能被处以罚款:
(1)网络经营者不履行网络安全保护义务;
(2)违规开展网络安全认证、检测、风险评估等活动或违规向社会发布网络安全信息;
(3)不依法履行违法信息处置义务。
另外,对于使用未通过安全认证的设备或产品的行为,网络安全法新增第六十三条,设置了责令停止销售或者提供、警告、没收违法所得、罚款等法律责任,其中罚款额最高可至“没一罚五”,情节严重的可以责令停业或吊销执照。
另一方面,提高罚款金额。就(非关键信息基础设施的)网络运营者不履行网络安全保护义务,拒不改正或者导致危害网络安全等后果的违法行为,新网络安全法第六十一条规定对企业处五万元以上五十万元以下罚款,罚款金额上下限是现行法的五倍,对直接责任人员处一万元以上十万元以下罚款,罚款金额是现行法的两倍。
就违规开展网络安全认证、检测、风险评估等活动,或违规向社会发布网络安全信息,拒不改正或者情节严重的违法行为,新网络安全法第六十五条对企业处十万元以上一百万元以下罚款,罚款金额上下限是现行法的十倍,对直接责任人员处一万元以上十万元的罚款,罚款金额是现行法的两倍。
另外,就不依法履行违法信息处置义务,拒不改正或者情节严重的行为,现行网络安全法第六十八条与第六十九条关于企业罚款金额的规定不完全一致,新网络安全法第六十九条统一并提升了罚款金额,对相关企业处五十万元以上二百万元以下罚款,对直接责任人员处五万元以上二十万元以下罚款。
(作者系中国人民大学法学院吴玉章高级讲席教授)
