《中华人民共和国网络安全法》修订解读
2025年10月28日, 十四届全国人大常委会第十八次会议表决通过《全国人民代表大会常务委员会关于修改<中华人民共和国网络安全法>的决定》,《网络安全法》完成自2017年施行以来的首次重大修订, 并将于2026年1月1日起施行。以下是对本次修订要点的梳理与评析。
修订概览
本次修订的核心价值在于推动网络安全治理从“安全优先”的单一导向,转变为“统筹发展与安全”的协同并重,构建“发展导向型安全规制”框架。修订后的法律既衔接已有法规形成覆盖网络、数据、AI的全链条治理体系,又增设AI条款以支持创新与防范风险并重,最终实现“以安全促发展、以发展强安全”的良性循环。核心修订条款如下:
01、强调党的领导和国家安全观
首次在网络安全基础法律中明确写入“党的领导”,强化了网络安全的政治属性和国家战略导向,将“统筹发展和安全”作为立法宗旨,体现了从“安全优先”向“安全与发展并重”的治理思路转变,为后续网络安全管理、技术发展与国际治理提供了根本遵循。
【法条内容】第三条 网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。
02、人工智能治理入法
我国首次在基础法律层面确立人工智能治理的顶层设计,填补了AI领域法律空白。明确“支持研发”与“加强监管”双轨并行,既鼓励创新,又防范AI滥用风险(如虚假信息、算法歧视)。为后续制定AI伦理规范、安全评估等细则提供了上位法依据。
【法条内容】第二十条 国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。
03、个人信息保护的法律衔接
通过“引致条款”实现多法协同,避免《网络安全法》与后续出台的《个人信息保护法》《民法典》等在个人信息保护规则上产生适用冲突。修订后第七十一条将侵害个人信息权益的行为,统一指引至《个人信息保护法》等法律处理,确保了法律责任的一致性与严厉性(如高额罚款、信用惩戒等)。企业需同步遵循《网络安全法》《个人信息保护法》《数据安全法》等,构建覆盖数据全生命周期的合规体系。
【法条内容】第四十二条第二款:“网络运营者处理个人信息,应当遵守本法和《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律、行政法规的规定。”
04、加重处罚力度:法律责任全面升级
处罚力度空前,合规成本激增:修订后《网络安全法》的罚款金额全面提升,不仅提高罚款下限,上限也大幅提升至千万元级别。这意味着网络安全合规不再仅是技术或管理问题,而已成为直接影响企业存续的核心法律风险。企业必须将合规投入视为保护自身价值的必要成本。
引入”双罚制”,问责到人:多项罚则明确规定,在对单位处以罚款的同时,可以对直接负责的主管人员和其他直接责任人员处以罚款。这促使企业高管乃至对应负责员工均必须将网络安全合规提升至战略高度,视为个人的履职红线。
具体修订对比表如下:
| 违法行为类型 | 修订前 | 修订后 |
| 不履行网络安全保护义务(一般运营者) | 警告、改正;拒不改正或导致后果的处1万–10万罚款并对直接责任人员处5000–5万罚款 | 可直接罚款1万–5万;拒不改正或导致后果的处5万–50万,并对直接责任人员处1万–10万;造成严重后果的处50万–1000万并对责任人员处5万–100万 |
| 不履行网络安全保护义务(关键信息基础设施的运营者) | 警告、改正;拒不改正或导致后果的处10万–100万罚款;并对直接责任人员处1–10万罚款 | 可直接罚款5万–10万;拒不改正或导致后果的处10万–100万并对直接责任人员处1万–10万;造成严重后果的处50万–1000万并对责任人员处5万–100万 |
| 销售或提供未经安全认证的设备 | 无明确罚则 | 没收违法所得;处2万–10万或违法所得1–5倍罚款;情节严重的可吊销执照 |
| 违规开展网络安全认证、检测或发布安全信息 | 警告、改正;情节严重的处1万–10万,关闭网站,对责任人员处5000-5万罚款 | 可直接罚款1万–10万;情节严重的处10万–100万,并可关闭网站或应用程序,对责任人员处1-10万罚款;造成严重后果的处50万–1000万并对责任人员处5万–100万 |
| 未处置违法信息或未报告 | 警告、没收违法所得;情节严重的处10万–50万,关闭网站,对责任人员处1-10万罚款 | 通报、可直接罚款5万–50万;情节严重的处50万–200万并对责任人员处5-20万罚款,并可关闭网站或应用程序,造成严重后果的处200万–1000万并对责任人员处20万–100万 |
企业合规行动建议
01、构建“三位一体”的合规防护架构
此架构是合规管理的基石,强调组织、制度与技术的协同联动。
1)组织保障为核心:设立跨部门的合规协同团队,明确AI合规负责人(如需)与网络安全负责人的职责接口。确保法务、合规、技术与业务部门沟通顺畅,并建立重大合规事项可直达决策层的汇报机制。
2)制度建设为基础:系统性地制定与更新内部合规制度,包括但不限于《网络安全责任制管理办法》《数据分类分级指南》《AI训练数据合法性审查规程》及《算法安全评估细则》等。同时,审视并修订与供应商及合作伙伴的协议,确保无关键遗漏。
3)技术支撑为抓手:部署与AI业务场景适配的技术防护工具,如数据加密系统、算法漏洞扫描工具和智能监测平台。利用技术手段实现风险实时感知与管控,并提升合规效率,实现“以技术防风险”。
02、聚焦高风险领域的场景化合规指引
针对法律重点规制的高风险领域,须编制具象化的操作指引,将合规要求融入业务流程。
1)AI业务领域:建立全流程合规机制。事前严控数据源头,审查训练数据合法性,完成授权与匿名化处理;事中定期(如每季度)开展算法安全评估,重点防范特定场景的歧视风险;事后严格执行AI安全事件报告制度。
2)数据跨境领域:遵循“评估/备案-监测”的管理闭环。准确判断数据属性(是否属于重要数据或核心数据),依法通过国家网信部门的安全评估或完成标准合同备案,并对出境活动进行持续监测。
3)关键设备管理领域:实施全生命周期管理。从采购时的安全认证查验,到使用中的定期安全检测,直至报废前的数据彻底清除,严防设备流转导致的数据泄露。
03、建立长效运营与闭环保障机制
确保合规体系持续有效运行,并能应对动态变化的监管环境。
1)常态化培训与考核:开展分层分类的合规教育,对全员进行基础培训,对核心团队(如AI研发、数据处理)加强专项考核,确保合规意识与技能入脑入心。
2)定期化审计与核查:对照最新法律法规(如修订后的《网络安全法》)开展合规差距审计,并按照《个人信息保护合规审计管理办法》等要求定期完成专项审计。可引入第三方机构进行独立评估,并落实问题整改,形成管理闭环。
3)体系化应急响应:完善AI安全事件等专项应急处置预案,明确流程,并定期组织演练,以检验与提升团队的实战响应能力。
4)全程化合规证据留存:建立统一的合规记录制度,要求在日常运营中全面、及时地生成并保存履行网络安全保护义务的各项记录、日志与文件,做到全程留痕,为应对审计与监管调查提供有力证据。
综上,本次修订标志着中国网络安全与数据合规监管进入了“严监管、高罚则、强衔接”的新阶段。对企业而言,被动应付监管要求的时代已经终结,主动将合规内化为企业文化和核心竞争力,才是新阶段下行稳致远的必然选择。
(本文作者:盈科廖江涛、张乔叶律师 来源:微信公众号 盈科成都律所)