2025年10月28日，十四届全国人民代表大会常务委员会第十八次会议表决通过了关于修改《中华人民共和国网络安全法》（以下简称《网络安全法》）的决定。新修改的《网络安全法》自2026年1月1日起施行。此次修法顺应AI等新兴技术变革的需求，总结应用该法在前期实施过程中积累的经验，加强与网络安全领域其他法律的衔接协同，为构建更符合数字经济发展要求的网络安全治理框架奠定了法治基础。

　　修改适应网络安全发展新形势

　　《网络安全法》是我国网络安全领域的基础性法律，自2017年6月1日施行以来，对于维护国家网络空间主权、安全和发展利益，保护各方主体在网络空间的合法权益，促进经济社会信息化健康发展发挥了重要作用。本次修改是适应当前网络安全形势变化，应对技术迭代衍生的新风险，加强与现有其他法律适配性的有力举措。

　　技术变革衍生复杂安全风险，亟须升级治理体系。近年来，随着人工智能、大数据、云计算等技术的深刻变革，传统网络安全防护体系面临“技术代差”挑战。AI算法漏洞、训练数据污染、生成式AI传播虚假信息等新型安全事件频发，网络攻击手段呈现向“智能化、精准化”演变的态势，传统的“被动防御”模式难以有效应对，基于AI赋能的网络安全防护体系升级刻不容缓。

　　关键基础设施保护要求升级，亟须完善监管体系。关键信息基础设施（以下简称“关基”）是支撑国家经济社会运行的“数字底座”。随着国家间网络对抗日趋普遍，关基安全保障基线从常态防御向极限保底演进，建立一体化协同的关基防御机制和极限风险防范体系成为当务之急。在此背景下，目前法律法规关于关基保护的内容与实践需要呈现出不匹配之处。例如，违规处罚力度较轻且梯度不够清晰，安全审查与保障业务连续性的平衡还需加强等。

　　安全领域法律体系逐步健全，亟须加强衔接协同。修改前的《网络安全法》与《个人信息保护法》《数据安全法》《行政处罚法》等法律在部分内容上存在衔接断层。例如，网络运营者在处理个人信息时，需同时遵守多部法律的规定，且此前未明确法律适用的优先级；针对轻微违法情形，缺乏“从轻、减轻处罚”的明确依据，可能导致执法弹性不足等情况。

　　重点需要关注的修改内容

　　新修改的《网络安全法》共七章八十一条，七章包括总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任、附则。本次修法主要变化体现在以下六个方面。

　　一是突出网络安全的政治属性，将网络强国战略、统筹发展与安全等重大部署法律化。在总则中新增第三条：“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设”，鲜明阐释了网络安全工作的“政治方向”与“战略目标”，体现了落实党中央关于网络安全工作新部署、新要求的顶层设计，为构建系统、高效的国家网络安全体系提供了基线框架。

　　二是完善法律责任体系，加大对违法行为的处罚力度。新修改的《网络安全法》构建了层次分明、惩戒有力的梯度化处罚体系，对造成特别严重影响、特别严重后果的违法情形，加大了处罚力度。例如，第六十一条、六十九条针对不同危害后果，设置了从一万元到一千万元不等的罚款阶梯，并普遍适用“双罚制”，对直接负责的主管人员和其他直接责任人员处以最高一百万元的罚款。这将有利于相关主体进一步加强对网络安全的重视。

　　三是体现与时俱进，强化对监管对象的全面覆盖。在第六十四条、六十九条等条款中，将“关闭应用程序”与“关闭网站”并列纳入规定。同时，新增第六十三条，专门对销售或提供未经安全认证、检测的网络关键设备和专用产品行为设定罚则，将监管链条从事中、事后延伸至事前准入环节，补齐供应链安全管理的法律短板，从源头防范系统性风险。

　　四是紧跟技术变革，为AI安全发展提供前瞻性法律指引。新增第二十条，提出“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。国家支持创新网络安全管理方式，运用网络人工智能等新技术，提升网络安全保护水平”。在国家法律层面明确了支持与规范并重的治理思路，既鼓励人工智能技术研发与基础设施建设，也强调要加强安全监管和伦理规范，为人工智能的健康有序发展提供了法律指引。

　　五是强化法律体系协同，凝聚统一协调的制度合力。本次修改注重与上位法及同位法的体系化衔接。第四十二条明确要求处理个人信息需遵守《民法典》和《个人信息保护法》要求。第七十一条将散见于各条的罚则进行归并，明确针对“个人信息侵权、数据出境、违法信息发布、数据窃取”等违法行为，依照有关法律、行政法规的规定处理、处罚，在执行上与《个人信息保护法》《数据安全法》协同，避免了针对同一违法行为的多头立法和重复处罚。

　　六是引入减责免责条款，以柔性监管激励企业主动合规。本次修改增加第七十三条，明确在具有我国《行政处罚法》规定的从轻、减轻或者不予处罚情形的，可以依照其规定从轻、减轻或者不予处罚，体现了“过罚相当、包容审慎”的现代监管理念，为企业的自我纠错和主动合规提供正向激励。

　　明确网络安全“底线”“红线”

　　修改后的《网络安全法》进一步明确网络安全“底线”“红线”，有助于稳定网络安全市场预期、激发行业创新活力，同时也为遏制新型网络违法犯罪活动提供有力法律武器。

　　对关基运营者：处罚力度加大，倒逼安全体系升级。针对修改后的《网络安全法》第六十七条关于“未经安全审查产品”的处罚调整，有关企业需建立产品准入审查与动态监测机制，尽快完成产品更换、安全漏洞修复等整改动作。本次修法将倒逼关基运营者建立更加严格的内控机制与安全管理全链条闭环体系。

　　对人工智能：AI安全入法，推动合规创新协同发展。本次修改在明确支持人工智能技术创新的同时，将伦理治理与安全监管提升至法定层面。这就要求AI产品的研发与部署必须贯彻“安全与伦理融入设计”原则，从源头构建可控、可信、可审计的技术体系，确保AI在合规框架下推进创新。

　　对个人信息保护：多法协同织网，强化全生命周期防护。第四十二条明确网络运营者处理个人信息需同时遵守《民法典》《个人信息保护法》等多部法律规定，进一步织密了个人信息保护网络。第六十一条对“大量数据泄露”等严重后果的高额处罚，将推动企业从个人信息数据收集、存储加密到销毁清除，每个节点都符合多法合规要求。

　　对网络安全产业：行业格局调整，细分赛道迎来发展机遇。高额的违法处罚将倒逼中小厂商提升产品服务的安全水平，行业资源将进一步向具备技术实力与合规服务能力的头部企业集中。同时，本次修法将推动AI治理相关领域增长，例如算法漏洞检测、大模型安全防护、可信计算芯片以及AI伦理风险评估等。

　　加速构建网络安全体系

　　结合电信运营商工作实际，建议从顶层设计入手，以制度完善为基础、以技术升级为核心、以人员能力为保障，加速构建“主动防御、智能防护”的网络安全体系，确保符合《网络安全法》要求。

　　聚焦完善顶层设计，升级内部风险治理体系。坚持“党管安全”，对标新法要求，修改并完善内部网络安全、个人信息保护和数据安全等核心管理制度，将新法要求内化为企业合规红线。健全跨部门协同工作机制，保障各项制度落地执行。完善业务安全评估程序，推动管控关口前移。

　　聚焦防范核心风险，打造新型主动防御体系。积极构建新一代技术防御体系，全面识别数据资产，对核心业务系统进行风险再评估与安全等级再划分，做好防护加固。积极运用AI技术，加大对自动化、智能化安全技术的投入与应用力度，部署新一代防护工具，提升安全威胁识别与响应能力。

　　聚焦AI安全治理，前瞻提升检测评估能力。建立AI风险评估标准化流程，在AI应用上线前，对其潜在的安全风险和伦理问题进行系统性评估。明确算法伦理、训练数据合规性、模型内容安全性等方面的管理红线与规范要求。

　　聚焦安全责任落实，提升各级人员安全意识。强化员工合规意识，构建分层分类的全员安全培训体系，针对管理层、技术骨干、一线员工以及关键岗位人员开展精准化、常态化的法律责任和专业技能培训，建立与绩效挂钩的考核和问责机制，确保安全责任真正落到实处。

　　聚焦风险闭环管理，优化应急响应流程。将合规减责目标融入应急响应预案，细化网络安全事件发生后的响应步骤与报告机制，在企业内部定期进行实战化穿透演练，确保第一时间采取有效补救措施，并依法依规、及时主动向监管部门报告。（作者 移小安）