李 豪

文 | 360AI法律研究院 李豪 王京華 杜虹

2025年10月28日，十四屆全國人大常委會第十八次會議表決通過《全國人民代表大會常務(wù)委員會關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定》，并于2026年1月1日正式施行。當(dāng)前，我國數(shù)字經(jīng)濟(jì)實現(xiàn)高速發(fā)展，網(wǎng)絡(luò)安全威脅也呈現(xiàn)出高級持續(xù)性威脅（APT）攻擊常態(tài)化、人工智能風(fēng)險隱蔽化、供應(yīng)鏈攻擊鏈條化的新特征。修改后的《網(wǎng)絡(luò)安全法》緊扣《中共中央關(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十五個五年規(guī)劃的建議》中“國家安全體系和能力現(xiàn)代化”的戰(zhàn)略要求，構(gòu)建起“發(fā)展與安全并重、技術(shù)與制度協(xié)同、監(jiān)管與服務(wù)結(jié)合”的新型網(wǎng)絡(luò)安全治理框架。修改后的《網(wǎng)絡(luò)安全法》通過明確合規(guī)標(biāo)準(zhǔn)、細(xì)化責(zé)任邊界、銜接關(guān)聯(lián)法治體系，為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展筑牢安全根基，也為網(wǎng)絡(luò)安全產(chǎn)業(yè)合規(guī)實踐劃定清晰路徑，推動法治化要求向安全能力深度轉(zhuǎn)化。

一、法理革新：《網(wǎng)絡(luò)安全法》修改的核心突破與合規(guī)導(dǎo)向

此次《網(wǎng)絡(luò)安全法》的修改并非簡單的條款調(diào)整，而是基于當(dāng)前網(wǎng)絡(luò)安全形勢的系統(tǒng)性制度重構(gòu)。修法核心是通過法治升級破解產(chǎn)業(yè)安全痛點、規(guī)范行業(yè)發(fā)展秩序，為產(chǎn)業(yè)合規(guī)實踐提供明確的法律依據(jù)和行動指南。當(dāng)前數(shù)字經(jīng)濟(jì)滲透率持續(xù)提升，關(guān)鍵信息基礎(chǔ)設(shè)施已成為國家運(yùn)轉(zhuǎn)的核心支柱。境外APT組織針對能源、金融、交通等領(lǐng)域的定向攻擊越發(fā)頻繁，數(shù)據(jù)泄露、系統(tǒng)癱瘓等風(fēng)險直接沖擊國計民生。修改后的《網(wǎng)絡(luò)安全法》以“強(qiáng)化責(zé)任、適配技術(shù)、銜接體系”為三大核心主線，實現(xiàn)四大維度的突破性進(jìn)展。每一項革新均對應(yīng)產(chǎn)業(yè)合規(guī)實踐的核心需求，搭建起“法律條款—合規(guī)標(biāo)準(zhǔn)—安全能力”的轉(zhuǎn)化橋梁。

（一）戰(zhàn)略定位錨定：將網(wǎng)絡(luò)安全納入國家安全體系，明確產(chǎn)業(yè)核心使命

近年來，我國關(guān)鍵信息基礎(chǔ)設(shè)施面臨的境外攻擊風(fēng)險持續(xù)攀升，部分威脅涉及國家經(jīng)濟(jì)安全與公共利益。修改后的《網(wǎng)絡(luò)安全法》開篇新增第三條“網(wǎng)絡(luò)安全工作堅持中國共產(chǎn)黨的領(lǐng)導(dǎo)，貫徹總體國家安全觀，統(tǒng)籌發(fā)展和安全，推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)”。這一條款不僅明確了網(wǎng)絡(luò)安全工作的根本遵循，更將網(wǎng)絡(luò)安全納入國家安全全局的制度設(shè)計，也為網(wǎng)絡(luò)安全產(chǎn)業(yè)劃定了核心使命，即以技術(shù)能力支撐國家網(wǎng)絡(luò)安全戰(zhàn)略，將維護(hù)國家安全的法治要求，轉(zhuǎn)化為產(chǎn)業(yè)服務(wù)能力和企業(yè)合規(guī)責(zé)任。這一戰(zhàn)略定位的升級，推動產(chǎn)業(yè)從“被動防御”向“主動賦能”轉(zhuǎn)型，成為法治筑牢網(wǎng)絡(luò)安全根基的頂層指引。

（二）技術(shù)治理適配：對接新技術(shù)安全需求，劃定產(chǎn)業(yè)合規(guī)邊界

隨著人工智能、量子信息、衛(wèi)星互聯(lián)網(wǎng)等新技術(shù)的快速發(fā)展，傳統(tǒng)以“邊界防護(hù)”為核心的網(wǎng)絡(luò)安全治理模式，已難以應(yīng)對“無邊界、去中心化”的新型安全威脅。此次修改直面這一挑戰(zhàn)，針對新技術(shù)領(lǐng)域新增專項條款，構(gòu)建起“技術(shù)發(fā)展—風(fēng)險識別—監(jiān)管應(yīng)對”的全鏈條治理機(jī)制，為產(chǎn)業(yè)在新技術(shù)領(lǐng)域的合規(guī)實踐提供明確指引，實現(xiàn)技術(shù)創(chuàng)新與法治合規(guī)的雙向適配。

1.人工智能安全治理：構(gòu)建規(guī)范與創(chuàng)新并重的產(chǎn)業(yè)發(fā)展框架

針對人工智能技術(shù)的“雙刃劍”效應(yīng)，修改后的《網(wǎng)絡(luò)安全法》增設(shè)第二十條作為人工智能治理的專門條款，確立“支持研發(fā)、完善規(guī)范與強(qiáng)化監(jiān)管”三位一體的治理體系，為產(chǎn)業(yè)人工智能安全合規(guī)劃定清晰路徑。該條款明確提出，國家支持人工智能基礎(chǔ)理論研究及算法等關(guān)鍵技術(shù)的研發(fā)，推動訓(xùn)練數(shù)據(jù)資源與算力等基礎(chǔ)設(shè)施的建設(shè)，為產(chǎn)業(yè)技術(shù)創(chuàng)新提供政策支撐。同時，要求完善人工智能領(lǐng)域相關(guān)倫理規(guī)范，加強(qiáng)風(fēng)險監(jiān)測、評估與安全監(jiān)管，促進(jìn)產(chǎn)業(yè)建立人工智能安全全流程管控機(jī)制。此外，條款明確支持運(yùn)用人工智能等新技術(shù)提升網(wǎng)絡(luò)安全防護(hù)水平，引導(dǎo)產(chǎn)業(yè)將人工智能技術(shù)轉(zhuǎn)化為安全防護(hù)能力，實現(xiàn)“以技術(shù)賦能安全、以法治規(guī)范技術(shù)”的良性循環(huán)。這為新技術(shù)創(chuàng)新提供“安全緩沖帶”，實現(xiàn)安全與發(fā)展的動態(tài)平衡。

2.供應(yīng)鏈安全：構(gòu)建全鏈條合規(guī)管控體系，強(qiáng)化產(chǎn)業(yè)協(xié)同責(zé)任

人工智能技術(shù)的普及不僅帶來自身安全風(fēng)險，也為供應(yīng)鏈安全提供技術(shù)賦能路徑。而供應(yīng)鏈安全的剛性約束，同樣為人工智能基礎(chǔ)設(shè)施的安全提供保障。針對近年來頻發(fā)的“供應(yīng)鏈斷鏈、惡意植入后門”等安全事件，修改后的《網(wǎng)絡(luò)安全法》第六十三條、第六十七條構(gòu)建起供應(yīng)鏈安全的全流程監(jiān)管框架，直擊產(chǎn)業(yè)供應(yīng)鏈安全薄弱環(huán)節(jié)，推動形成“全鏈條剛性約束”的合規(guī)體系。具體而言，一是明確“網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品需通過安全認(rèn)證或檢測”，未經(jīng)認(rèn)證或檢測不得銷售、使用，促進(jìn)設(shè)備與產(chǎn)品研發(fā)企業(yè)落實安全合規(guī)要求，筑牢供應(yīng)鏈源頭安全防線；二是要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者不得使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)，同時，推動下游應(yīng)用企業(yè)建立健全供應(yīng)鏈安全審查機(jī)制，筑牢網(wǎng)絡(luò)安全與供應(yīng)鏈安全雙重防線。

（三）責(zé)任體系升級：細(xì)化分級追責(zé)機(jī)制，壓實產(chǎn)業(yè)合規(guī)責(zé)任

原《網(wǎng)絡(luò)安全法》在責(zé)任設(shè)定上存在“處罰責(zé)任較輕”的問題，難以形成有效約束，部分企業(yè)合規(guī)意識薄弱。據(jù)統(tǒng)計，2021年至2024年，全國網(wǎng)絡(luò)安全違法案件年均增長15%，但原《網(wǎng)絡(luò)安全法》的罰款額度普遍低于違法收益，導(dǎo)致威懾力不足。修改后的《網(wǎng)絡(luò)安全法》在提高罰款上限后，將有效扭轉(zhuǎn)這一局面。此次修改針對這些問題，構(gòu)建起“分層分類、精準(zhǔn)追責(zé)”的責(zé)任體系，兼顧剛性約束與柔性包容，推動產(chǎn)業(yè)形成“主動合規(guī)、全員合規(guī)”的良好生態(tài)，讓法治要求真正落地為企業(yè)的行為準(zhǔn)則。

1.罰款梯度精細(xì)化：按風(fēng)險等級差異化處罰，強(qiáng)化合規(guī)威懾力

修改后的《網(wǎng)絡(luò)安全法》第六十一條，將一般網(wǎng)絡(luò)運(yùn)營者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的違法行為劃分為“一般、較重、嚴(yán)重、特別嚴(yán)重”四檔，實現(xiàn)“過錯與處罰相匹配”。單位罰款額度最高提升至1000萬元，同時第六十一條提高對“直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員”的追責(zé)標(biāo)準(zhǔn)，最高可處100萬元罰款。這形成“企業(yè)擔(dān)責(zé)、個人追責(zé)”的雙重約束，扭轉(zhuǎn)“違法成本低、守法成本高”的失衡局面，讓企業(yè)切實認(rèn)識到“違規(guī)代價遠(yuǎn)超收益”，推動網(wǎng)絡(luò)安全投入從“可選項”轉(zhuǎn)變?yōu)椤氨剡x項”。例如，吉首市互聯(lián)網(wǎng)信息辦公室曾對未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)致使網(wǎng)站被篡改的某企業(yè)作出行政處罰。新法修改實施后，此類違法行為將根據(jù)危害后果面臨更精準(zhǔn)的分級處罰，進(jìn)一步強(qiáng)化產(chǎn)業(yè)合規(guī)敬畏心。

2.容錯機(jī)制科學(xué)化：兼顧合規(guī)要求與企業(yè)發(fā)展，激發(fā)產(chǎn)業(yè)活力

考慮到中小微企業(yè)在數(shù)字化轉(zhuǎn)型中面臨“資金有限、技術(shù)薄弱”的現(xiàn)實困境，修改后的《網(wǎng)絡(luò)安全法》第七十三條專門引入“從輕、減輕或者不予處罰”條款，體現(xiàn)謙抑、審慎、包容的立法精神。監(jiān)管部門可結(jié)合這一條款，通過“指導(dǎo)整改優(yōu)先、處罰教育結(jié)合”的方式，既落實法律要求，又減輕企業(yè)負(fù)擔(dān)，實現(xiàn)“監(jiān)管效果+企業(yè)發(fā)展”的雙贏。這一制度設(shè)計避免“一刀切”式的處罰方式挫傷市場主體的積極性和創(chuàng)新活力，為新技術(shù)新業(yè)態(tài)新模式的健康發(fā)展預(yù)留充足空間，推動產(chǎn)業(yè)全員跨越合規(guī)門檻。

（四）體系銜接優(yōu)化：構(gòu)建多法協(xié)同格局，完善產(chǎn)業(yè)合規(guī)法治環(huán)境

網(wǎng)絡(luò)安全治理涉及網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)保護(hù)、個人信息、行政處罰等多個領(lǐng)域。此前因《網(wǎng)絡(luò)安全法》與關(guān)聯(lián)法律法規(guī)銜接不夠緊密，導(dǎo)致產(chǎn)業(yè)合規(guī)實踐中存在標(biāo)準(zhǔn)不一、責(zé)任模糊等問題。此次修法強(qiáng)化與關(guān)聯(lián)法律的協(xié)同性，形成各有側(cè)重、相互補(bǔ)充的網(wǎng)絡(luò)安全法律體系，為產(chǎn)業(yè)合規(guī)實踐提供統(tǒng)一、清晰的法治依據(jù)，筑牢網(wǎng)絡(luò)安全法治根基。

1.與數(shù)據(jù)安全、個人信息保護(hù)法律的銜接

修改后的《網(wǎng)絡(luò)安全法》第七十一條明確規(guī)定“網(wǎng)絡(luò)運(yùn)營者存在侵害個人信息權(quán)益、違反數(shù)據(jù)安全管理規(guī)定行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定處理、處罰”。該條款銜接《中華人民共和國個人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》的相關(guān)要求，避免不同法律法規(guī)規(guī)定的法律責(zé)任不一致的問題。這推動產(chǎn)業(yè)建立“網(wǎng)絡(luò)安全+數(shù)據(jù)安全+個人信息保護(hù)”的一體化合規(guī)體系，破解此前合規(guī)碎片化難題。

2.與《行政處罰法》的銜接

修改后的《網(wǎng)絡(luò)安全法》參照《中華人民共和國行政處罰法》新增第七十三條規(guī)定，這一銜接既保留了法律的剛性威懾，又賦予了執(zhí)法適度彈性，有效打消企業(yè)“怕出錯、不敢改”的顧慮，激勵企業(yè)主動排查風(fēng)險隱患、完善合規(guī)體系，推動產(chǎn)業(yè)從“被動監(jiān)管”轉(zhuǎn)向“主動治理”。

（五）國際經(jīng)驗借鑒：兼顧接軌性與本土適應(yīng)性

網(wǎng)絡(luò)安全治理已成為全球性議題，國際先進(jìn)監(jiān)管經(jīng)驗為我國《網(wǎng)絡(luò)安全法》的修改提供重要參考。歐盟的《關(guān)于在歐盟實現(xiàn)高水平網(wǎng)絡(luò)安全措施的指令》（NIS 2指令）的“24小時預(yù)警、72小時報告”機(jī)制，為我國完善網(wǎng)絡(luò)安全事件報告制度提供參考，可推動我國建立更高效的風(fēng)險響應(yīng)體系，助力產(chǎn)業(yè)提升應(yīng)急處置合規(guī)能力。美國《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》（CIRCIA）的供應(yīng)鏈安全監(jiān)管框架，可助力我國細(xì)化網(wǎng)絡(luò)關(guān)鍵設(shè)備認(rèn)證流程，進(jìn)一步強(qiáng)化供應(yīng)鏈源頭管控。修改后的《網(wǎng)絡(luò)安全法》在吸收國際經(jīng)驗的基礎(chǔ)上，結(jié)合我國數(shù)字經(jīng)濟(jì)發(fā)展國情，強(qiáng)化人工智能安全與域外追責(zé)機(jī)制，既順應(yīng)全球網(wǎng)絡(luò)安全治理的發(fā)展趨勢，又立足我國產(chǎn)業(yè)實際需求，形成兼具國際接軌性與本土適應(yīng)性的制度設(shè)計，為產(chǎn)業(yè)參與國際競爭、構(gòu)建全球合規(guī)體系提供法治支撐。

二、產(chǎn)業(yè)合規(guī)實踐：法治要求向安全能力的轉(zhuǎn)化路徑

修改后的《網(wǎng)絡(luò)安全法》為網(wǎng)絡(luò)安全產(chǎn)業(yè)合規(guī)劃定了法治邊界和行動路徑，核心任務(wù)是將法律條款轉(zhuǎn)化為可部署、可迭代的安全能力體系，將合規(guī)要求融入技術(shù)研發(fā)、產(chǎn)品生產(chǎn)、服務(wù)提供和供應(yīng)鏈管理全流程。

（一）技術(shù)合規(guī)實踐

從行業(yè)內(nèi)企業(yè)實踐來看，部分企業(yè)依托安全大模型與智能體技術(shù)，構(gòu)建覆蓋人工智能安全全場景的防護(hù)體系，將修改后的《網(wǎng)絡(luò)安全法》中人工智能安全治理的條款要求，拆解為模型安全檢測、算法合規(guī)評估、訓(xùn)練數(shù)據(jù)安全管控等具體技術(shù)模塊，形成標(biāo)準(zhǔn)化的合規(guī)解決方案，既滿足自身研發(fā)合規(guī)要求，也為金融、能源等行業(yè)客戶提供人工智能安全合規(guī)服務(wù)，實現(xiàn)法治要求向技術(shù)能力的轉(zhuǎn)化。例如，360公司提出“四大平臺”建設(shè)思路，通過威脅對抗、資產(chǎn)安全、訪問安全、應(yīng)用安全四大平臺，將人工智能能力嵌入業(yè)務(wù)全鏈條，落實技術(shù)安全防護(hù)的相關(guān)要求，推動合規(guī)能力與技術(shù)能力同步提升。

（二）供應(yīng)鏈合規(guī)實踐

產(chǎn)業(yè)協(xié)同構(gòu)建“源頭認(rèn)證、過程審查、風(fēng)險追責(zé)”的全流程合規(guī)體系。上游企業(yè)落實安全認(rèn)證，杜絕不合格產(chǎn)品流入市場。中游企業(yè)建立審查機(jī)制，使用軟件物料清單（SBOM）工具排查風(fēng)險。下游運(yùn)營者強(qiáng)化管理責(zé)任，建立評估與退出機(jī)制。

（三）責(zé)任落實實踐

構(gòu)建分級管控模式，結(jié)合治理、風(fēng)險與合規(guī)（GRC）框架提升管理效能。制定分級合規(guī)標(biāo)準(zhǔn)，落實部門與崗位責(zé)任。中小微企業(yè)借助容錯機(jī)制獲取指導(dǎo)，低成本完善合規(guī)。

（四）生態(tài)共建實踐

產(chǎn)業(yè)從個體合規(guī)向生態(tài)協(xié)同轉(zhuǎn)型，通過標(biāo)準(zhǔn)共建、資源共享推動合規(guī)落地。例如，360公司牽頭成立“大模型安全聯(lián)盟”，構(gòu)建產(chǎn)業(yè)生態(tài)，通過培訓(xùn)、競賽等方式推動安全技術(shù)在關(guān)鍵領(lǐng)域應(yīng)用，形成良性互動生態(tài)。

（五）潛在挑戰(zhàn)與應(yīng)對

當(dāng)前，產(chǎn)業(yè)合規(guī)實踐仍面臨兩大突出挑戰(zhàn)：一是監(jiān)管部門對“人工智能安全風(fēng)險”的認(rèn)定標(biāo)準(zhǔn)不統(tǒng)一，不同地區(qū)、不同領(lǐng)域的執(zhí)法尺度存在差異，導(dǎo)致企業(yè)合規(guī)實踐缺乏明確指引，尤其是中小微企業(yè)難以精準(zhǔn)把握合規(guī)邊界。二是中小微企業(yè)合規(guī)成本仍較高，受資金、技術(shù)、人才限制，難以獨立搭建完善的合規(guī)體系，也難以承擔(dān)專業(yè)合規(guī)服務(wù)的費(fèi)用，合規(guī)落地難度較大。針對上述挑戰(zhàn)，需多方協(xié)同發(fā)力，共同應(yīng)對：一是建議監(jiān)管部門加快出臺人工智能安全風(fēng)險認(rèn)定指南，明確人工智能安全風(fēng)險的界定標(biāo)準(zhǔn)、處罰邊界，統(tǒng)一執(zhí)法尺度，為企業(yè)合規(guī)實踐提供清晰指引，減少合規(guī)不確定性；二是行業(yè)組織牽頭搭建中小微企業(yè)合規(guī)服務(wù)平臺，整合行業(yè)資源，提供免費(fèi)合規(guī)咨詢、低成本合規(guī)工具、合規(guī)培訓(xùn)等服務(wù)，降低中小微企業(yè)合規(guī)門檻；三是龍頭企業(yè)充分發(fā)揮技術(shù)引領(lǐng)與資源優(yōu)勢，輸出標(biāo)準(zhǔn)化、低成本的合規(guī)解決方案，帶動中小微企業(yè)提升合規(guī)能力，形成“龍頭引領(lǐng)、全員提升”的合規(guī)格局。

三、結(jié) 語

《網(wǎng)絡(luò)安全法》的修改通過戰(zhàn)略定位錨定、技術(shù)治理適配、責(zé)任體系升級、體系銜接優(yōu)化，構(gòu)建了“發(fā)展與安全并重”的治理框架，既吸收國際先進(jìn)經(jīng)驗、貼合我國產(chǎn)業(yè)實際，又精準(zhǔn)回應(yīng)人工智能安全、供應(yīng)鏈安全等新型安全挑戰(zhàn)，通過明確條款要求、細(xì)化責(zé)任梯度、完善協(xié)同機(jī)制，為網(wǎng)絡(luò)安全產(chǎn)業(yè)合規(guī)實踐提供了根本法治遵循。網(wǎng)絡(luò)安全產(chǎn)業(yè)作為法治落地的核心載體，既要嚴(yán)格遵循修改后的《網(wǎng)絡(luò)安全法》及關(guān)聯(lián)法律法規(guī)的要求，將合規(guī)融入技術(shù)研發(fā)、產(chǎn)品生產(chǎn)、服務(wù)提供全流程，又要主動破解合規(guī)實踐中的痛點難點，通過技術(shù)創(chuàng)新、供應(yīng)鏈協(xié)同、生態(tài)共建，推動合規(guī)能力與產(chǎn)業(yè)發(fā)展同步提升。

（本文刊登于《中國信息安全》雜志2026年第2期）