李 豪

文 | 360AI法律研究院 李豪 王京華 杜虹

2025年10月28日，十四屆全國人大常委會第十八次會議表決通過《全國人民代表大會常務委員會關于修改〈中華人民共和國網(wǎng)絡安全法〉的決定》，并于2026年1月1日正式施行。當前，我國數(shù)字經(jīng)濟實現(xiàn)高速發(fā)展，網(wǎng)絡安全威脅也呈現(xiàn)出高級持續(xù)性威脅（APT）攻擊常態(tài)化、人工智能風險隱蔽化、供應鏈攻擊鏈條化的新特征。修改后的《網(wǎng)絡安全法》緊扣《中共中央關于制定國民經(jīng)濟和社會發(fā)展第十五個五年規(guī)劃的建議》中“國家安全體系和能力現(xiàn)代化”的戰(zhàn)略要求，構建起“發(fā)展與安全并重、技術與制度協(xié)同、監(jiān)管與服務結合”的新型網(wǎng)絡安全治理框架。修改后的《網(wǎng)絡安全法》通過明確合規(guī)標準、細化責任邊界、銜接關聯(lián)法治體系，為數(shù)字經(jīng)濟高質(zhì)量發(fā)展筑牢安全根基，也為網(wǎng)絡安全產(chǎn)業(yè)合規(guī)實踐劃定清晰路徑，推動法治化要求向安全能力深度轉化。

一、法理革新：《網(wǎng)絡安全法》修改的核心突破與合規(guī)導向

此次《網(wǎng)絡安全法》的修改并非簡單的條款調(diào)整，而是基于當前網(wǎng)絡安全形勢的系統(tǒng)性制度重構。修法核心是通過法治升級破解產(chǎn)業(yè)安全痛點、規(guī)范行業(yè)發(fā)展秩序，為產(chǎn)業(yè)合規(guī)實踐提供明確的法律依據(jù)和行動指南。當前數(shù)字經(jīng)濟滲透率持續(xù)提升，關鍵信息基礎設施已成為國家運轉的核心支柱。境外APT組織針對能源、金融、交通等領域的定向攻擊越發(fā)頻繁，數(shù)據(jù)泄露、系統(tǒng)癱瘓等風險直接沖擊國計民生。修改后的《網(wǎng)絡安全法》以“強化責任、適配技術、銜接體系”為三大核心主線，實現(xiàn)四大維度的突破性進展。每一項革新均對應產(chǎn)業(yè)合規(guī)實踐的核心需求，搭建起“法律條款—合規(guī)標準—安全能力”的轉化橋梁。

（一）戰(zhàn)略定位錨定：將網(wǎng)絡安全納入國家安全體系，明確產(chǎn)業(yè)核心使命

近年來，我國關鍵信息基礎設施面臨的境外攻擊風險持續(xù)攀升，部分威脅涉及國家經(jīng)濟安全與公共利益。修改后的《網(wǎng)絡安全法》開篇新增第三條“網(wǎng)絡安全工作堅持中國共產(chǎn)黨的領導，貫徹總體國家安全觀，統(tǒng)籌發(fā)展和安全，推進網(wǎng)絡強國建設”。這一條款不僅明確了網(wǎng)絡安全工作的根本遵循，更將網(wǎng)絡安全納入國家安全全局的制度設計，也為網(wǎng)絡安全產(chǎn)業(yè)劃定了核心使命，即以技術能力支撐國家網(wǎng)絡安全戰(zhàn)略，將維護國家安全的法治要求，轉化為產(chǎn)業(yè)服務能力和企業(yè)合規(guī)責任。這一戰(zhàn)略定位的升級，推動產(chǎn)業(yè)從“被動防御”向“主動賦能”轉型，成為法治筑牢網(wǎng)絡安全根基的頂層指引。

（二）技術治理適配：對接新技術安全需求，劃定產(chǎn)業(yè)合規(guī)邊界

隨著人工智能、量子信息、衛(wèi)星互聯(lián)網(wǎng)等新技術的快速發(fā)展，傳統(tǒng)以“邊界防護”為核心的網(wǎng)絡安全治理模式，已難以應對“無邊界、去中心化”的新型安全威脅。此次修改直面這一挑戰(zhàn)，針對新技術領域新增專項條款，構建起“技術發(fā)展—風險識別—監(jiān)管應對”的全鏈條治理機制，為產(chǎn)業(yè)在新技術領域的合規(guī)實踐提供明確指引，實現(xiàn)技術創(chuàng)新與法治合規(guī)的雙向適配。

1.人工智能安全治理：構建規(guī)范與創(chuàng)新并重的產(chǎn)業(yè)發(fā)展框架

針對人工智能技術的“雙刃劍”效應，修改后的《網(wǎng)絡安全法》增設第二十條作為人工智能治理的專門條款，確立“支持研發(fā)、完善規(guī)范與強化監(jiān)管”三位一體的治理體系，為產(chǎn)業(yè)人工智能安全合規(guī)劃定清晰路徑。該條款明確提出，國家支持人工智能基礎理論研究及算法等關鍵技術的研發(fā)，推動訓練數(shù)據(jù)資源與算力等基礎設施的建設，為產(chǎn)業(yè)技術創(chuàng)新提供政策支撐。同時，要求完善人工智能領域相關倫理規(guī)范，加強風險監(jiān)測、評估與安全監(jiān)管，促進產(chǎn)業(yè)建立人工智能安全全流程管控機制。此外，條款明確支持運用人工智能等新技術提升網(wǎng)絡安全防護水平，引導產(chǎn)業(yè)將人工智能技術轉化為安全防護能力，實現(xiàn)“以技術賦能安全、以法治規(guī)范技術”的良性循環(huán)。這為新技術創(chuàng)新提供“安全緩沖帶”，實現(xiàn)安全與發(fā)展的動態(tài)平衡。

2.供應鏈安全：構建全鏈條合規(guī)管控體系，強化產(chǎn)業(yè)協(xié)同責任

人工智能技術的普及不僅帶來自身安全風險，也為供應鏈安全提供技術賦能路徑。而供應鏈安全的剛性約束，同樣為人工智能基礎設施的安全提供保障。針對近年來頻發(fā)的“供應鏈斷鏈、惡意植入后門”等安全事件，修改后的《網(wǎng)絡安全法》第六十三條、第六十七條構建起供應鏈安全的全流程監(jiān)管框架，直擊產(chǎn)業(yè)供應鏈安全薄弱環(huán)節(jié)，推動形成“全鏈條剛性約束”的合規(guī)體系。具體而言，一是明確“網(wǎng)絡關鍵設備、網(wǎng)絡安全專用產(chǎn)品需通過安全認證或檢測”，未經(jīng)認證或檢測不得銷售、使用，促進設備與產(chǎn)品研發(fā)企業(yè)落實安全合規(guī)要求，筑牢供應鏈源頭安全防線；二是要求關鍵信息基礎設施運營者不得使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡產(chǎn)品或者服務，同時，推動下游應用企業(yè)建立健全供應鏈安全審查機制，筑牢網(wǎng)絡安全與供應鏈安全雙重防線。

（三）責任體系升級：細化分級追責機制，壓實產(chǎn)業(yè)合規(guī)責任

原《網(wǎng)絡安全法》在責任設定上存在“處罰責任較輕”的問題，難以形成有效約束，部分企業(yè)合規(guī)意識薄弱。據(jù)統(tǒng)計，2021年至2024年，全國網(wǎng)絡安全違法案件年均增長15%，但原《網(wǎng)絡安全法》的罰款額度普遍低于違法收益，導致威懾力不足。修改后的《網(wǎng)絡安全法》在提高罰款上限后，將有效扭轉這一局面。此次修改針對這些問題，構建起“分層分類、精準追責”的責任體系，兼顧剛性約束與柔性包容，推動產(chǎn)業(yè)形成“主動合規(guī)、全員合規(guī)”的良好生態(tài)，讓法治要求真正落地為企業(yè)的行為準則。

1.罰款梯度精細化：按風險等級差異化處罰，強化合規(guī)威懾力

修改后的《網(wǎng)絡安全法》第六十一條，將一般網(wǎng)絡運營者和關鍵信息基礎設施運營者的違法行為劃分為“一般、較重、嚴重、特別嚴重”四檔，實現(xiàn)“過錯與處罰相匹配”。單位罰款額度最高提升至1000萬元，同時第六十一條提高對“直接負責的主管人員和其他直接責任人員”的追責標準，最高可處100萬元罰款。這形成“企業(yè)擔責、個人追責”的雙重約束，扭轉“違法成本低、守法成本高”的失衡局面，讓企業(yè)切實認識到“違規(guī)代價遠超收益”，推動網(wǎng)絡安全投入從“可選項”轉變?yōu)椤氨剡x項”。例如，吉首市互聯(lián)網(wǎng)信息辦公室曾對未履行網(wǎng)絡安全保護義務致使網(wǎng)站被篡改的某企業(yè)作出行政處罰。新法修改實施后，此類違法行為將根據(jù)危害后果面臨更精準的分級處罰，進一步強化產(chǎn)業(yè)合規(guī)敬畏心。

2.容錯機制科學化：兼顧合規(guī)要求與企業(yè)發(fā)展，激發(fā)產(chǎn)業(yè)活力

考慮到中小微企業(yè)在數(shù)字化轉型中面臨“資金有限、技術薄弱”的現(xiàn)實困境，修改后的《網(wǎng)絡安全法》第七十三條專門引入“從輕、減輕或者不予處罰”條款，體現(xiàn)謙抑、審慎、包容的立法精神。監(jiān)管部門可結合這一條款，通過“指導整改優(yōu)先、處罰教育結合”的方式，既落實法律要求，又減輕企業(yè)負擔，實現(xiàn)“監(jiān)管效果+企業(yè)發(fā)展”的雙贏。這一制度設計避免“一刀切”式的處罰方式挫傷市場主體的積極性和創(chuàng)新活力，為新技術新業(yè)態(tài)新模式的健康發(fā)展預留充足空間，推動產(chǎn)業(yè)全員跨越合規(guī)門檻。

（四）體系銜接優(yōu)化：構建多法協(xié)同格局，完善產(chǎn)業(yè)合規(guī)法治環(huán)境

網(wǎng)絡安全治理涉及網(wǎng)絡運行、數(shù)據(jù)保護、個人信息、行政處罰等多個領域。此前因《網(wǎng)絡安全法》與關聯(lián)法律法規(guī)銜接不夠緊密，導致產(chǎn)業(yè)合規(guī)實踐中存在標準不一、責任模糊等問題。此次修法強化與關聯(lián)法律的協(xié)同性，形成各有側重、相互補充的網(wǎng)絡安全法律體系，為產(chǎn)業(yè)合規(guī)實踐提供統(tǒng)一、清晰的法治依據(jù)，筑牢網(wǎng)絡安全法治根基。

1.與數(shù)據(jù)安全、個人信息保護法律的銜接

修改后的《網(wǎng)絡安全法》第七十一條明確規(guī)定“網(wǎng)絡運營者存在侵害個人信息權益、違反數(shù)據(jù)安全管理規(guī)定行為的，依照有關法律、行政法規(guī)的規(guī)定處理、處罰”。該條款銜接《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》的相關要求，避免不同法律法規(guī)規(guī)定的法律責任不一致的問題。這推動產(chǎn)業(yè)建立“網(wǎng)絡安全+數(shù)據(jù)安全+個人信息保護”的一體化合規(guī)體系，破解此前合規(guī)碎片化難題。

2.與《行政處罰法》的銜接

修改后的《網(wǎng)絡安全法》參照《中華人民共和國行政處罰法》新增第七十三條規(guī)定，這一銜接既保留了法律的剛性威懾，又賦予了執(zhí)法適度彈性，有效打消企業(yè)“怕出錯、不敢改”的顧慮，激勵企業(yè)主動排查風險隱患、完善合規(guī)體系，推動產(chǎn)業(yè)從“被動監(jiān)管”轉向“主動治理”。

（五）國際經(jīng)驗借鑒：兼顧接軌性與本土適應性

網(wǎng)絡安全治理已成為全球性議題，國際先進監(jiān)管經(jīng)驗為我國《網(wǎng)絡安全法》的修改提供重要參考。歐盟的《關于在歐盟實現(xiàn)高水平網(wǎng)絡安全措施的指令》（NIS 2指令）的“24小時預警、72小時報告”機制，為我國完善網(wǎng)絡安全事件報告制度提供參考，可推動我國建立更高效的風險響應體系，助力產(chǎn)業(yè)提升應急處置合規(guī)能力。美國《關鍵基礎設施網(wǎng)絡事件報告法案》（CIRCIA）的供應鏈安全監(jiān)管框架，可助力我國細化網(wǎng)絡關鍵設備認證流程，進一步強化供應鏈源頭管控。修改后的《網(wǎng)絡安全法》在吸收國際經(jīng)驗的基礎上，結合我國數(shù)字經(jīng)濟發(fā)展國情，強化人工智能安全與域外追責機制，既順應全球網(wǎng)絡安全治理的發(fā)展趨勢，又立足我國產(chǎn)業(yè)實際需求，形成兼具國際接軌性與本土適應性的制度設計，為產(chǎn)業(yè)參與國際競爭、構建全球合規(guī)體系提供法治支撐。

二、產(chǎn)業(yè)合規(guī)實踐：法治要求向安全能力的轉化路徑

修改后的《網(wǎng)絡安全法》為網(wǎng)絡安全產(chǎn)業(yè)合規(guī)劃定了法治邊界和行動路徑，核心任務是將法律條款轉化為可部署、可迭代的安全能力體系，將合規(guī)要求融入技術研發(fā)、產(chǎn)品生產(chǎn)、服務提供和供應鏈管理全流程。

（一）技術合規(guī)實踐

從行業(yè)內(nèi)企業(yè)實踐來看，部分企業(yè)依托安全大模型與智能體技術，構建覆蓋人工智能安全全場景的防護體系，將修改后的《網(wǎng)絡安全法》中人工智能安全治理的條款要求，拆解為模型安全檢測、算法合規(guī)評估、訓練數(shù)據(jù)安全管控等具體技術模塊，形成標準化的合規(guī)解決方案，既滿足自身研發(fā)合規(guī)要求，也為金融、能源等行業(yè)客戶提供人工智能安全合規(guī)服務，實現(xiàn)法治要求向技術能力的轉化。例如，360公司提出“四大平臺”建設思路，通過威脅對抗、資產(chǎn)安全、訪問安全、應用安全四大平臺，將人工智能能力嵌入業(yè)務全鏈條，落實技術安全防護的相關要求，推動合規(guī)能力與技術能力同步提升。

（二）供應鏈合規(guī)實踐

產(chǎn)業(yè)協(xié)同構建“源頭認證、過程審查、風險追責”的全流程合規(guī)體系。上游企業(yè)落實安全認證，杜絕不合格產(chǎn)品流入市場。中游企業(yè)建立審查機制，使用軟件物料清單（SBOM）工具排查風險。下游運營者強化管理責任，建立評估與退出機制。

（三）責任落實實踐

構建分級管控模式，結合治理、風險與合規(guī)（GRC）框架提升管理效能。制定分級合規(guī)標準，落實部門與崗位責任。中小微企業(yè)借助容錯機制獲取指導，低成本完善合規(guī)。

（四）生態(tài)共建實踐

產(chǎn)業(yè)從個體合規(guī)向生態(tài)協(xié)同轉型，通過標準共建、資源共享推動合規(guī)落地。例如，360公司牽頭成立“大模型安全聯(lián)盟”，構建產(chǎn)業(yè)生態(tài)，通過培訓、競賽等方式推動安全技術在關鍵領域應用，形成良性互動生態(tài)。

（五）潛在挑戰(zhàn)與應對

當前，產(chǎn)業(yè)合規(guī)實踐仍面臨兩大突出挑戰(zhàn)：一是監(jiān)管部門對“人工智能安全風險”的認定標準不統(tǒng)一，不同地區(qū)、不同領域的執(zhí)法尺度存在差異，導致企業(yè)合規(guī)實踐缺乏明確指引，尤其是中小微企業(yè)難以精準把握合規(guī)邊界。二是中小微企業(yè)合規(guī)成本仍較高，受資金、技術、人才限制，難以獨立搭建完善的合規(guī)體系，也難以承擔專業(yè)合規(guī)服務的費用，合規(guī)落地難度較大。針對上述挑戰(zhàn)，需多方協(xié)同發(fā)力，共同應對：一是建議監(jiān)管部門加快出臺人工智能安全風險認定指南，明確人工智能安全風險的界定標準、處罰邊界，統(tǒng)一執(zhí)法尺度，為企業(yè)合規(guī)實踐提供清晰指引，減少合規(guī)不確定性；二是行業(yè)組織牽頭搭建中小微企業(yè)合規(guī)服務平臺，整合行業(yè)資源，提供免費合規(guī)咨詢、低成本合規(guī)工具、合規(guī)培訓等服務，降低中小微企業(yè)合規(guī)門檻；三是龍頭企業(yè)充分發(fā)揮技術引領與資源優(yōu)勢，輸出標準化、低成本的合規(guī)解決方案，帶動中小微企業(yè)提升合規(guī)能力，形成“龍頭引領、全員提升”的合規(guī)格局。

三、結 語

《網(wǎng)絡安全法》的修改通過戰(zhàn)略定位錨定、技術治理適配、責任體系升級、體系銜接優(yōu)化，構建了“發(fā)展與安全并重”的治理框架，既吸收國際先進經(jīng)驗、貼合我國產(chǎn)業(yè)實際，又精準回應人工智能安全、供應鏈安全等新型安全挑戰(zhàn)，通過明確條款要求、細化責任梯度、完善協(xié)同機制，為網(wǎng)絡安全產(chǎn)業(yè)合規(guī)實踐提供了根本法治遵循。網(wǎng)絡安全產(chǎn)業(yè)作為法治落地的核心載體，既要嚴格遵循修改后的《網(wǎng)絡安全法》及關聯(lián)法律法規(guī)的要求，將合規(guī)融入技術研發(fā)、產(chǎn)品生產(chǎn)、服務提供全流程，又要主動破解合規(guī)實踐中的痛點難點，通過技術創(chuàng)新、供應鏈協(xié)同、生態(tài)共建，推動合規(guī)能力與產(chǎn)業(yè)發(fā)展同步提升。

（本文刊登于《中國信息安全》雜志2026年第2期）