2025 年 10 月 28 日,第十四届全国人民代表大会常务委员会第十八次会议通过《关于修改〈中华人民共和国网络安全法〉的决定》,对 2016 年版《网络安全法》作出重要修订。本次修正紧扣数字经济发展趋势,聚焦人工智能安全、数据治理、关键信息基础设施保护等核心领域,进一步完善了我国网络安全保障体系。以下从新增条款、强化义务、责任升级三个维度,解读修正版与原版的核心区别。
一、 新增核心条款:聚焦 AI 安全与数字基础设施建设
本次修正新增多条与人工智能、数据开放相关的内容,填补了原版在新兴技术领域的监管空白,具体如下:
-
明确人工智能安全发展导向 修正版第二十条新增人工智能相关条款,明确两大核心要求:
- 国家层面支持 AI 基础理论研究、算法关键技术研发,推进训练数据资源、算力等基础设施建设,同时要求完善人工智能伦理规范,加强风险监测评估与安全监管。
- 鼓励运用人工智能等新技术创新网络安全管理方式,提升网络安全保护水平。原版对比:2016 年版未提及人工智能相关内容,本次修正首次将 AI 技术研发与安全监管纳入网络安全法框架,体现了 "安全与发展并重" 的立法原则。
-
强化公共数据资源开放与安全利用 修正版第十九条 新增 "国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展" 的内容,明确了数据 "安全保护" 与 "开放利用" 的双重目标。原版对比:原版仅强调数据安全保护义务,本次修正进一步明确公共数据开放的导向,为数字经济发展提供数据要素支撑。
-
突出党对网络安全工作的全面领导 修正版第三条 新增 "网络安全工作坚持中国共产党的领导" 表述,将 "贯彻总体国家安全观,统筹发展和安全,推进网络强国建设" 纳入立法宗旨。原版对比:原版第三条未明确党的领导地位,本次修正从立法层面确立了网络安全工作的根本遵循。
二、 强化主体义务:细化关键信息基础设施与数据安全要求
修正版在原版基础上,进一步细化了网络运营者、关键信息基础设施运营者的安全保护义务,提升了义务的可操作性:
-
关键信息基础设施运营者义务加码 修正版第六十一条 新增针对关键信息基础设施运营者的阶梯式处罚标准:
- 未履行安全保护义务的,警告后可处 5 万 - 10 万元罚款;拒不改正或造成危害后果的,处 10 万 - 100 万元罚款。
- 若造成大量数据泄露、关键信息基础设施丧失局部功能 等严重后果,罚款金额提升至 50 万 - 200 万元,直接责任人罚款 5 万 - 20 万元;若造成关键信息基础设施丧失主要功能 等特别严重后果,处罚力度进一步加大。原版对比:原版对关键信息基础设施运营者的罚款上限为 100 万元,未区分 "严重后果" 与 "特别严重后果" 的阶梯处罚,修正版的分级处罚更具威慑力。
-
网络产品与服务安全维护义务升级 修正版第二十四条 明确要求,网络产品、服务提供者 "在规定或者当事人约定的期限内,不得终止提供安全维护",强化了产品全生命周期的安全责任。原版对比:原版仅要求提供者 "持续提供安全维护",修正版明确了 "不得擅自终止" 的禁止性条款,避免因服务中断引发安全风险。
-
数据存储与出境安全评估要求细化 修正版第三十九条 延续原版关于关键信息基础设施运营者数据境内存储的要求,同时明确 "因业务需要确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估",与《数据安全法》《个人信息保护法》形成衔接。原版对比:原版对数据出境安全评估的表述较为原则,修正版进一步明确了评估依据的制定主体,提升了条款的落地性。
三、 法律责任升级:加大违法行为惩戒力度
修正版大幅提高了多项违法行为的罚款上限,并新增从业禁止条款,显著提升了法律的震慑力:
-
危害网络安全活动的处罚力度翻倍 修正版第六十六条规定,从事危害网络安全活动(如非法侵入他人网络、提供攻击工具等),尚不构成犯罪的:
- 个人违法的,处 5 日以下拘留,可并处 5 万 - 50 万元罚款;情节较重的,处 5-15 日拘留,可并处 10 万 - 100 万元罚款。
- 单位违法的,处 10 万 - 100 万元罚款,直接责任人按个人标准处罚。原版对比:原版对个人的罚款上限为 50 万元,修正版将情节较重的罚款上限提升至 100 万元,并明确了拘留与罚款的组合适用规则。
-
新增从业禁止条款 修正版第六十六条 明确,受到治安管理处罚的人员,5 年内不得从事网络安全管理和网络运营关键岗位的工作 ;受到刑事处罚的人员,终身不得从事上述岗位 。原版对比:原版未设置从业禁止条款,修正版通过限制从业资格,从源头防范违法人员再次危害网络安全。
-
网络信息管理责任加重 修正版第六十九条 新增 "造成特别严重影响、特别严重后果的" 处罚档次,罚款上限从 200 万元提升至 1000 万元,同时可责令暂停相关业务、吊销许可证或营业执照。原版对比:原版对网络运营者未履行信息管理义务的罚款上限为 50 万元,修正版的顶格处罚金额提升 20 倍,凸显对网络信息安全的严格监管。
四、 总结:修正版的核心导向与行业影响
本次《网络安全法》修正,是我国应对数字时代网络安全挑战的重要举措,其核心导向可概括为 "三个强化":
- 强化新兴技术安全监管:将人工智能纳入法律框架,明确技术研发与伦理规范并行的发展路径。
- 强化关键主体责任:针对关键信息基础设施运营者、网络产品服务提供者设置更严格的义务与处罚标准。
- 强化法律体系衔接:与《数据安全法》《个人信息保护法》《人工智能法(草案)》形成协同,构建全方位的网络安全法治体系。
对行业而言,修正版的实施将推动网络运营者加大安全投入,加速人工智能安全技术的研发与应用,同时倒逼企业完善数据治理与合规管理体系,为我国数字经济高质量发展筑牢安全屏障。
新修正法规见上篇文章