專題·原創(chuàng) | 以法治引領網(wǎng)絡強國建設與產(chǎn)業(yè)高質(zhì)量發(fā)展

譚曉生

中國計算機學會青年計算機科技論壇秘書長

2025《全國人民代表大會常務委員會關(guān)于修改〈中華人民共和國網(wǎng)絡安全法〉的決定》已于2026年1月1日起正式施行。此次修改是《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）自2017年6月1日施行以來的首次重大調(diào)整，雖以“小切口”切入，卻在指導原則、技術(shù)治理與責任體系等關(guān)鍵處“落子”：一方面，新增第三條，進一步明確網(wǎng)絡安全工作“堅持中國共產(chǎn)黨的領導，貫徹總體國家安全觀，統(tǒng)籌發(fā)展和安全，推進網(wǎng)絡強國建設”；另一方面，增設人工智能專條，提出完善人工智能倫理規(guī)范、加強風險監(jiān)測評估與安全監(jiān)管，并強調(diào)“運用人工智能等新技術(shù)，提升網(wǎng)絡安全保護水平”。更值得關(guān)注的是，本次修改聚焦監(jiān)管執(zhí)法實踐的“痛點”和“短板”，通過提高違法成本、強化關(guān)鍵環(huán)節(jié)責任、完善域外追責與制裁措施，為數(shù)字經(jīng)濟發(fā)展與國家安全提供更具韌性、更加動態(tài)平衡的法治保障。

一、從“立柱架梁”到“體系牽引”，法律實施帶動產(chǎn)業(yè)躍升

《網(wǎng)絡安全法》作為我國第一部全面規(guī)范網(wǎng)絡安全和信息化的基礎性法律，自實施以來最顯著的成效在于以法治方式確立網(wǎng)絡安全治理的基本制度框架，推動網(wǎng)絡安全從“專項整治”走向“常態(tài)治理”，從“事后補救”走向“體系防護”。同時，它在縱向上為關(guān)鍵信息基礎設施保護等制度提供上位法依據(jù)；在橫向上與數(shù)據(jù)安全、個人信息保護等立法協(xié)同銜接，形成較為系統(tǒng)完備的網(wǎng)絡安全法律制度體系。其對產(chǎn)業(yè)的“提升”不是某項技術(shù)的單點推動，而是把安全從“自愿建設”升級為“制度化工程”，并由此拉動供需兩側(cè)同時升級。

（一）制度奠基：確立網(wǎng)絡安全治理核心框架

新法從基礎工程、重點防護、身份管理和內(nèi)容治理四個方面，系統(tǒng)構(gòu)建了網(wǎng)絡安全的核心框架。

一是把網(wǎng)絡安全等級保護（簡稱“等保”）從行業(yè)慣例升級為國家基本制度，形成全國統(tǒng)一的安全工程底座。法律明確“國家實行網(wǎng)絡安全等級保護制度”，并把組織管理、技術(shù)防護、日志留存、數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等義務寫進條文，帶動大量單位按“定級—建設—測評—整改—復測”閉環(huán)常態(tài)化投入。對應的標準體系也隨之完善，例如，《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019）為工程化落地提供了可檢驗的基線。

二是關(guān)鍵信息基礎設施（以下簡稱“關(guān)基”）制度化，帶動重點行業(yè)安全建設進入更高強度與更高質(zhì)量階段。法律明確關(guān)基在等保基礎上實行重點保護，并配套提出安全審查、境內(nèi)存儲與出境評估、年度檢測評估等要求；后續(xù)《關(guān)鍵信息基礎設施安全保護條例》落地，使行業(yè)主管部門與運營者責任更清晰，形成更強的行業(yè)牽引力。

三是實名制與可信身份戰(zhàn)略拉動身份安全、反欺詐與賬號治理市場。對網(wǎng)絡接入、即時通信、信息發(fā)布等服務提出真實身份要求，并提出網(wǎng)絡可信身份戰(zhàn)略，助力身份和訪問管理（IAM）、風控反欺詐等能力在多行業(yè)落地。

四是平臺信息治理形成“停止傳輸—處置消除—保存記錄—報告”閉環(huán)，帶動內(nèi)容安全與自動化處置能力成熟。這類要求顯著推動平臺側(cè)內(nèi)容安全技術(shù)（識別、處置、留痕、審計）、流程與組織化運營能力提升。

（二）產(chǎn)業(yè)賦能：拉動供需兩側(cè)協(xié)同升級

法律法規(guī)中的剛性要求，已從合規(guī)基線轉(zhuǎn)化為具體的產(chǎn)業(yè)機會，驅(qū)動安全能力升級與市場成熟。

一是“留痕可審計”成為硬要求，直接推動安全運營中心、日志審計、態(tài)勢感知等運營能力升級。條文要求“監(jiān)測、記錄網(wǎng)絡運行狀態(tài)和事件”“留存網(wǎng)絡日志不少于六個月”，促進日志平臺、安全信息與事件管理系統(tǒng)（SIEM）、告警關(guān)聯(lián)分析、審計取證等能力成為標配。

二是“數(shù)據(jù)安全的工程動作”前置化：分類分級、備份、加密成為建設必選項。等保條款把“數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密”寫入網(wǎng)絡運營者義務清單，帶動數(shù)據(jù)分類分級、加密與密鑰管理、備份容災、數(shù)據(jù)泄露防護（DLP）等產(chǎn)品與服務持續(xù)擴張。

三是把網(wǎng)絡產(chǎn)品和服務的“漏洞治理與持續(xù)維護”納入法定義務，倒逼廠商安全研發(fā)體系化。法律要求產(chǎn)品服務符合強制性標準、不得設置惡意程序、發(fā)現(xiàn)缺陷漏洞要補救并報告并持續(xù)提供安全維護，直接促成廠商建立產(chǎn)品安全事件響應團隊（PSIRT）、漏洞響應、補丁治理、軟件物料清單（SBOM）、供應鏈治理等機制。

四是安全產(chǎn)品與關(guān)鍵設備“先認證與檢測、后銷售和提供”，促進行業(yè)從“拼功能”轉(zhuǎn)向“拼合規(guī)與可驗證”。法律確立“認證與檢測+目錄管理+結(jié)果互認”的框架，帶動檢測認證機構(gòu)體系、測評能力、合規(guī)交付鏈條成熟。

五是應急預案與事件報告成為法定流程，帶動了“應急響應產(chǎn)業(yè)”與實戰(zhàn)化能力成長。法律要求制定應急預案、事件發(fā)生時立即啟動、采取補救措施并按規(guī)定報告，客觀上將應急響應、演練復盤、取證留痕、處置聯(lián)動變成剛需。

六是加速“社會化網(wǎng)絡安全服務體系”成型：測評、認證、風險評估、安全運維逐步實現(xiàn)規(guī)范化發(fā)展。法律鼓勵認證、檢測、風險評估等社會化服務；相關(guān)部門推動網(wǎng)絡安全服務認證體系建設（覆蓋檢測評估、安全運維、安全咨詢、等保測評等），從而促進服務質(zhì)量提升、能力分級明晰與結(jié)果采信機制完善。

（三）生態(tài)升級：推動產(chǎn)業(yè)邁向成熟軌道

法律的政策牽引與市場的內(nèi)在動力形成雙重驅(qū)動，為網(wǎng)絡安全產(chǎn)業(yè)生態(tài)的體系化升級與可持續(xù)發(fā)展奠定了堅實基礎。

一是將標準體系、產(chǎn)業(yè)扶持與人才培養(yǎng)寫入法律“支持與促進”章節(jié)，形成長期供給側(cè)結(jié)構(gòu)性政策牽引體系。包括標準體系建設、產(chǎn)業(yè)投入扶持、人才培養(yǎng)、宣傳教育等方面的舉措，為產(chǎn)業(yè)生態(tài)（產(chǎn)學研用）提供了穩(wěn)定的制度預期。

二是宏觀層面：產(chǎn)業(yè)從“項目化交付”走向“持續(xù)運營+質(zhì)量體系”的成熟軌道，市場規(guī)模持續(xù)擴大、產(chǎn)業(yè)生態(tài)不斷完善。“數(shù)說安全”2025年發(fā)布的《2025中國網(wǎng)絡安全市場年報》顯示，甲方客戶年度網(wǎng)絡安全支出在2019年至2020年支出較前一年增長幅度超過20%，產(chǎn)業(yè)發(fā)展進入“快車道”，網(wǎng)絡安全生態(tài)不斷完善。

應當看到，隨著云計算、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新技術(shù)新業(yè)態(tài)快速發(fā)展，網(wǎng)絡安全風險的外溢性、跨域性顯著增強，原有制度在責任設置、執(zhí)法口徑、技術(shù)治理等方面需要適應性更新。本次修改正是對新形勢新要求的制度回應。

二、本次修改要點

本次修改政策導向更鮮明、技術(shù)治理更突出、責任體系更嚴密。

一是指導原則再充實：將“統(tǒng)籌發(fā)展和安全”寫入法律條文。本次修改新增第三條，明確“堅持黨的領導”“總體國家安全觀”“統(tǒng)籌發(fā)展和安全”“推進網(wǎng)絡強國建設”等根本遵循，進一步錨定網(wǎng)絡安全工作的戰(zhàn)略目標。

二是首次增設人工智能專條：將人工智能技術(shù)發(fā)展納入法治軌道。本次修改新增第二十條，既支持人工智能基礎理論研究與關(guān)鍵技術(shù)研發(fā)、訓練數(shù)據(jù)資源與算力等基礎設施建設，也強調(diào)完善倫理規(guī)范、加強風險監(jiān)測評估和安全監(jiān)管，并提出“運用人工智能等新技術(shù)，提升網(wǎng)絡安全保護水平”。這標志著人工智能被正式納入網(wǎng)絡安全法治體系的治理框架，為后續(xù)配套規(guī)則、標準體系與監(jiān)管實踐預留了接口。

三是責任體系更為嚴厲：處罰分級、直擊要害、提高違法成本。本次修改對法律責任作出系統(tǒng)性調(diào)整，呈現(xiàn)出“分級分類、寬嚴相濟、強化震懾”的特點。在關(guān)鍵條款中，罰款設置更具階梯性和針對性：例如，對不履行網(wǎng)絡安全保護義務的，可處一萬元以上五萬元以下罰款；對造成“大量數(shù)據(jù)泄露、關(guān)鍵信息基礎設施喪失主要功能”等嚴重后果的，最高可處二百萬元以上一千萬元以下罰款，并對相關(guān)責任人員設置更高幅度處罰。同時，針對違法信息處置，形成“停止傳輸—處置消除—保存記錄—向主管部門報告”的責任閉環(huán)。

四是供應鏈與產(chǎn)品安全責任更明確：對“關(guān)鍵設備與安全產(chǎn)品”實施強約束。本次修改新增對“銷售或者提供未經(jīng)安全認證、安全檢測或不符合要求的網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品”的法律責任，包括停止銷售、沒收違法所得、罰款，情節(jié)嚴重的可責令暫停業(yè)務、停業(yè)整頓直至吊銷許可或營業(yè)執(zhí)照。這將推動網(wǎng)絡安全產(chǎn)業(yè)從“拼功能”轉(zhuǎn)向“拼合規(guī)、拼質(zhì)量、拼可驗證”，并強化供給側(cè)出廠合規(guī)與全生命周期安全。

五是域外追責與制裁機制進一步健全：對境外危害行為“依法追責+必要制裁”。本次修改明確境外機構(gòu)、組織、個人從事危害我國網(wǎng)絡安全的活動，依法追究法律責任；造成嚴重后果的，國務院公安部門和有關(guān)部門可以決定采取凍結(jié)財產(chǎn)或者其他必要的制裁措施。這不僅回應了跨境攻擊、供應鏈投毒等現(xiàn)實威脅，也為我國企業(yè)“出海”提供了更清晰的法治支撐。

上述修改要點精準直擊網(wǎng)絡安全治理與產(chǎn)業(yè)發(fā)展的核心痛點，將從合規(guī)成本、技術(shù)創(chuàng)新、市場準入、跨境治理等維度，對網(wǎng)絡安全產(chǎn)業(yè)的格局與發(fā)展產(chǎn)生具體且深遠的影響。

三、本次修改對產(chǎn)業(yè)的現(xiàn)實影響

總體看，本次修改將推動產(chǎn)業(yè)從“合規(guī)驅(qū)動”走向“能力驅(qū)動、質(zhì)量驅(qū)動、治理驅(qū)動”發(fā)展。

一是合規(guī)“剛性成本”上升，帶動安全投入從建設型走向運營型。罰則體系更嚴格、分級更細化，企業(yè)將更重視“可持續(xù)合規(guī)”而非“一次性過審”。這會直接帶動安全運營（監(jiān)測、響應、演練、取證、報告）、風險評估與第三方審計等服務需求提升，推動“建設—運營—整改—再評估”的閉環(huán)成為常態(tài)。

二是人工智能安全與人工智能賦能安全雙輪并進，催生新一代產(chǎn)品形態(tài)。第二十條反映了“新一代人工智能的迅速發(fā)展帶來了需求與機遇：修改要點中‘完善人工智能倫理規(guī)范、加強風險監(jiān)測評估’的要求，將直接催生人工智能倫理合規(guī)咨詢、訓練數(shù)據(jù)安全審計、人工智能模型漏洞檢測等新興服務需求；而‘運用人工智能提升網(wǎng)絡安全保護水平’的導向，將推動安全廠商研發(fā)智能威脅研判、自動化漏洞修復、人工智能驅(qū)動的攻防演練等產(chǎn)品，形成‘治理需求+技術(shù)賦能’的雙市場增量”。

三是供應鏈安全與“可認證、可檢測、可追溯”成為硬門檻。第二十五條對關(guān)鍵設備與安全專用產(chǎn)品的責任強化，將倒逼廠商從研發(fā)、測試、交付到運維的全鏈條質(zhì)量體系升級；甲方客戶也將帶動檢測認證、漏洞治理、供應鏈風險評估等第三方服務市場擴容。

四是跨境攻防與域外風險抬升，推動企業(yè)安全治理與出海合規(guī)同步升級。域外追責與制裁機制的明確，有助于提升我國對跨境攻擊的威懾與處置能力。對企業(yè)而言，尤其是具備海外業(yè)務、跨境數(shù)據(jù)流動或海外供應鏈依賴的主體，需要更系統(tǒng)地建設跨境安全治理、事件響應與證據(jù)保全能力，適應更復雜的國際合規(guī)環(huán)境。

四、本次修改與國際上同類立法的對比

觀察國際上網(wǎng)絡安全法律法規(guī)的產(chǎn)業(yè)效應，一個共同趨勢是通過更嚴格的報告義務、治理責任與問責機制，把網(wǎng)絡安全從“技術(shù)問題”提升為“治理問題、經(jīng)營問題、責任問題”，由此帶動安全服務、合規(guī)工具與運營體系的成熟。

歐盟的《關(guān)于在歐盟實現(xiàn)高水平網(wǎng)絡安全措施的指令》（NIS 2指令）建立了統(tǒng)一法律框架，覆蓋18個關(guān)鍵行業(yè)并強調(diào)跨境協(xié)同處置。其典型做法是強化事件報告節(jié)奏與治理要求（在成員國轉(zhuǎn)置過程中普遍體現(xiàn)為“24小時預警、72小時報告”等機制），倒逼企業(yè)建立更強的安全運營與事件響應能力，從而帶動治理、風險與合規(guī)（GRC）以及托管安全服務、威脅情報與應急響應產(chǎn)業(yè)發(fā)展。

美國的《關(guān)鍵基礎設施網(wǎng)絡事件報告法案》（CIRCIA）要求通過法規(guī)建立覆蓋實體的網(wǎng)絡事件報告制度，并強調(diào)贖金支付的快速報告要求（24小時）。其直接產(chǎn)業(yè)效應在于推動企業(yè)建設更標準化的事件分級、取證留痕、報告自動化與協(xié)同處置能力，進而帶動安全運營、應急響應、取證與合規(guī)工具鏈發(fā)展。對應了《網(wǎng)絡安全法》中多處提到的“報告”義務。

對比域外網(wǎng)絡安全治理體系可以發(fā)現(xiàn)，其制度設計與我國在治理理念、監(jiān)管結(jié)構(gòu)與落地路徑上有相似之處，但也需要了解國內(nèi)外在制度上存在若干差異：一是治理目標側(cè)重不同。歐美更強調(diào)在市場規(guī)則與公共安全之間做“可量化合規(guī)”的平衡；我國則更突出在國家安全框架下統(tǒng)籌發(fā)展和安全、強調(diào)體系化治理與底線要求。二是監(jiān)管結(jié)構(gòu)不同。歐美多采用跨部門協(xié)調(diào)與行業(yè)監(jiān)管并重、強調(diào)企業(yè)董事會或管理層治理責任與信息披露約束；我國則更強調(diào)主管部門統(tǒng)籌、行業(yè)主管部門協(xié)同、屬地管理與專項執(zhí)法相結(jié)合。三是合規(guī)抓手不同。歐美以事件報告時限、風險管理與披露義務驅(qū)動“運營化合規(guī)”；我國則更依托等級保護、關(guān)基保護、產(chǎn)品與服務安全要求等形成“工程化基線+閉環(huán)整改”。四是對跨境與域外風險的制度響應不同。歐美更傾向通過供應鏈限制、制裁與高額罰款形成外部約束；我國則更強調(diào)依法追責與必要反制并舉、強化關(guān)鍵信息基礎設施與重要網(wǎng)絡資源的安全韌性。

五、結(jié) 語

《網(wǎng)絡安全法》的修改以更鮮明的政策導向、更突出的技術(shù)治理思維和更嚴密的責任體系，回應了數(shù)字時代網(wǎng)絡安全風險演進的新挑戰(zhàn)。它既通過提高違法成本、健全責任閉環(huán)增強制度威懾，也通過引入人工智能專條與鼓勵技術(shù)賦能，為產(chǎn)業(yè)創(chuàng)新與治理現(xiàn)代化打開空間。

（本文刊登于《中國信息安全》雜志2026年第2期）