專題·原創 | 《中華人民共和國網絡安全法》修改內容解讀與產業合規實踐路徑

李 豪

文 | 360AI法律研究院 李豪 王京華 杜虹

2025年10月28日，十四屆全國人大常委會第十八次會議表決通過《全國人民代表大會常務委員會關于修改〈中華人民共和國網絡安全法〉的決定》，并于2026年1月1日正式施行。當前，我國數字經濟實現高速發展，網絡安全威脅也呈現出高級持續性威脅（APT）攻擊常態化、人工智能風險隱蔽化、供應鏈攻擊鏈條化的新特征。修改后的《網絡安全法》緊扣《中共中央關于制定國民經濟和社會發展第十五個五年規劃的建議》中“國家安全體系和能力現代化”的戰略要求，構建起“發展與安全并重、技術與制度協同、監管與服務結合”的新型網絡安全治理框架。修改后的《網絡安全法》通過明確合規標準、細化責任邊界、銜接關聯法治體系，為數字經濟高質量發展筑牢安全根基，也為網絡安全產業合規實踐劃定清晰路徑，推動法治化要求向安全能力深度轉化。

一、法理革新：《網絡安全法》修改的核心突破與合規導向

此次《網絡安全法》的修改并非簡單的條款調整，而是基于當前網絡安全形勢的系統性制度重構。修法核心是通過法治升級破解產業安全痛點、規范行業發展秩序，為產業合規實踐提供明確的法律依據和行動指南。當前數字經濟滲透率持續提升，關鍵信息基礎設施已成為國家運轉的核心支柱。境外APT組織針對能源、金融、交通等領域的定向攻擊越發頻繁，數據泄露、系統癱瘓等風險直接沖擊國計民生。修改后的《網絡安全法》以“強化責任、適配技術、銜接體系”為三大核心主線，實現四大維度的突破性進展。每一項革新均對應產業合規實踐的核心需求，搭建起“法律條款—合規標準—安全能力”的轉化橋梁。

（一）戰略定位錨定：將網絡安全納入國家安全體系，明確產業核心使命

近年來，我國關鍵信息基礎設施面臨的境外攻擊風險持續攀升，部分威脅涉及國家經濟安全與公共利益。修改后的《網絡安全法》開篇新增第三條“網絡安全工作堅持中國共產黨的領導，貫徹總體國家安全觀，統籌發展和安全，推進網絡強國建設”。這一條款不僅明確了網絡安全工作的根本遵循，更將網絡安全納入國家安全全局的制度設計，也為網絡安全產業劃定了核心使命，即以技術能力支撐國家網絡安全戰略，將維護國家安全的法治要求，轉化為產業服務能力和企業合規責任。這一戰略定位的升級，推動產業從“被動防御”向“主動賦能”轉型，成為法治筑牢網絡安全根基的頂層指引。

（二）技術治理適配：對接新技術安全需求，劃定產業合規邊界

隨著人工智能、量子信息、衛星互聯網等新技術的快速發展，傳統以“邊界防護”為核心的網絡安全治理模式，已難以應對“無邊界、去中心化”的新型安全威脅。此次修改直面這一挑戰，針對新技術領域新增專項條款，構建起“技術發展—風險識別—監管應對”的全鏈條治理機制，為產業在新技術領域的合規實踐提供明確指引，實現技術創新與法治合規的雙向適配。

1.人工智能安全治理：構建規范與創新并重的產業發展框架

針對人工智能技術的“雙刃劍”效應，修改后的《網絡安全法》增設第二十條作為人工智能治理的專門條款，確立“支持研發、完善規范與強化監管”三位一體的治理體系，為產業人工智能安全合規劃定清晰路徑。該條款明確提出，國家支持人工智能基礎理論研究及算法等關鍵技術的研發，推動訓練數據資源與算力等基礎設施的建設，為產業技術創新提供政策支撐。同時，要求完善人工智能領域相關倫理規范，加強風險監測、評估與安全監管，促進產業建立人工智能安全全流程管控機制。此外，條款明確支持運用人工智能等新技術提升網絡安全防護水平，引導產業將人工智能技術轉化為安全防護能力，實現“以技術賦能安全、以法治規范技術”的良性循環。這為新技術創新提供“安全緩沖帶”，實現安全與發展的動態平衡。

2.供應鏈安全：構建全鏈條合規管控體系，強化產業協同責任

人工智能技術的普及不僅帶來自身安全風險，也為供應鏈安全提供技術賦能路徑。而供應鏈安全的剛性約束，同樣為人工智能基礎設施的安全提供保障。針對近年來頻發的“供應鏈斷鏈、惡意植入后門”等安全事件，修改后的《網絡安全法》第六十三條、第六十七條構建起供應鏈安全的全流程監管框架，直擊產業供應鏈安全薄弱環節，推動形成“全鏈條剛性約束”的合規體系。具體而言，一是明確“網絡關鍵設備、網絡安全專用產品需通過安全認證或檢測”，未經認證或檢測不得銷售、使用，促進設備與產品研發企業落實安全合規要求，筑牢供應鏈源頭安全防線；二是要求關鍵信息基礎設施運營者不得使用未經安全審查或者安全審查未通過的網絡產品或者服務，同時，推動下游應用企業建立健全供應鏈安全審查機制，筑牢網絡安全與供應鏈安全雙重防線。

（三）責任體系升級：細化分級追責機制，壓實產業合規責任

原《網絡安全法》在責任設定上存在“處罰責任較輕”的問題，難以形成有效約束，部分企業合規意識薄弱。據統計，2021年至2024年，全國網絡安全違法案件年均增長15%，但原《網絡安全法》的罰款額度普遍低于違法收益，導致威懾力不足。修改后的《網絡安全法》在提高罰款上限后，將有效扭轉這一局面。此次修改針對這些問題，構建起“分層分類、精準追責”的責任體系，兼顧剛性約束與柔性包容，推動產業形成“主動合規、全員合規”的良好生態，讓法治要求真正落地為企業的行為準則。

1.罰款梯度精細化：按風險等級差異化處罰，強化合規威懾力

修改后的《網絡安全法》第六十一條，將一般網絡運營者和關鍵信息基礎設施運營者的違法行為劃分為“一般、較重、嚴重、特別嚴重”四檔，實現“過錯與處罰相匹配”。單位罰款額度最高提升至1000萬元，同時第六十一條提高對“直接負責的主管人員和其他直接責任人員”的追責標準，最高可處100萬元罰款。這形成“企業擔責、個人追責”的雙重約束，扭轉“違法成本低、守法成本高”的失衡局面，讓企業切實認識到“違規代價遠超收益”，推動網絡安全投入從“可選項”轉變為“必選項”。例如，吉首市互聯網信息辦公室曾對未履行網絡安全保護義務致使網站被篡改的某企業作出行政處罰。新法修改實施后，此類違法行為將根據危害后果面臨更精準的分級處罰，進一步強化產業合規敬畏心。

2.容錯機制科學化：兼顧合規要求與企業發展，激發產業活力

考慮到中小微企業在數字化轉型中面臨“資金有限、技術薄弱”的現實困境，修改后的《網絡安全法》第七十三條專門引入“從輕、減輕或者不予處罰”條款，體現謙抑、審慎、包容的立法精神。監管部門可結合這一條款，通過“指導整改優先、處罰教育結合”的方式，既落實法律要求，又減輕企業負擔，實現“監管效果+企業發展”的雙贏。這一制度設計避免“一刀切”式的處罰方式挫傷市場主體的積極性和創新活力，為新技術新業態新模式的健康發展預留充足空間，推動產業全員跨越合規門檻。

（四）體系銜接優化：構建多法協同格局，完善產業合規法治環境

網絡安全治理涉及網絡運行、數據保護、個人信息、行政處罰等多個領域。此前因《網絡安全法》與關聯法律法規銜接不夠緊密，導致產業合規實踐中存在標準不一、責任模糊等問題。此次修法強化與關聯法律的協同性，形成各有側重、相互補充的網絡安全法律體系，為產業合規實踐提供統一、清晰的法治依據，筑牢網絡安全法治根基。

1.與數據安全、個人信息保護法律的銜接

修改后的《網絡安全法》第七十一條明確規定“網絡運營者存在侵害個人信息權益、違反數據安全管理規定行為的，依照有關法律、行政法規的規定處理、處罰”。該條款銜接《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》的相關要求，避免不同法律法規規定的法律責任不一致的問題。這推動產業建立“網絡安全+數據安全+個人信息保護”的一體化合規體系，破解此前合規碎片化難題。

2.與《行政處罰法》的銜接

修改后的《網絡安全法》參照《中華人民共和國行政處罰法》新增第七十三條規定，這一銜接既保留了法律的剛性威懾，又賦予了執法適度彈性，有效打消企業“怕出錯、不敢改”的顧慮，激勵企業主動排查風險隱患、完善合規體系，推動產業從“被動監管”轉向“主動治理”。

（五）國際經驗借鑒：兼顧接軌性與本土適應性

網絡安全治理已成為全球性議題，國際先進監管經驗為我國《網絡安全法》的修改提供重要參考。歐盟的《關于在歐盟實現高水平網絡安全措施的指令》（NIS 2指令）的“24小時預警、72小時報告”機制，為我國完善網絡安全事件報告制度提供參考，可推動我國建立更高效的風險響應體系，助力產業提升應急處置合規能力。美國《關鍵基礎設施網絡事件報告法案》（CIRCIA）的供應鏈安全監管框架，可助力我國細化網絡關鍵設備認證流程，進一步強化供應鏈源頭管控。修改后的《網絡安全法》在吸收國際經驗的基礎上，結合我國數字經濟發展國情，強化人工智能安全與域外追責機制，既順應全球網絡安全治理的發展趨勢，又立足我國產業實際需求，形成兼具國際接軌性與本土適應性的制度設計，為產業參與國際競爭、構建全球合規體系提供法治支撐。

二、產業合規實踐：法治要求向安全能力的轉化路徑

修改后的《網絡安全法》為網絡安全產業合規劃定了法治邊界和行動路徑，核心任務是將法律條款轉化為可部署、可迭代的安全能力體系，將合規要求融入技術研發、產品生產、服務提供和供應鏈管理全流程。

（一）技術合規實踐

從行業內企業實踐來看，部分企業依托安全大模型與智能體技術，構建覆蓋人工智能安全全場景的防護體系，將修改后的《網絡安全法》中人工智能安全治理的條款要求，拆解為模型安全檢測、算法合規評估、訓練數據安全管控等具體技術模塊，形成標準化的合規解決方案，既滿足自身研發合規要求，也為金融、能源等行業客戶提供人工智能安全合規服務，實現法治要求向技術能力的轉化。例如，360公司提出“四大平臺”建設思路，通過威脅對抗、資產安全、訪問安全、應用安全四大平臺，將人工智能能力嵌入業務全鏈條，落實技術安全防護的相關要求，推動合規能力與技術能力同步提升。

（二）供應鏈合規實踐

產業協同構建“源頭認證、過程審查、風險追責”的全流程合規體系。上游企業落實安全認證，杜絕不合格產品流入市場。中游企業建立審查機制，使用軟件物料清單（SBOM）工具排查風險。下游運營者強化管理責任，建立評估與退出機制。

（三）責任落實實踐

構建分級管控模式，結合治理、風險與合規（GRC）框架提升管理效能。制定分級合規標準，落實部門與崗位責任。中小微企業借助容錯機制獲取指導，低成本完善合規。

（四）生態共建實踐

產業從個體合規向生態協同轉型，通過標準共建、資源共享推動合規落地。例如，360公司牽頭成立“大模型安全聯盟”，構建產業生態，通過培訓、競賽等方式推動安全技術在關鍵領域應用，形成良性互動生態。

（五）潛在挑戰與應對

當前，產業合規實踐仍面臨兩大突出挑戰：一是監管部門對“人工智能安全風險”的認定標準不統一，不同地區、不同領域的執法尺度存在差異，導致企業合規實踐缺乏明確指引，尤其是中小微企業難以精準把握合規邊界。二是中小微企業合規成本仍較高，受資金、技術、人才限制，難以獨立搭建完善的合規體系，也難以承擔專業合規服務的費用，合規落地難度較大。針對上述挑戰，需多方協同發力，共同應對：一是建議監管部門加快出臺人工智能安全風險認定指南，明確人工智能安全風險的界定標準、處罰邊界，統一執法尺度，為企業合規實踐提供清晰指引，減少合規不確定性；二是行業組織牽頭搭建中小微企業合規服務平臺，整合行業資源，提供免費合規咨詢、低成本合規工具、合規培訓等服務，降低中小微企業合規門檻；三是龍頭企業充分發揮技術引領與資源優勢，輸出標準化、低成本的合規解決方案，帶動中小微企業提升合規能力，形成“龍頭引領、全員提升”的合規格局。

三、結 語

《網絡安全法》的修改通過戰略定位錨定、技術治理適配、責任體系升級、體系銜接優化，構建了“發展與安全并重”的治理框架，既吸收國際先進經驗、貼合我國產業實際，又精準回應人工智能安全、供應鏈安全等新型安全挑戰，通過明確條款要求、細化責任梯度、完善協同機制，為網絡安全產業合規實踐提供了根本法治遵循。網絡安全產業作為法治落地的核心載體，既要嚴格遵循修改后的《網絡安全法》及關聯法律法規的要求，將合規融入技術研發、產品生產、服務提供全流程，又要主動破解合規實踐中的痛點難點，通過技術創新、供應鏈協同、生態共建，推動合規能力與產業發展同步提升。

（本文刊登于《中國信息安全》雜志2026年第2期）