视点 | 2025年《网络安全法》修订要点解读

作者 | 杨洪泉 吴雯 张楚璇 周博华

2025年10月28日，第十四届全国人民代表大会常务委员会第十八次会议表决通过了《关于修改〈中华人民共和国网络安全法〉的决定》，修订后的《网络安全法》（“新《网安法》”）将于2026年1月1日起施行。这是自2017年该法施行以来的首次重大修订。此次修改旨在适应数字化发展和网络安全形势的新要求，完善危害网络安全行为的法律责任体系，加强与《数据安全法》《个人信息保护法》等法律的衔接协调。总体来看，本次修法重点体现在两方面：一是新增若干原则性规定，二是系统性完善和强化违法行为的罚则。本文将按照条文顺序，对主要修订内容进行解读。

新《网安法》第三条增列“中国共产党的领导”条款，这是近年来国家安全、数据安全等立法中普遍确立的制度表述。该条款从立法层面明确网络安全工作的政治属性与总体领导机制。此类规定虽为原则性表述，但在执法与政策制定中具有指导意义：它强化了网络安全治理的顶层设计属性，也为地方和行业主管部门的执法协调提供了法律依据。

随着近年来人工智能的发展如火如荼，本次修改也将“人工智能专条”纳入到了新《网安法》，体现出立法机关对人工智能快速发展所带来的机遇和安全挑战的高度重视。目前在人工智能监管领域，中国已经逐步建成了以《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》四部部门规章为主轴的监管体系。而新《网安法》新增的“人工智能专条”则再次强调了人工智能伦理、风险监测评估和安全监管，体现了安全与发展并重的理念。

本条第二款实际上是对原第十八条第二款的承接与拓展，明确将人工智能作为提升网络安全保护能力的新手段，预示着未来将在网络安全实践中更多运用人工智能技术，提高网络安全防护水平。

这一修改旨在加强新《网安法》与个人信息保护法律体系的衔接，避免法律适用上的脱节或冲突。自2017年原《网安法》生效以来，我国陆续通过并实施了2021年《民法典》及2021年《个人信息保护法》，明确了个人信息处理方面的原则、权利义务和法律责任。网络运营者在处理个人信息时，不仅要满足新《网安法》的一般安全义务，自然也要遵循民法典中人格权编和个保法关于保护个人信息权益的具体要求。

这一修改大幅强化了网络运营者违规行为的法律责任，体现出当前网络安全监管从“倡导合规”向“严厉执法”的转变。

首先，罚款额度显著提高和层级细分，弥补了原《网安法》在重大安全事故处罚上的不足。从实践看，近年发生的用户数据大规模泄露、重大网络安全事故屡有发生，造成严重危害后果，而原有最高百万元的罚款对大型互联网企业而言震慑力有限。新《网安法》引入最高可达千万元的罚款档次，对关键信息基础设施（“CII”）运营者造成特别严重后果的行为予以严惩，体现“严厉打击严重危害网络安全行为”的立法态度，提升了法律威慑力。

其次，将更多义务违规情形纳入处罚范围（如使用未认证设备、参与危害网络安全活动、违法向社会发布系统漏洞等），完善了法律责任链条，有助于督促企业全面履行网络安全义务，不留法律漏洞。再次，分情节轻重设置不同处罚梯度，使执法机关能根据危害程度区别对待，兼顾处罚的比例原则和实效性。

总体而言，这些条款的修改契合了此次修法“重点强化网络安全法律责任，加大处罚力度”的主旨，通过提高违规成本，倒逼网络运营者和CII运营者重视网络安全投入和管理，预防重大安全事件的发生。同时，这与《个人信息保护法》等法律对严重违法设定高额罚款的趋势一致，有利于形成统一的法律震慑体系。

此次新增罚则填补了原《网安法》在网络安全关键产品市场监管方面的空白。

2023年网信办、工信部、公安部等部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》，废除了安全专用产品的销售许可证制度，并统一代以安全认证和检测的要求。自此，被列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品都需要通过安全认证或者安全检测后，才能投入市场。但原《网安法》以及其他法律规定缺乏对销售或提供未认证设备产品行为的直接处罚规定。

因此，本条的修改明确了法律责任，将有利于推进安全认证和检测制度的落地执行。我们提醒相关产品的销售和提供企业注意排查产品的认证和检测情况，尽快在2026年1月1日前落实认证和检测要求。

本条修改反映出立法对移动互联网时代网络服务特点和新执法需求的回应。由于近年来大量网络服务是通过手机App而非传统网站提供，相关违规服务（例如在需要实名认证提供服务时未经实名认证、违规提供网络安全认证、检测服务等）也可能通过APP形式提供。如果相关条款规定的处罚方式仅包括“关闭网站”，在实际处理中针对App可能存在名义上的适用障碍。通过增加“应用程序”，执法机关可以依法关停违法违规的移动应用，实现与网站相同的监管力度。

随着网络安全产业的发展，一些企业或组织可能在未取得相应资质的情况下开展安全评估、检测服务，或者不当披露、贩卖漏洞信息，造成安全风险。此次修法显著加大了对此类行为的处罚力度，体现出国家对网络安全专业服务活动的规范化要求。

一方面，单位违法情节严重时罚款从原先最高10万元提高至最高100万元，表明监管部门认为过去的处罚偏轻。新的处罚额有助于对从业机构和人员形成更强约束，促使其慎重经营、依法合规。

另一方面，修订后的条款将违规安全服务行为可能造成的严重危害（如因错误评估或漏洞披露导致重大安全事件）纳入第六十一条第三款的高额罚则范围。这反映出立法者认识到此类行为如果处置不当，可能引发与严重网络攻击同等级别的严重后果，因而需要同等严厉的惩戒措施。

本条修改体现了立法者对CII保护的高度重视。由于CII一旦遭到破坏可能严重危害国家安全、国计民生、公共利益，CII的供应链安全尤为重要。若CII运营者擅自使用可能影响国家安全的产品，可能造成极为严重的后果。对于此项违法行为，原《网安法》仅要求停止使用并处罚金，但未明确要求事后消除影响，可能导致运营者仅停止使用未处理遗留风险。新《网安法》通过增加“消除影响”责任，强化了CII运营者的善后义务：不仅要停止违规产品的使用，还要主动评估并消除因该违规使用引发的安全风险（例如更换安全替代产品、补救数据泄露隐患、加强安全监测等）。这使法律责任更具实效性，有助于在违规行为被发现时及时阻断和修复安全漏洞，降低对国家安全、国计民生、公共利益的不利影响。

本条修改与近年国家安全审查实践的发展相一致。随着《数据安全法》《关键信息基础设施安全保护条例》等生效，国家对重要数据出境、安全可控产品采购提出更高要求，监管部门在发现违规时往往会要求相关单位立即采取补救措施。将这种要求明确写入新《网安法》，赋予其法律效力，能够督促CII运营者更加审慎对待安全审查义务，切实落实“先审查后使用”的原则。一旦违规发生，也确保有法律依据要求其彻底清除安全风险，避免“一罚了之”后埋下后患。

本条修改强化了网络信息内容治理责任，回应了网络舆情和内容安全监管的新形势。

一方面，新《网安法》整合条款、统一标准，将平台的主动清理义务与配合监管义务并入同一处罚框架，避免执法混乱，明确规定无论是未主动处置还是拒不配合，均属内容管理失职。另一方面，新《网安法》显著提高处罚力度，最高罚款从50万元提升至200万元，并新增“特别严重”情形下最高可罚1000万元，传递出对纵容违法有害信息“零容忍”的信号。通过重塑责任结构与加大惩戒力度，新《网安法》将有力督促和推动平台建立更严格的内容审核与风险防控机制，维护网络空间清朗有序。

本条修改将可一些应落入《个人信息保护法》《数据安全法》《网络信息内容生态治理规定》等法律法规管辖的违法行为（包括个人信息侵权、数据出境、违法信息发布等）统一归入此类其他法律法规处理，避免了对同一违法行为的重复处罚和执法冲突。例如若出现侵害个人信息权益的行为，将会按照《个人信息保护法》第六十六条规定进行处罚。

本条将《行政处罚法》的“不予处罚、从轻、减轻”原则嵌入《网安法》执法，体现了宽严相济的执法取向。

《行政处罚法》规定的从轻、减轻、不予处罚情形具体如下：

“第三十二条 当事人有下列情形之一，应当从轻或者减轻行政处罚：

（一）主动消除或者减轻违法行为危害后果的；

（二）受他人胁迫或者诱骗实施违法行为的；

（三）主动供述行政机关尚未掌握的违法行为的；

（四）配合行政机关查处违法行为有立功表现的；

（五）法律、法规、规章规定其他应当从轻或者减轻行政处罚的。”

“第三十三条 违法行为轻微并及时改正，没有造成危害后果的，不予行政处罚。初次违法且危害后果轻微并及时改正的，可以不予行政处罚。

当事人有证据足以证明没有主观过错的，不予行政处罚。法律、行政法规另有规定的，从其规定。

对当事人的违法行为依法不予行政处罚的，行政机关应当对当事人进行教育。”

将《行政处罚法》的上述原则纳入新《网安法》，有助于明确裁量边界，防止“一刀切”，对中小主体初犯、轻微且及时纠正的情形，优先教育整改；激励自我纠错，鼓励主动报告、主动补救，尽快恢复安全状态；落实柔性执法，在严惩重大违法的同时，对偶发、危害不大的行为依法酌情处理，实现比例原则与精准监管，降低了善意守法主体轻微违法行为的法律风险。

本条将适用对象从侵害CII的境外行为扩展至一切危害国家网络安全的境外行为，使新《网安法》适用于更广泛的网络攻击、数据窃取和信息操纵活动，为中国主管机关对境外黑客组织、外国企业乃至国家行为进行处罚和制裁提供了明确法律依据。

同时，本条强化了制裁措施，保留了“冻结资产、实施必要制裁”等手段，与《数据安全法》《反外国制裁法》衔接，形成覆盖网络、数据、经济领域的综合反制框架。这不仅提升了国家层面反制网络威胁的法治化程度，也增强了威慑力。