2025年10月28日,第十四届全国人大常委会第十八次会议通过《关于修改〈中华人民共和国网络安全法〉的决定》,对2017年施行的《网络安全法》作出系统性修订。这是该法实施八年以来的首次重大修正,标志着我国网络空间治理体系进入“强监管、重安全、促发展”并重的新阶段。
本文将从法律文本对比、制度机制调整、责任体系强化、新增规范领域四大维度,全面解析本次修法的核心变化,并评估其对政府、企业、公民及国际交往的深远影响。
一、整体定位升级:从“保障安全”到“统筹发展与安全”
旧法基调(2017年):
强调“保障网络安全”“维护网络空间主权”,以防御性、基础性制度为主。
新法提升(2025年修正):
- 第三条新增:“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。”
- 第四条强化:“国家坚持网络安全与信息化发展并重……建立健全网络安全保障体系,提高网络安全保护能力。”
✅意义:将网络安全纳入国家战略全局,不再仅是技术或管理问题,而是政治安全、经济安全、社会稳定的组成部分。
二、新增核心制度:人工智能治理正式入法
新增条款:第二十条(全新)
“国家支持人工智能基础理论研究和算法等关键技术研发……完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。”
对比分析:
- 2017年《网络安全法》未提及“人工智能”;
- 此次修法首次在基本法律层面确立AI研发、应用与监管的国家立场。
影响范围:
- 科技企业:需建立AI安全评估、数据合规、算法透明机制;
- 监管部门:将制定AI专项安全标准与审查规则;
- 学术界:伦理研究、可解释AI、对抗攻击防御成为重点方向;
三、关键信息基础设施(CII)保护全面加码
主要修订点:
| 条款 | 旧法内容 | 2025年修正变化 |
|---|---|---|
| 第三十三条 | CII实行重点保护 | 新增“国家鼓励非CII运营者自愿参与CII保护体系” |
| 第六十一条 | 违规处罚上限为50万元(一般)、100万元(CII) | 引入三级处罚机制: • 一般后果:≤50万 • 严重后果(如大量数据泄露):50–200万 • 特别严重后果(主要功能丧失):200–1000万元 责任人罚款同步提高至最高100万元 |
制度强化体现:
- 责任更严:从“警告+小额罚款”转向“按危害程度阶梯式重罚”;
- 覆盖更广:鼓励中小企业主动纳入CII防护生态;
- 执行更强:与《关键信息基础设施安全保护条例》形成闭环。
影响:金融、能源、交通、政务等CII运营单位将面临更高合规成本,但也将获得国家资源倾斜;供应链安全审查将成为采购硬性门槛。
四、数据本地化与出境规则进一步固化
条款:第三十九条(未文字修改,但执法语境强化)
虽然条文本身未变,但结合近年《数据出境安全评估办法》《个人信息出境标准合同规定》等配套制度,2025年修法通过法律责任衔接(见第七十一条)明确:
“违反本法第三十九条规定……依照有关法律、行政法规的规定处理、处罚。”
实质变化:
- 数据出境违规不再仅适用《网络安全法》内部罚则,而是联动《数据安全法》《个人信息保护法》,处罚力度叠加;
- “重要数据”定义虽仍由国务院制定,但行业主管部门已陆续出台清单(如汽车、医疗、地图)。
国际影响:跨国企业需重新评估中国业务数据架构,纯云原生、全球统一数据湖模式难以为继。
五、网络实名制与身份认证战略升级
修订重点:第二十六条
- 保留“用户办理网络接入、信息发布等服务需提供真实身份信息”;
- 新增:“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”
意义:
- 从“强制实名”迈向“可信数字身份”体系建设;
- 为未来全国统一eID(公民网络电子身份标识)铺路;
- 减少重复认证,提升政务服务与商业场景效率。
产业机会:密码技术、生物识别、分布式数字身份(DID)等领域迎来政策红利。
六、法律责任体系全面重构:从“轻罚”到“重责+信用惩戒”
核心变化:
罚款额度大幅提高
- CII运营者严重违规:最高1000万元罚款(旧法最高100万);
- 个人信息非法提供、恶意程序传播等行为,单位罚款可达100万元。
引入信用惩戒机制(第七十二条)
“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”
职业禁入制度明确化(第六十六条)
- 受治安处罚者:5年内不得从事网络安全关键岗位;
- 受刑事处罚者:终身禁入。
影响:企业合规从“成本项”变为“生存线”;个人职业声誉与网络安全行为直接挂钩。
七、其他重要修订与澄清
| 领域 | 修订内容 | 意图与影响 |
|---|---|---|
| 漏洞信息披露(第二十八条) | 要求发布漏洞、病毒等信息“遵守国家有关规定” | 规范白帽行为,防止“漏洞炒作”或境外利用 |
| 政府数据使用限制(第三十二条) | 监管部门获取的信息“只能用于维护网络安全” | 防止权力滥用,增强企业配合意愿 |
| 未成年人保护(第十四条) | 保留并强调“依法惩治危害未成年人身心健康活动” | 响应社会关切,强化平台内容审核义务 |
| 举报人保护(第十五条) | 明确“对举报人信息保密” | 鼓励社会监督,构建共治格局 |
八、一部更“硬核”的网络安全基本法
2025年《网络安全法》修正案并非简单修补,而是一次结构性升级,体现出三大趋势:
- 安全底线更硬:以CII为核心,构建“物理+数据+算法”全链条防护;
- 发展导向更明:通过支持AI、可信身份、安全产业,推动“安全驱动创新”;
- 责任体系更严:从企业到个人,从罚款到信用、从业资格,形成立体追责网络。
对不同主体的影响简表:
| 主体 | 主要影响 |
|---|---|
| 政府机构 | 需加快CII认定、数据分类、AI监管细则出台 |
| 大型企业/CII运营者 | 合规成本显著上升,需设立专职安全机构、年度评估、应急演练 |
| 中小企业/互联网平台 | 实名制、内容审核、个人信息保护义务不变但执法趋严 |
| 开发者/安全从业者 | 职业责任加重,需关注漏洞披露合规、AI伦理设计 |
| 普通网民 | 网络行为边界更清晰,举报权受保障,但匿名空间进一步压缩 |
| 跨国公司 | 数据本地化、供应链审查、AI模型备案成常态要求 |
《网络安全法》2025年修正,是中国在全球数字秩序重塑背景下的一次主动制度调适。它既回应了技术演进带来的新风险(如AI滥用、高级持续性威胁),也彰显了国家在网络空间的治理意志。未来,合规不再是选择题,而是所有网络参与者的必答题。
随着配套法规、国家标准、执法案例的陆续落地,一个更规范、更可控、也更具韧性的中国网络空间正在成型。
注:本文基于2025年10月28日全国人大常委会公布的修正文本撰写,具体适用请以官方正式发布版本及司法解释为准。
