谭晓生
中国计算机学会青年计算机科技论坛秘书长
2025《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》已于2026年1月1日起正式施行。此次修改是《中华人民共和国网络安全法》(以下简称《网络安全法》)自2017年6月1日施行以来的首次重大调整,虽以“小切口”切入,却在指导原则、技术治理与责任体系等关键处“落子”:一方面,新增第三条,进一步明确网络安全工作“坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设”;另一方面,增设人工智能专条,提出完善人工智能伦理规范、加强风险监测评估与安全监管,并强调“运用人工智能等新技术,提升网络安全保护水平”。更值得关注的是,本次修改聚焦监管执法实践的“痛点”和“短板”,通过提高违法成本、强化关键环节责任、完善域外追责与制裁措施,为数字经济发展与国家安全提供更具韧性、更加动态平衡的法治保障。
一、从“立柱架梁”到“体系牵引”,法律实施带动产业跃升
《网络安全法》作为我国第一部全面规范网络安全和信息化的基础性法律,自实施以来最显著的成效在于以法治方式确立网络安全治理的基本制度框架,推动网络安全从“专项整治”走向“常态治理”,从“事后补救”走向“体系防护”。同时,它在纵向上为关键信息基础设施保护等制度提供上位法依据;在横向上与数据安全、个人信息保护等立法协同衔接,形成较为系统完备的网络安全法律制度体系。其对产业的“提升”不是某项技术的单点推动,而是把安全从“自愿建设”升级为“制度化工程”,并由此拉动供需两侧同时升级。
(一)制度奠基:确立网络安全治理核心框架
新法从基础工程、重点防护、身份管理和内容治理四个方面,系统构建了网络安全的核心框架。
一是把网络安全等级保护(简称“等保”)从行业惯例升级为国家基本制度,形成全国统一的安全工程底座。法律明确“国家实行网络安全等级保护制度”,并把组织管理、技术防护、日志留存、数据分类、重要数据备份和加密等义务写进条文,带动大量单位按“定级—建设—测评—整改—复测”闭环常态化投入。对应的标准体系也随之完善,例如,《信息安全技术网络安全等级保护基本要求》(GB/T 22239—2019)为工程化落地提供了可检验的基线。
二是关键信息基础设施(以下简称“关基”)制度化,带动重点行业安全建设进入更高强度与更高质量阶段。法律明确关基在等保基础上实行重点保护,并配套提出安全审查、境内存储与出境评估、年度检测评估等要求;后续《关键信息基础设施安全保护条例》落地,使行业主管部门与运营者责任更清晰,形成更强的行业牵引力。
三是实名制与可信身份战略拉动身份安全、反欺诈与账号治理市场。对网络接入、即时通信、信息发布等服务提出真实身份要求,并提出网络可信身份战略,助力身份和访问管理(IAM)、风控反欺诈等能力在多行业落地。
四是平台信息治理形成“停止传输—处置消除—保存记录—报告”闭环,带动内容安全与自动化处置能力成熟。这类要求显著推动平台侧内容安全技术(识别、处置、留痕、审计)、流程与组织化运营能力提升。
(二)产业赋能:拉动供需两侧协同升级
法律法规中的刚性要求,已从合规基线转化为具体的产业机会,驱动安全能力升级与市场成熟。
一是“留痕可审计”成为硬要求,直接推动安全运营中心、日志审计、态势感知等运营能力升级。条文要求“监测、记录网络运行状态和事件”“留存网络日志不少于六个月”,促进日志平台、安全信息与事件管理系统(SIEM)、告警关联分析、审计取证等能力成为标配。
二是“数据安全的工程动作”前置化:分类分级、备份、加密成为建设必选项。等保条款把“数据分类、重要数据备份和加密”写入网络运营者义务清单,带动数据分类分级、加密与密钥管理、备份容灾、数据泄露防护(DLP)等产品与服务持续扩张。
三是把网络产品和服务的“漏洞治理与持续维护”纳入法定义务,倒逼厂商安全研发体系化。法律要求产品服务符合强制性标准、不得设置恶意程序、发现缺陷漏洞要补救并报告并持续提供安全维护,直接促成厂商建立产品安全事件响应团队(PSIRT)、漏洞响应、补丁治理、软件物料清单(SBOM)、供应链治理等机制。
四是安全产品与关键设备“先认证与检测、后销售和提供”,促进行业从“拼功能”转向“拼合规与可验证”。法律确立“认证与检测+目录管理+结果互认”的框架,带动检测认证机构体系、测评能力、合规交付链条成熟。
五是应急预案与事件报告成为法定流程,带动了“应急响应产业”与实战化能力成长。法律要求制定应急预案、事件发生时立即启动、采取补救措施并按规定报告,客观上将应急响应、演练复盘、取证留痕、处置联动变成刚需。
六是加速“社会化网络安全服务体系”成型:测评、认证、风险评估、安全运维逐步实现规范化发展。法律鼓励认证、检测、风险评估等社会化服务;相关部门推动网络安全服务认证体系建设(覆盖检测评估、安全运维、安全咨询、等保测评等),从而促进服务质量提升、能力分级明晰与结果采信机制完善。
(三)生态升级:推动产业迈向成熟轨道
法律的政策牵引与市场的内在动力形成双重驱动,为网络安全产业生态的体系化升级与可持续发展奠定了坚实基础。
一是将标准体系、产业扶持与人才培养写入法律“支持与促进”章节,形成长期供给侧结构性政策牵引体系。包括标准体系建设、产业投入扶持、人才培养、宣传教育等方面的举措,为产业生态(产学研用)提供了稳定的制度预期。
二是宏观层面:产业从“项目化交付”走向“持续运营+质量体系”的成熟轨道,市场规模持续扩大、产业生态不断完善。“数说安全”2025年发布的《2025中国网络安全市场年报》显示,甲方客户年度网络安全支出在2019年至2020年支出较前一年增长幅度超过20%,产业发展进入“快车道”,网络安全生态不断完善。
应当看到,随着云计算、工业互联网、车联网、人工智能等新技术新业态快速发展,网络安全风险的外溢性、跨域性显著增强,原有制度在责任设置、执法口径、技术治理等方面需要适应性更新。本次修改正是对新形势新要求的制度回应。
二、本次修改要点
本次修改政策导向更鲜明、技术治理更突出、责任体系更严密。
一是指导原则再充实:将“统筹发展和安全”写入法律条文。本次修改新增第三条,明确“坚持党的领导”“总体国家安全观”“统筹发展和安全”“推进网络强国建设”等根本遵循,进一步锚定网络安全工作的战略目标。
二是首次增设人工智能专条:将人工智能技术发展纳入法治轨道。本次修改新增第二十条,既支持人工智能基础理论研究与关键技术研发、训练数据资源与算力等基础设施建设,也强调完善伦理规范、加强风险监测评估和安全监管,并提出“运用人工智能等新技术,提升网络安全保护水平”。这标志着人工智能被正式纳入网络安全法治体系的治理框架,为后续配套规则、标准体系与监管实践预留了接口。
三是责任体系更为严厉:处罚分级、直击要害、提高违法成本。本次修改对法律责任作出系统性调整,呈现出“分级分类、宽严相济、强化震慑”的特点。在关键条款中,罚款设置更具阶梯性和针对性:例如,对不履行网络安全保护义务的,可处一万元以上五万元以下罚款;对造成“大量数据泄露、关键信息基础设施丧失主要功能”等严重后果的,最高可处二百万元以上一千万元以下罚款,并对相关责任人员设置更高幅度处罚。同时,针对违法信息处置,形成“停止传输—处置消除—保存记录—向主管部门报告”的责任闭环。
四是供应链与产品安全责任更明确:对“关键设备与安全产品”实施强约束。本次修改新增对“销售或者提供未经安全认证、安全检测或不符合要求的网络关键设备和网络安全专用产品”的法律责任,包括停止销售、没收违法所得、罚款,情节严重的可责令暂停业务、停业整顿直至吊销许可或营业执照。这将推动网络安全产业从“拼功能”转向“拼合规、拼质量、拼可验证”,并强化供给侧出厂合规与全生命周期安全。
五是域外追责与制裁机制进一步健全:对境外危害行为“依法追责+必要制裁”。本次修改明确境外机构、组织、个人从事危害我国网络安全的活动,依法追究法律责任;造成严重后果的,国务院公安部门和有关部门可以决定采取冻结财产或者其他必要的制裁措施。这不仅回应了跨境攻击、供应链投毒等现实威胁,也为我国企业“出海”提供了更清晰的法治支撑。
上述修改要点精准直击网络安全治理与产业发展的核心痛点,将从合规成本、技术创新、市场准入、跨境治理等维度,对网络安全产业的格局与发展产生具体且深远的影响。
三、本次修改对产业的现实影响
总体看,本次修改将推动产业从“合规驱动”走向“能力驱动、质量驱动、治理驱动”发展。
一是合规“刚性成本”上升,带动安全投入从建设型走向运营型。罚则体系更严格、分级更细化,企业将更重视“可持续合规”而非“一次性过审”。这会直接带动安全运营(监测、响应、演练、取证、报告)、风险评估与第三方审计等服务需求提升,推动“建设—运营—整改—再评估”的闭环成为常态。
二是人工智能安全与人工智能赋能安全双轮并进,催生新一代产品形态。第二十条反映了“新一代人工智能的迅速发展带来了需求与机遇:修改要点中‘完善人工智能伦理规范、加强风险监测评估’的要求,将直接催生人工智能伦理合规咨询、训练数据安全审计、人工智能模型漏洞检测等新兴服务需求;而‘运用人工智能提升网络安全保护水平’的导向,将推动安全厂商研发智能威胁研判、自动化漏洞修复、人工智能驱动的攻防演练等产品,形成‘治理需求+技术赋能’的双市场增量”。
三是供应链安全与“可认证、可检测、可追溯”成为硬门槛。第二十五条对关键设备与安全专用产品的责任强化,将倒逼厂商从研发、测试、交付到运维的全链条质量体系升级;甲方客户也将带动检测认证、漏洞治理、供应链风险评估等第三方服务市场扩容。
四是跨境攻防与域外风险抬升,推动企业安全治理与出海合规同步升级。域外追责与制裁机制的明确,有助于提升我国对跨境攻击的威慑与处置能力。对企业而言,尤其是具备海外业务、跨境数据流动或海外供应链依赖的主体,需要更系统地建设跨境安全治理、事件响应与证据保全能力,适应更复杂的国际合规环境。
四、本次修改与国际上同类立法的对比
观察国际上网络安全法律法规的产业效应,一个共同趋势是通过更严格的报告义务、治理责任与问责机制,把网络安全从“技术问题”提升为“治理问题、经营问题、责任问题”,由此带动安全服务、合规工具与运营体系的成熟。
欧盟的《关于在欧盟实现高水平网络安全措施的指令》(NIS 2指令)建立了统一法律框架,覆盖18个关键行业并强调跨境协同处置。其典型做法是强化事件报告节奏与治理要求(在成员国转置过程中普遍体现为“24小时预警、72小时报告”等机制),倒逼企业建立更强的安全运营与事件响应能力,从而带动治理、风险与合规(GRC)以及托管安全服务、威胁情报与应急响应产业发展。
美国的《关键基础设施网络事件报告法案》(CIRCIA)要求通过法规建立覆盖实体的网络事件报告制度,并强调赎金支付的快速报告要求(24小时)。其直接产业效应在于推动企业建设更标准化的事件分级、取证留痕、报告自动化与协同处置能力,进而带动安全运营、应急响应、取证与合规工具链发展。对应了《网络安全法》中多处提到的“报告”义务。
对比域外网络安全治理体系可以发现,其制度设计与我国在治理理念、监管结构与落地路径上有相似之处,但也需要了解国内外在制度上存在若干差异:一是治理目标侧重不同。欧美更强调在市场规则与公共安全之间做“可量化合规”的平衡;我国则更突出在国家安全框架下统筹发展和安全、强调体系化治理与底线要求。二是监管结构不同。欧美多采用跨部门协调与行业监管并重、强调企业董事会或管理层治理责任与信息披露约束;我国则更强调主管部门统筹、行业主管部门协同、属地管理与专项执法相结合。三是合规抓手不同。欧美以事件报告时限、风险管理与披露义务驱动“运营化合规”;我国则更依托等级保护、关基保护、产品与服务安全要求等形成“工程化基线+闭环整改”。四是对跨境与域外风险的制度响应不同。欧美更倾向通过供应链限制、制裁与高额罚款形成外部约束;我国则更强调依法追责与必要反制并举、强化关键信息基础设施与重要网络资源的安全韧性。
五、结 语
《网络安全法》的修改以更鲜明的政策导向、更突出的技术治理思维和更严密的责任体系,回应了数字时代网络安全风险演进的新挑战。它既通过提高违法成本、健全责任闭环增强制度威慑,也通过引入人工智能专条与鼓励技术赋能,为产业创新与治理现代化打开空间。
(本文刊登于《中国信息安全》杂志2026年第2期)
热门跟贴