导语:2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议表决通过关于修改《中华人民共和国网络安全法》的决定,新修订的法律将于2026年1月1日起正式施行。
2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议表决通过关于修改《中华人民共和国网络安全法》的决定,新修订的法律将于2026年1月1日起正式施行。
(图片来源中国人大网)
本次修订标志着我国网络安全监管体系从建立基本框架的初期阶段,进入到强化执行、细化分类、促进发展的新阶段。对于各类网络运营者而言,这既是要严格遵循的合规要求,更是重构安全体系、建立持续竞争优势的重要契机。梆梆安全从法律文本与产业实践出发,深度剖析此次修法的核心变化与实施路径。
一、2025修订的四大核心变化
在人工智能技术快速发展、数据要素价值日益凸显、网络攻击手段不断演进的背景下,本次修订针对当前网络安全领域的薄弱环节和新兴风险,主要体现在四个方面的深刻变化:
变化1:治理定位的升级——安全成为战略问题
新增第三条,“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。”
这一修订将网络安全工作的定位从技术和管理层面,提升到维护国家主权、安全和发展利益的战略高度。企业在进行网络安全建设时,需要将其置于国家整体安全框架下进行考量。未来的安全体系建设不仅要防范数据泄露和服务中断等传统风险,更要评估其对国家关键信息基础设施、社会公共利益和网络空间秩序的潜在影响。
变化2:监管视野的拓展——移动生态和AI成为新焦点
本次修订在两个关键维度上扩展了监管范围:
一方面,将多处罚则中的“关闭网站”修改为“关闭网站或者应用程序”,明确了移动应用的法律地位;另一方面,首次将人工智能的发展与安全纳入法律框架,并对其发展与管理作出规定。
增加一条,作为第二十条:“国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。
“国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。”
这些修订意味着监管范围实现了重要拓展:移动应用(包括APP、小程序、H5、SDK等)被明确纳入监管体系,其运营者需要承担与网站运营者同等的法律责任;同时,对人工智能领域确立了发展与规制并重的原则,在支持其技术研发与基础设施建设的同时,着力完善伦理规范并加强风险监测与安全监管,并鼓励利用AI提升网络安全防护水平。
变化3:责任体系的精细化——分级分类精准追责
对原第五十九条(新第六十一条)等重要条款进行了实质性修改,建立了基于运营者类型、违法情节和后果影响的差异化责任体系。
具体来说:对于一般网络运营者,法律明确了"一般违法"与"严重后果"的界限,并引入从轻、减轻处罚的柔性条款(新增第七十三条),体现了过罚相当的立法原则;对于关键信息基础设施运营者,则设定了更为严格的责任标准,特别对导致关键信息基础设施"丧失主要功能"的行为,设定了最高一千万元的罚款额度;对供应链各方:新增第六十三条对供应链安全责任作出规定,对销售或提供未经安全认证、检测的网络关键设备和网络安全专用产品的行为设定了明确罚则,实现了责任链条的延伸。
变化4:法律协同的强化——告别"孤岛式"合规
在第四十二条增加规定,“网络运营者处理个人信息,应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。”
这一修订明确了《网络安全法》与《数据安全法》、《个人信息保护法》共同构成的治理体系需要协同实施。企业需要建立统一的治理框架,同时满足网络安全、数据安全和个人信息保护的多重要求,改变过去分别满足不同法律要求的做法。
二、三大重点领域的安全建设要求
移动安全:建立全生命周期防护体系
随着"应用程序"被明确定义为监管对象,移动安全建设需要实现全面升级:
在责任界定方面,无论是APP开发者、运营者,还是小程序平台、SDK提供商,都需要对自身代码及集成组件的安全性负责,改变了以往责任边界模糊的状况;
在防护要求方面,监管范围从应用上架前的安全检测延伸到运营中的持续监测、应急响应乃至下架后的数据处置,要求建立覆盖全生命周期的安全管理体系。
数据安全与个人信息保护:实现深度合规
法律协同性的增强,要求数据安全治理必须与业务流程深度融合:企业需要为每一项数据处理活动确立明确的法律依据,建立完善的数据资产地图和处理活动清单;在技术实施层面,传统的加密、脱敏等技术措施必须与数据分类分级制度、权限管控策略、操作审计流程等管理要求紧密结合,形成完整防护体系;同时,需要特别关注数据跨境传输的合规要求,关键信息基础设施运营者要严格执行安全评估规定,一般运营者也需密切关注重要数据目录的动态调整。
人工智能安全:构建治理先行机制
人工智能纳入法律规制范畴,要求企业在发展技术的同时同步建立安全机制:算法歧视、信息茧房、深度伪造等伦理风险成为具体监管内容,需要在研发初期就建立伦理评估机制;从训练数据源的合规性,到数据投喂过程的防污染,再到模型的抗攻击能力,以及生成内容的安全性,构成了全新的全生命周期风险管控链条;在自动化决策等应用场景中,企业还需要建立算法的可解释机制,能够向用户和监管机构清晰说明决策逻辑。
三、构建面向未来的安全治理体系
基于对新修订法律的深入理解,梆梆安全建议企业从三个层面系统推进安全治理体系建设:
首先,开展合规基线重构工作。立即基于新法要求进行差距分析,重点覆盖移动应用清单、数据流转图谱、AI应用风险等领域,系统性更新内部管理制度,建立常态化的合规风险评估机制。
其次,建立数据与移动安全双核驱动机制。构建一体化的数据安全管控体系,实现数据全生命周期防护;同时建立移动应用的一体化防护架构,形成纵深防御能力,确保技术措施与管理要求的有效衔接。
第三,深度嵌入AI治理机制。设立跨部门的AI安全治理组织,制定伦理准则和审批流程,构建覆盖数据安全、模型安全、应用安全、合规审计的AI安全能力矩阵,建立可追溯、可审计的AI系统运行机制。
在推进实施过程中,需要特别注意避免以下认知误区:
避免重网站轻应用的倾向,要充分认识移动应用安全的重要性;
避免重技术轻管理的做法,要注重技术措施与管理制度的协同;
避免重建设轻运营的思路,要建立持续改进的安全运营机制。
《网络安全法》的2025修订,是我国数字经济迈向高质量发展的重要标志。对企业而言,这意味着需要将安全治理从被动的成本投入,转变为创造业务价值的关键能力。建立在坚实安全与合规基础上的业务体系,不仅能够有效防范法律风险,更能在数字经济竞争中获得持续优势。作为网络安全领域的实践者,我们应当以建设性的态度迎接这次变革,将合规要求转化为发展动力,共同推动行业建设水平的全面提升。
如若转载,请注明原文地址
