網絡安全法修訂: 為智能時代織就安全法治之網
作者:張龑(中國人民大學法學院教授、博士生導師 )
“法與時轉則治,治與時宜則有功”。2025年10月28日全國人大常委會通過的《中華人民共和國網絡安全法》修訂案,在即將到來的2026年1月1日正式施行。作為網絡安全領域的基本法,網絡安全法自施行以來,為維護我國網絡空間主權、國家安全和社會公共利益發揮了重大作用。時隔八年,科技革命風起雲涌,雲計算、物聯網、人工智能等新科技將網絡空間的內涵與外延不斷擴展,數據安全、個人信息安全等立法陸續頒行,大國競爭與地緣政治博弈向網絡空間延伸,對網絡安全法進行一次全面、係統的修訂已是科技時代的當務之急。
新修訂案的主要內容可以概括為四個強化與一個銜接。一是強化政治引領,新增黨對網絡安全工作的領導和總體國家安全觀的指導地位;二是強化對人工智能安全的前瞻性規制,新增條款鼓勵技術創新,同時構建風險監測與倫理規范框架;三是強化法律責任與懲戒力度,係統地調整了罰則體係,深化了網絡運營者的主體責任;四是強化網絡主權的域外管轄,擴大了對境外危害我國網絡安全行為的追責范圍。一個銜接則是指與數據安全法、個人信息保護法進行體係上的協同,打造網絡安全治理的法治協同體係。
然而,作為一部開創性的法律,本身就具有一定的原則性和框架性。堅持黨的領導和總體國家安全觀明確寫入法律是新修訂案的最大亮點,指明了網絡安全工作的根本遵循和戰略方向。如果說2017年時,立法任務側重于保障網絡安全,維護網絡空間秩序。新修訂案的指導思想更諳網絡空間之道,網絡空間是整體性、係統性、跨越性的,涉及政治、經濟、文化、社會、軍事等多個領域,跨越物理與虛擬空間,跨越不同國家,單一部門或地區的各自為戰難以有效應對復雜多變的網絡威脅,因此,不應將網絡安全視為一個孤立的技術或管理問題,而是將其置于總體國家安全的框架之下,突出發展與安全的統籌推進,從根本上提升網絡安全工作的政治站位和法律地位。
2023年以來,以生成式人工智能為代表的智能科技呈爆發式發展,在賦能千行百業的同時,也帶來了前所未有的安全風險。如何在鼓勵創新的同時有效管控風險,成為全球性的治理難題。新修訂案適時地將人工智能安全治理納入網絡安全法中,第20條明確規定,“國家支持人工智能基礎理論研究和算法等關鍵技術研發”,“完善人工智能倫理規范,加強風險監測評估和安全監管”。這一條款確立了人工智能發展與安全並重的指導原則,為後續制定專門的人工智能法、安全法規、標準和政策提供了上位法依據。立法支持基礎理論和關鍵技術研發,意在鼓勵和引導產業界將安全內嵌于AI技術創新的全過程,而非事後補救。加強風險監測評估和安全監管,則意味著將建立起針對AI產品和服務的全生命周期安全監管機制。可以說,新增人工智能條款,是中國在大國競爭中搶佔治理制高點、預防化解重大風險的戰略之舉。
網絡運營者是網絡安全的第一責任人,新修訂案並未調整網絡運營者的定義,但為了提升其安全責任意識,引入了精細化的“分級分類治理”模式。根據運營者的類型——特別區分了一般網絡運營者與關鍵信息基礎設施運營者、數據處理活動的規模和風險等級以及違法行為造成的後果嚴重程度,來配置差異化、梯度化的法律責任與罰則。如新修訂案第61條等條款,將罰款上限大幅提升,並與違法所得、造成後果的嚴重性挂鉤,形成了清晰的處罰梯度。對于侵害關鍵信息基礎設施安全、發生重大數據泄露或個人信息泄露事件等嚴重或特別嚴重違法行為,新修訂案引入了高額罰款標準,最高可達1000萬。對直接負責的主管人員和其他直接責任人員的罰款上限也大幅提高,意在將責任穿透到個人,防止企業將罰款作為經營成本而忽視個人責任。新增第73條規定,違反本法規定但具有行政處罰法規定的從輕、減輕或不予處罰情形的,可依法從寬處理,充分體現了寬嚴相濟原則,在嚴厲打擊嚴重違法行為的同時,也為主動消除或減輕危害後果、積極配合調查、認真整改的企業提供了合規激勵。
網絡空間和數據流動天然具有跨國性,網絡安全威脅往往來自境外。針對這一問題,新修訂案第77條帶來了兩大突破,一是適用范圍從危害關鍵信息基礎設施擴展為危害中華人民共和國網絡安全。這是一個根本性的擴展,任何來自境外、對我國網絡空間安全實施危害行為,無論其目標是否為關鍵信息基礎設施,都被納入到網絡安全法的管轄范圍。二是取消了造成嚴重後果這一前置條件。只要境外實體實施了危害我國網絡安全的活動,我國即可依法啟動法律程序追究其責任,這大大增強了法律的威懾力和執法的靈活性,實現了對境外網絡威脅的“露頭就打”。當然,域外執法在實踐中面臨諸多挑戰,但明確清晰的域外效力條款本身就具有強大的宣示和威懾作用。我國的這一修改,是順應國際立法趨勢,運用法律武器維護自身網絡空間利益的合理舉措。
現代社會治理是一個復雜的係統工程,需要以“體係思維”加以應對。網絡安全相關的法律法規之間必須相互支撐、協同發力,才能形成最大的治理效能。2021年,《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》相繼出臺,與網絡安全法共同構成了我國網絡安全法律體係的“三駕馬車”。然而,由于立法時間差異,三法在實踐中存在部分概念交叉、責任競合等問題,需要一部上位的、基礎性的法律進行統籌和協調。新修訂案的第42條第2款規定,“網絡運營者處理個人信息,應當遵守本法和《中華人民共和國民法典》《中華人民共和國個人信息保護法》等法律、行政法規的規定。”第71條則規定了對數據安全法的引致適用,“對違反個人信息保護、數據跨境流動等規定的行為,依照有關法律、行政法規的規定處理、處罰。”此外,在罰則體係設計上,新修訂案也與數據安全法、個人信息保護法中“根據情節輕重分級處罰”的立法邏輯保持一致。可以說,這些新修訂的條款,既保留了網絡安全法的基礎性地位,又尊重了專門立法的特殊性,為執法實踐提供了清晰指引。
總結來說,本次網絡安全法的修訂,是中國網絡法治建設進程中的一次深刻變革和全面提升,係統地回應了數字智能時代提出的新要求與新挑戰,織就了一個更為成熟、精細、嚴密、有力的網絡安全治理之網。新修訂案不僅將對國內所有網絡運營者,特別是大型互聯網平臺,產生深遠影響,也向國際社會傳遞了中國堅定維護網絡主權、積極參與全球網絡空間治理的明確信號。展望未來,隨著新修訂案的深入實施,我國的網絡安全保障能力必將邁上一個新臺階,為網絡強國建設、大國科技競爭提供堅實的法治保障。
