2025 年 10 月 28 日，十四届全国人大常委会第十八次会议表决通过《关于修改〈中华人民共和国网络安全法〉的决定》，新修订的《网络安全法》将于 2026 年 1 月 1 日起正式施行。此次修法是该法自 2017 年施行以来的首次重大调整，重点围绕强化法律责任、回应人工智能治理需求、完善关键信息基础设施保护等方面展开，进一步筑牢国家网络安全屏障。以下是核心内容解读：

一、法律责任全面升级，处罚力度显著加大

罚款幅度大幅提高对网络运营者未履行安全保护义务的行为，根据危害后果分级处罚：

一般情形：罚款上限从 50 万元提至 100 万元，直接责任人罚款上限从 10 万元提至 20 万元。

严重情形（如大量数据泄露、关键信息基础设施局部功能丧失）：罚款提至 50 万 - 200 万元，直接责任人罚款 5 万 - 20 万元。

特别严重情形（如关键信息基础设施主要功能丧失）：罚款提至 200 万 - 1000 万元，直接责任人罚款 20 万 - 100 万元。

例如，关键信息基础设施运营者若使用未经安全审查的网络产品，将面临采购金额 1-10 倍的罚款。

新增违法行为处罚

对销售未经安全认证的网络关键设备或专用产品的行为，最高可处违法所得 5 倍罚款，情节严重的可吊销营业执照。

违规开展网络安全认证、检测或发布网络安全信息的机构，最高可处 100 万元罚款并停业整顿。

强化与其他法律的衔接与《数据安全法》《个人信息保护法》等形成协同，明确侵害个人信息权益、违法跨境数据流动等行为的法律责任，避免重复处罚的同时确保覆盖全链条风险。

二、明确人工智能治理框架，平衡发展与安全

支持与监管并重首次在法律层面确立人工智能发展原则：

支持措施：国家鼓励基础理论研究、算法研发，推进训练数据资源和算力基础设施建设，完善伦理规范。

监管要求：加强风险监测评估，创新监管方式（如动态安全评估、算法备案），防止生成虚假信息、歧视性内容等危害。

技术措施与责任绑定要求人工智能服务提供者对生成内容进行标识（如数字水印、元数据标注），并建立安全事件响应机制。违反规定者将面临最高 100 万元罚款及暂停服务等处罚。

与现有政策协同与《生成式人工智能服务管理暂行办法》等衔接，形成 “法律 + 行政法规 + 标准” 的治理体系，例如明确生成式 AI 需通过安全评估并履行算法备案义务。

学习最新网络安全法参加全国计算机网络与数据安全技术人员（水平）考评

三、完善关键信息基础设施保护制度

细化运营者义务关键信息基础设施运营者需：

建立供应链安全审查机制，对网络产品和服务进行全生命周期管理。

定期开展安全检测与风险评估，保存网络日志不少于 6 个月。

发生安全事件时，需在 72 小时内向监管部门报告并启动应急响应。

强化处罚威慑未履行义务导致严重后果的，运营者最高可被罚款 1000 万元，直接责任人罚款上限提至 100 万元。例如，贵州某政务系统因未采取技术防护措施被攻击，造成群众损失 400 余万元，相关责任方被行政处罚并追责。

四、数据安全与跨境流动规则进一步明确

重要数据出境管理延续《网络安全法》原有框架，关键信息基础设施运营者的个人信息和重要数据需境内存储，确需出境的需通过安全评估。2025 年《促进和规范数据跨境流动规定》进一步细化：

自贸试验区可制定数据出境负面清单，清单外数据免予评估。

不涉及个人信息或重要数据的一般数据可自由流动。

个人信息出境合规路径仍需通过安全评估、标准合同或认证，但新规简化流程：

安全评估结果有效期从 2 年延长至 3 年，可申请续展。

跨国集团通过认证后，可在集团内自由传输个人信息。

五、其他重要调整

强化党的领导与总体国家安全观新增条款明确网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展与安全。

扩大域外适用范围对境外主体危害中国网络安全的行为（如攻击关键信息基础设施、传播违法信息），中国司法机关可依法追究责任。

引入柔性执法机制对初次违法、危害后果轻微且及时改正的企业，可从轻或免予处罚，鼓励主动合规。

六、企业合规建议

立即开展差距分析

对照新法梳理现有网络安全制度，重点检查数据分类分级、供应链安全审查、日志留存等机制是否符合要求。

对人工智能应用场景，需评估生成内容的合法性与伦理风险，制定标识方案和应急预案。

加强技术投入与人员培训

采用零信任架构、隐私计算等技术提升防护能力，定期开展渗透测试和应急演练。

组织全员合规培训，特别是数据出境、AI 安全等新增要求。

建立常态化合规监测

关注行业指南和标准（如《数据安全技术 数据分类分级规则》），动态调整合规策略。

与第三方机构合作，定期进行合规审计和风险评估，避免因法律修订导致滞后性违法。

结语

此次修法标志着中国网络安全治理从 “被动防御” 转向 “主动治理”，尤其在人工智能、数据跨境等新兴领域建立了系统性规则。企业需抓住 2026 年 1 月 1 日生效前的窗口期，全面提升合规能力，将网络安全纳入战略层面管理，以适应 “强监管、重处罚” 的新常态。

学习最新网络安全法参加全国计算机网络与数据安全技术人员（水平）考评