一、修改背景
2022年9月,国家网信办曾发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》。2025年3月28日,国家网信办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,向社会公开征求意见。十四届全国人大常委会第十八次会议10月28日表决通过关于修改网络安全法的决定,自2026年1月1日起施行。本次修法坚持统筹发展与安全,积极回应人工智能等新技术带来的风险与挑战,构建更加科学合理的网络安全法律责任框架。
二、新旧版对比解读
(一)新版本将原第十八条调整为第十九条,并删去第二款。这一变化契合人工智能技术发展所带来的网络安全新挑战与机遇的时代背景,充分体现立法对前沿技术的精准把握与响应。
(二)新版本将原第四十条完善为第四十二条。这一修订实现了从原则性要求向体系化合规指引的重要转变,通过法律衔接将散见于不同立法中的个人信息保护规范整合为统一的强制性义务,消除了网络运营者仅满足于形式化制度建设而忽视实质保护责任的“灰色”地带。
(三)新版本对第五十九条进行了修改。本次修法对违法情形进行了更为细致、具体的分级,设置了一般违法行为、加重情节违法行为和特别严重情形三个梯度,并配置差异化的罚则。对未履行网络安全责任的处罚结构进行了细化与强化:
一般违法行为:基础处罚由"给予警告"调整为"给予警告,可以处一万元以上五万元以下罚款";
拒不改正或造成后果:罚款下限从一万元提高至五万元;
严重情节:对造成大量数据泄露、关键信息基础设施丧失局部功能等情形,处五十万元以上二百万元以下罚款;
特别严重情节:对造成关键信息基础设施丧失主要功能等情形,处二百万元以上一千万元以下罚款。
(四)将第六十条改为第六十二条,增加一款,作为第二款。规定网络产品及服务的提供者若设置恶意程序,或在其网络产品、服务中发现安全缺陷、漏洞等风险时,未立即采取补救措施,且未按相关规定及时告知用户并向有关主管部门报告,导致大量数据泄露或关键信息基础设施局部功能丧失等严重危害网络安全后果的,将由有关主管部门处以五十万元以上二百万元以下罚款;若造成关键信息基础设施主要功能丧失等特别严重危害网络安全后果的,将处以二百万元以上一千万元以下罚款。
(五)新版本将第六十一条调整为第六十四条。在违反用户“实名制”的罚则部分,扩展了处罚措施所适用的服务载体。在原有“关闭网站”的基础上,增加了“或者应用程序”这一并列选项,将“应用程序”纳入监管处罚范围,使其与传统“网站”处于同等地位。这一修订确保了在网络服务主体日益移动化、App化的背景下,法律监管能够全面覆盖所有服务形态,杜绝了部分运营者可能利用不同载体逃避监管的侥幸心理。
(六)新版本将原第六十二条调整为第六十五条。本次修法不仅提高对单位的处罚标准,还扩大了责任人员范围至"其他直接责任人员",对直接负责的主管人员和其他责任人员的罚款上限也显著提高,进一步强化了对关键责任人员的惩戒约束。
(七)新版本将第六十五条修订为第六十七条。这一修改更加注重从消除安全隐患根源的角度出发,搭建从行为纠正到风险消除的责任链条,进一步强化了对国家安全的底线保障。
(八)新版本将原第六十八条及第六十九条的相关内容整合重构为新的第六十九条。实现了对网络运营者信息管理责任与处罚体系的全面升级,主要体现在以下几个维度:在责任体系方面进行了整合升级;处罚力度显著提升;责任追究全面深化。
(九)新版本将第六十四条、第六十六条及第七十条合并为第七十一条。将个人信息保护的法律责任、关键信息基础设施数据跨境的法律责任、发布或者传输违法信息的法律责任合并为第七十一条,统一对上述三类行为的处理、处罚作出规定,即转致有关法律、行政法规的规定。这一修改解决了法律适用冲突问题,提高了执法效率。
(十)新版本将第七十五条修改为第七十七条。扩展了法律威慑范围并降低了追责门槛。核心变化在于,新版本删除了“关键信息基础设施”的限定,将适用范围从保护特定核心设施扩展至全面维护国家网络安全。
(十一)新版本增加了四项关键条款。针对销售或提供未经安全认证、安全检测的网络关键设备和网络安全专用产品的行为,专门设置了法律责任条款,明确对相关责任方给予警告、没收违法所得,并处以违法所得一倍以上五倍以下的梯度罚款。
明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果等情形的,依照《行政处罚法》的规定从轻、减轻或者不予行政处罚。同时,要求有关主管部门制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。
此外,充实网络安全工作指导原则的内容,增加规定:网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。这一原则性规定为网络安全工作提供了根本遵循,体现了党对网络安全工作的高度重视。
同时,对人工智能等新技术的发展与监管作出前瞻性规定,要求统筹推进人工智能技术研发应用与安全监管,充分体现了发展与安全并重的立法理念。
三、企业合规启示
本次《网络安全法》的修订,标志着我国网络安全监管从原则性框架向精细化、体系化与强执法化的重要转变。新法通过大幅提升罚则、扩大责任主体与处罚范围、强化关键信息基础设施保护义务、并将人工智能等新技术应用纳入监管视野,对各类市场主体提出了更高要求的合规责任。企业必须从被动合规转向主动治理,系统性地构建与运营风险相匹配的网络安全与数据保护内控体系,方能在日益严峻的监管环境下实现可持续健康发展。
一、修改背景
2022年9月,国家网信办曾发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》。2025年3月28日,国家网信办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,向社会公开征求意见。十四届全国人大常委会第十八次会议10月28日表决通过关于修改网络安全法的决定,自2026年1月1日起施行。本次修法坚持统筹发展与安全,积极回应人工智能等新技术带来的风险与挑战,构建更加科学合理的网络安全法律责任框架。
二、新旧版对比解读
(一)新版本将原第十八条调整为第十九条,并删去第二款。这一变化契合人工智能技术发展所带来的网络安全新挑战与机遇的时代背景,充分体现立法对前沿技术的精准把握与响应。
(二)新版本将原第四十条完善为第四十二条。这一修订实现了从原则性要求向体系化合规指引的重要转变,通过法律衔接将散见于不同立法中的个人信息保护规范整合为统一的强制性义务,消除了网络运营者仅满足于形式化制度建设而忽视实质保护责任的“灰色”地带。
(三)新版本对第五十九条进行了修改。本次修法对违法情形进行了更为细致、具体的分级,设置了一般违法行为、加重情节违法行为和特别严重情形三个梯度,并配置差异化的罚则。对未履行网络安全责任的处罚结构进行了细化与强化:
一般违法行为:基础处罚由"给予警告"调整为"给予警告,可以处一万元以上五万元以下罚款";
拒不改正或造成后果:罚款下限从一万元提高至五万元;
严重情节:对造成大量数据泄露、关键信息基础设施丧失局部功能等情形,处五十万元以上二百万元以下罚款;
特别严重情节:对造成关键信息基础设施丧失主要功能等情形,处二百万元以上一千万元以下罚款。
(四)将第六十条改为第六十二条,增加一款,作为第二款。规定网络产品及服务的提供者若设置恶意程序,或在其网络产品、服务中发现安全缺陷、漏洞等风险时,未立即采取补救措施,且未按相关规定及时告知用户并向有关主管部门报告,导致大量数据泄露或关键信息基础设施局部功能丧失等严重危害网络安全后果的,将由有关主管部门处以五十万元以上二百万元以下罚款;若造成关键信息基础设施主要功能丧失等特别严重危害网络安全后果的,将处以二百万元以上一千万元以下罚款。
(五)新版本将第六十一条调整为第六十四条。在违反用户“实名制”的罚则部分,扩展了处罚措施所适用的服务载体。在原有“关闭网站”的基础上,增加了“或者应用程序”这一并列选项,将“应用程序”纳入监管处罚范围,使其与传统“网站”处于同等地位。这一修订确保了在网络服务主体日益移动化、App化的背景下,法律监管能够全面覆盖所有服务形态,杜绝了部分运营者可能利用不同载体逃避监管的侥幸心理。
(六)新版本将原第六十二条调整为第六十五条。本次修法不仅提高对单位的处罚标准,还扩大了责任人员范围至"其他直接责任人员",对直接负责的主管人员和其他责任人员的罚款上限也显著提高,进一步强化了对关键责任人员的惩戒约束。
(七)新版本将第六十五条修订为第六十七条。这一修改更加注重从消除安全隐患根源的角度出发,搭建从行为纠正到风险消除的责任链条,进一步强化了对国家安全的底线保障。
(八)新版本将原第六十八条及第六十九条的相关内容整合重构为新的第六十九条。实现了对网络运营者信息管理责任与处罚体系的全面升级,主要体现在以下几个维度:在责任体系方面进行了整合升级;处罚力度显著提升;责任追究全面深化。
(九)新版本将第六十四条、第六十六条及第七十条合并为第七十一条。将个人信息保护的法律责任、关键信息基础设施数据跨境的法律责任、发布或者传输违法信息的法律责任合并为第七十一条,统一对上述三类行为的处理、处罚作出规定,即转致有关法律、行政法规的规定。这一修改解决了法律适用冲突问题,提高了执法效率。
(十)新版本将第七十五条修改为第七十七条。扩展了法律威慑范围并降低了追责门槛。核心变化在于,新版本删除了“关键信息基础设施”的限定,将适用范围从保护特定核心设施扩展至全面维护国家网络安全。
(十一)新版本增加了四项关键条款。针对销售或提供未经安全认证、安全检测的网络关键设备和网络安全专用产品的行为,专门设置了法律责任条款,明确对相关责任方给予警告、没收违法所得,并处以违法所得一倍以上五倍以下的梯度罚款。
明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果等情形的,依照《行政处罚法》的规定从轻、减轻或者不予行政处罚。同时,要求有关主管部门制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。
此外,充实网络安全工作指导原则的内容,增加规定:网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。这一原则性规定为网络安全工作提供了根本遵循,体现了党对网络安全工作的高度重视。
同时,对人工智能等新技术的发展与监管作出前瞻性规定,要求统筹推进人工智能技术研发应用与安全监管,充分体现了发展与安全并重的立法理念。
三、企业合规启示
本次《网络安全法》的修订,标志着我国网络安全监管从原则性框架向精细化、体系化与强执法化的重要转变。新法通过大幅提升罚则、扩大责任主体与处罚范围、强化关键信息基础设施保护义务、并将人工智能等新技术应用纳入监管视野,对各类市场主体提出了更高要求的合规责任。企业必须从被动合规转向主动治理,系统性地构建与运营风险相匹配的网络安全与数据保护内控体系,方能在日益严峻的监管环境下实现可持续健康发展。
- 上一篇:无
- 下一篇:安徽省高质量数据集建设工作研讨会在中检天帷成功举办
