2025年10月28日，第十四届全国人民代表大会常务委员会第十八次会议表决通过关于修改《中华人民共和国网络安全法》的决定，修改后的法律自2026年1月1日起正式施行。作为我国网络安全领域的基础性法律，《网络安全法》自2017年施行以来，为维护网络空间主权和国家安全、保护公民个人信息、促进经济社会信息化健康发展发挥了重要作用。本次修法是《网络安全法》实施八年来迎来的首次重要修改，聚焦人工智能治理、法律责任完善、与相关法律衔接等重点领域，标志着我国网络安全法治化建设迈入精细化治理的新阶段。

一、政策核心要义：修法的三大重点方向

本次修改在深入总结网络领域相关立法实施经验的基础上，重点完善了危害网络运行安全、网络产品和服务安全、网络信息安全行为的法律责任，并积极回应人工智能治理和发展需要。

（一）明确人工智能发展与安全并重框架

修改后的《网络安全法》第二十条规定：“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。”同时明确“国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平”。

这一修改体现了统筹发展和安全的立场。算法是人工智能的灵魂，高质量训练数据是驱动人工智能发展的关键燃料，算力是保障人工智能发展的重要基础，国家将统筹推进算法创新、数据供给、算力建设以及基础理论研究。在保障人工智能安全方面，要求完善人工智能伦理规范，构建人工智能应用和发展的价值准则与行为准则，确保人工智能向善、造福全人类。同时，创新性地引入“以AI治理AI风险”的技术对弈治理范式，将人工智能系统工具化地嵌入网络风险防控体系，通过智能化的风险识别、动态评估与响应机制，系统性地提升网络生态的总体安全水平。

（二）完善网络安全法律责任制度

本次修改对网络安全法律责任制度作出重要完善，强化不同法律之间的体系性与协同性。具体包括：

其一，提高违反网络安全义务行为的处罚力度，使违法行为的处罚力度与《数据安全法》基本保持一致，强化法律适用效果的统一性。例如，新法第六十一条将网络运营者不履行网络安全保护义务的罚款上限，从原十万元提高至五十万元。

其二，对造成严重危害网络安全后果的行为设置阶梯式处罚措施。违法行为如果造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。这种较高数额的行政处罚对于威慑和遏制严重危害网络安全的行为具有重要作用。

其三，增设销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的法律责任。新法第六十三条明确，对相关违法行为由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。此前，某省税务部门采购项目中，某通信运营商因所投网络关键设备在开标之日前没有通过国家强制安全认证，被判定涉嫌虚假应标，导致中标无效。新法增设的专门处罚，将促使网络安全设备的生产者和销售者更加重视产品的安全性。

其四，健全行政处罚适用规则，增加衔接性规定，明确违反网络安全法规定但具有《行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定处理，切实保障网络执法既有力度又有温度。

（三）加强与其他法律的衔接协同

修改后的《网络安全法》第七十一条增设三类衔接适用其他法律、行政法规进行处罚的情形：一是对于侵害个人信息权益的行为，依照《个人信息保护法》第六十六条及相关法律、行政法规的规定进行处罚；二是对于关键信息基础设施的运营者违法在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的行为，依照《个人信息保护法》《数据安全法》及相关法律、行政法规的规定进行处罚；三是对于窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定进行处罚。

同时，明确网络运营者处理个人信息应当遵守《网络安全法》《民法典》《个人信息保护法》等法律、行政法规的规定。网络安全法与数据安全法、个人信息保护法等共同构成我国网络安全和数据安全法律体系，本次修改做好法律之间的衔接，推动形成治理合力。

二、全行业核心影响：合规约束与AI机遇的双重赋能

《网络安全法》的修改对各类网络运营者、关键信息基础设施运营者、网络产品和服务提供者均产生深远影响。

（一）合规层面：法律责任全面升级

新法大幅增加了关键信息基础设施运营者的法律责任，从原来最高一百万元罚款增加到了一千万元罚款，并将“大量数据泄露”列为新增的违法情形。对于网络运营者怠于履行信息安全管理义务的，其处罚标准在原来“一般违法”“拒不改正或者情节严重”两种情形的基础上，增加了“造成特别严重影响、特别严重后果的”情形，并设定了更高的处罚标准。这要求企业建立更加完善的网络安全合规体系，强化数据安全保护措施，避免因合规疏漏面临高额处罚。

（二）AI发展层面：创新与安全双轮驱动

新法首次在法律层面规定促进人工智能健康发展的专门条款，为人工智能技术的创新与应用提供了制度保障。一方面，国家支持人工智能基础理论研究、关键技术研发以及基础设施建设，为企业开展AI技术创新营造良好环境；另一方面，要求完善人工智能伦理规范，加强风险监测评估和安全监管，为企业划定技术应用的安全底线。这既为AI企业带来发展机遇，也对企业建立健全AI安全治理体系提出更高要求。

（三）网络设备层面：产品安全门槛提升

新法对销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的行为增设了专门罚则。这促使网络设备生产者和销售者更加重视产品的安全性，推动网络安全产品市场规范化发展。企业在采购网络设备和网络安全产品时，需加强对供应商合规资质的审核，确保采购产品符合国家强制安全认证要求。

三、全行业落地路径：四维度推进合规体系建设

结合新法要求与行业实践，各类企业需从制度建设、AI治理、数据保护、供应链管控等方面发力，构建全流程合规体系。

（一）健全网络安全管理制度

企业应对照新法要求，修订完善内部网络安全管理制度，明确网络安全负责人和职责分工，将网络安全纳入绩效考核体系。关键信息基础设施运营者需特别关注新法第六十一条规定，建立健全网络安全保护制度和操作规程，定期开展安全检查和风险评估。

（二）构建AI安全治理体系

对于开展人工智能相关业务的企业，需加快AI安全合规体系建设。在开发阶段，研发AI驱动的合规审查工具，自动校验训练数据的合法性与安全性，确保技术从源头符合网络安全法及相关伦理规范。在运行阶段，运用AI监测系统对AI应用的运行状态、数据流转进行全程监控，一旦发现异常操作，立即触发预警并启动拦截机制。

（三）强化数据安全和个人信息保护

企业处理个人信息应当严格遵守《网络安全法》《民法典》《个人信息保护法》等法律法规规定，遵循合法、正当、必要原则，公开规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定。建立个人信息保护影响评估制度，对个人信息处理活动定期开展合规审计。

（四）加强网络产品和服务供应链管控

对于网络关键设备和网络安全专用产品的采购和使用，企业需严格审查产品是否通过国家强制安全认证或安全检测。新法第六十三条对销售或者提供未经安全认证、安全检测的产品设置了专门罚则，采购方也需承担相应的合规责任。

四、结语

2026年1月1日起正式施行的新修改《网络安全法》，回应了人工智能时代的新挑战，完善了网络安全法律责任制度，加强了与数据安全法、个人信息保护法等法律的衔接协同。对于全行业而言，这既是必须守住的合规底线，也是提升网络安全治理能力、把握人工智能发展机遇的重要契机。各类网络运营者需以新法为遵循，将合规要求融入业务全流程，构建“制度完善、技术赋能、管理闭环、合作可控”的网络安全治理体系，共同构筑一个更安全、更可靠、更值得信赖的数字未来。