专题·原创 | 《中华人民共和国网络安全法》修改内容解读与产业合规实践路径

李 豪

文 | 360AI法律研究院 李豪 王京华 杜虹

2025年10月28日，十四届全国人大常委会第十八次会议表决通过《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》，并于2026年1月1日正式施行。当前，我国数字经济实现高速发展，网络安全威胁也呈现出高级持续性威胁（APT）攻击常态化、人工智能风险隐蔽化、供应链攻击链条化的新特征。修改后的《网络安全法》紧扣《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》中“国家安全体系和能力现代化”的战略要求，构建起“发展与安全并重、技术与制度协同、监管与服务结合”的新型网络安全治理框架。修改后的《网络安全法》通过明确合规标准、细化责任边界、衔接关联法治体系，为数字经济高质量发展筑牢安全根基，也为网络安全产业合规实践划定清晰路径，推动法治化要求向安全能力深度转化。

一、法理革新：《网络安全法》修改的核心突破与合规导向

此次《网络安全法》的修改并非简单的条款调整，而是基于当前网络安全形势的系统性制度重构。修法核心是通过法治升级破解产业安全痛点、规范行业发展秩序，为产业合规实践提供明确的法律依据和行动指南。当前数字经济渗透率持续提升，关键信息基础设施已成为国家运转的核心支柱。境外APT组织针对能源、金融、交通等领域的定向攻击越发频繁，数据泄露、系统瘫痪等风险直接冲击国计民生。修改后的《网络安全法》以“强化责任、适配技术、衔接体系”为三大核心主线，实现四大维度的突破性进展。每一项革新均对应产业合规实践的核心需求，搭建起“法律条款—合规标准—安全能力”的转化桥梁。

（一）战略定位锚定：将网络安全纳入国家安全体系，明确产业核心使命

近年来，我国关键信息基础设施面临的境外攻击风险持续攀升，部分威胁涉及国家经济安全与公共利益。修改后的《网络安全法》开篇新增第三条“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设”。这一条款不仅明确了网络安全工作的根本遵循，更将网络安全纳入国家安全全局的制度设计，也为网络安全产业划定了核心使命，即以技术能力支撑国家网络安全战略，将维护国家安全的法治要求，转化为产业服务能力和企业合规责任。这一战略定位的升级，推动产业从“被动防御”向“主动赋能”转型，成为法治筑牢网络安全根基的顶层指引。

（二）技术治理适配：对接新技术安全需求，划定产业合规边界

随着人工智能、量子信息、卫星互联网等新技术的快速发展，传统以“边界防护”为核心的网络安全治理模式，已难以应对“无边界、去中心化”的新型安全威胁。此次修改直面这一挑战，针对新技术领域新增专项条款，构建起“技术发展—风险识别—监管应对”的全链条治理机制，为产业在新技术领域的合规实践提供明确指引，实现技术创新与法治合规的双向适配。

1.人工智能安全治理：构建规范与创新并重的产业发展框架

针对人工智能技术的“双刃剑”效应，修改后的《网络安全法》增设第二十条作为人工智能治理的专门条款，确立“支持研发、完善规范与强化监管”三位一体的治理体系，为产业人工智能安全合规划定清晰路径。该条款明确提出，国家支持人工智能基础理论研究及算法等关键技术的研发，推动训练数据资源与算力等基础设施的建设，为产业技术创新提供政策支撑。同时，要求完善人工智能领域相关伦理规范，加强风险监测、评估与安全监管，促进产业建立人工智能安全全流程管控机制。此外，条款明确支持运用人工智能等新技术提升网络安全防护水平，引导产业将人工智能技术转化为安全防护能力，实现“以技术赋能安全、以法治规范技术”的良性循环。这为新技术创新提供“安全缓冲带”，实现安全与发展的动态平衡。

2.供应链安全：构建全链条合规管控体系，强化产业协同责任

人工智能技术的普及不仅带来自身安全风险，也为供应链安全提供技术赋能路径。而供应链安全的刚性约束，同样为人工智能基础设施的安全提供保障。针对近年来频发的“供应链断链、恶意植入后门”等安全事件，修改后的《网络安全法》第六十三条、第六十七条构建起供应链安全的全流程监管框架，直击产业供应链安全薄弱环节，推动形成“全链条刚性约束”的合规体系。具体而言，一是明确“网络关键设备、网络安全专用产品需通过安全认证或检测”，未经认证或检测不得销售、使用，促进设备与产品研发企业落实安全合规要求，筑牢供应链源头安全防线；二是要求关键信息基础设施运营者不得使用未经安全审查或者安全审查未通过的网络产品或者服务，同时，推动下游应用企业建立健全供应链安全审查机制，筑牢网络安全与供应链安全双重防线。

（三）责任体系升级：细化分级追责机制，压实产业合规责任

原《网络安全法》在责任设定上存在“处罚责任较轻”的问题，难以形成有效约束，部分企业合规意识薄弱。据统计，2021年至2024年，全国网络安全违法案件年均增长15%，但原《网络安全法》的罚款额度普遍低于违法收益，导致威慑力不足。修改后的《网络安全法》在提高罚款上限后，将有效扭转这一局面。此次修改针对这些问题，构建起“分层分类、精准追责”的责任体系，兼顾刚性约束与柔性包容，推动产业形成“主动合规、全员合规”的良好生态，让法治要求真正落地为企业的行为准则。

1.罚款梯度精细化：按风险等级差异化处罚，强化合规威慑力

修改后的《网络安全法》第六十一条，将一般网络运营者和关键信息基础设施运营者的违法行为划分为“一般、较重、严重、特别严重”四档，实现“过错与处罚相匹配”。单位罚款额度最高提升至1000万元，同时第六十一条提高对“直接负责的主管人员和其他直接责任人员”的追责标准，最高可处100万元罚款。这形成“企业担责、个人追责”的双重约束，扭转“违法成本低、守法成本高”的失衡局面，让企业切实认识到“违规代价远超收益”，推动网络安全投入从“可选项”转变为“必选项”。例如，吉首市互联网信息办公室曾对未履行网络安全保护义务致使网站被篡改的某企业作出行政处罚。新法修改实施后，此类违法行为将根据危害后果面临更精准的分级处罚，进一步强化产业合规敬畏心。

2.容错机制科学化：兼顾合规要求与企业发展，激发产业活力

考虑到中小微企业在数字化转型中面临“资金有限、技术薄弱”的现实困境，修改后的《网络安全法》第七十三条专门引入“从轻、减轻或者不予处罚”条款，体现谦抑、审慎、包容的立法精神。监管部门可结合这一条款，通过“指导整改优先、处罚教育结合”的方式，既落实法律要求，又减轻企业负担，实现“监管效果+企业发展”的双赢。这一制度设计避免“一刀切”式的处罚方式挫伤市场主体的积极性和创新活力，为新技术新业态新模式的健康发展预留充足空间，推动产业全员跨越合规门槛。

（四）体系衔接优化：构建多法协同格局，完善产业合规法治环境

网络安全治理涉及网络运行、数据保护、个人信息、行政处罚等多个领域。此前因《网络安全法》与关联法律法规衔接不够紧密，导致产业合规实践中存在标准不一、责任模糊等问题。此次修法强化与关联法律的协同性，形成各有侧重、相互补充的网络安全法律体系，为产业合规实践提供统一、清晰的法治依据，筑牢网络安全法治根基。

1.与数据安全、个人信息保护法律的衔接

修改后的《网络安全法》第七十一条明确规定“网络运营者存在侵害个人信息权益、违反数据安全管理规定行为的，依照有关法律、行政法规的规定处理、处罚”。该条款衔接《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》的相关要求，避免不同法律法规规定的法律责任不一致的问题。这推动产业建立“网络安全+数据安全+个人信息保护”的一体化合规体系，破解此前合规碎片化难题。

2.与《行政处罚法》的衔接

修改后的《网络安全法》参照《中华人民共和国行政处罚法》新增第七十三条规定，这一衔接既保留了法律的刚性威慑，又赋予了执法适度弹性，有效打消企业“怕出错、不敢改”的顾虑，激励企业主动排查风险隐患、完善合规体系，推动产业从“被动监管”转向“主动治理”。

（五）国际经验借鉴：兼顾接轨性与本土适应性

网络安全治理已成为全球性议题，国际先进监管经验为我国《网络安全法》的修改提供重要参考。欧盟的《关于在欧盟实现高水平网络安全措施的指令》（NIS 2指令）的“24小时预警、72小时报告”机制，为我国完善网络安全事件报告制度提供参考，可推动我国建立更高效的风险响应体系，助力产业提升应急处置合规能力。美国《关键基础设施网络事件报告法案》（CIRCIA）的供应链安全监管框架，可助力我国细化网络关键设备认证流程，进一步强化供应链源头管控。修改后的《网络安全法》在吸收国际经验的基础上，结合我国数字经济发展国情，强化人工智能安全与域外追责机制，既顺应全球网络安全治理的发展趋势，又立足我国产业实际需求，形成兼具国际接轨性与本土适应性的制度设计，为产业参与国际竞争、构建全球合规体系提供法治支撑。

二、产业合规实践：法治要求向安全能力的转化路径

修改后的《网络安全法》为网络安全产业合规划定了法治边界和行动路径，核心任务是将法律条款转化为可部署、可迭代的安全能力体系，将合规要求融入技术研发、产品生产、服务提供和供应链管理全流程。

（一）技术合规实践

从行业内企业实践来看，部分企业依托安全大模型与智能体技术，构建覆盖人工智能安全全场景的防护体系，将修改后的《网络安全法》中人工智能安全治理的条款要求，拆解为模型安全检测、算法合规评估、训练数据安全管控等具体技术模块，形成标准化的合规解决方案，既满足自身研发合规要求，也为金融、能源等行业客户提供人工智能安全合规服务，实现法治要求向技术能力的转化。例如，360公司提出“四大平台”建设思路，通过威胁对抗、资产安全、访问安全、应用安全四大平台，将人工智能能力嵌入业务全链条，落实技术安全防护的相关要求，推动合规能力与技术能力同步提升。

（二）供应链合规实践

产业协同构建“源头认证、过程审查、风险追责”的全流程合规体系。上游企业落实安全认证，杜绝不合格产品流入市场。中游企业建立审查机制，使用软件物料清单（SBOM）工具排查风险。下游运营者强化管理责任，建立评估与退出机制。

（三）责任落实实践

构建分级管控模式，结合治理、风险与合规（GRC）框架提升管理效能。制定分级合规标准，落实部门与岗位责任。中小微企业借助容错机制获取指导，低成本完善合规。

（四）生态共建实践

产业从个体合规向生态协同转型，通过标准共建、资源共享推动合规落地。例如，360公司牵头成立“大模型安全联盟”，构建产业生态，通过培训、竞赛等方式推动安全技术在关键领域应用，形成良性互动生态。

（五）潜在挑战与应对

当前，产业合规实践仍面临两大突出挑战：一是监管部门对“人工智能安全风险”的认定标准不统一，不同地区、不同领域的执法尺度存在差异，导致企业合规实践缺乏明确指引，尤其是中小微企业难以精准把握合规边界。二是中小微企业合规成本仍较高，受资金、技术、人才限制，难以独立搭建完善的合规体系，也难以承担专业合规服务的费用，合规落地难度较大。针对上述挑战，需多方协同发力，共同应对：一是建议监管部门加快出台人工智能安全风险认定指南，明确人工智能安全风险的界定标准、处罚边界，统一执法尺度，为企业合规实践提供清晰指引，减少合规不确定性；二是行业组织牵头搭建中小微企业合规服务平台，整合行业资源，提供免费合规咨询、低成本合规工具、合规培训等服务，降低中小微企业合规门槛；三是龙头企业充分发挥技术引领与资源优势，输出标准化、低成本的合规解决方案，带动中小微企业提升合规能力，形成“龙头引领、全员提升”的合规格局。

三、结 语

《网络安全法》的修改通过战略定位锚定、技术治理适配、责任体系升级、体系衔接优化，构建了“发展与安全并重”的治理框架，既吸收国际先进经验、贴合我国产业实际，又精准回应人工智能安全、供应链安全等新型安全挑战，通过明确条款要求、细化责任梯度、完善协同机制，为网络安全产业合规实践提供了根本法治遵循。网络安全产业作为法治落地的核心载体，既要严格遵循修改后的《网络安全法》及关联法律法规的要求，将合规融入技术研发、产品生产、服务提供全流程，又要主动破解合规实践中的痛点难点，通过技术创新、供应链协同、生态共建，推动合规能力与产业发展同步提升。

（本文刊登于《中国信息安全》杂志2026年第2期）