作为网络安全领域的基础性法律,《网络安全法》在施行8年后,首次完成修改。
2025年10月28日,十四届全国人大常委会第十八次会议审议通过关于修改《网络安全法》的决定,自2026年1月1日起施行。
适应网络安全新形势要求,新修的《网络安全法》积极回应人工智能(AI)发展与安全问题,增加条款要求支持AI技术创新,加强基础设施建设和风险防范,促进AI健康发展。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括认为,这在很大程度上指明了未来AI立法的发展方向,具有重要的制度性意义。
南都隐私护卫队关注到,随着AI技术的广泛应用,AI相关的安全事件呈现上升趋势。国家计算机病毒应急处理中心的一份报告显示,2024年6月至2025年7月,全球已发生59起AI相关安全事件,较上一年度显著增加。
北京理工大学计算机学院副教授闫怀志对南都隐私护卫队表示,诸如AI换脸诈骗等问题暴露了技术治理的滞后性, “《网络安全法》新增AI条款,正是通过基础法律层面的框架性规定,为遏制(技术)滥用提供法治依据。”
值得一提的是,此次修法的一大明显变化是,加大了违法行为的处罚力度。新法明确,关键信息基础设施的运营者未依法履行网络安全保护义务,造成严重后果的,最高将面临一千万元的罚款,并会追责到个人,最高可罚一百万元。
AI时代,创新与安全如何兼顾?网络安全法新增条款回应
近年来,信息技术日新月异。随着网络应用的快速普及,相关安全风险也进一步凸显,利用网络从事非法入侵、网络攻击、传播违法信息等行为屡有发生。特别是,AI技术的发展带来了新的安全挑战。
根据国家计算机病毒应急处理中心等发布的《网络空间安全态势分析报告 (2025)》显示,2024年6月至2025年7月,全球发生的59起AI相关安全事件中,网络攻击占29%、数据安全事件占26%,较上一年度显著增加。
当前,AI安全领域呈现何种趋势?绿盟科技解决方案高级经理马跃强告诉南都隐私护卫队,AI的快速发展使得传统网络安全防御失效加速。攻击者不再局限于单一漏洞利用,而是通过AI技术放大攻击效能——如利用大模型生成高度逼真的钓鱼邮件。
在数据安全方面,他提到一起典型案例。2025年6月,某商业银行客服AI因 RAG(检索增强生成)模块未净化抓取内容,导致用户银行卡号、身份证号流入训练库,被监管部门认定未履行数据最小化义务,要求限期评估整改。
“AI对数据的高度依赖使其成为数据泄露的高危载体,且泄露场景更隐蔽;既包括用户输入敏感信息被模型直接输出,也包括企业内部人员误用外部大模型导致机密外泄。”马跃强说。
他还提醒道,AI应用依赖的第三方模板库、插件、训练数据等供应链组件,正成为攻击跳板。据Gartner预测,2025年将有60%的企业因AI供应链问题遭受业务损失,如第三方插件篡改可导致模型输出被窃取。
此外,近年来频发的利用AI造谣、AI换脸诈骗等乱象,也引发了公众热议。为更好地适应新形势发展,自2017年6月1日起施行的《网络安全法》迎来首次调整。据全国人大介绍,审议期间,有的常委委员和地方、社会公众提出,当前AI技术快速发展应用,建议在该法中予以积极回应。
对此,新修的《网络安全法》第二十条规定,“国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。”
这是国内首次在基础性法律层面明确AI安全与发展的框架性规定,或将推动AI治理从局部监管转向系统性规制。吴沈括对南都隐私护卫队表示,在《网络安全法》修改契机,引入AI相关条款,弥补了当下关于AI法治顶层设计缺失的短板,“可以说,在很大程度上为我们指明了未来AI立法的发展方向,具有重要的制度性意义。”
在闫怀志看来,AI技术滥用是技术发展中的伴生风险,需在创新与安全间平衡。诸如AI换脸诈骗等问题暴露了技术治理的滞后性,《网络安全法》新增条款正是通过基础法律层面的框架性规定,为遏制技术滥用行为提供法治依据。
新修的《网络安全法》还明确指出,“国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。”
马跃强认为,这意味着 AI 在网络安全领域的应用得到了法律层面的肯定,为网络安全行业的技术创新、产品研发和实践落地提供了指引,将推动AI成为未来安全防御体系的核心驱动力。
造成特别严重后果的,最高罚一千万元并追责至个人
《网络安全法》的修改,最为明显的变化是强化了法律责任,大幅提高了网络安全的违法成本。在吴沈括看来,一方面这是出于应对不断演进的网络安全形势的需要;另一方面是为了强化与《数据安全法》《个人信息保护法》等相关法律的衔接,实现法律规则和责任强度的整体协同。
此前,全国人大常委会法工委经济法室负责人答记者提问时表示,在深入总结网络领域相关立法实施经验的基础上,此次修法重点完善了危害网络运行安全、网络产品和服务安全、网络信息安全行为的法律责任,加大处罚力度。同时,修法坚持分类施策,科学设置不同类型违法行为的法律责任。
以不履行网络安全保护义务为例,按照新法规定,有关主管部门可对一般的网络运营者处一万元以上五万元以下罚款。对于关键信息基础设施的运营者,其处罚起点则是五万元,上限为十万元。
如果企业不履行网络安全保护义务,还拒不改正或者导致危害网络安全等后果的,将面临加倍罚款的处罚,并追究个人责任。一般的网络运营者将被处五万元以上五十万元以下罚款,关键信息基础设施的运营者则将处十万元以上一百万元以下罚款;对负有直接责任的个人,都将处一万元以上十万元以下罚款。
按照影响范围和性质,新法还新增了对严重后果和特别严重后果的加倍处罚机制。其中明确,有前述两款行为,造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,由有关主管部门处五十万元以上二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。如果造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,则处二百万元以上一千万元以下罚款,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。
也就是说,网络运营者不履行网络安全保护义务,造成关键基础设施丧失主要功能的特别严重后果,最高将面临一千万元的罚款,而且个人也要承担法律责任,最高罚款一百万元。
此外,新修的《网络安全法》还明确了多项违法行为的罚则,包括设置恶意程序、产品或服务存在安全缺陷、漏洞等风险未采取任何措施;销售或提供未经安全认证的网络关键设备和网络安全专用产品;违规开展网络安全认证、检测、风险评估等。总体来看,针对各类违法行为的威慑力与监管细致度显著增强。
据南都隐私护卫队了解,新修改的《网络安全法》将于2026年1月1日起施行。网络运营者该如何调整以适应新法要求?闫怀志建议,企业需健全合规体系,对照新法升级安全保护措施。尤其是关键信息基础设施运营者,更要强化主体责任,定期开展风险评估,避免因履职不到位受罚。
马跃强进一步提到,企业要实现网络安全合规,可从健全安全制度、强化技术防护、落实数据分类保护、做好个人信息保护、建应急响应机制、加强员工培训教育等方面着手。
具体而言,比如在制定应急预案上,企业应当明确处置流程与分工,遇到安全事件立即处置并报告网安部门。同时定期开展培训,提升员工安全与合规意识,使其掌握防护技能,避免因操作不当引发安全事故。
