中國網:近日,第十四屆全國人大常委會第十八次會議表決通過關於修改網路安全法的決定,自2026年1月1日起施行。這標誌著我國網路安全領域基礎性法律迎來首次重大修改。此次《網路安全法》的修改,適應網路安全新形勢新要求,回應人工智慧治理和促進發展的需要,重點強化網路安全法律責任,加強與相關法律的銜接協調。當前,我國網路安全面臨哪些新挑戰?此次對《網路安全法》做了哪些修改?為何對關鍵資訊基礎設施的違法行為加大處罰力度?體現了我國對跨境網路安全威脅治理的哪些升級?本期節目,特邀中國社會科學院法學研究所研究員、《網路法治藍皮書》主編支振鋒為廣大網友解讀。
中國社會科學院法學研究所研究員支振鋒解讀新《網路安全法》。(中國網記者 董寧 攝影)
【訪談實錄】
中國網:支老師,您好!歡迎您做客中國網《中國訪談》節目。
支振鋒:中國網的網友大家好!
中國網:此次修正案的總則中,新增一條“網路安全工作堅持中國共産黨的領導,貫徹總體國家安全觀,統籌發展和安全,推進網路強國建設。”這對網路安全工作的頂層設計具有怎樣的指導意義?
支振鋒:這次修訂這一條是新增加的,是非常重要的一個修改,這裡面體現出幾個方面的考慮。
第一,中國共産黨領導是中國特色社會主義的本質。所以,黨的領導是我們把各方面工作做好的一個非常根本性的保障。
網路安全工作也不例外,特別是今天網路安全工作已經成為整個社會的基礎設施。通信、交通、金融、公共服務甚至是供水、供電、供熱、供氣等等都是在網路基礎設施之上運作的。在這種情況下,強化黨的領導、堅持黨的領導,能夠把網路安全工作各方面力量真正給整合起來,形成一個合力,就是把網路安全工作能夠推到一個更高的層次。
第二,這條修訂中特別強調總體國家安全觀。我們知道,總體國家安全觀是總書記在2014年提出來的,它本身就是適應今天這個變化迅速而且各個安全形勢更加複雜的這樣一個時代。網路安全作為一種新型的安全,甚至説是一種新型的國家安全,它是總體國家安全觀的一個非常重要的內涵。
第三,這一條強調統籌發展和安全。因為我們知道統籌發展和安全也是總書記一直強調的。安全是發展的前提,發展是安全的保障,發展和安全這兩件大事缺一不可。總書記在2016年4月19日講話中特別強調,安全是相對的,不是絕對的。所以,我們對安全工作是要以最高的標準、最嚴肅的態度去強調、去推進,我們希望能夠做到一個非常理想的安全狀態。
所以,統籌發展和安全它是有機的、是辯證的。安全是前提,發展是保障,而且我們可以看到是統籌發展和安全,而不是統籌安全和發展。這裡面本身也體現出我們一種發展的理念,因為發展是解決我們遇到的很多問題的最好的、最重要的辦法。有了更好的網路安全技術和産業,特別是在人工智慧新技術、新應用條件之下,這種發展是更高水準,更高品質的發展,結合這些我們就能夠真正的去推進網路強國建設,建設網路強國。
中國網:與2016年通過的《網路安全法》相比,當前我國網路安全形勢面臨哪些新變化、新挑戰?這為此次修法提供了哪些依據或者導向?
支振鋒:2017年6月1日實施的《網路安全法》,本身它在網路安全上起到非常重要的基礎性和框架性的作用。它已經很好地維護了國家網路空間的主權安全和發展利益,也為各方主體在網路空間的利益提供到一個很好的保障。
但是,這些年由於一些像人工智慧新技術、新應用不斷地研發和創新,並且投入到實踐的應用中。同時,我們也看到今天國際環境不確定、難預料因素變得更多、更加複雜。在這種情況之下,我們的網路安全形勢客觀上講是更加複雜,維護網路安全工作的困難也在變多。
比如,我們現在這種網路攻擊、網路入侵、網路數據竊取的情況非常多。就在最近,四川有一個縣的人社局的系統就受到了病毒的攻擊。還有2025年年初,哈爾濱舉辦第九屆亞冬會。亞冬會期間,我國的電腦病毒中心,還有一些網路安全部門就發現,亞冬會的註冊系統、抵離境系統、報到系統、報名系統受到了網路攻擊。這個網路攻擊試圖掩藏得很巧妙,總想竊取參加亞冬會的運動員的個人隱私資訊,但是這個情況被我們有關部門破獲了。
在2025年8月,中國網路空間安全協會也公佈了一些美國對我國重要的設施或者系統、或者部門進行攻擊的案例。從數據來看,去年一年,可能還是不完全的統計,美國的一些特殊部門對我國重要的關鍵資訊基礎設施、資訊系統或者關鍵部門進行了600多次的網路攻擊。客觀上講,我們面臨一個更加複雜的(網路環境)。我們知道對手是非常狡猾,而且有一定的水準。
當前有些人喜歡用國外品牌的手機,其實國外品牌的手機也存在不安全,很容易出現問題。2025年10月,國家安全部門已經公佈了,我們破獲了美國國家安全局特工對我們“北京時間”授時系統進行攻擊的案例。有些工作人員用的是境外某個著名品牌的手機,在幾年前美國特工就通過發短信方式給(使用)這個品牌的手機的國家授時中心的工作人員,實際上控制了這些手機。所以,最近幾年利用這個系統試圖對我們國家的授時中心進行網路攻擊。我們知道國家授時中心是非常重要的,比如説航太發射是一毫秒都不能錯的,一旦授時系統出現問題,可能要出現重大的安全事故,要危害國家安全的。當然對經濟的損失也很重要。所以,對國家授時中心的攻擊是非常惡劣的。
現在我們看到這種網路攻擊是非常的猖獗,非常的狡猾,可以説很多時候也非常的狠毒。所以,這是我們的確面臨的一個新的網路安全的局面。
在這種情況之下,我們就需要對《網路安全法》進行適應性的修正,讓它一方面能夠去解決今天新技術和新應用發展中出現的一些新型的網路安全問題,同時也讓它能夠去解決這些來自境外的,當然也有境內的這種大量的網路攻擊、網路竊取、網路入侵、數據洩露等一些情況,特別是要保護我們的關鍵資訊基礎設施的安全。
所以,《網路安全法》修改是與時俱進,是非常必要的。
中國網:説到新技術,此次新修改的《網路安全法》中國家關注到了人工智慧技術。新增第二十條明確國家支援人工智慧的關鍵技術研發及基礎設施建設,同時強調完善倫理規範、加強風險監管,並提出運用人工智慧提升網路安全保護水準。將人工智慧寫進法律的重要性有哪些??如何理解完善人工智慧倫理規範?
支振鋒:這次《網路安全法》的修改就是專門增加了這樣一個人工智慧健康發展的個條款,它本身也是對二十屆三中全會決定裏,加強人工智慧安全監管這樣一個要求的貫徹。
我們可以從三個方面來理解這次的修改。
第一,它強調的是人工智慧的安全發展,就是健康發展。可以這麼説,在人類歷史上有很多非常了不起的技術創新和技術突破,但是很少有能夠像人工智慧這樣和一個國家的整體的經濟社會發展、整個國家的競爭力關係這麼密切的技術。所以,我們特別強調人工智慧的健康發展。
健康發展也是要分層次的。首先,你得有先進的人工智慧新技術、新應用,所以《網路安全法》這次修改就特別強調在人工智慧基礎理論上,在演算法等關鍵技術上國家要支援它的發展。其次,這個發展要是健康的發展。所以我們就在《網路安全法》修改時提出,要加強人工智慧倫理的治理。
現在我們已經有比較系統的,也在全世界是比較領先的人工智慧相關的立法,而且這個立法在我看來已經在一定程度上實現了全週期和全鏈條的監管。我們有關於演算法的、關於深度合成的、關於生成式人工智慧的、關於生成式人工智慧生成物的標識的。我們已經有四部專門的、具體的針對人工智慧某個領域的的規章或者説規範性文件。
我們的《民法典》《治安管理處罰法》《刑法》等等這些基礎的法律本身也是保障人工智慧健康發展非常重要的健康法律。更何況我們還有《網路安全法》《數據安全法》《個人資訊保護法》《電子商務法》《反電信網路詐騙法》等等這些網際網路的專門立法,它也是保障人工智慧健康發展的。
第二個方面,強調倫理治理是因為人工智慧它是新技術、新應用,而且是最前沿的,人工智慧這個技術的發展本身也是有高度的不確定性,高度的變化之中。未來幾年,我們誰也不能保證會不會有新的技術路線的出現,所以這個時候就意味著我們對人工智慧進行專門的、統一的、綜合性的立法條件是不成熟的。所以我們國家通過這種“小快靈”的、問題導向的立法是最科學的,也是最適合的。
在這種情況之下,我們還要保證安全,安全底線,那就通過倫理來進行治理。確保人工智慧既發展得好,又安全保護得好,不會給我們的經濟社會發展、給我們的人類福祉帶來這種更大的危害。
這次《網路安全法》的修改,通過增加這個條款,它把我們國家現有的關於這個人工智慧安全的、關於網路安全的,跟人工智慧有關的網路安全的相關的法律法規、規章、規範性文件,聯繫在一起,形成一個更加緊密的有邏輯的這樣一個體系,同時強調倫理治理。這樣的話,就能夠實現黨中央所要求的推進人工智慧健康發展的目標,實現網路強國。
中國網:此次的修改中對關鍵資訊基礎設施運營者的違法行為罰款額度提升至最高一千萬元,同時對違法銷售或者提供網路關鍵設備、網路安全專用産品的行為提高罰款標準,並增加規定。為何選擇這些領域加大處罰力度?對它加大處罰力度的迫切性和必要性體現在哪些方面?
支振鋒:關鍵資訊基礎設施就是,比如手機的電信的通信系統,我們去銀行金融系統,我們到政府辦事,這種公共服務的一網通辦、一門通辦,和國計民生相關的這些重要的基礎設施或者它的資訊系統就是關鍵資訊基礎設施。一旦它被侵入,或者大規模的數據洩露,或者功能喪失,就會嚴重地影響到國計民生,影響到公共利益,影響到人民群眾的切身利益,影響到國家安全。
對關鍵資訊基礎設施和資訊系統的保護,一直是世界各國網路安全立法的一個非常重要的重點。我們2016年通過的《網路安全法》裏面本身就強調對關鍵資訊基礎設施的保護。這次修改主要是強調幾點:第一,出了問題“過罰相當”,提高處罰的標準。第二,強調了網路安全的關鍵産品、專用産品,還有包括對服務的要求。採購的時候要進行特殊的規制,提出更高標準的要求,而且要進行網路安全審查。
這一次《網路安全法》的修改就特別對這一點進行強調,體現出關鍵資訊基礎設施越來越關鍵,對國計民生越來越重要了。
中國網:處罰額度調整的依據是什麼?一千萬元聽起來還是一個不小的數目。
支振鋒:聽起來很多。其實我們國家在立法中對這种經濟處罰已經是非常謹慎了。在國外是出現過,比如説前一段時間歐洲很多地方大停電,很多的研究和披露,大概率它裏面有網路安全的因素。也就是説一旦出現網路安全重大事件,特別是像電力、交通、金融、公共服務、電信這樣的關鍵資訊基礎設施出現了網路安全問題,它的損失可能不是以千萬計,可能是以億計,而且很多時候不是經濟損失,可能會出現人身安全,甚至生命安全的損失。假如説醫院的電力系統被攻破,正在做著手術停電了,這種後果那是和我們老百姓的生命安全相關了。所以,處罰一千萬並不重。
另外,在2016年《網路安全法》之後,2021年我們通過了《個人資訊保護法》,在對一些嚴重的這種情況,它可以罰到五千萬,甚至是違法者上一年營業收入的百分之五以內,這個處罰是更嚴重的。所以這一次《網路安全法》對這個危害關鍵資訊基礎設施的行為的處罰提高了處置的額度,是經過審慎考慮的,是非常科學的,而且也體現出和既有的《個人資訊保護法》《數據安全法》等等的處罰標準的銜接。
我們不要光看到一千萬的處罰額度,還要看到處罰是有一個科學設置的階梯。比如對於一般的危害關鍵資訊基礎設施安全的行為,它有一個處罰。對於喪失局部功能的,又有一種處罰。對於嚴重喪失功能的,那又是一種處罰,它這個處罰是階梯式的。
中國網:修改中新增“網路運營者處理個人資訊,應當遵守本法和《中華人民共和國民法典》《中華人民共和國個人資訊保護法》等法律、行政法規的規定。”這一條款在法律體系銜接上會起到怎樣的作用?從實踐層面看,當網路運營者的同一行為同時違反其中兩部以上法律時,如何確定適用法律?是否存在法律衝突或重復監管的風險?
支振鋒:這個《網路安全法》是基礎性和框架性的立法,但是它是一個體系,這個體系至少包括幾個層面:第一個層面就是像《民法典》《治安管理處罰法》《刑法》這樣的基礎保障性的立法。第二個就是以《網路安全法》為基礎框架的網際網路安全的專門性的立法。第三個層面是其他一些領域的立法,還有行政法規、法律規章等等,它是一個規則體系。
通過這一次這個《網路安全法》的修改,特意強調在個人資訊保護上,不僅要滿足《網路安全法》的要求,那麼還要和《民法典》《個人資訊保護法》進行更好地銜接。因為《民法典》關於個人資訊的保護、個人隱私已經有基礎性的規定,《個人資訊保護法》是保護個人資訊的專門性立法,而《網路安全法》這樣一個修改,就更好的在個人資訊保護這個層面把這些規則體系做一個更好的銜接。同時,也形成了一個基本的分工。比如《民法典》是對個人資訊權益,個人隱私的保護。《個人資訊保護法》是關於個人資訊的體系化的專門的保護的立法。而《網路安全法》通過為保護賦能,提供基礎的網路安全的保護能力。
我們也不用擔心重復監管的問題。因為這個對於《民法典》來講,如果有個人資訊權益被侵害或者隱私被侵害,那麼這些被侵害的公民個體,他是可以通過訴訟的方式去維護自己的合法權益的,主要是民事訴訟。對於《個人資訊保護法》來講,主管主責部門是國家網信部門,它也可以去進行執法。
網路安全的確涉及了一些公安、網信、工信相應的一些主管部門,但是他們之間會有一個協調機制。很多時候我們現在也特別鼓勵聯合執法、聯合檢查,不去過多地干擾到這些市場主體的經營,更好地保護營商環境,同時也能起到很好的一個網路安全執法、監管的作用,很好地去維護網路安全,達到這個目的就好。
中國網:此次新增了“從輕、減輕或不予行政處罰”的三種情形。這一規定體現了怎樣的立法和執法理念?這三種情形適用於哪些網路安全違法行為?
支振鋒:首先,網路安全執法主要還是行政執法和監管。在這個層面上,我們強調激勵相容的理念。處罰不是目的,我們更重要的終極的目的是更好的去維護國家的網路安全。這些年,我們特別強調營商環境的建設,要求首先是法治化的營商環境。所以在2021年修改得《行政處罰法》在第33條就規定了和這一次《網路安全法》修改類似的內容,包括主動減輕危害後果,或者是主觀惡性小,或者説是沒有危害後果等等,有一些這樣的一個從輕或者減輕的機制,它裏邊體現的就是一個首先是懲罰和教育相結合。
所以,這裡邊它是適用的肯定不是所有的網路安全的違法,只能是沒有造成嚴重後果的,沒有很大的主觀惡性的,像這樣的一些輕微的違法行為。如果説造成了非常嚴重的後果,構成犯罪了,那是另外一種情況。通過更寬容的,但是更科學的法律制度的設計,讓這些市場主體願意在網路安全上去投入更多的資源。這個資源包括他採購符合國家法律法規和標準要求的網路的專用産品、設備,還有一些技術或服務,也包括他自己按照法律的要求去完善內部的治理機構,健全內部的治理的制度和規則。通過激勵他在安全上多投入,客觀上就能更好地維護網路安全,處罰就自然就少了。
實際上,在國內外的立法的實踐中有一個機制叫做“安全港”,就是説我給這個市場主體一個條件,如果你滿足這個條件,那就不處罰了。比如説我們在《民法典》上有通知刪除機制。如果被侵害者發現有侵犯他的一些內容,他通知了平臺,平臺及時做了刪除,沒有造成很嚴重的後果,或者沒有造成什麼後果。這種情況下,平臺就不需要承擔責任。這樣的話,第一,就會鼓勵平臺去投入更多的安全資源,去維護好網路安全的工作。第二,在客觀結果上,就會發生更少的違反《網路安全法》的網路安全事件。第三,我們的執法監管部門按照處罰與教育相結合,違法的後果和違法行為相適應的原則,對他進行處罰。這也是整個國家優化營商環境的非常重要的一個方面。
中國網:修改後的第七十七條,明確賦予國務院公安部門及有關部門對境外危害我國網路安全的行為主體採取凍結財産等制裁措施的權力。從法律實踐角度看,這一修改如何體現我國對跨境網路安全威脅的治理升級?
支振鋒:應該説這個修改是針對我們今天網路安全工作領域出現了一些新情況。我們剛才已經提到了,國家有關部門已經公開通緝了境外對我國進行網路攻擊的的案例。實際上,除了網路攻擊之外,也有一些違反網路安全的案件。
網路安全因為它從技術上來講,它就具有全球一體性。因為網路的攻擊,網路的侵入,還有包括網路竊密,網路數據的洩露等等,它可以在全世界任何一個地方都有可能去採取對我們國家安全危害的一些行為。比如説美國特工,他在攻擊我們國家重要的部門,或者重要的關鍵資訊基礎設施,或者重要的資訊系統的時候,它既可以在美國來對我們進行攻擊,也可以通過“跳板”來對我們進行攻擊。那我們如果要更好的維護網路安全,《網路安全法》就必須得在一定程度上對來自域外的網路攻擊也要能夠進行規範,也要能夠進行規制。
在2016年通過的《網路安全法》的第75條已經有相應的規定了。它就講造成關鍵資訊基礎設施等等比較嚴重後果的,國家公安部門會採取一些相應的凍結財産制裁等必要的措施。這次(修改)我們會發現,只要對我們進行了網路攻擊,我們就可以進行追責。如果造成嚴重後果的,我們還可以採取特定的一些必要措施。
這一方面體現出,從技術上,從科學性上我們就認識到網路安全它是來自於全球的,包括來自於域外的,我們都要一體規制,我們要保護網路安全就必須如此。同時,我們也是基於這些年來我們國家網路安全出現了一些事例、案例,一些攻擊性的行為,那麼我們當然要進行域外的規制。
這是符合規律的,也是客觀上有需求的,也是符合今天全世界一個通行做法的。
中國網:沒有更高水準的安全,可能就不能保障更高品質的發展。沒有更高品質的發展,可能也不能夠很好地去保障網路安全,所以期待我們新修改的《網路安全法》在我們網路治理能力建設上發揮更大的作用。感謝支老師為我們分享您的精彩觀點。
支振鋒:我們共同期待。