譚曉生

中國計(jì)算機(jī)學(xué)會青年計(jì)算機(jī)科技論壇秘書長

2025《全國人民代表大會常務(wù)委員會關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定》已于2026年1月1日起正式施行。此次修改是《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）自2017年6月1日施行以來的首次重大調(diào)整，雖以“小切口”切入，卻在指導(dǎo)原則、技術(shù)治理與責(zé)任體系等關(guān)鍵處“落子”：一方面，新增第三條，進(jìn)一步明確網(wǎng)絡(luò)安全工作“堅(jiān)持中國共產(chǎn)黨的領(lǐng)導(dǎo)，貫徹總體國家安全觀，統(tǒng)籌發(fā)展和安全，推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)”；另一方面，增設(shè)人工智能專條，提出完善人工智能倫理規(guī)范、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測評估與安全監(jiān)管，并強(qiáng)調(diào)“運(yùn)用人工智能等新技術(shù)，提升網(wǎng)絡(luò)安全保護(hù)水平”。更值得關(guān)注的是，本次修改聚焦監(jiān)管執(zhí)法實(shí)踐的“痛點(diǎn)”和“短板”，通過提高違法成本、強(qiáng)化關(guān)鍵環(huán)節(jié)責(zé)任、完善域外追責(zé)與制裁措施，為數(shù)字經(jīng)濟(jì)發(fā)展與國家安全提供更具韌性、更加動態(tài)平衡的法治保障。

一、從“立柱架梁”到“體系牽引”，法律實(shí)施帶動產(chǎn)業(yè)躍升

《網(wǎng)絡(luò)安全法》作為我國第一部全面規(guī)范網(wǎng)絡(luò)安全和信息化的基礎(chǔ)性法律，自實(shí)施以來最顯著的成效在于以法治方式確立網(wǎng)絡(luò)安全治理的基本制度框架，推動網(wǎng)絡(luò)安全從“專項(xiàng)整治”走向“常態(tài)治理”，從“事后補(bǔ)救”走向“體系防護(hù)”。同時(shí)，它在縱向上為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等制度提供上位法依據(jù)；在橫向上與數(shù)據(jù)安全、個(gè)人信息保護(hù)等立法協(xié)同銜接，形成較為系統(tǒng)完備的網(wǎng)絡(luò)安全法律制度體系。其對產(chǎn)業(yè)的“提升”不是某項(xiàng)技術(shù)的單點(diǎn)推動，而是把安全從“自愿建設(shè)”升級為“制度化工程”，并由此拉動供需兩側(cè)同時(shí)升級。

（一）制度奠基：確立網(wǎng)絡(luò)安全治理核心框架

新法從基礎(chǔ)工程、重點(diǎn)防護(hù)、身份管理和內(nèi)容治理四個(gè)方面，系統(tǒng)構(gòu)建了網(wǎng)絡(luò)安全的核心框架。

一是把網(wǎng)絡(luò)安全等級保護(hù)（簡稱“等?！保男袠I(yè)慣例升級為國家基本制度，形成全國統(tǒng)一的安全工程底座。法律明確“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”，并把組織管理、技術(shù)防護(hù)、日志留存、數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等義務(wù)寫進(jìn)條文，帶動大量單位按“定級—建設(shè)—測評—整改—復(fù)測”閉環(huán)常態(tài)化投入。對應(yīng)的標(biāo)準(zhǔn)體系也隨之完善，例如，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239—2019）為工程化落地提供了可檢驗(yàn)的基線。

二是關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱“關(guān)基”）制度化，帶動重點(diǎn)行業(yè)安全建設(shè)進(jìn)入更高強(qiáng)度與更高質(zhì)量階段。法律明確關(guān)基在等?；A(chǔ)上實(shí)行重點(diǎn)保護(hù)，并配套提出安全審查、境內(nèi)存儲與出境評估、年度檢測評估等要求；后續(xù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》落地，使行業(yè)主管部門與運(yùn)營者責(zé)任更清晰，形成更強(qiáng)的行業(yè)牽引力。

三是實(shí)名制與可信身份戰(zhàn)略拉動身份安全、反欺詐與賬號治理市場。對網(wǎng)絡(luò)接入、即時(shí)通信、信息發(fā)布等服務(wù)提出真實(shí)身份要求，并提出網(wǎng)絡(luò)可信身份戰(zhàn)略，助力身份和訪問管理（IAM）、風(fēng)控反欺詐等能力在多行業(yè)落地。

四是平臺信息治理形成“停止傳輸—處置消除—保存記錄—報(bào)告”閉環(huán)，帶動內(nèi)容安全與自動化處置能力成熟。這類要求顯著推動平臺側(cè)內(nèi)容安全技術(shù)（識別、處置、留痕、審計(jì)）、流程與組織化運(yùn)營能力提升。

（二）產(chǎn)業(yè)賦能：拉動供需兩側(cè)協(xié)同升級

法律法規(guī)中的剛性要求，已從合規(guī)基線轉(zhuǎn)化為具體的產(chǎn)業(yè)機(jī)會，驅(qū)動安全能力升級與市場成熟。

一是“留痕可審計(jì)”成為硬要求，直接推動安全運(yùn)營中心、日志審計(jì)、態(tài)勢感知等運(yùn)營能力升級。條文要求“監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)和事件”“留存網(wǎng)絡(luò)日志不少于六個(gè)月”，促進(jìn)日志平臺、安全信息與事件管理系統(tǒng)（SIEM）、告警關(guān)聯(lián)分析、審計(jì)取證等能力成為標(biāo)配。

二是“數(shù)據(jù)安全的工程動作”前置化：分類分級、備份、加密成為建設(shè)必選項(xiàng)。等保條款把“數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密”寫入網(wǎng)絡(luò)運(yùn)營者義務(wù)清單，帶動數(shù)據(jù)分類分級、加密與密鑰管理、備份容災(zāi)、數(shù)據(jù)泄露防護(hù)（DLP）等產(chǎn)品與服務(wù)持續(xù)擴(kuò)張。

三是把網(wǎng)絡(luò)產(chǎn)品和服務(wù)的“漏洞治理與持續(xù)維護(hù)”納入法定義務(wù)，倒逼廠商安全研發(fā)體系化。法律要求產(chǎn)品服務(wù)符合強(qiáng)制性標(biāo)準(zhǔn)、不得設(shè)置惡意程序、發(fā)現(xiàn)缺陷漏洞要補(bǔ)救并報(bào)告并持續(xù)提供安全維護(hù)，直接促成廠商建立產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)（PSIRT）、漏洞響應(yīng)、補(bǔ)丁治理、軟件物料清單（SBOM）、供應(yīng)鏈治理等機(jī)制。

四是安全產(chǎn)品與關(guān)鍵設(shè)備“先認(rèn)證與檢測、后銷售和提供”，促進(jìn)行業(yè)從“拼功能”轉(zhuǎn)向“拼合規(guī)與可驗(yàn)證”。法律確立“認(rèn)證與檢測+目錄管理+結(jié)果互認(rèn)”的框架，帶動檢測認(rèn)證機(jī)構(gòu)體系、測評能力、合規(guī)交付鏈條成熟。

五是應(yīng)急預(yù)案與事件報(bào)告成為法定流程，帶動了“應(yīng)急響應(yīng)產(chǎn)業(yè)”與實(shí)戰(zhàn)化能力成長。法律要求制定應(yīng)急預(yù)案、事件發(fā)生時(shí)立即啟動、采取補(bǔ)救措施并按規(guī)定報(bào)告，客觀上將應(yīng)急響應(yīng)、演練復(fù)盤、取證留痕、處置聯(lián)動變成剛需。

六是加速“社會化網(wǎng)絡(luò)安全服務(wù)體系”成型：測評、認(rèn)證、風(fēng)險(xiǎn)評估、安全運(yùn)維逐步實(shí)現(xiàn)規(guī)范化發(fā)展。法律鼓勵認(rèn)證、檢測、風(fēng)險(xiǎn)評估等社會化服務(wù)；相關(guān)部門推動網(wǎng)絡(luò)安全服務(wù)認(rèn)證體系建設(shè)（覆蓋檢測評估、安全運(yùn)維、安全咨詢、等保測評等），從而促進(jìn)服務(wù)質(zhì)量提升、能力分級明晰與結(jié)果采信機(jī)制完善。

（三）生態(tài)升級：推動產(chǎn)業(yè)邁向成熟軌道

法律的政策牽引與市場的內(nèi)在動力形成雙重驅(qū)動，為網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)的體系化升級與可持續(xù)發(fā)展奠定了堅(jiān)實(shí)基礎(chǔ)。

一是將標(biāo)準(zhǔn)體系、產(chǎn)業(yè)扶持與人才培養(yǎng)寫入法律“支持與促進(jìn)”章節(jié)，形成長期供給側(cè)結(jié)構(gòu)性政策牽引體系。包括標(biāo)準(zhǔn)體系建設(shè)、產(chǎn)業(yè)投入扶持、人才培養(yǎng)、宣傳教育等方面的舉措，為產(chǎn)業(yè)生態(tài)（產(chǎn)學(xué)研用）提供了穩(wěn)定的制度預(yù)期。

二是宏觀層面：產(chǎn)業(yè)從“項(xiàng)目化交付”走向“持續(xù)運(yùn)營+質(zhì)量體系”的成熟軌道，市場規(guī)模持續(xù)擴(kuò)大、產(chǎn)業(yè)生態(tài)不斷完善。“數(shù)說安全”2025年發(fā)布的《2025中國網(wǎng)絡(luò)安全市場年報(bào)》顯示，甲方客戶年度網(wǎng)絡(luò)安全支出在2019年至2020年支出較前一年增長幅度超過20%，產(chǎn)業(yè)發(fā)展進(jìn)入“快車道”，網(wǎng)絡(luò)安全生態(tài)不斷完善。

應(yīng)當(dāng)看到，隨著云計(jì)算、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新技術(shù)新業(yè)態(tài)快速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的外溢性、跨域性顯著增強(qiáng)，原有制度在責(zé)任設(shè)置、執(zhí)法口徑、技術(shù)治理等方面需要適應(yīng)性更新。本次修改正是對新形勢新要求的制度回應(yīng)。

二、本次修改要點(diǎn)

本次修改政策導(dǎo)向更鮮明、技術(shù)治理更突出、責(zé)任體系更嚴(yán)密。

一是指導(dǎo)原則再充實(shí)：將“統(tǒng)籌發(fā)展和安全”寫入法律條文。本次修改新增第三條，明確“堅(jiān)持黨的領(lǐng)導(dǎo)”“總體國家安全觀”“統(tǒng)籌發(fā)展和安全”“推進(jìn)網(wǎng)絡(luò)強(qiáng)國建設(shè)”等根本遵循，進(jìn)一步錨定網(wǎng)絡(luò)安全工作的戰(zhàn)略目標(biāo)。

二是首次增設(shè)人工智能專條：將人工智能技術(shù)發(fā)展納入法治軌道。本次修改新增第二十條，既支持人工智能基礎(chǔ)理論研究與關(guān)鍵技術(shù)研發(fā)、訓(xùn)練數(shù)據(jù)資源與算力等基礎(chǔ)設(shè)施建設(shè)，也強(qiáng)調(diào)完善倫理規(guī)范、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測評估和安全監(jiān)管，并提出“運(yùn)用人工智能等新技術(shù)，提升網(wǎng)絡(luò)安全保護(hù)水平”。這標(biāo)志著人工智能被正式納入網(wǎng)絡(luò)安全法治體系的治理框架，為后續(xù)配套規(guī)則、標(biāo)準(zhǔn)體系與監(jiān)管實(shí)踐預(yù)留了接口。

三是責(zé)任體系更為嚴(yán)厲：處罰分級、直擊要害、提高違法成本。本次修改對法律責(zé)任作出系統(tǒng)性調(diào)整，呈現(xiàn)出“分級分類、寬嚴(yán)相濟(jì)、強(qiáng)化震懾”的特點(diǎn)。在關(guān)鍵條款中，罰款設(shè)置更具階梯性和針對性：例如，對不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的，可處一萬元以上五萬元以下罰款；對造成“大量數(shù)據(jù)泄露、關(guān)鍵信息基礎(chǔ)設(shè)施喪失主要功能”等嚴(yán)重后果的，最高可處二百萬元以上一千萬元以下罰款，并對相關(guān)責(zé)任人員設(shè)置更高幅度處罰。同時(shí)，針對違法信息處置，形成“停止傳輸—處置消除—保存記錄—向主管部門報(bào)告”的責(zé)任閉環(huán)。

四是供應(yīng)鏈與產(chǎn)品安全責(zé)任更明確：對“關(guān)鍵設(shè)備與安全產(chǎn)品”實(shí)施強(qiáng)約束。本次修改新增對“銷售或者提供未經(jīng)安全認(rèn)證、安全檢測或不符合要求的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品”的法律責(zé)任，包括停止銷售、沒收違法所得、罰款，情節(jié)嚴(yán)重的可責(zé)令暫停業(yè)務(wù)、停業(yè)整頓直至吊銷許可或營業(yè)執(zhí)照。這將推動網(wǎng)絡(luò)安全產(chǎn)業(yè)從“拼功能”轉(zhuǎn)向“拼合規(guī)、拼質(zhì)量、拼可驗(yàn)證”，并強(qiáng)化供給側(cè)出廠合規(guī)與全生命周期安全。

五是域外追責(zé)與制裁機(jī)制進(jìn)一步健全：對境外危害行為“依法追責(zé)+必要制裁”。本次修改明確境外機(jī)構(gòu)、組織、個(gè)人從事危害我國網(wǎng)絡(luò)安全的活動，依法追究法律責(zé)任；造成嚴(yán)重后果的，國務(wù)院公安部門和有關(guān)部門可以決定采取凍結(jié)財(cái)產(chǎn)或者其他必要的制裁措施。這不僅回應(yīng)了跨境攻擊、供應(yīng)鏈投毒等現(xiàn)實(shí)威脅，也為我國企業(yè)“出?！碧峁┝烁逦姆ㄖ沃?。

上述修改要點(diǎn)精準(zhǔn)直擊網(wǎng)絡(luò)安全治理與產(chǎn)業(yè)發(fā)展的核心痛點(diǎn)，將從合規(guī)成本、技術(shù)創(chuàng)新、市場準(zhǔn)入、跨境治理等維度，對網(wǎng)絡(luò)安全產(chǎn)業(yè)的格局與發(fā)展產(chǎn)生具體且深遠(yuǎn)的影響。

三、本次修改對產(chǎn)業(yè)的現(xiàn)實(shí)影響

總體看，本次修改將推動產(chǎn)業(yè)從“合規(guī)驅(qū)動”走向“能力驅(qū)動、質(zhì)量驅(qū)動、治理驅(qū)動”發(fā)展。

一是合規(guī)“剛性成本”上升，帶動安全投入從建設(shè)型走向運(yùn)營型。罰則體系更嚴(yán)格、分級更細(xì)化，企業(yè)將更重視“可持續(xù)合規(guī)”而非“一次性過審”。這會直接帶動安全運(yùn)營（監(jiān)測、響應(yīng)、演練、取證、報(bào)告）、風(fēng)險(xiǎn)評估與第三方審計(jì)等服務(wù)需求提升，推動“建設(shè)—運(yùn)營—整改—再評估”的閉環(huán)成為常態(tài)。

二是人工智能安全與人工智能賦能安全雙輪并進(jìn)，催生新一代產(chǎn)品形態(tài)。第二十條反映了“新一代人工智能的迅速發(fā)展帶來了需求與機(jī)遇：修改要點(diǎn)中‘完善人工智能倫理規(guī)范、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測評估’的要求，將直接催生人工智能倫理合規(guī)咨詢、訓(xùn)練數(shù)據(jù)安全審計(jì)、人工智能模型漏洞檢測等新興服務(wù)需求；而‘運(yùn)用人工智能提升網(wǎng)絡(luò)安全保護(hù)水平’的導(dǎo)向，將推動安全廠商研發(fā)智能威脅研判、自動化漏洞修復(fù)、人工智能驅(qū)動的攻防演練等產(chǎn)品，形成‘治理需求+技術(shù)賦能’的雙市場增量”。

三是供應(yīng)鏈安全與“可認(rèn)證、可檢測、可追溯”成為硬門檻。第二十五條對關(guān)鍵設(shè)備與安全專用產(chǎn)品的責(zé)任強(qiáng)化，將倒逼廠商從研發(fā)、測試、交付到運(yùn)維的全鏈條質(zhì)量體系升級；甲方客戶也將帶動檢測認(rèn)證、漏洞治理、供應(yīng)鏈風(fēng)險(xiǎn)評估等第三方服務(wù)市場擴(kuò)容。

四是跨境攻防與域外風(fēng)險(xiǎn)抬升，推動企業(yè)安全治理與出海合規(guī)同步升級。域外追責(zé)與制裁機(jī)制的明確，有助于提升我國對跨境攻擊的威懾與處置能力。對企業(yè)而言，尤其是具備海外業(yè)務(wù)、跨境數(shù)據(jù)流動或海外供應(yīng)鏈依賴的主體，需要更系統(tǒng)地建設(shè)跨境安全治理、事件響應(yīng)與證據(jù)保全能力，適應(yīng)更復(fù)雜的國際合規(guī)環(huán)境。

四、本次修改與國際上同類立法的對比

觀察國際上網(wǎng)絡(luò)安全法律法規(guī)的產(chǎn)業(yè)效應(yīng)，一個(gè)共同趨勢是通過更嚴(yán)格的報(bào)告義務(wù)、治理責(zé)任與問責(zé)機(jī)制，把網(wǎng)絡(luò)安全從“技術(shù)問題”提升為“治理問題、經(jīng)營問題、責(zé)任問題”，由此帶動安全服務(wù)、合規(guī)工具與運(yùn)營體系的成熟。

歐盟的《關(guān)于在歐盟實(shí)現(xiàn)高水平網(wǎng)絡(luò)安全措施的指令》（NIS 2指令）建立了統(tǒng)一法律框架，覆蓋18個(gè)關(guān)鍵行業(yè)并強(qiáng)調(diào)跨境協(xié)同處置。其典型做法是強(qiáng)化事件報(bào)告節(jié)奏與治理要求（在成員國轉(zhuǎn)置過程中普遍體現(xiàn)為“24小時(shí)預(yù)警、72小時(shí)報(bào)告”等機(jī)制），倒逼企業(yè)建立更強(qiáng)的安全運(yùn)營與事件響應(yīng)能力，從而帶動治理、風(fēng)險(xiǎn)與合規(guī)（GRC）以及托管安全服務(wù)、威脅情報(bào)與應(yīng)急響應(yīng)產(chǎn)業(yè)發(fā)展。

美國的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》（CIRCIA）要求通過法規(guī)建立覆蓋實(shí)體的網(wǎng)絡(luò)事件報(bào)告制度，并強(qiáng)調(diào)贖金支付的快速報(bào)告要求（24小時(shí)）。其直接產(chǎn)業(yè)效應(yīng)在于推動企業(yè)建設(shè)更標(biāo)準(zhǔn)化的事件分級、取證留痕、報(bào)告自動化與協(xié)同處置能力，進(jìn)而帶動安全運(yùn)營、應(yīng)急響應(yīng)、取證與合規(guī)工具鏈發(fā)展。對應(yīng)了《網(wǎng)絡(luò)安全法》中多處提到的“報(bào)告”義務(wù)。

對比域外網(wǎng)絡(luò)安全治理體系可以發(fā)現(xiàn)，其制度設(shè)計(jì)與我國在治理理念、監(jiān)管結(jié)構(gòu)與落地路徑上有相似之處，但也需要了解國內(nèi)外在制度上存在若干差異：一是治理目標(biāo)側(cè)重不同。歐美更強(qiáng)調(diào)在市場規(guī)則與公共安全之間做“可量化合規(guī)”的平衡；我國則更突出在國家安全框架下統(tǒng)籌發(fā)展和安全、強(qiáng)調(diào)體系化治理與底線要求。二是監(jiān)管結(jié)構(gòu)不同。歐美多采用跨部門協(xié)調(diào)與行業(yè)監(jiān)管并重、強(qiáng)調(diào)企業(yè)董事會或管理層治理責(zé)任與信息披露約束；我國則更強(qiáng)調(diào)主管部門統(tǒng)籌、行業(yè)主管部門協(xié)同、屬地管理與專項(xiàng)執(zhí)法相結(jié)合。三是合規(guī)抓手不同。歐美以事件報(bào)告時(shí)限、風(fēng)險(xiǎn)管理與披露義務(wù)驅(qū)動“運(yùn)營化合規(guī)”；我國則更依托等級保護(hù)、關(guān)基保護(hù)、產(chǎn)品與服務(wù)安全要求等形成“工程化基線+閉環(huán)整改”。四是對跨境與域外風(fēng)險(xiǎn)的制度響應(yīng)不同。歐美更傾向通過供應(yīng)鏈限制、制裁與高額罰款形成外部約束；我國則更強(qiáng)調(diào)依法追責(zé)與必要反制并舉、強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施與重要網(wǎng)絡(luò)資源的安全韌性。

五、結(jié) 語

《網(wǎng)絡(luò)安全法》的修改以更鮮明的政策導(dǎo)向、更突出的技術(shù)治理思維和更嚴(yán)密的責(zé)任體系，回應(yīng)了數(shù)字時(shí)代網(wǎng)絡(luò)安全風(fēng)險(xiǎn)演進(jìn)的新挑戰(zhàn)。它既通過提高違法成本、健全責(zé)任閉環(huán)增強(qiáng)制度威懾，也通過引入人工智能專條與鼓勵技術(shù)賦能，為產(chǎn)業(yè)創(chuàng)新與治理現(xiàn)代化打開空間。

（本文刊登于《中國信息安全》雜志2026年第2期）