十四届全国人大常委会第十八次会议10月28日表决通过关于修改网络安全法的决定,自2026年1月1日起施行。
一、新版本将原第十八条调整为第十九条,并删去第二款,原条文中“国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平”的表述,经过升级后移至新增的第二十条,表述为“国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平”。这一变化契合人工智能技术发展所带来的网络安全新挑战与机遇的时代背景,充分体现立法对前沿技术的精准把握与响应。
二、新版本将原第四十条完善为第四十二条,在保留“严格保密”与“建立保护制度”原则性要求的基础上,新增了关键的第二款规定,明确要求网络运营者处理个人信息时须遵守本法和《民法典》、《个人信息保护法》等法律法规。这一修订实现了从原则性要求向体系化合规指引的重要转变,通过法律衔接将散见于不同立法中的个人信息保护规范整合为统一的强制性义务,消除了网络运营者仅满足于形式化制度建设而忽视实质保护责任的“灰色”地带。
三、新版本对第五十九条进行了修改,并对未履行网络安全义务的处罚机制进行了细化和加强,具体体现在以下方面:其一,调整了罚款档次并提升了处罚下限。对于未依法履行网络运行安全保护义务的网络运营者,基础处罚从原先的“给予警告”改为“给予警告,并可处以一万元以上五万元以下罚款”;若仍拒不改正或导致网络安全事故等后果,罚款的上下限均提高五倍,下限从一万元提升至五万元,上限则提高至五十万元。对于关键信息基础设施运营者,处罚下限也由“给予警告”调整为“给予警告,并可处以五万元以上十万元以下罚款”。其二,增设了针对严重后果的加重处罚条款。新版本增加了对“造成大量数据泄露、关键信息基础设施丧失局部功能”等严重危害网络安全后果的,罚款幅度显著提升(最高可达二百万元);针对“丧失主要功能”等特别严重危害网络安全后果的情况,设定了更高的处罚(最高一千万元),并将责任人员范围扩展至“其他直接责任人员”。
五、新版本将第六十一条调整为第六十四条,在违反用户“实名制”的罚则部分,扩展了处罚措施所适用的服务载体。在原有“关闭网站”的基础上,增加了“或者应用程序”这一并列选项,将“应用程序”纳入监管处罚范围,使其与传统“网站”处于同等地位。这一修订确保了在网络服务主体日益移动化、App化的背景下,法律监管能够全面覆盖所有服务形态,杜绝了部分运营者可能利用不同载体逃避监管的侥幸心理。
六、新版本将原第六十二条调整为第六十五条,针对网络安全认证、检测、风险评估及信息安全发布等活动的违规行为,在法律责任层面作出重要修订:其一,建立分级处罚阶梯,降低罚款门槛并提升处罚上限。现行法规对违规行为先行警告,仅在“拒不改正或情节严重的”情况下,才处以一万元以上十万元以下罚款。新版本将此调整为:一旦发现违规,主管部门在责令改正、给予警告的同时,也可直接并处一万元以上十万元以下的罚款。这意味着罚款不再是“升级选项”,而成为初始标准动作。同时,对于“拒不改正或情节严重的”严重情形,罚款幅度从一至十万元大幅提升至十万元以上一百万元以下,显著加大了对恶性违规的经济制裁力度。其二,扩展停业整顿适用范围,完善执法覆盖维度。修订条款在责令暂停相关业务、停业整顿等行政处罚措施中,明确加入“或着应用程序”选项,实现了对网站与应用程序作为网络服务载体的同等监管,堵住了可能因服务载体不同而产生的监管漏洞。其三,加重个人责任追究,强化关键岗位约束。对直接负责的主管人员及其他直接责任人员的罚款上限,由现行规定的五万元提高至十万元,进一步突显“双罚制”下个人法律责任的重要性,增强对决策与执行层面的合规约束力。
七、新版本将第六十五条修订为第六十七条,进一步完善了针对关键信息基础设施运营者使用未经安全审查或审查未通过的网络产品或服务的法律责任。主要修订内容包括强化处置流程,在原有的“责令停止使用”基础上,新增“责令限期改正”与“消除对国家安全的影响”两项,搭建从行为纠正到风险消除的责任链条,进一步强化了对国家安全的底线保障。
八、新版本将原第六十八条及第六十九条的相关内容整合重构为新的第六十九条,实现了对网络运营者信息管理责任与处罚体系的全面升级,主要体现在以下几个维度:首先,在责任体系方面进行了整合升级。新法在原有“停止传输、消除处置、保存记录”义务的基础上,新增了“向有关主管部门报告”的强制性要求,形成了“发现-处置-报告”的完整责任闭环。其次,处罚力度显著提升。新法建立了更为严格的阶梯式处罚机制:对于初步违规行为,在警告的基础上新增“予以通报”的声誉罚,并可直接处以五万元以上五十万元以下的罚款;对于拒不改正或情节严重者,罚款上限由五十万元提升至二百万元,且特别增设了对造成特别严重后果的顶格处罚,罚款幅度高达二百万元以上一千万元以下。最后,责任追究全面深化。在责任主体方面,对直接负责的主管人员和其他责任人员的罚款上限由十万元提高至二十万元,造成特别严重后果的更高达一百万元。
九、新版本将第六十四条、第六十六条及第七十条合并为第七十一条,《个人信息保护法》《数据安全法》及《关键信息基础设施安全保护条例》等相关法律与行政法规,对第六十四条、第六十六条等条款进行了更为详尽的规定。新版本对此进行了统一汇总,并依照相关法律及行政法规的规定执行处罚。
十、新版本将第七十五条修改为第七十七条,扩展了法律威慑范围并降低了追责门槛。核心变化在于,新版本删除了“关键信息基础设施”的限定,将适用范围从保护特定核心设施扩展至全面维护国家网络安全。
十一、新版本增加了四项关键条款,进一步构建了更为严密的网络安全责任体系。其中,针对销售或提供未经安全认证、安全检测,或安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的行为,专门设置了法律责任条款,明确对相关责任方给予警告、没收违法所得,并处以违法所得一倍以上五倍以下的梯度罚款。值得注意的是,新版本规定,违反本法规定但具有《中华人民共和国行政处罚法》规定的从轻、减轻或不予处罚情形的,将依照其规定从轻、减轻或不予处罚。此外,新版本明确规定,网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。同时,对人工智能等新技术的发展与监管作出前瞻性规定,要求统筹推进人工智能技术研发应用与安全监管,充分体现了发展与安全并重的立法理念。
文章参考来源:新华社、全国人大
