作者:张凯
引 言 数字经济快速发展背景下的网络安全新挑战——从人工智能技术滥用风险到跨境数据流动安全,从移动应用乱象到个人信息泄露隐患,修订内容紧密贴合当前网络空间治理的核心痛点,为网络强国建设筑牢了更为坚实的法治根基。 2025年10月28日,十四届全国人大常委会第十八次会议表决通过《关于修改<中华人民共和国网络安全法>的决定》,自2026年1月1日起正式施行。 这是该法自2017年施行后的首次重大修订,对于广大企业而言,本次修订绝非简单的法律条文调整,而是对企业网络安全与数据合规体系的一次全面重塑。修订所涵盖的五大核心亮点,直接触及企业运营的关键环节,无论是日常的数据处理、技术创新,还是跨境业务拓展、移动应用运营,都将面临全新的合规要求。企业主若未能精准把握这些变化、提前布局应对,不仅可能遭遇高额罚款、业务关停等行政处罚,还可能引发品牌声誉受损、用户流失等连锁反应,甚至让企业陷入生存危机。因此,深入解读修订亮点、预判潜在影响、落实应对措施,已成为当前企业的紧迫任务。 一、强化党对网络安全工作的领导:企业合规的政治遵循与战略定位 修订后单独新增了第三条:“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。”这一修订绝非形式化政治表述,而是将网络安全纳入国家治理核心,从法律层面确立其根本方向与战略定位。数字时代下,网络安全是国家安全的重要组成,企业作为数字经济主力,其安全工作质量直接关乎国家网络安全大局。这一规定将企业责任与国家战略绑定,要求企业摒弃“网络安全是技术部门私事”的认知,将其提升至核心战略层面,与业务发展同步部署推进。 对企业而言,这一修订带来全方位影响。网络安全不再是单纯的技术问题、运营成本等问题,而是必须纳入国家核心战略的法定责任。企业需将国家安全观融入日常管理,如制造企业需覆盖工业互联网生产数据全流程安全,互联网企业需将安全责任融入研发、运营全环节。 这就要企业在制定数据安全、网络安全制度措施时,主动对标国家战略要求,避免因忽视政治站位导致合规漏洞,确保网络安全工作与国家治理方向保持一致。需强调的是,违反这一核心原则可能被认定为“未履行法定安全义务”,影响资质审批、招投标等核心业务。 二、AI首次纳入法律监管:创新与合规需双向并行 本次修订首次将人工智能纳入法律框架,新增第二十条明确“国家支持人工智能基础理论研究和算法等关键技术研发,同时完善伦理规范,加强风险监测评估和安全监管”。这一规定既为企业AI业务发展提供了政策支持,也划定了不可逾越的合规红线。 企业在布局AI业务时,需同步落实三大合规要求:一是训练数据合规,确保数据收集、使用符合《个人信息保护法》等规定,避免使用非法获取或未经授权的数据;二是算法安全评估,建立算法全生命周期管理机制,防范算法歧视、滥用等风险;三是动态风险监测,针对AI应用可能引发的网络安全问题,建立实时监测与应急处置机制。若企业忽视AI合规管理,可能面临监管处罚,甚至影响业务持续开展,唯有实现技术创新与合规管理双向并行,才能在AI赛道行稳致远。 三、违法成本大幅提升:企业与个人双重责任的刚性约束 修订后第六十一条、第六十五条、第六十九条等条款,构建了梯度化、高力度的处罚体系,大幅提升违法成本。 对企业而言,普通网络运营者未履行安全义务,罚款从原1-10万元提至5-50万元;若造成“大量数据泄露、关键信息基础设施局部瘫痪”等严重后果,最高可罚200万元;若导致“关键设施丧失主要功能”等特别严重后果,罚款上限直达1000万元。对关键信息基础设施运营者,处罚标准更为严格,未履行义务且造成严重后果的,同样面临最高1000万元罚款。 更值得注意的是,本次修订强化了个人责任追究:直接负责的主管人员及其他责任人,罚款上限从原5万元提升至100万元,增幅达20倍,同时新增“关闭应用程序”“从业禁止”等处罚措施。这意味着企业网络安全违规不再是“企业买单、个人无责”。如互联网企业CEO因忽视安全导致大规模数据泄露,除企业罚1000万元外,个人可能罚100万元并被从业禁止。故意隐瞒、谎报安全事件的责任人还可能被追究刑事责任。 企业必须摒弃“重业务、轻合规”的侥幸心理,加大安全投入,落实安全义务,否则将面临“企业罚重金、个人丢职位”的双重风险。 四、个人信息保护强化:多法衔接下的全流程合规要求 修订后新增的第四十二条明确:“网络运营者处理个人信息,应当遵守本法和《民法典》《个人信息保护法》等法律、行政法规的规定。”这一规定厘清了法律适用逻辑,形成了个人信息保护的协同治理体系,避免了原法与专门立法的适用冲突。要求企业满足多法合规要求,推动从“被动合规”向“主动合规”转变。 这意味着个人信息保护需贯穿“收集-存储-传输-处理-处置”全流程。收集环节需遵循“合法、正当、必要”原则,明示目的并获得用户主动同意,禁止过度收集与强制授权,如餐饮APP不得强制收集身份证信息。存储环节需采取加密、备份等措施,敏感个人信息需加密存储、专人管理。传输处理环节需遵守跨境规定,关键信息基础设施运营者的个人信息与重要数据优先境内存储,确需出境的需完成安全评估。处置环节需规范销毁流程,及时响应用户删除、更正请求。需强调的是,违规处理个人信息将面临多法追责,包括行政处罚、民事赔偿,情节严重的追究刑事责任,还会损害品牌声誉、导致用户流失。企业必须建立全流程合规体系,确保各环节合法。 五、监管范围扩大:移动应用与跨境业务的合规新挑战 为适应数字经济生态发展,本次修订扩大了监管覆盖范围,垫补原法监管空白,对企业的跨境业务和移动应用运营提出了新的合规要求。 一方面,修订填补移动应用监管空白,将APP、小程序、公众号等纳入监管,把原第六十四条“关闭网站”修改为“关闭网站或者应用程序”,明确移动应用运营者与网站运营者同等安全义务。核心要求是落实用户实名登记,注册时核验真实身份信息,不得为匿名用户提供服务,否则将面临5-50万元罚款,情节严重的吊销许可证、强制下架。同时,运营者需落实数据安全保护,规范APP下载、更新、注销流程。当前监管已加强APP专项整治,企业需定期自查整改,避免处罚。 另一方面,第七十七条扩大了域外适用范围,将原第七十七条“境外主体危害关键设施且造成严重后果”的追责条件,修订为“从事危害我国网络安全活动”即可追责。 这要求业务企业严格遵守我国法律,不得协助境外主体危害我国网络安全。重点落实三项要求:一是遵守数据存储与跨境规定,关键设施运营者的个人信息与重要数据优先境内存储,出境需评估;二是审核境外合作伙伴安全资质,规避风险;三是建立跨境风险监测机制,及时处置问题并向监管报告。如跨境电商未经评估擅自传输中国用户数据,将面临处罚。企业还需关注境外法律,实现“双向合规”,避免业务受阻。 结 语 新《网络安全法》的施行,标志着我国网络安全治理进入严监管、重合规的新阶段。本次修订的五大亮点,从政治遵循、技术监管、责任追究、信息保护、监管范围五个维度,为企业划定了清晰的合规红线。企业需要认识到,网络安全与数据合规已成为企业生存发展的前提条件,而非可选项。 为帮助企业应对变化、防范风险,笔者建议从四方面推进: 1. 合规自查,聘请专业团队梳理数据合规制度、流程、技术漏洞,修订隐私政策、完善应急预案,建立全流程数据合规体系; 2. 加大技术投入,根据业务规模部署加密、身份认证等设施,针对性加强数据评估、跨境传输加密、APP实名验证等技术支撑,定期升级维护; 3. 强化企业员工培训,覆盖法律要点、合规制度、风险应对,重点培训关键岗位,通过案例讲解、模拟演练提升意识与能力; 4. 聚焦重点领域补短板,运营APP需落实实名与备案,跨境业务需梳理数据传输流程并申请相关部门进行数据安全评估,同时建立常态化监测,持续关注政策调整。 总之,新《网络安全法》修订是挑战也是机遇,相关企业唯有将数据合规融入业务全流程,构建完善合规体系,才能在数字经济中安全可持续发展。 声 明 本文仅代表作者观点,不得视为发现律师事务所或其律师出具的正式法律意见或建议。如需转载或引用,请注明出处。
蜀ICP备:17000577号-1