專題·原創 | 以法治引領網絡強國建設與產業高質量發展

譚曉生

中國計算機學會青年計算機科技論壇秘書長

2025《全國人民代表大會常務委員會關于修改〈中華人民共和國網絡安全法〉的決定》已于2026年1月1日起正式施行。此次修改是《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）自2017年6月1日施行以來的首次重大調整，雖以“小切口”切入，卻在指導原則、技術治理與責任體系等關鍵處“落子”：一方面，新增第三條，進一步明確網絡安全工作“堅持中國共產黨的領導，貫徹總體國家安全觀，統籌發展和安全，推進網絡強國建設”；另一方面，增設人工智能專條，提出完善人工智能倫理規范、加強風險監測評估與安全監管，并強調“運用人工智能等新技術，提升網絡安全保護水平”。更值得關注的是，本次修改聚焦監管執法實踐的“痛點”和“短板”，通過提高違法成本、強化關鍵環節責任、完善域外追責與制裁措施，為數字經濟發展與國家安全提供更具韌性、更加動態平衡的法治保障。

一、從“立柱架梁”到“體系牽引”，法律實施帶動產業躍升

《網絡安全法》作為我國第一部全面規范網絡安全和信息化的基礎性法律，自實施以來最顯著的成效在于以法治方式確立網絡安全治理的基本制度框架，推動網絡安全從“專項整治”走向“常態治理”，從“事后補救”走向“體系防護”。同時，它在縱向上為關鍵信息基礎設施保護等制度提供上位法依據；在橫向上與數據安全、個人信息保護等立法協同銜接，形成較為系統完備的網絡安全法律制度體系。其對產業的“提升”不是某項技術的單點推動，而是把安全從“自愿建設”升級為“制度化工程”，并由此拉動供需兩側同時升級。

（一）制度奠基：確立網絡安全治理核心框架

新法從基礎工程、重點防護、身份管理和內容治理四個方面，系統構建了網絡安全的核心框架。

一是把網絡安全等級保護（簡稱“等保”）從行業慣例升級為國家基本制度，形成全國統一的安全工程底座。法律明確“國家實行網絡安全等級保護制度”，并把組織管理、技術防護、日志留存、數據分類、重要數據備份和加密等義務寫進條文，帶動大量單位按“定級—建設—測評—整改—復測”閉環常態化投入。對應的標準體系也隨之完善，例如，《信息安全技術網絡安全等級保護基本要求》（GB/T 22239—2019）為工程化落地提供了可檢驗的基線。

二是關鍵信息基礎設施（以下簡稱“關基”）制度化，帶動重點行業安全建設進入更高強度與更高質量階段。法律明確關基在等保基礎上實行重點保護，并配套提出安全審查、境內存儲與出境評估、年度檢測評估等要求；后續《關鍵信息基礎設施安全保護條例》落地，使行業主管部門與運營者責任更清晰，形成更強的行業牽引力。

三是實名制與可信身份戰略拉動身份安全、反欺詐與賬號治理市場。對網絡接入、即時通信、信息發布等服務提出真實身份要求，并提出網絡可信身份戰略，助力身份和訪問管理（IAM）、風控反欺詐等能力在多行業落地。

四是平臺信息治理形成“停止傳輸—處置消除—保存記錄—報告”閉環，帶動內容安全與自動化處置能力成熟。這類要求顯著推動平臺側內容安全技術（識別、處置、留痕、審計）、流程與組織化運營能力提升。

（二）產業賦能：拉動供需兩側協同升級

法律法規中的剛性要求，已從合規基線轉化為具體的產業機會，驅動安全能力升級與市場成熟。

一是“留痕可審計”成為硬要求，直接推動安全運營中心、日志審計、態勢感知等運營能力升級。條文要求“監測、記錄網絡運行狀態和事件”“留存網絡日志不少于六個月”，促進日志平臺、安全信息與事件管理系統（SIEM）、告警關聯分析、審計取證等能力成為標配。

二是“數據安全的工程動作”前置化：分類分級、備份、加密成為建設必選項。等保條款把“數據分類、重要數據備份和加密”寫入網絡運營者義務清單，帶動數據分類分級、加密與密鑰管理、備份容災、數據泄露防護（DLP）等產品與服務持續擴張。

三是把網絡產品和服務的“漏洞治理與持續維護”納入法定義務，倒逼廠商安全研發體系化。法律要求產品服務符合強制性標準、不得設置惡意程序、發現缺陷漏洞要補救并報告并持續提供安全維護，直接促成廠商建立產品安全事件響應團隊（PSIRT）、漏洞響應、補丁治理、軟件物料清單（SBOM）、供應鏈治理等機制。

四是安全產品與關鍵設備“先認證與檢測、后銷售和提供”，促進行業從“拼功能”轉向“拼合規與可驗證”。法律確立“認證與檢測+目錄管理+結果互認”的框架，帶動檢測認證機構體系、測評能力、合規交付鏈條成熟。

五是應急預案與事件報告成為法定流程，帶動了“應急響應產業”與實戰化能力成長。法律要求制定應急預案、事件發生時立即啟動、采取補救措施并按規定報告，客觀上將應急響應、演練復盤、取證留痕、處置聯動變成剛需。

六是加速“社會化網絡安全服務體系”成型：測評、認證、風險評估、安全運維逐步實現規范化發展。法律鼓勵認證、檢測、風險評估等社會化服務；相關部門推動網絡安全服務認證體系建設（覆蓋檢測評估、安全運維、安全咨詢、等保測評等），從而促進服務質量提升、能力分級明晰與結果采信機制完善。

（三）生態升級：推動產業邁向成熟軌道

法律的政策牽引與市場的內在動力形成雙重驅動，為網絡安全產業生態的體系化升級與可持續發展奠定了堅實基礎。

一是將標準體系、產業扶持與人才培養寫入法律“支持與促進”章節，形成長期供給側結構性政策牽引體系。包括標準體系建設、產業投入扶持、人才培養、宣傳教育等方面的舉措，為產業生態（產學研用）提供了穩定的制度預期。

二是宏觀層面：產業從“項目化交付”走向“持續運營+質量體系”的成熟軌道，市場規模持續擴大、產業生態不斷完善。“數說安全”2025年發布的《2025中國網絡安全市場年報》顯示，甲方客戶年度網絡安全支出在2019年至2020年支出較前一年增長幅度超過20%，產業發展進入“快車道”，網絡安全生態不斷完善。

應當看到，隨著云計算、工業互聯網、車聯網、人工智能等新技術新業態快速發展，網絡安全風險的外溢性、跨域性顯著增強，原有制度在責任設置、執法口徑、技術治理等方面需要適應性更新。本次修改正是對新形勢新要求的制度回應。

二、本次修改要點

本次修改政策導向更鮮明、技術治理更突出、責任體系更嚴密。

一是指導原則再充實：將“統籌發展和安全”寫入法律條文。本次修改新增第三條，明確“堅持黨的領導”“總體國家安全觀”“統籌發展和安全”“推進網絡強國建設”等根本遵循，進一步錨定網絡安全工作的戰略目標。

二是首次增設人工智能專條：將人工智能技術發展納入法治軌道。本次修改新增第二十條，既支持人工智能基礎理論研究與關鍵技術研發、訓練數據資源與算力等基礎設施建設，也強調完善倫理規范、加強風險監測評估和安全監管，并提出“運用人工智能等新技術，提升網絡安全保護水平”。這標志著人工智能被正式納入網絡安全法治體系的治理框架，為后續配套規則、標準體系與監管實踐預留了接口。

三是責任體系更為嚴厲：處罰分級、直擊要害、提高違法成本。本次修改對法律責任作出系統性調整，呈現出“分級分類、寬嚴相濟、強化震懾”的特點。在關鍵條款中，罰款設置更具階梯性和針對性：例如，對不履行網絡安全保護義務的，可處一萬元以上五萬元以下罰款；對造成“大量數據泄露、關鍵信息基礎設施喪失主要功能”等嚴重后果的，最高可處二百萬元以上一千萬元以下罰款，并對相關責任人員設置更高幅度處罰。同時，針對違法信息處置，形成“停止傳輸—處置消除—保存記錄—向主管部門報告”的責任閉環。

四是供應鏈與產品安全責任更明確：對“關鍵設備與安全產品”實施強約束。本次修改新增對“銷售或者提供未經安全認證、安全檢測或不符合要求的網絡關鍵設備和網絡安全專用產品”的法律責任，包括停止銷售、沒收違法所得、罰款，情節嚴重的可責令暫停業務、停業整頓直至吊銷許可或營業執照。這將推動網絡安全產業從“拼功能”轉向“拼合規、拼質量、拼可驗證”，并強化供給側出廠合規與全生命周期安全。

五是域外追責與制裁機制進一步健全：對境外危害行為“依法追責+必要制裁”。本次修改明確境外機構、組織、個人從事危害我國網絡安全的活動，依法追究法律責任；造成嚴重后果的，國務院公安部門和有關部門可以決定采取凍結財產或者其他必要的制裁措施。這不僅回應了跨境攻擊、供應鏈投毒等現實威脅，也為我國企業“出海”提供了更清晰的法治支撐。

上述修改要點精準直擊網絡安全治理與產業發展的核心痛點，將從合規成本、技術創新、市場準入、跨境治理等維度，對網絡安全產業的格局與發展產生具體且深遠的影響。

三、本次修改對產業的現實影響

總體看，本次修改將推動產業從“合規驅動”走向“能力驅動、質量驅動、治理驅動”發展。

一是合規“剛性成本”上升，帶動安全投入從建設型走向運營型。罰則體系更嚴格、分級更細化，企業將更重視“可持續合規”而非“一次性過審”。這會直接帶動安全運營（監測、響應、演練、取證、報告）、風險評估與第三方審計等服務需求提升，推動“建設—運營—整改—再評估”的閉環成為常態。

二是人工智能安全與人工智能賦能安全雙輪并進，催生新一代產品形態。第二十條反映了“新一代人工智能的迅速發展帶來了需求與機遇：修改要點中‘完善人工智能倫理規范、加強風險監測評估’的要求，將直接催生人工智能倫理合規咨詢、訓練數據安全審計、人工智能模型漏洞檢測等新興服務需求；而‘運用人工智能提升網絡安全保護水平’的導向，將推動安全廠商研發智能威脅研判、自動化漏洞修復、人工智能驅動的攻防演練等產品，形成‘治理需求+技術賦能’的雙市場增量”。

三是供應鏈安全與“可認證、可檢測、可追溯”成為硬門檻。第二十五條對關鍵設備與安全專用產品的責任強化，將倒逼廠商從研發、測試、交付到運維的全鏈條質量體系升級；甲方客戶也將帶動檢測認證、漏洞治理、供應鏈風險評估等第三方服務市場擴容。

四是跨境攻防與域外風險抬升，推動企業安全治理與出海合規同步升級。域外追責與制裁機制的明確，有助于提升我國對跨境攻擊的威懾與處置能力。對企業而言，尤其是具備海外業務、跨境數據流動或海外供應鏈依賴的主體，需要更系統地建設跨境安全治理、事件響應與證據保全能力，適應更復雜的國際合規環境。

四、本次修改與國際上同類立法的對比

觀察國際上網絡安全法律法規的產業效應，一個共同趨勢是通過更嚴格的報告義務、治理責任與問責機制，把網絡安全從“技術問題”提升為“治理問題、經營問題、責任問題”，由此帶動安全服務、合規工具與運營體系的成熟。

歐盟的《關于在歐盟實現高水平網絡安全措施的指令》（NIS 2指令）建立了統一法律框架，覆蓋18個關鍵行業并強調跨境協同處置。其典型做法是強化事件報告節奏與治理要求（在成員國轉置過程中普遍體現為“24小時預警、72小時報告”等機制），倒逼企業建立更強的安全運營與事件響應能力，從而帶動治理、風險與合規（GRC）以及托管安全服務、威脅情報與應急響應產業發展。

美國的《關鍵基礎設施網絡事件報告法案》（CIRCIA）要求通過法規建立覆蓋實體的網絡事件報告制度，并強調贖金支付的快速報告要求（24小時）。其直接產業效應在于推動企業建設更標準化的事件分級、取證留痕、報告自動化與協同處置能力，進而帶動安全運營、應急響應、取證與合規工具鏈發展。對應了《網絡安全法》中多處提到的“報告”義務。

對比域外網絡安全治理體系可以發現，其制度設計與我國在治理理念、監管結構與落地路徑上有相似之處，但也需要了解國內外在制度上存在若干差異：一是治理目標側重不同。歐美更強調在市場規則與公共安全之間做“可量化合規”的平衡；我國則更突出在國家安全框架下統籌發展和安全、強調體系化治理與底線要求。二是監管結構不同。歐美多采用跨部門協調與行業監管并重、強調企業董事會或管理層治理責任與信息披露約束；我國則更強調主管部門統籌、行業主管部門協同、屬地管理與專項執法相結合。三是合規抓手不同。歐美以事件報告時限、風險管理與披露義務驅動“運營化合規”；我國則更依托等級保護、關基保護、產品與服務安全要求等形成“工程化基線+閉環整改”。四是對跨境與域外風險的制度響應不同。歐美更傾向通過供應鏈限制、制裁與高額罰款形成外部約束；我國則更強調依法追責與必要反制并舉、強化關鍵信息基礎設施與重要網絡資源的安全韌性。

五、結 語

《網絡安全法》的修改以更鮮明的政策導向、更突出的技術治理思維和更嚴密的責任體系，回應了數字時代網絡安全風險演進的新挑戰。它既通過提高違法成本、健全責任閉環增強制度威懾，也通過引入人工智能專條與鼓勵技術賦能，為產業創新與治理現代化打開空間。

（本文刊登于《中國信息安全》雜志2026年第2期）