关键信息基础设施迎“最严”保护？解读新《网络安全法

  中国网：近日，第十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定，自2026年1月1日起施行。这标志着我国网络安全领域基础性法律迎来首次重大修改。此次《网络安全法》的修改，适应网络安全新形势新要求，回应人工智能治理和促进发展的需要，重点强化网络安全法律责任，加强与相关法律的衔接协调。当前，我国网络安全面临哪些新挑战？此次对《网络安全法》做了哪些修改？为何对关键信息基础设施的违背法律规定的行为加大处罚力度？体现了我国对跨境网络安全威胁治理的哪些升级？本期节目，特邀中国社会科学院法学研究所研究员、《网络法治蓝皮书》主编支振锋为广大网友解读。

  中国社会科学院法学研究所研究员支振锋解读新《网络安全法》。（中国网记者 董宁 摄影）

  中国网：此次修正案的总则中，新增一条“网络安全工作坚持中国的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。”这对网络安全工作的顶层设计具有怎样的指导意义？

  支振锋：这次修订这一条是新增加的，是很重要的一个修改，这里面体现出几个维度的考虑。

  第一，中国领导是中国特色社会主义的本质。所以，党的领导是我们把各方面工作做好的一个非常根本性的保障。

  网络安全工作也不例外，特别是今天网络安全工作慢慢的变成了整个社会的基础设施。通信、交通、金融、公共服务甚至是供水、供电、供热、供气等等都是在网络基础设施之上运行的。在这种情况下，强化党的领导、坚持党的领导，能够把网络安全工作各方面力量真正给整合起来，形成一个合力，就是把网络安全工作能够推到一个更高的层次。

  第二，这条修订中特别强调总体国家安全观。我们大家都知道，总体国家安全观是在2014年提出来的，它本身就是适应今天这个变化迅速而且各个安全形势更为复杂的这样一个时代。网络安全作为一种新型的安全，甚至说是一种新型的国家安全，它是总体国家安全观的一个很重要的内涵。

  第三，这一条强调统筹发展和安全。因我们知道统筹发展和安全也是一直强调的。安全是发展的前提，发展是安全的保障，发展和安全这两件大事缺一不可。在2016年4月19日讲话中特别强调，安全是相对的，不是绝对的。所以，我们对安全工作是要以最高的标准、最严肃的态度去强调、去推进，我们希望能够做到一个非常理想的安全状态。

  所以，统筹发展和安全它是有机的、是辩证的。安全是前提，发展是保障，而且我们可以看到是统筹发展和安全，而不是统筹安全和发展。这里面本身也体现出我们一种发展的理念，因为发展是解决我们遇到的很多问题的最好的、最重要的办法。有了更好的网络安全技术和产业，特别是在人工智能新技术、新应用条件之下，这种发展是更高水平，更高质量的发展，结合这些我们就能够真正的去推进网络强国建设，建设网络强国。

  中国网：与2016年通过的《网络安全法》相比，当前我国网络安全形势面临哪些新变化、新挑战？这为此次修法提供了哪些依据或者导向？

  支振锋：2017年6月1日实施的《网络安全法》，本身它在网络安全上起到非常重要的基础性和框架性的作用。它已经很好地维护了国家网络空间的主权安全和发展利益，也为各方主体在网络空间的利益提供到一个很好的保障。

  但是，这些年由于一些像人工智能新技术、新应用不断地研发和创新，并且投入到实践的应用中。同时，我们也看到今天国际环境不确定、难预料因素变得更多、更加复杂。在这种情况之下，我们的网络安全形势客观上讲是更加复杂，维护网络安全工作的困难也在变多。

  比如，我们现在这种网络攻击、网络入侵、网络数据窃取的情况非常多。就在最近，四川有一个县的人社局的系统就受到了病毒的攻击。还有2025年年初，哈尔滨举办第九届亚冬会。亚冬会期间，我国的计算机病毒中心，还有一些网络安全部门就发现，亚冬会的注册系统、抵离境系统、报到系统、报名系统受到了网络攻击。这个网络攻击试图掩藏得很巧妙，总想窃取参加亚冬会的运动员的个人隐私信息，但是这个情况被我们有关部门破获了。

  在2025年8月，中国网络空间安全协会也公布了一些美国对我国重要的设施或者系统、或者部门进行攻击的案例。从数据来看，去年一年，可能还是不完全的统计，美国的一些特殊部门对我国重要的关键信息基础设施、信息系统或者关键部门进行了600多次的网络攻击。客观上讲，我们面临一个更加复杂的（网络环境）。我们大家都知道对手是非常狡猾，而且有一定的水平。

  当前有些人喜欢用国外品牌的手机，其实国外品牌的手机也存在不安全，很容易出现问题。2025年10月，国家安全部门已经公布了，我们破获了美国国家安全局特工对我们“北京时间”授时系统进行攻击的案例。有些工作人员用的是境外某个著名品牌的手机，在几年前美国特工就通过发短信方式给（使用）这个品牌的手机的国家授时中心的工作人员，实际上控制了这些手机。所以，最近几年利用这个系统试图对我们国家的授时中心进行网络攻击。我们知道国家授时中心是很重要的，比如说航天发射是一毫秒都不能错的，一旦授时系统出现问题，可能要出现重大的安全事故，要危害国家安全的。当然对经济的损失也很重要。所以，对国家授时中心的攻击是非常恶劣的。

  现在我们看到这种网络攻击是非常的猖獗，非常的狡猾，可以说很多时候也非常的狠毒。所以，这是我们的确面临的一个新的网络安全的局面。

  在这种情况下，我们就需要对《网络安全法》进行适应性的修正，让它一方面能够去解决今天新技术和新应用发展中出现的一些新型的网络安全问题，同时也让它能够去解决这些来自境外的，当然也有境内的这种大量的网络攻击、网络窃取、网络入侵、数据泄露等一些情况，特别是要保护我们的关键信息基础设施的安全。

  中国网：说到新技术，此次新修改的《网络安全法》中国家关注到了人工智能技术。新增第二十条明确国家支持人工智能的关键技术研发及基础设施建设，同时强调完善伦理规范、加强风险监管，并提出运用人工智能提升网络安全保护水平。将人工智能写进法律的重要性有哪些？？如何理解完善人工智能伦理规范？

  支振锋：这次《网络安全法》的修改就是专门增加了这样一个人工智能健康发展的个条款，它本身也是对二十届三中全会决定里，加强人工智能安全监管这样一个要求的贯彻。

  第一，它强调的是人工智能的安全发展，就是健康发展。可以这么说，在人类历史上有很多非常了不起的技术创新和技术突破，但是很少有能够像人工智能这样和一个国家的整体的经济社会发展、整个国家的竞争力关系这么密切的技术。所以，我们特别强调人工智能的健康发展。

  健康发展也是要分层次的。首先，你得有先进的人工智能新技术、新应用，所以《网络安全法》这次修改就特别强调在人工智能基础理论上，在算法等关键技术上国家要支持它的发展。其次，这个发展要是健康的发展。所以我们就在《网络安全法》修改时提出，要加强人工智能伦理的治理。

  现在我们已经有比较系统的，也在全世界是比较领先的人工智能相关的立法，而且这个立法在我看来已经在一定程度上实现了全周期和全链条的监管。我们有关于算法的、关于深度合成的、关于生成式人工智能的、关于生成式人工智能生成物的标识的。我们已经有四部专门的、具体的针对人工智能某个领域的的规章或者说规范性文件。

  我们的《民法典》《治安管理处罚法》《刑法》等等这些基础的法律本身也是保障人工智能健康发展非常重要的健康法律。更何况我们还有《网络安全法》《数据安全法》《个人信息保护法》《电子商务法》《反电信网络诈骗法》等等这些互联网的专门立法，它也是保障人工智能健康发展的。

  第二个方面，强调伦理治理是因为人工智能它是新技术、新应用，而且是最前沿的，人工智能这个技术的发展本身也是有高度的不确定性，高度的变化之中。未来几年，我们谁也不能保证会不会有新的技术路线的出现，所以这个时候就意味着我们对人工智能进行专门的、统一的、综合性的立法条件是不成熟的。所以我们的祖国通过这种“小快灵”的、问题导向的立法是最科学的，也是最适合的。

  在这种情况之下，我们还要保证安全，安全底线，那就通过伦理来进行治理。确保人工智能既发展得好，又安全保护得好，不会给我们的经济社会发展、给我们的人类福祉带来这种更大的危害。

  这次《网络安全法》的修改，通过增加这个条款，它把我们国家现有的关于这个人工智能安全的、关于网络安全的，跟人工智能有关的网络安全的相关的法律法规、规章、规范性文件，联系在一起，形成一个更加紧密的有逻辑的这样一个体系，同时强调伦理治理。这样的话，就能够实现党中央所要求的推进人工智能健康发展的目标，实现网络强国。

  中国网：此次的修改中对关键信息基础设施运营者的违法行为罚款额度提升至最高一千万元，同时对违法销售或者提供网络关键设备、网络安全专用产品的行为提高罚款标准，并增加规定。为何选择这些领域加大处罚力度？对它加大处罚力度的迫切性和必要性体现在哪些方面？

  支振锋：关键信息基础设施就是，比如手机的电信的通信系统，我们去银行金融系统，我们到政府办事，这种公共服务的一网通办、一门通办，和国计民生相关的这些重要的基础设施或者它的信息系统就是关键信息基础设施。一旦它被侵入，或者大规模的数据泄露，或者功能丧失，就会严重地影响到国计民生，影响到公共利益，影响到人民群众的切身利益，影响到国家安全。

  对关键信息基础设施和信息系统的保护，一直是世界各国网络安全立法的一个很重要的重点。我们2016年通过的《网络安全法》里面本身就强调对关键信息基础设施的保护。这次修改主要是强调几点：第一，出了问题“过罚相当”，提高处罚的标准。第二，强调了网络安全的关键产品、专用产品，还有包括对服务的要求。采购的时候要进行特殊的规制，提出更高标准的要求，而且要进行网络安全审查。

  这一次《网络安全法》的修改就特别对这一点进行强调，体现出关键信息基础设施越来越关键，对国计民生越来越重要了。

  支振锋：听起来很多。其实我们国家在立法中对这种经济处罚已经是非常谨慎了。在国外是出现过，比如说前一段时间欧洲很多地方大停电，很多的研究和披露，大概率它里面有网络安全的因素。也就是说一旦出现网络安全重大事件，特别是像电力、交通、金融、公共服务、电信这样的关键信息基础设施出现了网络安全问题，它的损失可能不是以千万计，可能是以亿计，而且很多时候不是经济损失，可能会出现人身安全，甚至生命安全的损失。假如说医院的电力系统被攻破，正在做着手术停电了，这种后果那是和我们老百姓的生命安全相关了。所以，处罚一千万并不重。

  另外，在2016年《网络安全法》之后，2021年我们通过了《个人信息保护法》，在对一些严重的这种情况，它可以罚到五千万，甚至是违法者上一年营业收入的百分之五以内，这个处罚是更严重的。所以这一次《网络安全法》对这个危害关键信息基础设施的行为的处罚提高了处置的额度，是经过审慎考虑的，是非常科学的，而且也体现出和既有的《个人信息保护法》《数据安全法》等等的处罚标准的衔接。

  我们不要光看到一千万的处罚额度，还要看到处罚是有一个科学设置的阶梯。比如对于一般的危害关键信息基础设施安全的行为，它有一个处罚。对于丧失局部功能的，又有一种处罚。对于严重丧失功能的，那又是一种处罚，它这个处罚是阶梯式的。

  中国网：修改中新增“网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律、行政法规的规定。”这一条款在法律体系衔接上会起到怎样的作用？从实践层面看，当网络运营者的同一行为同时违反其中两部以上法律时，如何确定适用法律？是否存在法律冲突或重复监管的风险？

  支振锋：这个《网络安全法》是基础性和框架性的立法，但是它是一个体系，这个体系至少包括几个层面：第一个层面就是像《民法典》《治安管理处罚法》《刑法》这样的基础保障性的立法。第二个就是以《网络安全法》为基础框架的互联网安全的专门性的立法。第三个层面是其他一些领域的立法，还有行政法规、法律规章等等，它是一个规则体系。

  通过这一次这个《网络安全法》的修改，特意强调在个人信息保护上，不仅要满足《网络安全法》的要求，那么还要和《民法典》《个人信息保护法》进行更好地衔接。因为《民法典》关于个人信息的保护、个人隐私已经有基础性的规定，《个人信息保护法》是保护个人信息的专门性立法，而《网络安全法》这样一个修改，就更好的在个人信息保护这个层面把这些规则体系做一个更好的衔接。同时，也形成了一个基本的分工。比如《民法典》是对个人信息权益，个人隐私的保护。《个人信息保护法》是关于个人信息的体系化的专门的保护的立法。而《网络安全法》通过为保护赋能，提供基础的网络安全的保护能力。

  我们也不用担心重复监管的问题。因为这个对于《民法典》来讲，如果有个人信息权益被侵害或者隐私被侵害，那么这些被侵害的公民个体，他是可以通过诉讼的方式去维护自己的合法权益的，主要是民事诉讼。对于《个人信息保护法》来讲，主管主责部门是国家网信部门，它也可以去进行执法。

  网络安全的确涉及了一些公安、网信、工信相应的一些主管部门，但是他们之间会有一个协调机制。很多时候我们现在也特别鼓励联合执法、联合检查，不去过多地干扰到这些市场主体的经营，更好地保护营商环境，同时也能起到很好的一个网络安全执法、监管的作用，很好地去维护网络安全，达到这个目的就好。

  中国网：此次新增了“从轻、减轻或不予行政处罚”的三种情形。这一规定体现了怎样的立法和执法理念？这三种情形适用于哪些网络安全违法行为？

  支振锋：首先，网络安全执法主要还是行政执法和监管。在这个层面上，我们强调激励相容的理念。处罚不是目的，我们更重要的终极的目的是更好的去维护国家的网络安全。这些年，我们特别强调营商环境的建设，要求首先是法治化的营商环境。所以在2021年修改得《行政处罚法》在第33条就规定了和这一次《网络安全法》修改类似的内容，包括主动减轻危害后果，或者是主观恶性小，或者说是没有危害后果等等，有一些这样的一个从轻或者减轻的机制，它里边体现的就是一个首先是惩罚和教育相结合。

  所以，这里边它是适用的肯定不是所有的网络安全的违法，只能是没有造成严重后果的，没有很大的主观恶性的，像这样的一些轻微的违法行为。如果说造成了非常严重的后果，构成犯罪了，那是另外一种情况。通过更宽容的，但是更科学的法律制度的设计，让这些市场主体愿意在网络安全上去投入更多的资源。这个资源包括他采购符合国家法律法规和标准要求的网络的专用产品、设备，还有一些技术或服务，也包括他自己按照法律的要求去完善内部的治理机构，健全内部的治理的制度和规则。通过激励他在安全上多投入，客观上就能更好地维护网络安全，处罚就自然就少了。

  实际上，在国内外的立法的实践中有一个机制叫做“安全港”，就是说我给这个市场主体一个条件，如果你满足这个条件，那就不处罚了。比如说我们在《民法典》上有通知删除机制。如果被侵害者发现有侵犯他的一些内容，他通知了平台，平台及时做了删除，没有造成很严重的后果，或者没有造成什么后果。这种情况下，平台就不需要承担责任。这样的话，第一，就会鼓励平台去投入更多的安全资源，去维护好网络安全的工作。第二，在客观结果上，就会发生更少的违反《网络安全法》的网络安全事件。第三，我们的执法监管部门按照处罚与教育相结合，违法的后果和违法行为相适应的原则，对他进行处罚。这也是整个国家优化营商环境的非常重要的一个方面。

  中国网：修改后的第七十七条，明确赋予国务院公安部门及有关部门对境外危害我国网络安全的行为主体采取冻结财产等制裁措施的权力。从法律实践角度看，这一修改如何体现我国对跨境网络安全威胁的治理升级？

  支振锋：应该说这个修改是针对我们今天网络安全工作领域出现了一些新情况。我们刚才已经提到了，国家有关部门已经公开通缉了境外对我国进行网络攻击的的案例。实际上，除了网络攻击之外，也有一些违反网络安全的案件。

  网络安全因为它从技术上来讲，它就具有全球一体性。因为网络的攻击，网络的侵入，还有包括网络窃密，网络数据的泄露等等，它可以在整个世界任何一个地方都有可能去采取对我们国家安全危害的一些行为。比如说美国特工，他在攻击我们国家重要的部门，或者重要的关键信息基础设施，或者重要的信息系统的时候，它既可以在美国来对我们进行攻击，也可以通过“跳板”来对我们进行攻击。那我们如果要更好的维护网络安全，《网络安全法》就必须得在某些特定的程度上对来自域外的网络攻击也要能够进行规范，也要能够进行规制。

  在2016年通过的《网络安全法》的第75条已经有相应的规定了。它就讲造成关键信息基础设施等等比较严重后果的，国家公安部门会采取一些相应的冻结财产制裁等必要的措施。这次（修改）我们会发现，只要对我们进行了网络攻击，我们就可以进行追责。如果造成严重后果的，我们还可以采取特定的一些必要措施。

  这一方面体现出，从技术上，从科学性上我们就认识到网络安全它是来自于全球的，包括来自于域外的，我们都要一体规制，我们要保护网络安全就必须如此。同时，我们也是基于这些年来我们的祖国网络安全出现了一些事例、案例，一些攻击性的行为，那么我们当然要进行域外的规制。

  中国网：没有更高水平的安全，可能就不能保障更高质量的发展。没有更高质量的发展，可能也不能够很好地去保障网络安全，所以期待我们新修改的《网络安全法》在我们网络治理能力建设上发挥更大的作用。感谢支老师为我们分享您的精彩观点。