作為網絡安全領域的基礎性法律，《網絡安全法》在施行8年后，首次完成修改。

2025年10月28日，十四屆全國人大常委會第十八次會議審議通過關于修改《網絡安全法》的決定，自2026年1月1日起施行。

適應網絡安全新形勢要求，新修的《網絡安全法》積極回應人工智能（AI）發展與安全問題，增加條款要求支持AI技術創新，加強基礎設施建設和風險防范，促進AI健康發展。

北京師范大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括認為，這在很大程度上指明了未來AI立法的發展方向，具有重要的制度性意義。

南都隱私護衛隊關注到，隨著AI技術的廣泛應用，AI相關的安全事件呈現上升趨勢。國家計算機病毒應急處理中心的一份報告顯示，2024年6月至2025年7月，全球已發生59起AI相關安全事件，較上一年度顯著增加。

北京理工大學計算機學院副教授閆懷志對南都隱私護衛隊表示，諸如AI換臉詐騙等問題暴露了技術治理的滯后性， “《網絡安全法》新增AI條款，正是通過基礎法律層面的框架性規定，為遏制（技術）濫用提供法治依據。”

值得一提的是，此次修法的一大明顯變化是，加大了違法行為的處罰力度。新法明確，關鍵信息基礎設施的運營者未依法履行網絡安全保護義務，造成嚴重后果的，最高將面臨一千萬元的罰款，并會追責到個人，最高可罰一百萬元。

AI時代，創新與安全如何兼顧？網絡安全法新增條款回應

近年來，信息技術日新月異。隨著網絡應用的快速普及，相關安全風險也進一步凸顯，利用網絡從事非法入侵、網絡攻擊、傳播違法信息等行為屢有發生。特別是，AI技術的發展帶來了新的安全挑戰。

根據國家計算機病毒應急處理中心等發布的《網絡空間安全態勢分析報告 (2025)》顯示，2024年6月至2025年7月，全球發生的59起AI相關安全事件中，網絡攻擊占29%、數據安全事件占26%，較上一年度顯著增加。

當前，AI安全領域呈現何種趨勢？綠盟科技解決方案高級經理馬躍強告訴南都隱私護衛隊，AI的快速發展使得傳統網絡安全防御失效加速。攻擊者不再局限于單一漏洞利用，而是通過AI技術放大攻擊效能——如利用大模型生成高度逼真的釣魚郵件。

在數據安全方面，他提到一起典型案例。2025年6月，某商業銀行客服AI因 RAG（檢索增強生成）模塊未凈化抓取內容，導致用戶銀行卡號、身份證號流入訓練庫，被監管部門認定未履行數據最小化義務，要求限期評估整改。

“AI對數據的高度依賴使其成為數據泄露的高危載體，且泄露場景更隱蔽；既包括用戶輸入敏感信息被模型直接輸出，也包括企業內部人員誤用外部大模型導致機密外泄。”馬躍強說。

他還提醒道，AI應用依賴的第三方模板庫、插件、訓練數據等供應鏈組件，正成為攻擊跳板。據Gartner預測，2025年將有60%的企業因AI供應鏈問題遭受業務損失，如第三方插件篡改可導致模型輸出被竊取。

此外，近年來頻發的利用AI造謠、AI換臉詐騙等亂象，也引發了公眾熱議。為更好地適應新形勢發展，自2017年6月1日起施行的《網絡安全法》迎來首次調整。據全國人大介紹，審議期間，有的常委委員和地方、社會公眾提出，當前AI技術快速發展應用，建議在該法中予以積極回應。

對此，新修的《網絡安全法》第二十條規定，“國家支持人工智能基礎理論研究和算法等關鍵技術研發，推進訓練數據資源、算力等基礎設施建設，完善人工智能倫理規范，加強風險監測評估和安全監管，促進人工智能應用和健康發展。”

這是國內首次在基礎性法律層面明確AI安全與發展的框架性規定，或將推動AI治理從局部監管轉向系統性規制。吳沈括對南都隱私護衛隊表示，在《網絡安全法》修改契機，引入AI相關條款，彌補了當下關于AI法治頂層設計缺失的短板，“可以說，在很大程度上為我們指明了未來AI立法的發展方向，具有重要的制度性意義。”

在閆懷志看來，AI技術濫用是技術發展中的伴生風險，需在創新與安全間平衡。諸如AI換臉詐騙等問題暴露了技術治理的滯后性，《網絡安全法》新增條款正是通過基礎法律層面的框架性規定，為遏制技術濫用行為提供法治依據。

新修的《網絡安全法》還明確指出，“國家支持創新網絡安全管理方式，運用人工智能等新技術，提升網絡安全保護水平。”

馬躍強認為，這意味著 AI 在網絡安全領域的應用得到了法律層面的肯定，為網絡安全行業的技術創新、產品研發和實踐落地提供了指引，將推動AI成為未來安全防御體系的核心驅動力。

造成特別嚴重后果的，最高罰一千萬元并追責至個人

《網絡安全法》的修改，最為明顯的變化是強化了法律責任，大幅提高了網絡安全的違法成本。在吳沈括看來，一方面這是出于應對不斷演進的網絡安全形勢的需要；另一方面是為了強化與《數據安全法》《個人信息保護法》等相關法律的銜接，實現法律規則和責任強度的整體協同。

此前，全國人大常委會法工委經濟法室負責人答記者提問時表示，在深入總結網絡領域相關立法實施經驗的基礎上，此次修法重點完善了危害網絡運行安全、網絡產品和服務安全、網絡信息安全行為的法律責任，加大處罰力度。同時，修法堅持分類施策，科學設置不同類型違法行為的法律責任。

以不履行網絡安全保護義務為例，按照新法規定，有關主管部門可對一般的網絡運營者處一萬元以上五萬元以下罰款。對于關鍵信息基礎設施的運營者，其處罰起點則是五萬元，上限為十萬元。

如果企業不履行網絡安全保護義務，還拒不改正或者導致危害網絡安全等后果的，將面臨加倍罰款的處罰，并追究個人責任。一般的網絡運營者將被處五萬元以上五十萬元以下罰款，關鍵信息基礎設施的運營者則將處十萬元以上一百萬元以下罰款；對負有直接責任的個人，都將處一萬元以上十萬元以下罰款。

按照影響范圍和性質，新法還新增了對嚴重后果和特別嚴重后果的加倍處罰機制。其中明確，有前述兩款行為，造成大量數據泄露、關鍵信息基礎設施喪失局部功能等嚴重危害網絡安全后果的，由有關主管部門處五十萬元以上二百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。如果造成關鍵信息基礎設施喪失主要功能等特別嚴重危害網絡安全后果的，則處二百萬元以上一千萬元以下罰款，對直接負責的主管人員和其他直接責任人員處二十萬元以上一百萬元以下罰款。

也就是說，網絡運營者不履行網絡安全保護義務，造成關鍵基礎設施喪失主要功能的特別嚴重后果，最高將面臨一千萬元的罰款，而且個人也要承擔法律責任，最高罰款一百萬元。

此外，新修的《網絡安全法》還明確了多項違法行為的罰則，包括設置惡意程序、產品或服務存在安全缺陷、漏洞等風險未采取任何措施；銷售或提供未經安全認證的網絡關鍵設備和網絡安全專用產品；違規開展網絡安全認證、檢測、風險評估等。總體來看，針對各類違法行為的威懾力與監管細致度顯著增強。

據南都隱私護衛隊了解，新修改的《網絡安全法》將于2026年1月1日起施行。網絡運營者該如何調整以適應新法要求？閆懷志建議，企業需健全合規體系，對照新法升級安全保護措施。尤其是關鍵信息基礎設施運營者，更要強化主體責任，定期開展風險評估，避免因履職不到位受罰。

馬躍強進一步提到，企業要實現網絡安全合規，可從健全安全制度、強化技術防護、落實數據分類保護、做好個人信息保護、建應急響應機制、加強員工培訓教育等方面著手。

具體而言，比如在制定應急預案上，企業應當明確處置流程與分工，遇到安全事件立即處置并報告網安部門。同時定期開展培訓，提升員工安全與合規意識，使其掌握防護技能，避免因操作不當引發安全事故。

出品：南都數字經濟治理研究中心

采寫：南都N視頻記者李玲 發自北京