作者：张龑（中国人民大学法学院教授、博士生导师‌）

　　“法与时转则治，治与时宜则有功”。2025年10月28日全国人大常委会通过的《中华人民共和国网络安全法》修订案，在即将到来的2026年1月1日正式施行。作为网络安全领域的基本法，网络安全法自施行以来，为维护我国网络空间主权、国家安全和社会公共利益发挥了重大作用。时隔八年，科技革命风起云涌，云计算、物联网、人工智能等新科技将网络空间的内涵与外延不断扩展，数据安全、个人信息安全等立法陆续颁行，大国竞争与地缘政治博弈向网络空间延伸，对网络安全法进行一次全面、系统的修订已是科技时代的当务之急。

　　新修订案的主要内容可以概括为四个强化与一个衔接。一是强化政治引领，新增党对网络安全工作的领导和总体国家安全观的指导地位；二是强化对人工智能安全的前瞻性规制，新增条款鼓励技术创新，同时构建风险监测与伦理规范框架；三是强化法律责任与惩戒力度，系统地调整了罚则体系，深化了网络运营者的主体责任；四是强化网络主权的域外管辖，扩大了对境外危害我国网络安全行为的追责范围。一个衔接则是指与数据安全法、个人信息保护法进行体系上的协同，打造网络安全治理的法治协同体系。

　　然而，作为一部开创性的法律，本身就具有一定的原则性和框架性。坚持党的领导和总体国家安全观明确写入法律是新修订案的最大亮点，指明了网络安全工作的根本遵循和战略方向。如果说2017年时，立法任务侧重于保障网络安全，维护网络空间秩序。新修订案的指导思想更谙网络空间之道，网络空间是整体性、系统性、跨越性的，涉及政治、经济、文化、社会、军事等多个领域，跨越物理与虚拟空间，跨越不同国家，单一部门或地区的各自为战难以有效应对复杂多变的网络威胁，因此，不应将网络安全视为一个孤立的技术或管理问题，而是将其置于总体国家安全的框架之下，突出发展与安全的统筹推进，从根本上提升网络安全工作的政治站位和法律地位。

　　2023年以来，以生成式人工智能为代表的智能科技呈爆发式发展，在赋能千行百业的同时，也带来了前所未有的安全风险。如何在鼓励创新的同时有效管控风险，成为全球性的治理难题。新修订案适时地将人工智能安全治理纳入网络安全法中，第20条明确规定，“国家支持人工智能基础理论研究和算法等关键技术研发”，“完善人工智能伦理规范，加强风险监测评估和安全监管”。这一条款确立了人工智能发展与安全并重的指导原则，为后续制定专门的人工智能法、安全法规、标准和政策提供了上位法依据。立法支持基础理论和关键技术研发，意在鼓励和引导产业界将安全内嵌于AI技术创新的全过程，而非事后补救。加强风险监测评估和安全监管，则意味着将建立起针对AI产品和服务的全生命周期安全监管机制。可以说，新增人工智能条款，是中国在大国竞争中抢占治理制高点、预防化解重大风险的战略之举。

　　网络运营者是网络安全的第一责任人，新修订案并未调整网络运营者的定义，但为了提升其安全责任意识，引入了精细化的“分级分类治理”模式。根据运营者的类型——特别区分了一般网络运营者与关键信息基础设施运营者、数据处理活动的规模和风险等级以及违法行为造成的后果严重程度，来配置差异化、梯度化的法律责任与罚则。如新修订案第61条等条款，将罚款上限大幅提升，并与违法所得、造成后果的严重性挂钩，形成了清晰的处罚梯度。对于侵害关键信息基础设施安全、发生重大数据泄露或个人信息泄露事件等严重或特别严重违法行为，新修订案引入了高额罚款标准，最高可达1000万。对直接负责的主管人员和其他直接责任人员的罚款上限也大幅提高，意在将责任穿透到个人，防止企业将罚款作为经营成本而忽视个人责任。新增第73条规定，违反本法规定但具有行政处罚法规定的从轻、减轻或不予处罚情形的，可依法从宽处理，充分体现了宽严相济原则，在严厉打击严重违法行为的同时，也为主动消除或减轻危害后果、积极配合调查、认真整改的企业提供了合规激励。

　　网络空间和数据流动天然具有跨国性，网络安全威胁往往来自境外。针对这一问题，新修订案第77条带来了两大突破，一是适用范围从危害关键信息基础设施扩展为危害中华人民共和国网络安全。这是一个根本性的扩展，任何来自境外、对我国网络空间安全实施危害行为，无论其目标是否为关键信息基础设施，都被纳入到网络安全法的管辖范围。二是取消了造成严重后果这一前置条件。只要境外实体实施了危害我国网络安全的活动，我国即可依法启动法律程序追究其责任，这大大增强了法律的威慑力和执法的灵活性，实现了对境外网络威胁的“露头就打”。当然，域外执法在实践中面临诸多挑战，但明确清晰的域外效力条款本身就具有强大的宣示和威慑作用。我国的这一修改，是顺应国际立法趋势，运用法律武器维护自身网络空间利益的合理举措。

　　现代社会治理是一个复杂的系统工程，需要以“体系思维”加以应对。网络安全相关的法律法规之间必须相互支撑、协同发力，才能形成最大的治理效能。2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继出台，与网络安全法共同构成了我国网络安全法律体系的“三驾马车”。然而，由于立法时间差异，三法在实践中存在部分概念交叉、责任竞合等问题，需要一部上位的、基础性的法律进行统筹和协调。新修订案的第42条第2款规定，“网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》《中华人民共和国个人信息保护法》等法律、行政法规的规定。”第71条则规定了对数据安全法的引致适用，“对违反个人信息保护、数据跨境流动等规定的行为，依照有关法律、行政法规的规定处理、处罚。”此外，在罚则体系设计上，新修订案也与数据安全法、个人信息保护法中“根据情节轻重分级处罚”的立法逻辑保持一致。可以说，这些新修订的条款，既保留了网络安全法的基础性地位，又尊重了专门立法的特殊性，为执法实践提供了清晰指引。

　　总结来说，本次网络安全法的修订，是中国网络法治建设进程中的一次深刻变革和全面提升，系统地回应了数字智能时代提出的新要求与新挑战，织就了一个更为成熟、精细、严密、有力的网络安全治理之网。新修订案不仅将对国内所有网络运营者，特别是大型互联网平台，产生深远影响，也向国际社会传递了中国坚定维护网络主权、积极参与全球网络空间治理的明确信号。展望未来，随着新修订案的深入实施，我国的网络安全保障能力必将迈上一个新台阶，为网络强国建设、大国科技竞争提供坚实的法治保障。