十四届全国人大常委会第十八次会议于2025年10月28日表决通过关于修改《中华人民共和国网络安全法》的决定，这是该法自2017年实施以来的首次重大修订，将于2026年1月1日起正式施行。

此次修订直面数字时代新挑战，从人工智能治理到数据安全保护，从行政处罚力度到企业合规要求，均作出重要调整，必将对各类网络运营者产生深远影响

变化一：明确党的领导，支持AI技术发展

修订后的《网络安全法》增加了第三条，明确规定：“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。”

同时，新法增加了第二十条，明确“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展”。同时支持“创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平”。

变化二：全面加大违法行为处罚力度

此次修订最显著的变化是全面加大了违法行为的处罚力度，建立了更为严格的阶梯式处罚机制。

对网络运营者

不履行网络安全保护义务的，责令改正，给予警告，可处1万-5万元罚款；

拒不改正或导致危害网络安全后果的，罚款5万-50万元，对直接负责的主管人员和其他直接责任人员处1万-10万元罚款；

造成大量数据泄露、关键信息基础设施丧失局部功能等严重后果的，有关主管部门罚款50万-200万元，对直接负责的主管人员和其他直接责任人员处5万-20万元罚款；

造成关键信息基础设施丧失主要功能等特别严重后果的，罚款200万-1000万元，对直接负责的主管人员和其他直接责任人员处20万-100万元罚款。

对产品和服务提供方

网络产品及服务的提供者若设置恶意程序，或发现安全缺陷、漏洞等风险时，未立即采取补救措施，且未及时告知用户和向主管部门报告，导致严重后果的，将面临50万-200万元罚款；造成特别严重后果的，罚款200万-1000万元。

同时，新法针对销售或提供未经安全认证、安全检测，或安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的行为，专门设置了法律责任条款：

销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处2万-10万元罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。

对网络安全认证、检测、风险评估及信息安全发布等活动

对违反规定开展网络安全认证、检测、风险评估等活动或者向社会发布网络安全信息的行为，完善处置处罚措施：

开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处1万-10万元罚款；拒不改正或者情节严重的，处10万-100万元罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处1万-10万元罚款。

变化三：关键信息基础设施保护再升级

新法进一步完善了针对关键信息基础设施运营者使用未经安全审查或审查未通过的网络产品或服务的法律责任。

在原有的“责令停止使用”基础上，新增“责令限期改正”与“消除对国家安全的影响”两项责任规定，强调对风险的消除和强化国家安全的维护。

变化四：扩大该法的域外适用情形

将适用对象从侵害关键信息基础设施的境外行为扩展至一切危害国家网络安全的境外行为：“境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”

变化五：增加从轻、减轻或者不予行政处罚的规定

根据2021年修订的行政处罚法，增加衔接性规定，明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果、初次违法且危害后果轻微并及时改正或者有证据足以证明没有主观过错等情形的，依法从轻、减轻或者不予行政处罚。

结语

此次网络安全法的重大修订，标志着我国网络安全法律体系迈上新台阶，对加强网络安全工作、健全网络安全管理制度、提升网络安全保障水平具有重要意义。

网络安全是企业可持续发展的基石，面对更加严格的监管环境，各类网络运营者应尽快启动合规评估工作，特别是关键信息基础设施运营者和网络产品服务提供者，需对照新要求全面梳理自身的网络安全合规体系。