文章总结： 英国出台《网络安全与弹性法案》，通过扩大监管范围、实施高级管理人员个人追责及严格汇报时限，推动治理向事前预防与主动弹性转变。文章结合案例，建议我国借鉴国际经验，在压实管理层责任、强化过程监管、提升网络弹性及监管技术能力方面深耕，以完善数据安全防护体系。 综合评分： 87 文章分类： 政策法规,网络安全,数据安全

英国《网络安全与弹性法案》深度解析：从严苛责任到主动弹性，全球监管浪潮下的中国启示

内生安全联盟

2025年12月25日 16:24 江苏

在全球数字化转型加速与网络威胁日益复杂的背景下，各国正不断升级其网络安全立法。近日，英国政府正式出台《网络安全与弹性法案》，标志着其网络安全治理理念从事后补救向事前预防、从被动防御向主动弹性的深刻转变。该法案不仅为英国本土设立了更为严苛的网络安全标准，更对全球数字经济治理产生了深远影响。本文旨在深度解析该法案的核心内容，并结合典型数据安全事件，探讨其对中国数据安全与监管责任体系完善的启示。

01

法案核心内容解析：构建“责任明晰、主动防御”的监管新范式

英国的《网络安全与弹性法案》并非孤立的法律条文，而是一个旨在系统性提升国家网络韧性的法律框架。其核心可归结为三大支柱：

1.扩大监管范围，明确“全链条”责任

关键实体界定：法案明确将能源、交通、医疗、金融等对国家运行和社会福祉至关重要的部门定义为“关键实体”。

管理层责任个人化：法案一个显著的特点是引入了高级管理人员责任。这意味着，如果企业因未能遵守网络安全义务而发生重大事件，其董事、CEO等高级管理人员可能面临个人法律追责，包括罚款乃至禁令。这从根本上督促企业领导层将网络安全置于战略核心位置。

引入“关键供应商”概念：监管机构或信息委员会可以指定那些为核心服务运营商、相关数字服务提供商或托管服务提供商提供商品或服务，且其自身网络事故可能对英国经济或社会日常运转造成重大影响的实体为关键供应商，使其同样需要遵守安全要求。

2.强化风险管理与事件报告，强调“主动透明”

强制性网络风险管理：要求受监管实体必须建立并维护健全的网络风险管理框架，以预防网络攻击的发生。这包括定期进行风险评估、实施安全控制措施和制定事件响应计划。

严格的事件报告制度：法案规定了网络安全事件的强制性报告时限。要求受监管实体在意识到符合条件的事件发生后24小时内向监管机构和国家网络安全中心提交初步通知，72小时内提交包含详细信息（如事件性质、影响、原因等）的完整报告。

3.提升国家网络弹性，赋能监管机构

监管权力的强化：法案赋予了监管机构（各行业监管机构和信息委员会）更大的调查与信息获取权、执行与上诉权和财务处罚权。监管机构可以主动对组织进行审计、要求提供信息，并对违规行为处以巨额罚款。（对于严重违规行为，对企业的罚款最高可达1700万英镑或全球营业额的4%（取较高者）；对于特定类型的违规（如未能配合信息通知），罚款上限为1000万英镑。）。

从合规到弹性：法案的目标不仅是让组织“合规”，更是要建立整个国家的“网络弹性”。即系统在遭受攻击后能够持续关键操作并快速恢复的能力，确保社会和经济在危机中保持稳定。

02

结合数据安全事件看监管责任的必要性

回顾近年来的重大数据安全事件，英国《法案》的出台显得尤为必要和及时：

案例启示：英国航空数据泄露事件

2018年，英国航空因网站安全漏洞导致约50万客户的个人和支付数据被窃。ICO最终对其开出了2000万英镑（人民币1.7亿）的罚单。此事件暴露了企业在第三方代码依赖、安全测试和监控方面的严重不足。如果《网络安全与弹性法案》当时已生效，将迫使公司更早、更系统地投入资源修复已知漏洞，从而可能避免事件的发生。

监管责任的演变：

传统监管模式中，责任主体往往是模糊的“公司”，处罚也以罚款为主。而《法案》通过“管理层责任个人化”和“强制报告”，将抽象的“公司责任”转化为具体的“个人责任”，将“事后追责”前置为“过程监管”，极大地提升了法律的威慑力和执行力。

03

对中国数据安全治理的启示与借鉴

我国已构建了以《网络安全法》、《数据安全法》、《个人信息保护法》为核心的“三驾马车”法律体系，奠定了坚实的基础。英国《法案》的出台，为我们提供了进一步深化实践的镜鉴：

1.进一步细化与压实监管责任，特别是管理层责任

我国法律虽已明确网络安全负责人制度，但在追究高级管理人员个人法律责任方面，实践案例相对较少。可借鉴英国经验，在金融、能源、医疗等关键信息基础设施领域，探索建立更清晰、更严格的管理层问责机制，将网络安全绩效与高管履职评价深度绑定。

2.强化“主动、持续”的合规监管模式

当前监管多以专项整治和事后处罚为主。未来可推动监管模式向常态化、过程化转变。例如，鼓励或强制要求关键设施运营者定期提交网络安全风险评估报告和弹性建设计划，由监管机构进行动态监督和指导，而不仅仅是在事件发生后介入。

3.推动“网络弹性”成为核心目标

我国的立法重点目前仍侧重于“防止数据泄露”和“保障系统安全”。下一步，应更加强调“弹性”建设，即承认绝对安全不存在，重点考核组织在遭受攻击后维持核心业务不中断、快速恢复和数据备份的能力。这需要推动各行各业制定并演练切实有效的业务连续性计划。

4.提升监管机构的技术能力与协同效能

英国法案赋予监管机构强大的技术调查权。面对日益复杂的技术挑战，我国的监管机构也需配备更强大的技术团队和检测工具，提升主动发现、分析新型威胁的能力。同时，加强网信、工信、公安及各行业主管部委之间的协同，形成监管合力，避免出现“监管真空”或“标准冲突”。

04

结语

英国《网络安全与弹性法案》代表了全球网络安全立法从原则性规定走向精细化、从严苛化问责的最新趋势。它告诉我们，未来的网络安全不再是单纯的技术问题，而是关乎企业生存、个人职业生涯和国家稳定的核心治理问题。

对于中国而言，在已然领先的法律框架基础上，吸收国际经验，持续在责任压实、监管前移、弹性构建等方面深耕细作，将有助于我们织就更具韧性、更能应对未来挑战的数据安全防护网。

文章作者：魏方丹

山东省法律援助中心涉外法律公共法律服务工作站专家库成员律师

获得：EXIN DPO（Data Protection Officer）数据保护官认证 ；PDPF（Privacy and Data Protection Foundation）隐私和数据保护基础认证；PDPP（Privacy and Data Protection Practitioner）隐私和数据保护实践认证；ISFS（Information Security Foundation based on ISO/IEC 27001）信息安全认证；CCAI企业合规师

来源：涉外公共法律服务工作站

  —  热点文章  —

邬江兴院士——携手建设人工智能时代中国学派 走出不同于西方的人工智能安全治理新路径

第五届网络空间内生安全学术大会发布“AI+生态构建八大安全挑战”

第五届网络空间内生安全学术大会在宁开幕——聚焦AI安全可信应用  为“AI+”产业保驾护航

持续赋能内生安全！第五届网络空间内生安全学术大会暨第八届“强网”拟态防御国际精英挑战赛完美收官

巅峰对决，硬核启幕！第八届“强网”拟态防御国际精英挑战赛正式打响

2025-11-26

第五届网络空间内生安全学术大会－数字生态供应链安全论坛成功举办

2025-12-01

南京紫金山实验室6G安全技术研究斩获新突破

2025-11-30

蓝皮书下载 | 第五届网络空间内生安全学术大会，四本蓝皮书重磅发布

2025-12-05

热点聚焦

HOT！！

邬江兴院士：AI内生安全问题及可信应用系统研究

征稿启事 | 16个热点问题，欢迎来稿！

新书出版 | 邬江兴院士发布最新英文著作

可信内生安全、变结构拟态计算技术等入选“新一代信息工程科技新质生产力技术备选清单（2024）”

迎接网络韧性新时代！第四届网络空间内生安全学术大会暨第七届“强网”拟态防御国际精英挑战赛完美收官

蓝皮书下载 | 第四届网络空间内生安全学术大会，五本蓝皮书重磅发布

正式发布！网络空间内生安全理论和标准体系入选信息通信领域十大科技进展（附手册）

递交2025网信生态高质量发展“开年答卷”  网络通信安全融合生态创新发展大会在宁举行

邬江兴院士为五色石先导班学生授课

邬江兴院士——AI时代内生安全自主知识体系建设的思考

出版啦！南京市网络空间内生安全协会5项团体标准在中国标准出版社正式出版

邬江兴院士 | 破击美欧网络弹性铁幕——基于自主知识技术体系的数字生态系统底层驱动范式变革

喜报！南京市网络空间内生安全协会获评为AAAA等级社会组织！

重磅活动

征集令！“2025年网络空间内生安全优秀案例征集”活动正式启动！

| 往期回顾

AI4E如何重构数字生态系统网络发展范式？

资料下载 | 十五五规划建议全文及说明

尤佳莉, 邬江兴 | 多模态网络环境构建技术研究与发展

工信部：国家重点研发计划”工业软件””智能机器人”等7个重点专项2025年度项目申报开启

“弹性能力”对抗阶段——安全专家分析快手被攻击

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：内生安全联盟 《英国《网络安全与弹性法案》深度解析：从严苛责任到主动弹性，全球监管浪潮下的中国启示》