文章总结： 本文评述《网络安全法》修订，明确2026年起实施。主要变更包括大幅提高罚款至千万级、扩大域外管辖权及明确法律衔接，标志着网络安全执法进入严管的2.0时代，显著提升企业违法成本。文章建议企业尽快开展合规体检，严格落实日常安全义务，并建立健全监管应对机制以应对新法挑战。 综合评分： 94 文章分类： 政策法规,网络安全,安全建设

汇业研究 | 网络安全执法进入2.0时代——简评《网络安全法》修改及其影响

原创

李天航

网数与人工智能法律实务

2025年12月31日 11:55 上海

作为网数合规领域三驾马车之一的《中华人民共和国网络安全法》（以下简称《网络安全法》）是我国第一部系统性规范网络空间安全的基础性法律。该法于2016年11月7日经第十二届全国人民代表大会常务委员会第二十四次会议通过，并于2017年6月1日起正式施行。《网络安全法》的出台，标志着我国网络安全治理进入全面化、系统化、法治化、制度化阶段，确立了网络运营者安全义务、网络产品和服务安全要求、关键信息基础设施（以下简称“关基”）保护以及网络违法行为法律责任等基本制度。

此次《网络安全法》修改历经2022年9月14日和2025年3月28日两次征求意见，并于2025年10月28日经全国人大常委会审议通过。征求意见稿与正式稿的立法思路由最初侧重“重罚震慑”，逐步发展为“在提高处罚力度的同时，构建精准分级、容错协同、多法衔接的系统化治理框架”。修改后的《网络安全法》将于2026年1月1日起正式施行。此次修改增加2条和1款、删除1款、实质性修改17条，对主体内容未作实质性改动，修改主要集中在法律责任一章，以提高、完善不履行法定义务的处罚力度，企业的违法成本将进一步提高，预示着网络安全执法将进入2.0时代。

一、主要修改内容

除了在总则部分新增了党的领导以及人工智能治理的总体原则，在个人信息处理方面明确了与《民法典》《个人信息保护法》的衔接，重点修改在法律责任部分。

（一）提高处罚力度

1.提高了处罚上限，最高达千万。区分造成关键信息基础设施丧失情况，以及网络运营者违反信息内容安全管理义务或者电子信息发送服务提供者、应用软件下载服务提供者违反义务情况，最高处1000万元罚款，对直接负责的主管人员和其他直接责任人员处最高100万元罚款。

2.增加处罚内容。增设了对销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的处罚，最高处10万元或者违法所得5倍罚款（就高处罚）。与网络关键设备和网络安全专用产品强制认证制度相匹配。

3.加大了各档次的处罚力度。特别是第一档处罚，除第64条（原61条）外，在原最低档次处“责令改正并处警告”的基础上，增加了可以并处罚款的规定。其次，扩大了“双罚制”中对“人”的处罚范围，除第62条（原60条）外统一改为处罚“直接负责的主管人员和其他直接责任人员”。第三，在关闭网站基础上增加了关闭应用程序的处罚手段。

4.加大了对关基的保护力度。除加大对关基危害行为以及关基运营者违反义务的处罚力度外，还对关基运营者“使用未经安全审查或者安全审查未通过的网络产品或者服务”的，在原来“责令停止使用”的基础上明确要求“责令限期整改、消除对国家安全的影响”。

总体而言，修改后的处罚呈现四级梯度，坚持分类分级、精准施策，体现了更加科学的治理逻辑。

（二）其他重要修改

1.明确与其他法律的衔接。首先，在个人信息保护和数据安全领域，明确由《民法典》、《个人信息保护法》及《数据安全法》进行规制，本法不再做重复具体规定，同时，在法律责任方面也将涉及上述领域的处罚转引至相关法律进行处理。其次，强化与《刑法》和《治安管理处罚法》的衔接。《治安管理处罚法》已于2025年6月27日予以修改，并于2026年1月1日起正式实施，其修改的第33、55、56、80条，分别对应了《网络安全法》中的相关合规义务，填补了未达到刑事处罚标准行为的处罚空白。

2.增加从轻处罚的规定。修改后的《网络安全法》与《行政处罚法》相衔接，明确了适用从轻、减轻或者不予处罚的规定。

3.扩大了域外管辖的适用范围。将域外管辖的条件从“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的”，修改为“境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的”，降低了域外管辖的适用门槛。同时处罚措施明确为“造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”

二、影响

1.网络安全执法将进入2.0时代。此次修改主要集中在法律责任一章，一方面说明《网络安全法》的立法技术和规范内容前瞻性强，与社会发展比较匹配；另一方面说明法律责任设定与当前企业履行程度不匹配，导致法律责任必须进一步完善。在《网络安全法》施行8年时间里，以公安机关处罚为例，绝大多数处罚以警告、责令改正为主，即使有罚款处罚的，其数额也较低，因此，对于企业来说违法成本较低，认为即使违法也仅仅是责令改正并处警告，存在侥幸心理。当然，虽然处罚力度不大，但施行8年来也一定程度上起到对企业的宣贯作用，使企业逐步了解到《网络安全法》的规定和法律责任，使中国网络安全执法逐步经历了一个从“散乱”到“系统”的阶段。2026年1月1日，修改后的《网络安全法》将预示着执法机关/监管部门对于网络安全执法进入 “严管”阶段。网络安全执法将从修复式执法为主进入惩戒为主的阶段，企业应当重视对《网络安全法》相关合规义务的落实。

2.企业违法成本将大大提高。近年来，我国以网络安全法为核心，逐步完善了网络数据安全、关基保护、等保、网络安全事件处置与报告、网络产品和漏洞管理、人工智能等领域一系列法规规章和国家标准，形成了完善的网络空间安全法律体系。修改后的《网络安全法》正式实施后，企业违反相关法定义务的，最高可面临千万元罚款，相关责任人员最高可被处以百万元罚款，企业和相关岗位人员的违法成本将显著提升。尤其是对于处于上市辅导期的企业，该等处罚将一定程度影响上市的进程、难度。此外，在当前大多数招投标或者采购项目，对于受到处罚较重的情况也需要予以说明，或者直接作为一票否决条件。企业应当更加重视网络安全与合规义务的履行。

3.重视网络关键设备和网络安全专用产品的销售和提供管理，使用企业也要重视供应链安全。网络关键设备和网络安全专用产品的经营者应当加强对设备和产品的认证和管理工作，确保安全检测或者安全认证达标，否则将面临一定程度的处罚，情节严重的会被暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，导致业务中断。同等的，对于使用网络关键设备和网络安全专用产品的企业而言，也要加强产品源头管理，确保采购的这类产品安全检测、安全认证达标。

4.关基单位应更重视安全义务落实，着重落实供应链安全。对于关基运营者而言，网安法修改后，合规义务将进一步加重，尤其是在采购义务方面需要更加重视对于可能影响国家安全的网络产品和服务时。

5.域外企业需要更加重视面向中国的合规义务落实。只要是境外组织、机构和个人被认定为从事危害中华人民共和国网络安全的活动的，即属于中国管辖，网安法的域外效力进一步扩大，对于造成严重后果的，还将会受到冻结财产和其他制裁措施。中国境外将不再是企业风险的避风港，对于涉及中国境内的业务或者网络、信息系统、数据等情况时，要特别考量中国网安法的合规义务，否则，一旦违法被认定为从事危害中国网络安全的，将会受到中国监管部门调查，甚至是处罚。

三、建议

当前执法机关的执法方式和模式也根据社会发展的需要逐步调整和完善，尤其是在技术支持方面，选聘了技术实力较强的第三方企业协助，企业的风险暴露面将进一步加大。同时，公安机关也正在修改《公安机关网络空间安全监督检查办法》，以进一步匹配《网络安全法》等法律法规的修改和完善，企业应当更加重视网络安全合规义务的落实。

1.尽快开展网络安全合规义务体检。首先，对于当前仍然缺失或者需要完善的合规义务、措施，尽快纳入整改日程。其中，需要通过制度文本等方式完成，应立即落实；其次，对于等级保护制度、安全措施落地等需要一定时间和第三方机构协助的事项，建议在26年第一季度即可开展相关工作。尤其是对于关基运营者而言，法律责任和面临的处罚风险更重，因此，更加具有紧迫性和必要性。

2.重视日常合规义务的履行。对网络安全事件处置、网络和产品漏洞管理、信息内容合规管理、网络安全信息发布等等，所有涉及日常合规义务履行的事项，均需严格依法履行，必要时，聘请律师等第三方专业机构和人员协助。

3.做好调查和监管应对。企业应当建立健全网络安全与数据合规领域监管、政府调查应对机制及工作流程，建立有效的应对机构和组织，明确工作流程和各部门的义务、措施，并加强日常演练，通过程序性防御措施，将法律风险降至最低。

往期文章推荐：

李天航律师团队受邀撰写The Legal 500《国家比较指南2025：白领犯罪》中国篇

大模型“存算跨境分离”部署架构的法律分析

在华外企使用境外总部AI解决方案的主要法律问题

企业上线AI Agent的主要安全风险与合规自评估清单

企业在中国境内部署及应用AI Agent的主要法律问题（二）

企业在中国境内部署及应用AI Agent的主要法律问题（一）

企业部署第三方大模型的主要模式、法律风险及缓释措施

《大型网络平台个人信息保护规定（征）》解读二：数据本地化及其数据中心合规管理

《大型网络平台个人信息保护规定（征）》解读一：负责人及工作机构的特殊合规要求

个人信息保护负责人（PIPO）信息报送及官方审核的十大实务问题

个人信息保护负责人（PIPO）信息报送的十五个实务问题

企业接入国家网络身份认证公共服务的几个常见问题

2025年网络安全等级保护3.0最新政策变化

零售行业的隐秘角落：门店个人信息处理合规评估项目实践

《网络安全法》2025年修订的主要内容及趋势展望

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网数与人工智能法律实务 李天航《汇业研究 | 网络安全执法进入2.0时代——简评《网络安全法》修改及其影响》