网络安全法修正草案正式提请审议:读懂背后的立法逻辑与时代价值
2025年9月8日,网络安全法修正草案正式提请十四届全国人大常委会会议审议,标志着我国网络安全法治建设迈入新阶段。
作为网络安全领域的基础性法律,现行的《中华人民共和国网络安全法》由十二届全国人大常委会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行,自施行以来首次迎来重大修订。本次修正草案坚持问题导向,重点强化网络安全法律责任,加大违法行为处罚力度,并与《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等新出台法律有机衔接,旨在构建更加科学完善的网络安全法治体系。本文将全面对比新旧版本差异,深入解读修正案的核心内容与重要意义。
一、修正背景与进程:适应新形势的必然选择
随着数字化进程的加速推进,网络空间的安全形势日趋复杂严峻。近年来,网络攻击手段不断升级,数据泄露事件频发,关键信息基础设施面临的威胁持续增加。2024年全球公开披露的勒索软件攻击事件超过5700起,与此同时,网络安全漏洞风险依然严峻,2024年国家信息安全漏洞共享平台(CNVD)收录的通用软硬件漏洞中,高危漏洞占比高达46.4%。新型技术的广泛应用在带来便利的同时,也不可避免地引入了新的安全风险。
另一方面,我国网络法律体系不断完善,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继出台,《中华人民共和国行政处罚法》也进行了修订。原有《中华人民共和国网络安全法》的部分规定已难以适应新的风险挑战,与相关法律之间也存在需要协调之处。
为此,国家网信办于2022年9月发布首次征求意见稿,2025年3月28日又发布《中华人民共和国网络安全法(修正草案再次征求意见稿)》(以下简称《修正草案》),经过公开征求意见和进一步修改后,最终形成提请审议的版本。
此次修改工作被列入《十四届全国人大常委会立法规划》,是贯彻落实总体国家安全观的重要举措。习近平总书记多次强调“没有网络安全就没有国家安全”,党的二十大和二十届三中全会也对加强重点领域立法作出重要部署。修正草案的制定正是响应这些要求,旨在为网络强国建设提供坚实法治保障。
二、核心变化对比:从旧版到修正草案的关键条款调整
(一)修法核心目标
强化责任威慑:针对关键信息基础设施安全、数据泄露等行为提高违法成本;
实现体系衔接:与《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等形成协同治理框架;
回应时代需求:适应数字经济发展与全球网络安全治理新趋势。
(二)网络运行安全保护义务的法律责任强化
网络安全法修正草案对网络运行安全保护义务的法律责任体系进行了系统性重构,通过取消前置条件、提高罚款幅度、细化后果分级三大核心调整,显著增加了违法成本。
核心变化一:违法即罚,取消“拒不改正”前置门槛
修正草案删除了旧法中“拒不改正”才罚款的限制,企业只要存在违反安全保护义务的行为,首次违法即可能面临罚款。这一调整意味着事后追责转向事前预防,倒逼企业主动落实安全责任。
核心变化二:罚款幅度最高提升10倍,设“千万级”红线
修正草案显著提高了各类违法行为的罚款额度,对单位违法行为的罚款上限从原先的100万元提升至1000万元人民币;对直接负责的主管人员和其他责任人员的罚款上限也提升至100万元人民币。这种数量级的提升充分体现了国家遏制网络安全违法行为的坚定决心。
核心变化三:首次引入“后果分级”,精准打击严重违法行为
草案将危害后果细化为“严重”与“特别严重”两级,使处罚更贴合实际危害程度,避免“一刀切”处罚。修正草案根据危害后果的严重程度,设置了三级处罚梯度:
一般违法行为:可处1万元以上5万元以下罚款(对个人不处罚);
加重情节(拒不改正或导致危害网络安全等后果):对网络运营者处5-50万元罚款;对关键信息基础设施运营者处10-100万元罚款;对个人处1-10万元罚款;
特别严重情形(造成大量数据泄露、关键信息基础设施丧失主要功能等):罚款最高可达1000万元,并可采取责令暂停业务、停业整顿、关闭网站或应用程序、吊销许可证等严厉措施。
法律责任新旧对比表
(三)关键信息基础设施重点保护
1. 产品服务安全审查的柔性化调整
草案对关键信息基础设施产品服务安全审查的执法措施进行重要调整,将“停止使用”改为“限期改正、消除对国家安全的影响”,避免因立即停用导致关键业务中断,兼顾安全与发展。企业需建立采购前安全审查机制,对未通过审查的产品及时替换,同时留存整改记录以备监管核查。
2. 责任区分
同时,修正草案对关键信息基础设施运营者(CIIO)设置了更为严格的责任。现行法律对CIIO和一般网络运营者的责任区分不够明确,而修正草案则进行了清晰界定(可参考上表):
一般网络运营者违反网络安全保护义务的,处罚上限为50万元(个人为10万元);
关键信息基础设施运营者违反特定义务的,处罚上限高达1000万元(个人为100万元)。
这种区分体现了“重点保护、分类施策”的治理思路,既确保了关键领域的安全,又避免了对一般企业造成过大负担。
(四)网络关键设备与安全专用产品合规责任的立法填补
网络关键设备和安全专用产品是支撑网络运行的基石。修正草案加强了对网络关键设备和网络安全专用产品的监管,针对销售或提供未经安全认证、安全检测或检测不合格产品的行为,增设了专门的法律责任条款。这一规定旨在从源头拦截风险,防止存在安全隐患的产品“带病入网”,引发数据泄露或关键基础设施瘫痪等连锁危机。
针对未经认证检测的产品销售使用行为明确法律责任:
基础处罚:责令改正或停止违法行为,警告,没收违法产品和违法所得;
罚款标准:违法所得10万元以上的,处1-3倍罚款;不足10万元的,处3万-10万元罚款。
此前该领域因缺乏明确法律责任导致执法困境,此次修订填补了监管空白,通过供应链安全保障整体网络安全。企业在采购时需核查产品认证资质,避免合规风险。
(五)法律责任体系的协同化与转致条款的明确
为避免法律重复和冲突,修正草案对已在《数据安全法》《个人信息保护法》等法律中规定的问题,设置了转致条款。例如,将原第66条关于数据出境的规定修改为:关键信息基础设施运营者违法在境外存储或向境外提供“个人信息和重要数据”的,依照有关法律、行政法规的规定处理、处罚。
这一修改将原条款中的“网络数据”限定为“个人信息和重要数据”,与《网络安全法》第三十七条保持一致,也体现了对一般网络数据出境的包容审慎态度。同时,通过转致规定有效解决了与《数据安全法》《个人信息保护法》的衔接问题,增强了法律体系的协调性。
(六)柔性执法与合规激励
修正草案并非一味强调严惩,也引入了体现执法温度的柔性机制。新增的第72条明确规定,对主动消除或减轻危害后果、违法行为轻微并及时改正未造成危害、初次违法且危害轻微并及时改正等情形,可以依法从轻、减轻或不予行政处罚。
这一规定与《中华人民共和国行政处罚法》相衔接,体现了“处罚与教育相结合”的原则,有助于降低企业合规成本,避免对轻微过失的过度处罚,同时激励企业主动报告漏洞、配合监管、积极整改。长扬认为,这种刚柔并济的设计有助于形成政府与企业协同治理的网络安全新格局。
三、修正意义与未来展望:筑牢数字时代安全基石
《中华人民共和国网络安全法》的此次修订是我国网络安全法治建设的重要里程碑,标志着我国网络安全治理进入“精准监管、协同治理”的新阶段,具有多方面的深远意义。
从国家安全角度看,修正草案深入贯彻落实总体国家安全观,通过强化关键信息基础设施保护、加大违法行为惩戒力度等措施,有力筑牢国家网络空间安全屏障。当前,网络安全已成为最复杂、最现实、最严峻的非传统安全问题之一,修正案的出台恰逢其时。
从法治建设角度看,修正草案有效解决了与相关法律的衔接问题,增强了网络安全法律体系的系统性、协同性。通过与《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的协调联动,形成了更加完善的网络空间治理三法联动格局。
从经济发展角度看,修正草案统筹安全与发展,既通过严格监管筑牢安全底线,又通过分类分级、柔性执法为创新留出空间,有助于实现高质量发展与高水平安全的良性互动,这种平衡对于数字经济健康发展尤为重要。
从国际视角看,网络安全已成为全球性挑战,各国纷纷加强相关立法。欧盟《网络弹性法》、英国《网络安全法》等相继出台。中国此次修法不仅回应了国内治理需求,也为全球网络安全治理贡献了中国方案。
随着修正案审议进程的推进,我国网络安全法治防线将更加坚固。对企业而言,应当未雨绸缪,提前做好合规准备,需以修法为契机,将网络安全从“成本中心”转化为“发展动能”,通过合规实践提升竞争力:完善内部网络安全制度,明确责任部门和人员;强化技术防护措施,加强数据分类分级管理;建立应急响应机制,确保能够及时处置安全事件。只有政府、企业和社会各界共同努力,才能构建起共建共治共享的网络安全新格局,为数字中国建设保驾护航。
附:修正草案与现行网络安全法条款对比
1. 第五十九条修改,并新增第三款情形
2. 将第六十五条改为第六十七条
3. 将第六十八条、第六十九条第一项合并,作为第六十九条
4. 将第六十四条第一款、第六十六条、第七十条合并,作为第七十一条
5 . 新增两条款
