网络安全法》修订的主要内容

1. 人工智能治理专条

《网络安全法》修订明确规定，国家支持人工智能创新，促进训练数据资源的开发及算力基础设施的建设，加强人工智能伦理规范，并加强人工智能风险检测评估和安全监管。

尽管中国此前已出台了关于算法推荐、深度合成、生成式人工智能及人工智能生成内容标识等方面的法规，但此次《网络安全法》修订标志着人工智能治理首次被正式写入中国网络与数据安全基础立法，将人工智能治理从监管文件层面提升至立法层面。

此外，《网络安全法》修订还规定国家将支持利用人工智能技术加强网络安全保护。因此，相关市场和行业可能会看到监管机构及企业在网络安全领域更广泛地应用人工智能技术。

2. 加重违规行为处罚

《网络安全法》修订显著加强了网络运营商因违规行为承担的法律责任，强调对造成严重危害网络安全后果的违法行为加重处罚，特别是对关键信息基础设施运营商因其行为造成极其严重危害网络安全后果处以严厉罚款和处罚。部分最高处罚如下：

• 关键信息基础设施运营者可能面临最高1,000万元人民币的罚款。
• 非关键信息基础设施运营者的一般企业可能面临最高50万元人民币的罚款。
• 非关键信息基础设施运营者但提供网络安全产品和/或服务的企业可能面临最高100万元人民币的罚款。
• 涉嫌违法行为的企业的直接负责的主管人员和其他直接责任人员也可能面临最高100万元人民币的个人罚款。

3. 扩大行政处罚措施

根据《网络安全法》修订，除了罚款外，违反《网络安全法》的行为可能导致以下违法后果：

• 关闭网站或者应用程序
• 责令暂停相关业务、停业整顿
• 吊销相关业务许可证或者吊销营业执照
• 责令改正，给予警告
• 没收违法所得
• 记入信用档案，并予以公示

4. 新增灵活执法机制

《网络安全法》修订明确规定，具有《中华人民共和国行政处罚法》规定的以下从轻、减轻情形的，依照其规定从轻、减轻处罚：

• 主动消除或者减轻违法行为危害后果的；
• 受他人胁迫或者诱骗实施违法行为的；
• 主动供述行政机关尚未掌握的违法行为的；
• 配合行政机关查处违法行为有立功表现的；
• 法律、法规、规章规定其他应当从轻或者减轻行政处罚的。

此外，违法行为轻微并及时改正，没有造成危害后果的，不予行政处罚。初次违法且危害后果轻微并及时改正的，可以不予行政处罚。

5. 个人信息保护衔接

由于《网络安全法》于2016年颁布并于2017年生效，早于《中华人民共和国个人信息保护法》（“《个人信息保护法》”）生效的2021年，因此这两部法律在个人信息保护方面的规定并未明确衔接。《网络安全法》修订明确要求网络运营者处理个人信息，应当遵守《个人信息保护法》，加强了这两部重要法律之间的衔接，避免了在法律解释及适用方面可能出现的冲突。

6. 跨境数据传输要求

《网络安全法》修订维持了关键信息基础设施运营者的数据本地化存储要求。如需开展数据跨境传输至海外，关键信息基础设施运营者必须向网信部门申报数据处境安全评估，以确保符合跨境数据传输的合规要求。

7. 供应链的网络安全

《网络安全法》修订凸显了供应链网络安全的重要性，网络关键设备和网络安全专用产品的采购方及供应商/销售商应确保其设备或产品合规，且所有网络关键设备和网络安全专用产品均须通过安全认证和安全检测。

违反上述规定的企业，最高可能面临没收违法所得并处违法所得五倍罚款，外加涉及关键网络设备和专用网络安全产品非法所得，价值最高可达五倍的罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

此外，关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的，还需要消除对国家安全的影响，并最高面临采购金额十倍的罚款。

8. 扩大域外应用

《网络安全法》修订扩大了《网络安全法》域外适用范围，对于境外的机构、组织、个人的适用范围，从仅针对“危害中华人民共和国的关键信息基础设施的活动，造成严重后果的”非法行为，扩展至所有“危害中华人民共和国网络安全的活动的”非法行为。

因此，《网络安全法》现在适用于范围更广的由境外实体或身处中国境外的个人实施的网络攻击和其他违法行为，为中国监管机构依法实施处罚提供了法律依据。

总结

《网络安全法》与《数据安全法》及《个人信息保护法》构成了中国网络和数据安全监管框架的基石。《网络安全法》的修订将对各行各业的企业将产生重大影响，引入多项新的合规义务，并大幅提高处罚力度，从而增加违规成本和风险。

目前距离《网络安全法》修订于2026年1月1日生效仅剩两个月时间，企业应立即评估相关修订内容，审查自身的网络安全合规落实情况，并迅速采取合规措施。

Client Alert 2025-274