专注企业安全
当前位置:
首页 >> 2026年1月施行!新版《网络安全法》解读来了!
2026年1月施行!新版《网络安全法》解读来了!
来源: | 作者:众云信安 | 发布时间: 2025-11-06 | 109 次浏览 | 🔊 点击朗读正文 ❚❚ | 分享到:


一、修改背景

2022年9月,国家网信办曾发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》。2025年3月28日,国家网信办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,向社会公开征求意见。十四届全国人大常委会第十八次会议10月28日表决通过关于修改网络安全法的决定,自2026年1月1日起施行。本次修法坚持统筹发展与安全,积极回应人工智能等新技术带来的风险与挑战,构建更加科学合理的网络安全法律责任框架。



二、新旧版对比解读

(一)新版本将原第十八条调整为第十九条,并删去第二款。这一变化契合人工智能技术发展所带来的网络安全新挑战与机遇的时代背景,充分体现立法对前沿技术的精准把握与响应。

新旧版对比

新版本(第十九条)

第十九条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

现行版本(第十八条)

第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。


(二)新版本将原第四十条完善为第四十二条。这一修订实现了从原则性要求向体系化合规指引的重要转变,通过法律衔接将散见于不同立法中的个人信息保护规范整合为统一的强制性义务,消除了网络运营者仅满足于形式化制度建设而忽视实质保护责任的“灰色”地带。

新旧版对比

新版本(第四十二条)

第四十二条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。网络运营者处理个人信息,应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。

现行版本(第四十条)

第四十条 网络运营者应当对其收集的用户信息严格保密并建立健全用户信息保护制度。


(三)新版本对第五十九条进行了修改。本次修法对违法情形进行了更为细致、具体的分级,设置了一般违法行为、加重情节违法行为和特别严重情形三个梯度,并配置差异化的罚则。对未履行网络安全责任的处罚结构进行了细化与强化:


一般违法行为:基础处罚由"给予警告"调整为"给予警告,可以处一万元以上五万元以下罚款";

拒不改正或造成后果:罚款下限从一万元提高至五万元;


严重情节:对造成大量数据泄露、关键信息基础设施丧失局部功能等情形,处五十万元以上二百万元以下罚款;


特别严重情节:对造成关键信息基础设施丧失主要功能等情形,处二百万元以上一千万元以下罚款。

新旧版对比

新版本(第六十一条)

第六十一条 网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的,由有关主管部门责令改正给予警告,可以处一万元以上五万元以下罚款;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款

关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处五万元以上十万元以下罚款;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前两款行为,造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的,由有关主管部门处五十万元以上二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,处二百万元以上一千万元以下罚款,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

现版本(第五十九条)

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。


(四)将第六十条改为第六十二条,增加一款,作为第二款。规定网络产品及服务的提供者若设置恶意程序,或在其网络产品、服务中发现安全缺陷、漏洞等风险时,未立即采取补救措施,且未按相关规定及时告知用户并向有关主管部门报告,导致大量数据泄露或关键信息基础设施局部功能丧失等严重危害网络安全后果的,将由有关主管部门处以五十万元以上二百万元以下罚款;若造成关键信息基础设施主要功能丧失等特别严重危害网络安全后果的,将处以二百万元以上一千万元以下罚款

新旧版对比

新版本(第六十二条)

第六十二条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:

(一)设置恶意程序的;

(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;

(三)擅自终止为其产品、服务提供安全维护的。

有前款第一项、第二项行为,造成本法第六十一条第三款规定的后果的,依照该款规定处罚。

现行版本(第六十条)

第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:

(一)设置恶意程序的;

(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;

(三)擅自终止为其产品、服务提供安全维护的。


(五)新版本将第六十一条调整为第六十四条。在违反用户“实名制”的罚则部分,扩展了处罚措施所适用的服务载体。在原有“关闭网站”的基础上,增加了“或者应用程序”这一并列选项,将“应用程序”纳入监管处罚范围,使其与传统“网站”处于同等地位。这一修订确保了在网络服务主体日益移动化、App化的背景下,法律监管能够全面覆盖所有服务形态,杜绝了部分运营者可能利用不同载体逃避监管的侥幸心理。

新旧版对比

新版本(第六十四条)

第六十四条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

现行版本(第六十一条)

第六十一条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


(六)新版本将原第六十二条调整为第六十五条。本次修法不仅提高对单位的处罚标准,还扩大了责任人员范围至"其他直接责任人员",对直接负责的主管人员和其他责任人员的罚款上限也显著提高,进一步强化了对关键责任人员的惩戒约束。

新旧版对比

新版本(第六十五条)

第六十五 违反本法第二十八条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告,可以处一万元以上十万元以下罚款;拒不改正或者情节严重的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款行为,造成本法第六十一条第三款规定的后果的,依照该款规定处罚。

现版本(第六十二条)

第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。


(七)新版本将第六十五条修订为第六十七条。这一修改更加注重从消除安全隐患根源的角度出发,搭建从行为纠正到风险消除的责任链条,进一步强化了对国家安全的底线保障

新旧版对比

新版本(第六十七条)

第六十七条 关键信息基础设施的运营者违反本法第三十七条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令限期改正、停止使用、消除对国家安全的影响,处采购金额一倍以上十倍以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

现版本(第六十五条)

第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


(八)新版本将原第六十八条及第六十九条的相关内容整合重构为新的第六十九条。实现了对网络运营者信息管理责任与处罚体系的全面升级,主要体现在以下几个维度:在责任体系方面进行了整合升级;处罚力度显著提升;责任追究全面深化。

新旧版对比

新版本(第六十九条)

第六十九条 网络运营者违反本法第四十九条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录向有关主管部门报告,或者违反本法第五十二条规定,不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告、予以通报,可以处五万元以上五十万元以下罚款;拒不改正或者情节严重的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

有前款行为,造成特别严重影响、特别严重后果的,由有关主管部门处二百万元以上一千万元以下罚款,责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第五十条第二款规定的安全管理义务的,依照前两款规定处罚。

现版本(第六十八条)

第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。

第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:

(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;


(九)新版本将第六十四条、第六十六条及第七十条合并为第七十一条。将个人信息保护的法律责任、关键信息基础设施数据跨境的法律责任、发布或者传输违法信息的法律责任合并为第七十一条,统一对上述三类行为的处理、处罚作出规定,即转致有关法律、行政法规的规定。这一修改解决了法律适用冲突问题,提高了执法效率。

新旧版对比

新版本(第七十一条)

第七十一条 有下列行为之一的,依照有关法律、行政法规的规定处理、处罚:

(一)发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的;

(二)违反本法第二十四条第三款、第四十三条至第四十五条规定,侵害个人信息权益的;

(三)违反本法第三十九条规定,关键信息基础设施的运营者在境外存储个人信息和重要数据,或者向境外提供个人信息和重要数据的。

违反本法第四十六条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关依照有关法律、行政法规的规定处罚。

现版本(第六十四条)

第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并扩展了法律威慑范围并降低了追责门槛。核心变化在于,新版本删除了“关键信息基础设施”的限定,将适用范围从保护特定核心设施扩展至全面维护国家网络安全。处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。


(十)新版本将第七十五条修改为第七十七条。扩展了法律威慑范围并降低了追责门槛。核心变化在于,新版本删除了“关键信息基础设施”的限定,将适用范围从保护特定核心设施扩展至全面维护国家网络安全。

新旧版对比

新版本(第七十七条)

第七十七条 境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的,依法追究法律责任;造成严重后果的,国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

现版本(第七十五条)

第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。


(十一)新版本增加了四项关键条款。针对销售或提供未经安全认证、安全检测的网络关键设备和网络安全专用产品的行为,专门设置了法律责任条款,明确对相关责任方给予警告、没收违法所得,并处以违法所得一倍以上五倍以下的梯度罚款。

明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果等情形的,依照《行政处罚法》的规定从轻、减轻或者不予行政处罚。同时,要求有关主管部门制定相应的行政处罚裁量基准,规范行使行政处罚裁量权。

此外,充实网络安全工作指导原则的内容,增加规定:网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。这一原则性规定为网络安全工作提供了根本遵循,体现了党对网络安全工作的高度重视。

同时,对人工智能等新技术的发展与监管作出前瞻性规定,要求统筹推进人工智能技术研发应用与安全监管,充分体现了发展与安全并重的立法理念。

新旧版对比

新版本(新增内容)

第三条 网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。

第二十条 国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。

国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。

第六十三条 违反本法第二十五条规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的,由有关主管部门责令停止销售或者提供,给予警告,没收违法所得;没有违法所得或者违法所得不足十万元的,并处二万元以上十万元以下罚款;违法所得十万元以上的,并处违法所得一倍以上五倍以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的,依照其规定。

第七十三条 违反本法规定,但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的,依照其规定从轻、减轻或者不予处罚。

现行版本

 无



三、企业合规启示

本次《网络安全法》的修订,标志着我国网络安全监管从原则性框架向精细化、体系化与强执法化的重要转变。新法通过大幅提升罚则、扩大责任主体与处罚范围、强化关键信息基础设施保护义务、并将人工智能等新技术应用纳入监管视野,对各类市场主体提出了更高要求的合规责任。企业必须从被动合规转向主动治理,系统性地构建与运营风险相匹配的网络安全与数据保护内控体系,方能在日益严峻的监管环境下实现可持续健康发展。