文 中国移动通信集团有限公司 张峰 徐天妮 崔庆虎；中国科学院信息工程研究所 李嘉祺

　　自2017年6月1日施行以来，《中华人民共和国网络安全法》（以下简称《网络安全法》）作为我国网络空间治理的基石，为维护国家网络主权、安全和发展利益发挥了重要作用。然而，随着全球数字化进程的加速演进，信息技术迭代日益迅猛，网络安全风险与挑战持续演变，呈现出新形态、新特征，人工智能技术爆发式发展带来治理新课题，关键信息基础设施持续面临高强度威胁，数据泄露事件频发加剧社会风险，网络内容安全问题日益复杂多元——这些都对我国网络安全法治体系提出了更高、更紧迫的要求。

　　在此背景下，2025年10月28日，第十四届全国人大常委会第十八次会议表决通过《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》，自2026年1月1日起施行。这是该法实施以来的首次重大修改，标志着我国网络安全法治建设进入了“精准监管、协同治理、责任压实、前瞻布局”的全新阶段。对于电信运营商而言，作为网络基础设施运营者、关键信息基础设施运营者和网络服务提供者，如何准确理解法律修改精神、有效应对合规新要求、系统提升安全防护能力，已成为亟须解决的重要课题。

　　新修改的《网络安全法》基于对国内外网络安全新形势、新技术挑战和国内法治体系建设需求的系统性回应。其主要考量可以归纳为以下四个方面。

　　面对日益复杂的国际网络安全形势，国家间的网络对抗日趋激烈，亟须在法律层面明确网络安全工作的政治站位和根本遵循，将党对网络安全工作的领导以法律形式予以确认，为统筹发展和安全提供制度保障，确保网络安全工作始终沿着正确的方向前进。

　　当前，以生成式人工智能为代表的新技术爆发式增长，在催生新业态、新动能的同时，也带来了如算法漏洞、训练数据污染、虚假信息传播等新型安全风险。与此同时，网络攻击手段向“智能化、精准化”升级，传统“被动防御”模式难以应对，网络安全保障基线从常态防御向极限保底逐步跃迁。现有法律对人工智能安全治理的规范有待加强，基于人工智能赋能的网络安全防护技术升级也迫在眉睫，亟须在法律层面明确支持与规范并重的治理思路。

　　近年来，网络安全领域违法成本偏低、责任追究“高举轻放”的问题备受关注。部分运营者安全意识淡薄、投入不足，导致重大安全事件时有发生。

　　同时，原有处罚力度较轻且梯度不清晰，不利于引起运营单位的足够重视，也不利于准确追责。亟须通过引入分级处罚机制、大幅提高罚款上限、明确个人责任等方式，倒逼网络运营者真正将安全责任落到实处，从“被动合规”转向“主动防御”。

　　自《网络安全法》实施以来，我国相继出台了《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《关键信息基础设施安全保护条例》等一系列重要法律法规，网络安全政策法规体系的“四梁八柱”已基本建立。然而，原《网络安全法》与上述法律在部分内容上存在衔接断层。例如，网络运营者处理个人信息时，需同时遵守多部法律，但此前未明确法律适用优先级；针对轻微违法情形，缺乏“从轻、减轻处罚”的明确依据，可能导致执法弹性不足。亟须加强法律间的衔接与协同，构建更加严密、协调的法律保护网。

　　新修改的《网络安全法》新增条款4个，修改条款9个，每一处变化都对网络运营者的合规义务和安全责任产生重要影响。主要亮点体现在以下六个方面。

　　本次修改在总则中新增第三条，将“网络安全工作坚持中国的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设”写入法律，以立法形式确立了网络安全工作的根本遵循。这是对党中央关于网络安全工作新部署、新要求的法律化表达，为构建系统、高效的国家网络安全体系提供了基线框架，也要求网络运营者必须将网络安全工作置于更高的政治站位来认识和推进。

　　本次修改新增第二十条，首次在网络安全基本法律层面系统性回应人工智能的治理需求，这一条款体现了统筹发展和安全的立法智慧。一方面，明确了人工智能服务提供者的安全义务，要求完善伦理规范、加强风险监测；另一方面，国家支持利用人工智能技术提升网络安全防护能力。对于网络运营者而言，这意味着既要确保自身人工智能应用的合规安全，也应积极探索“以智御智”，运用人工智能技术赋能威胁检测、智能分析、自动化响应等安全运营场景，构建智能化防御体系。

　　本次修改第六十一条对关键信息基础设施运营者不履行网络安全保护义务的行为，设置了更为严厉和精细的处罚阶梯。区分了“一般后果”“严重危害后果”（如大量数据泄露、丧失局部功能）和“特别严重危害后果”（如丧失主要功能），罚款金额从最高一百万元跃升至最高一千万元。这不仅进一步压实了关键信息基础设施运营者的主体责任，也反映出国家对保障国计民生和社会稳定运行的坚定决心。

　　本次修改新增第六十三条，填补了此前法律责任的短板，首次对销售或提供未经安全认证或检测不合格的网络关键设备和网络安全专用产品的行为增设了明确的法律责任。同时，第六十五条对违规发布系统漏洞等网络安全信息的行为也完善了相关的处置处罚措施。在第六十四条、六十九条等条款中，将“关闭应用程序”与“关闭网站”并列纳入规定，适应了当今时代的监管需要。这些修改将监管链条向上游延伸，旨在构建覆盖产品、服务、运营全过程的供应链安全管理体系。

　　本次修改注重与上位法及同位法的体系化衔接。第四十二条第二款中明确了处理个人信息需同时遵守《中华人民共和国民法典》《个人信息保护法》等规定。这种体系化的修改与其他法律在执行上协同，避免了针对同一违法行为的多头立法和重复处罚，构建了更加严密、协调的法律保护网，提升了整体治理效能。

　　本次修改新增第七十三条，“违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚”。这为网络运营者主动报告安全事件、积极配合监管整改、及时消除危害后果提供了明确的法律依据，体现了法律的刚性约束与柔性引导相结合的治理智慧，有助于形成良好的合规生态。

　　作为网络基础设施运营者、关键信息基础设施运营者和网络内容服务提供者，电信运营商在新修改的《网络安全法》框架下承担着多重法律责任，同时也面临着新的发展机遇。

　　本次修改对网络运营者的责任要求显著提升。首先，第六十一条针对一般违法行为，取消了原规定中“经责令改正而拒不改正”的前置条件，明确“违法即可处罚”。这意味着网络运营者必须将合规工作前置，从“事后整改”转向“事前预防”。其次，针对关键信息基础设施运营者，修改后的第六十一条设置了与严重后果直接挂钩的高额罚款，而修改后的第六十七条关于“未经安全审查产品”的处罚调整，对违规采购行为规定了基于采购金额的处罚。这些条款共同构成了一个高压的合规环境，倒逼运营者必须将安全视为生存底线，从根本上重塑安全管理与技术体系。

　　本次修改加强了与《数据安全法》《个人信息保护法》等法律的衔接，将个人信息保护、数据跨境流动等领域的法律责任修改为转致性规定。对于网络运营者而言，在处理用户数据、开展跨境业务时需要同时遵守多部法律的要求，建立综合合规体系更为必要。新增的第二十条首次将人工智能安全治理纳入法律框架，为这一新兴技术的研发和应用划定了明确的法律红线和伦理底线。这些修改为网络运营者在多法并存和技术快速迭代的环境下，构建目标更明确、范围更清晰的综合性合规体系提供了指引。

　　本次修改在强化“刚性”约束的同时，也提供了“柔性”的激励机制，并催生了新的发展动能。新增第七十三条明确了减责免责条款的适用，使得企业在发生安全事件后，通过主动报告、积极消除危害等有效补救措施，可以依法获得从轻或减轻处罚。这为主动、有效的合规管理行为赋予了直接的法律价值。更进一步，由强合规驱动的安全能力提升，也带来了新的发展机遇。运营商不仅可以通过技术升级强化自身防护，更有机会将经过实践检验的、高水平的安全能力，作为服务对外输出，赋能千行百业，在履行社会责任的同时，开辟新的价值增长空间。

　　然而，法律的生命在于实施。数字化转型持续深化带来的安全边界模糊化，地缘政治冲突加剧导致的网络攻击国家化、武器化，以及人工智能等颠覆性技术带来的未知风险，都对网络运营者的安全防护能力和合规治理水平提出了更高要求。

　　面对新《网络安全法》的施行，电信运营商应当以法律要求为导向，从关键信息基础设施保护、人工智能安全治理和体系化合规三个维度系统推进落实工作。

　　关键信息基础设施是经济社会运行的神经中枢，是国家网络安全工作的重中之重。作为关键信息基础设施的运营者，电信运营商须对标新法要求，全面提升保护能力。

　　一是完善安全保护制度体系。健全安全管理制度，明确各层级安全责任，建立覆盖规划、建设、运行、维护全生命周期的安全管理流程。

　　二是强化供应链纵深防御。严格落实新法关于网络产品和服务安全审查的要求，建立多维度供应商准入和评估体系，在采购环节强制要求供应商提供软件物料清单，对关键网络设备实施固件完整性校验与可信启动；在开发测试环节，引入静态应用安全测试、动态应用安全测试及交互式应用安全测试工具链等。在此基础上，对核心设备推动多厂商备份和异构部署，避免单一依赖点，从源头防范供应链安全风险。

　　三是提升基础设施韧性能力。聚焦韧性建设，确保在极端情况下核心功能不中断、关键数据不丢失。常态化开展实战化红蓝对抗演练，通过模拟关键设备渗透测试、勒索攻击等极端恶劣场景，例如，利用Log4j2、Spring4Shell等高危漏洞的横向移动攻击，检验入侵检测系统、终端检测与响应系统的有效性，全面检验监测、响应、处置和恢复的全流程能力。

　　四是构建威胁情报共享机制。发挥电信运营商的“网络+安全”优势，与行业伙伴建立高效的情报共享机制，为“全国一盘棋”的协同防御格局贡献力量。

　　本次修改首次将人工智能纳入网络安全法律框架，既提出了治理要求，也指明了技术发展方向。网络运营者应当把握这一契机，实现人工智能安全与人工智能赋能安全的双向发力。

　　一是为人工智能应用筑牢安全底座。针对运营者自身研发和应用的各类人工智能模型与服务，建立全生命周期的安全保障流程，包括确保训练数据的合规与安全、开展算法漏洞挖掘与对抗性攻防测试、部署对生成式内容的实时监测与过滤系统，确保人工智能技术在“可用、可靠”的基础上实现“可知、可信”。

　　二是以人工智能赋能智能化防御。推动安全运营向“智能驱动、自动响应”演进，大力投入和研发以人工智能驱动的新一代安全运营体系，利用人工智能技术实现海量告警的智能分析、未知威胁的精准狩猎、攻击事件的自动化响应和溯源反制，需重点建设基于机器学习的异常行为检测、攻击链智能重构、安全策略动态调优等核心能力，并推进安全编排自动化与响应平台以及人工智能技术的深度融合，实现从威胁感知到处置响应的闭环自动化，从根本上提高安全运营的效率和对抗能力。

　　三是前瞻布局新兴技术安全。密切跟踪抗量子密码、隐私计算、零信任架构等技术发展，结合5G/6G网络演进，构建面向未来的安全技术能力储备。

　　本次修改对责任的全面压实，意味着零散的、补丁式的安全建设模式已彻底失效。构建统一、协同、高效的一体化内生安全体系成为必然选择。

　　一是开展体系化合规差距分析。对照新法及配套法规，从关键信息基础设施保护、数据安全、个人信息保护、人工智能治理等维度，全面审视现有制度、流程和技术，识别合规短板，形成明确的整改路线图。

　　二是推动“合规、内控、风控、法律”一体化。打破部门壁垒，建立由首席安全官统筹的跨部门协同机制，将合规要求转化为内部控制指标和风险管理模型，确保安全责任在业务全生命周期中得到有效传递和落实。

　　三是推动安全能力对外赋能。作为运营商，不仅要保障自身的网络安全，更要有能力、有责任将经过实践检验的安全能力，通过云服务、安全专线等方式赋能千行百业，在新一轮产业数字化浪潮中开辟新的增长曲线。

　　四是强化安全人才队伍建设。行业已形成强化实战、培养复合型人才的明确共识。应基于国家顶层设计，完善“选育评励”机制，以常态化实战演练锤炼人才核心能力，并通过深化产教融合确保供需对接。以培养出一批技术、管理、法律、业务能力深度融合的新型人才，为国家网络安全提供坚实支撑。

　　此次《网络安全法》的修改，为网络运营者落实安全责任提供了更加明确的法律指引。作为网络基础设施和关键信息基础设施的运营者，电信运营商应当以新法施行为契机，坚持“安全是发展的前提，发展是安全的保障”的理念，在强化关键信息基础设施保护、推进人工智能技术双向赋能、构建一体化合规体系等方面持续发力，将法律要求转化为安全能力，以高水平安全护航高质量发展，为网络强国、数字中国建设贡献力量。