我国网络安全领域的基础性法律迎来了实施8年来的首次重大修改。2025年10月28日，十四届全国人大常委会第十八次会议表决通过关于修改《中华人民共和国网络安全法》的决定，新法将于2026年1月1日起正式施行。

　　与2017年施行的原法相比，此次修改虽采用“小切口”，但力度空前，重点强化了法律责任，同时为应对人工智能等新技术挑战和加强法律协同铺设了轨道，对作为关键实施主体的通信行业影响深远。

　　新《网络安全法》亮点速览

　　法律责任体系全面重构

　　行业“违法成本”陡增

　　此次修改的核心，是大幅强化和精细化法律责任条款，特别是与通信行业紧密相关的“网络运行安全”责任。

　　罚款金额呈几何级数增长。根据新版法律，对于造成特别严重后果的违法行为，例如关键信息基础设施丧失主要功能，罚款上限已从过去的数十万元，最高提升至一千万元，并对直接责任人员的罚款上限提升至一百万元。这一数额的改变，扭转了过去“违法成本低”的局面。

　　处罚门槛降低、责任主体扩大。原法律中，许多违规行为需要“拒不改正”或“造成后果”才会处以罚款。新法则规定，只要违反相关安全保护义务，主管部门即可直接处以罚款，强化了法律的预防性威慑。同时，新法普遍将“其他直接责任人员”纳入处罚范围，意味着从管理层到技术执行者都面临直接的个人法律风险。

　　新增对产业链上游的约束。新法增设专门条款，对销售或提供未经安全认证、检测的网络关键设备和网络安全专用产品的行为设定了罚则，最高可处以违法所得五倍的罚款并吊销证照。这标志着网络安全监管从事中、事后向“供应链源头”延伸，网络设备供应商和网络安全产品厂商将面临准入与合规压力。

　　回应技术变革与强化协同

　　监管“触角”深入新领域

　　除了惩罚措施，新法在治理范围和内部协调性上也做出了重要调整，为通信行业的长远发展划定了新边界。

　　首次在法律层面确立人工智能治理框架。新法新增“人工智能专条”，明确国家支持人工智能技术研发和基础设施建设，同时要求完善伦理规范并加强风险监测评估。这为电信运营商利用AI赋能网络安全防护提供了法律依据，同时也意味着利用AI技术提供服务的云服务商、内容提供商等，必须将安全与伦理融入产品设计全流程。

　　实现与多部法律的体系化协同，织密责任网络。为了避免法律冲突与重复处罚，新法强化了与《个人信息保护法》《数据安全法》等法律的衔接。例如，新法明确规定，网络运营者处理个人信息时，必须同时遵守本法及《个人信息保护法》等规定。这要求通信企业在处理海量用户数据时，必须构建一个融合多法合规要求的统一管理体系。

　　处罚手段覆盖新业态。新法将“关闭应用程序”明确列为与“关闭网站”并列的处罚措施。这一修订直面移动互联网现实，意味着APP提供者若出现严重网络安全问题，将面临被直接下架的处罚，监管的精准度和威力显著增强。

　　从“被动合规”到“主动防御”

　　行业转型势在必行

　　新旧法律的巨大差异，标志着通信行业的网络安全治理逻辑正在发生根本性转变。

　　过去，企业合规在一定程度上可能流于形式，以应对检查为主。而新法通过建立层次分明、惩戒有力的梯度化处罚体系，并引入与《行政处罚法》衔接的从轻、减轻条款，实质上在鼓励企业建立“主动防御、智能防护”的内生安全体系。

　　对于通信行业而言，新版《网络安全法》的生效，意味着一场从顶层设计、技术架构到供应链管理的深刻变革。能否成功转型，将直接关系到企业在监管新时代的生存与发展。

　　新《网络安全法》大家谈

　　为深入了解新修订的《网络安全法》对电信运营商、通信行业等会带来哪些影响，本报专访中国移动通信集团有限公司网络与信息安全管理部技术支撑室高级专家卢楠、北京邮电大学教授曾剑秋、工信部信息通信经济专家委员会委员盘和林，一起来分析新法实行后的具体影响。

　　卢楠：深耕行业多年，技术精湛，对网络安全保障贡献突出，在网络与信息安全领域经验丰富。

　　问：本次《网络安全法》修订，在数据分类分级、跨境传输、主体责任等方面提出了更严格的要求。从电信运营商的视角看，您认为本次修订传递出的最关键的监管信号是什么？

　　卢楠：我认为核心监管信号体现在三个方面：首先，强化了数据安全与个人信息保护的法治衔接。修订案首次在网络安全法中系统规定个人信息保护要求，弥补了此前刑法领域相关条款的不足，凸显对公民数据权益的法律保障。

　　其次，明确了多方协同治理机制。通过建立跨部门协作框架，推动行业主管部门、运营主体与社会力量形成监管合力。

　　最后，体现了安全与发展并重的治理理念。既通过处罚机制强化责任约束，又为技术创新预留制度空间，符合全球数字化转型趋势。

　　问：本次新修订的《网络安全法》增加促进人工智能安全与发展的内容，有何用意？

　　卢楠：我认为人工智能的安全与发展也是此次法规影响的重要方面。新增的人工智能安全与发展内容，重点在于人工智能的治理和安全应用。

　　一方面，防止人工智能被滥用或产生违法违纪行为；另一方面，推动人工智能在不同行业的实践应用，形成真正的生产力。这一补充非常及时，有助于保障人工智能的高速发展并规范其应用。

　　问：总体而言，您认为新法规的实施，给电信运营商带来了哪些影响？

　　卢楠：短期来看，处罚力度显著增加（最高罚款达1000万元），合规成本必然增加。但从长期发展角度看，这恰恰是转型升级的契机：一是倒逼技术升级，促使企业加大网络安全技术研发投入；二是规范市场秩序，通过统一标准营造公平竞争环境；三是提升国际竞争力，参照欧美国家经验，严格的合规要求往往伴随更高的市场信任度。特别是在当前国际局势下，强化数据主权保护已成为全球共识，这对电信运营商拓展跨境业务具有战略意义。

　　问：新规对数据利用和共享划定了更清晰的边界。电信运营商在云计算、大数据、物联网（IoT）及5G行业应用等新兴业务领域应采取怎样的模式变革以配合新法的实施？

　　卢楠：新规为数据要素市场化配置提供了清晰指引。以云计算为例，需建立“数据不动价值动”的新型服务模式，通过隐私计算等技术实现数据可用不可见。在物联网领域，应推动设备身份认证体系与区块链存证技术的融合应用。总体策略是构建“三位一体”保障体系：技术层面完善数据脱敏加密机制；管理层面建立分级分类授权审批流程；生态层面加强与产业链上下游的安全协同。实践证明，合规能力已成为数字服务竞争力的核心要素。

　　问：新法强调了供应链安全和第三方管理责任。电信运营商将如何调整对设备供应商、软件服务商、渠道合作伙伴的管理策略，以确保全链条合规？

　　卢楠：长期以来，供应链安全问题在各行各业持续涌现，为有效应对供应链安全问题，应实施三大转变：一是从被动防御转向主动防御，落实安全“三同步”，建立覆盖供应链全生命周期的风险评估模型；二是从单一管控转向生态治理，规范供应商管理，压实安全责任；三是从人工审查转向智能监测，部署智能化黑白盒漏洞监测系统，建立动态风险预警机制。特别要加强开源软件治理，建立代码审计白名单制度，严控供应链攻击面。

　　问：对于电信运营商的国际业务（如海外云节点、国际漫游数据管理）以及涉及海外用户或数据处理的业务，新规有哪些亮点？

　　卢楠：新规给电信运营商的出海业务，如海外云节点、国际漫游数据管理等，提出了新的要求。电信运营商需加强与国际业务的网络安全同步考虑，组织相关培训和指南演练，增强海外公司的合规意识。同时，将网络安全法的域外管理要求提升到更高高度，确保海外业务符合国内法规要求。

　　问：从头部电信运营商的角度，您对监管政策的后续细则落地，或对产业链上下游企业共同构建安全生态有何具体的期望或建议？

　　卢楠：作为头部电信运营商，我们期望监管政策的后续细则能够落地实施，并促进产业链上下游企业共同构建安全生态。

　　一方面，推进安全产业链技术的不断演进，特别是AI在安全领域的应用；另一方面，在电信行业内形成联防联控机制，共同应对国家级APT攻击等安全威胁。同时，希望国家层面能够提供更多支持，协同应对重大安全威胁。

　　曾剑秋：北京邮电大学经济管理学院教授、博士生导师，长期研究电信产业技术经济，深耕通信业竞争能力与战略研究领域。

　　问：新《网络安全法》的实施，将为通信行业带来哪些长期和短期的发展变化？

　　曾剑秋：新《网络安全法》的实施将从核心规则、行业规范适配两方面带来影响。核心定位层面，无论国际（贸易保护主义、意识形态影响下，网络安全成为全球发展重点）还是国内（数字信息基础设施建设、人工智能发展均以网络安全为前提），网络安全均成为行业发展的“重中之重”，新法聚焦核心问题，具备明确的实施边界与强效约束力。

　　行业规范适配层面，现行《中华人民共和国电信条例》核心内容与《网络安全法》高度交叉。而电信法长期未正式出台的核心原因，在于其调整范围（从电信网络到数字信息基础设施）随行业发展持续变化，与网络安全法等相关法律的边界划分、内容匹配存在争议。

　　未来，《电信条例》要么持续修订以适配《网络安全法》及行业实际需求，要么在厘清法律边界后整合形成新电信法，但核心需以《网络安全法》为基准保持合规。

　　问：新《网络安全法》带来的这些变化是否会重塑通信行业竞争格局？

　　曾剑秋：会对行业竞争格局产生显著影响，具体体现在国际与国内两个维度。

　　国际层面：全球行业监管呈现“管制（Regulation）—放松管制（Deregulation）—调制管制（Re-regulation）”的演进趋势，新《网络安全法》既适配中国发展需求，也契合全球网络安全的核心监管导向，将直接影响国际间行业竞争的规则适配与资源配置逻辑。

　　国内层面：网络安全成为行业发展的核心前提，将推动行业竞争焦点向“安全合规+技术创新”转移，数字信息基础设施建设、人工智能应用等关键领域的竞争，需以满足《网络安全法》要求为基础前提。

　　问：新《网络安全法》出台后，哪些领域值得通信行业企业重点关注？

　　曾剑秋：企业需聚焦监管核心与投入趋势两大方向，重点关注以下领域。

　　监管核心领域：短期（未来1～3年），关键信息基础设施保护、数据安全、安全审查机制为三大核心监管重点；长期来看，网络安全的重要性将与数字经济、人工智能的发展保持同步，需持续适配技术迭代与市场变化。

　　投入与发展趋势：无需大规模增加网络安全整体投入（行业建设中已持续重视安全问题），但需在人工智能安全、数据加密、供应链安全等细分领域进行针对性技术升级；合规服务需求将显著增长，对网络安全合规人才的数量与专业质量要求同步提升。

　　问：对于通信行业企业而言，新《网络安全法》实施的意义有哪些？

　　曾剑秋：新《网络安全法》明确了行业安全合规的边界与标准，既降低了网络安全风险，也为行业数字化转型、新型基础设施建设提供了稳定的制度保障。

　　实施过程中，企业需明确核心合规逻辑，规避认知偏差，以新《网络安全法》为核心依据，系统梳理与《电信条例》等现有规范的适配性，坚决规避“以条例为核心”的认知误区，确保业务开展、数字化转型、智能化升级全流程符合新法要求。

　　盘和林：工信部信息通信经济专家委员会委员、博士兼博士后，长期致力于数字经济研究，著有多部学术专著。

　　问：此次《网络安全法》修订被广泛认为进入了“严监管、高罚则”的新阶段。从通信行业整体来看，您认为本次修订传递出的最核心的监管信号是什么？它为行业划定了哪些新的“底线”与“红线”？

　　盘和林：修订后的《网络安全法》以“统筹发展与安全”为根本遵循，强化“严监管、高罚则”导向，重点回应人工智能等新技术挑战，构建全链条闭环监管体系。具体包括：

　　首先是顶层设计升级，比如新增“网络安全工作坚持党的领导，贯彻总体国家安全观”原则，明确“高水平安全是高质量发展基石”的定位。其次是法规适配技术创新，比如首次将人工智能纳入法律调整，要求“运用AI等新技术提升安全保护水平”。最后是重构责任体系，比如大幅提高罚款上限，引入“双罚制”。

　　新“底线”与“红线”包括：数据安全红线。比如关键信息基础设施收集的个人信息和重要数据须境内存储，跨境传输需安全评估。

　　技术合规红线。比如网络设备需通过安全认证／检测。

　　运营责任红线。比如网络运营者须履行“停止传输违法信息、保存记录、向主管部门报告”等义务。

　　问：修订后，罚款上限提升至千万元级别，并普遍引入“双罚制”，对单位及责任人同时追责。这将对通信企业产生怎样的影响？

　　盘和林：影响有两方面，一是运营成本有所上升，主要是面对新的《网络安全法》，企业需要增加技术投入，培训人员，增加风险管理工具等，导致成本上升。二是决策逻辑改变，过去是企业发展优先、企业生态优先，而如今是企业风险规避优先、合规优先。企业未来需要主动为AI等新技术适配规则和硬件设施来保障合规运营。

　　问：您如何评估新法对行业“成本—收益—风险”结构的影响？

　　盘和林：成本将显著上升，包括直接成本，比如罚款上限提升，“双罚制”，比如企业为合规建设投入的技术、风险管理和人员培训成本；也包括间接成本，如网络安全设备安全认证，采购未达标的风险，数据跨境流动的安全评估和审查合规成本。

　　收益和风险将达成新的平衡。合规企业增加投入，合规风险增加是一方面，但合规企业也可以将合规能力转化为收益，比如，合规企业更少被处罚，更受消费者和用户信任，比如数据合规使用能力将成为企业的“护城河”。