摘 要:作为网络安全和信息化领域的基础性法律,2026年1月1日起施行的新《中华人民共和国网络安全法》,回应全球数字化转型加速、人工智能蓬勃兴起、数实深度融合的时代变迁。该法将网络空间主权的“领域原则”拓展为“效果原则”,从而把所有危害我国网络安全的活动纳入域外管辖权范围之内;首次在法律层面增设人工智能规范,确立“支持发展、协同共治、动态安全”的人工智能治理总纲;科学优化法律责任条款,通过宽严相济、激励相容的规范体系,实现网络安全治理与数字经济发展的良性互动。
关键词:网络安全 网络主权 人工智能
【中图分类号】D920 【文献标识码】A
习近平总书记强调:“网络生态治理是网络强国建设的重要任务,事关国家发展和安全,事关人民群众切身利益。”[1]《中华人民共和国网络安全法》(以下简称《网安法》)作为我国网络领域的基础性法律,在维护国家网络空间主权、安全和发展利益,保护各方主体在网络空间的合法权益,促进数字经济与社会健康发展等方面,发挥着积极重要的作用。自2017年6月1日《网安法》施行以来,我国信息技术迅速迭代,软件应用日新月异,网民规模从2017年的7.51亿[2]增至2025年的11.23亿,[3]我国互联网发展呈现从广泛普及到深度应用的巨大跃升,但网络安全风险亦进一步凸显。时易世变,变法宜矣。2022年9月,《网安法》修法工作正式启动,修订后的《中华人民共和国网络安全法》(以下简称新《网安法》)于2025年10月28日,经十四届全国人大常委会第十八次会议表决通过,并于2026年1月1日起正式施行。新《网安法》有效拓展网络空间主权,增设促进人工智能安全发展的规定,并对网络安全法律责任制度作出完善,为国家网络安全体系和网络治理现代化的推进奠定坚实的法治之基。
更有力的域外管辖:网络空间主权的拓展
在数字全球化浪潮中,数据流动与网络攻击早已跨越传统物理国界。如何将国家主权有效地延伸至网络空间,是各国面临的共同难题。《网安法》第一条即申明“维护网络空间主权”的立法主旨,[4]并在第七十五条通过保护性管辖权,将“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的”,纳入我国网络空间主权范围。然而,近年来境外网络攻击频发,其对象已不再限于“关键信息基础设施”,正向着更宽泛的数据设施、计算机系统,甚至网络信息内容蔓延。2025年12月22日,国内知名短视频平台快手遭遇境外大规模网络攻击就是典型一例。据报道,境外黑客组织通过技术手段侵入快手系统,借助自动化工具批量注册、操控僵尸号,实现违规内容的秒级发布与扩散。更令人担忧的是,这些直播中隐藏病毒链接,用户点入后账号即被盗取,不法分子随即向账号好友发送借款请求,实施诈骗。[5]在此背景下,新《网安法》统筹推进国内法治与涉外法治,在第七十七条中特别规定“境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的,依法追究法律责任”,[6]及时拓展法律管辖范围,显著强化新《网安法》域外适用效力,标志着我国在网络空间主权积极作为的法律态度。
网络空间主权的攻守易型,反映我国在网络安全领域的域外管辖权已经从基于网络设施的“领土原则”转向基于网络行为的“效果原则”。如同其他物理存在,特定领陆、内河、领海和领空中存在的网络设施,无论由国家、组织还是个人所有,都应依循“领土原则”处于国家管辖之下。但是,网络空间并非仅局限于网络设施本身,还涵盖网络主体、网络行为及相关网络数据和信息,网络空间主权亦随之延伸适用于网络空间的物理层、逻辑层、应用层和社会层。与依附于领土的网络设施不同,网络行为天然是跨地域的——数据以电子信号为载体,通过全球性网络实现即时跨域传输,而廉价存储器的普及、便捷的网络访问渠道进一步降低信息流动的时空成本,使得主权国家难以通过传统领土管辖逻辑,掌控网络信息的跨域扩散。因此,对网络行为的管辖需要舍弃固定化方案,而采用更灵活的方式,这就是“效果原则”。根据该原则,无论网络行为是否在一国领土之内,只要它在领土之内产生不利影响,均在该国的管辖范围内。以此为基,新《网安法》从以“关键信息基础设施”为锚点的管辖权,转向以“危害中华人民共和国网络安全的活动”为切入的管辖权。当然,由于网络空间的互动性,效果原则不可避免地与他国主权相互交叠。在立法管辖权和司法管辖权二分的架构下,[7]第七十七条所宣示的本质上是立法管辖权,而我国在域外的执法活动,需基于主权平等原则,采取国际刑事司法协助、外交途径等与他国合作的方式开展。
新《网安法》关于涉外管辖权的修订,并非孤立的法律条文调整,而是我国在网络空间治理领域一次系统性革新。它将网络空间主权的法律主张从原则性宣示,转化为具备明确触发条件、强力制裁手段和理论支撑的可操作规则,从而构建出更精细、更主动且更具威慑力的法律治理框架,影响深远。对内而言,它为我国执法和司法部门应对日益严峻的跨境网络威胁,提供清晰、有力的法律依据,实现从被动防御到依法反制和追责的转变。对外而言,它向国际社会传递我国坚定维护网络空间主权与安全利益的声音,并将通过国际沟通与协商,参与和塑造跨境网络空间行为规则的制定;对全球产业而言,这意味着必须将我国的网络安全法律合规要求,纳入其全球供应链和业务运营的风险评估框架,网络安全的“合规边界”已随立法管辖权的延伸而拓展。
更强调发展的安全:面向未来的人工智能治理
新《网安法》具前瞻性的突破之一,在于新增的第二十条第一款“国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展”。这是我国首次在法律层面针对人工智能治理做出规定,“支持发展、协同共治、动态安全”的治理总纲得以成型。同时,这是我国网络安全理念从“为安全而管理”向“在发展中保障安全,以安全促进发展”的演进,深刻契合“不发展是最大的不安全”的时代命题。
与欧盟“基于风险”的人工智能规制不同,新《网安法》第二十条开宗明义将“发展”置于首位。作为第四次工业革命的重要引擎,人工智能的发展不仅展现经济竞争力,更与国家安全、文化自主和社会经济的脉动息息相关。因此,自主掌握开发、控制和部署人工智能的能力,使之符合特定价值观、安全需求和经济目标,已被各国视为主权的一部分,此即“主权AI”(Sovereign AI)。新《网安法》通过推进人工智能基础理论研究,以及算法、数据、算力三要素的发展,以期从源头上实现人工智能的安全可控,在全球科技竞争与博弈中取得先机。同时,将“训练数据资源”作为基础设施的定位,将有助于化解当前人工智能数据训练所面临的著作权、个人信息权益和数据产权冲突,并为后续的著作权合理使用、基于合法利益的个人信息处理,以及侵权责任的避风港规则等更灵活的制度探索提供上位法依据。
我国始终秉持“以人为本”和“智能向善”原则,确保人工智能更好赋能可持续发展,增进全人类共同福祉。为此,新《网安法》首次在法律层面提出“完善人工智能伦理规范”,由此形成“伦理+法律”的协同共治格局。通过衔接我国已制定的《关于加强科技伦理治理的意见》《人工智能科技伦理管理服务办法(试行)(公开征求意见稿)》,人工智能的伦理治理已然从软性倡议走向硬性约束,为解决算法公平、数字正义、防范算法诱导和沉迷等伦理难题,提供法律准则。与刚性且滞后的法律规范相比,伦理规范能够迅速适应人工智能的技术变革,具有鲜明的灵活性;可以通过“价值对齐”的柔性方法,全周期地融入人工智能研发、部署、提供、使用全过程;进而在企业、行业协会和国际组织中形成广泛共识,最终经由企业自律、行业行为准则和国际规则推进人工智能的健康发展。
习近平总书记指出,“构建技术监测、风险预警、应急响应体系,确保人工智能安全、可靠、可控”。[8]人工智能的技术迭代迅猛、业态持续演进,相应监管措施必须舍弃“以不变应万变”的静态思路,采取“以变化应对变化”的“动态安全”理念,这正是新《网安法》第二十条“风险监测评估和安全监管”的关键要义。未来制度建构上,可由监管机构设立“早期预警部门”,监测人工智能国内外前沿发展趋势,密切跟踪我国重点领域、重点企业、重点行业中人工智能的实施情况,根据《人工智能安全治理框架》合理测算风险预警临界点;在达致临界点时发起人工智能风险评估,组建评估小组,整合各方力量,设立跨领域、跨部门的评估委员会。[9]当评估委员会评估认定,人工智能潜在风险超过一定阈值时,及时发布预警信息。此时,相关主管部门就应提前筹谋,制定人工智能重大安全风险应急、应对处置预案,编制人工智能安全风险应对操作指南,明确应对措施和处置流程,明晰各响应部门职责,有效防范人工智能风险的传导和扩散。
“动态安全”的另一方面是人工智能对安全的反向赋能。新《网安法》第二十条第二款关于“运用人工智能等新技术,提升网络安全保护水平”的规定,开辟以发展促安全的实践路径。作为一项通用性技术,人工智能不仅是风险的开启者,也是风险的化解者,“科技与安全”共同编织出交叉演化的动态图景。2024年和2025年,国家互联网应急中心连续两年公布人工智能技术赋能网络安全应用测试结果,发现在钓鱼邮件识别、恶意软件检测、网络安全告警日志降噪、网络金融用户账号欺诈登录、大模型生成内容安全风险检测、基于局域网流量的漏洞利用攻击识别等多个场景中,人工智能正在推动网络安全防护从被动响应向主动预测、智能防御的升级。
更科学的行政处罚:宽严相济和激励相容的责任体系
法律责任条款是《网安法》的重要组成部分,也是其实施的保障性制度。随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》等法律法规的实施,网络违法活动法律责任尺度不统一的问题开始凸显。而在新形势下的发展语境中,如何构建更为科学合理的法律责任体系,敦促网络运营者履行法定义务,是《网安法》修订的重要关切。新《网安法》在深入总结网络领域相关立法实施经验的基础上,完善危害网络运行安全、网络产品和服务安全、网络信息安全行为的法律责任。通过“加重上限”与“有条件从轻”的双向调整,不但增强了不同法律之间的体系性与协同性,而且构建了一个分类分级、更富智慧的立体化责任体系,充分体现宽严相济、激励相容的治理原理。
法律责任的严格首先体现为“罚款上限跃升”。新《网安法》针对不同情形大幅提升罚款力度:对关键信息基础设施运营者、网络服务提供者等主体,若违反网络安全保护义务造成特别严重危害网络安全后果的,行政罚款上限从原100万元提升至1000万元;对网络信息安全相关违法行为,造成特别严重后果的,罚款上限从原50万元提升至1000万元,彻底改变“违法成本低、守法成本高”的局面。其次体现为“穿透个人的责任”。宽严相济的前提是责任清晰。新《网安法》不仅大幅提高罚款数额,还普遍采取“双罚制”,将“直接负责的主管人员和其他直接责任人员”纳入处罚范围,确保责任落实到“人”。这意味着从企业高管到具体的执行者,都可能面临个人追责和高额罚款,有效遏制企业将罚款视为可量化、可接受的经营成本。再次,新《网安法》将供应链安全责任的法定化。对于销售或者提供未经安全认证、安全检测,或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的行为,主管部门可责令改正、给予警告、没收违法所得,最高处以违法所得五倍的罚款,直至吊销相关证照,从而将网络安全责任链条明确延伸至设备供应商和安全产品厂商。最后,新《网安法》将“关闭应用程序”列为行政处罚方式,在移动互联网时代,应用程序被下架或关停威慑力可能远超罚款。
在“严”的威慑之外,新《网安法》还通过制度设计提供“宽”的出路。作为实现明智监管的关键柔性机制,新增的第七十三条引入《中华人民共和国行政处罚法》关于从轻、减轻或者不予处罚的规定,一方面展现出“包容审慎”的监管原则,对于初犯且危害轻微的情况“首违不罚”,为中小企业和数字化创新留出容错空间,避免僵化执法抑制市场活力;另一方面有助于将执法资源集中于惩戒恶意违法和造成重大损害的行为,有效激励良性网络运营者主动建立内部合规体系、积极消除风险。
总之,新《网安法》通过精细化的后果分级,实现处罚与违法行为的精准适配,通过拓展责任主体范围强化问责穿透力,依托从宽处罚机制赋予执法适度灵活性,最终构建起政府、企业、社会协同共治的网络安全治理新格局。
【本文作者为对外经济贸易大学法学院教授】
注释略
责编:张宏莉/美编:石 玉