摘 要:作為網絡安全和信息化領域的基礎性法律,2026年1月1日起施行的新《中華人民共和國網絡安全法》,回應全球數字化轉型加速、人工智能蓬勃興起、數實深度融合的時代變遷。該法將網絡空間主權的“領域原則”拓展為“效果原則”,從而把所有危害我國網絡安全的活動納入域外管轄權范圍之內;首次在法律層面增設人工智能規范,確立“支持發展、協同共治、動態安全”的人工智能治理總綱;科學優化法律責任條款,通過寬嚴相濟、激勵相容的規范體系,實現網絡安全治理與數字經濟發展的良性互動。
關鍵詞:網絡安全 網絡主權 人工智能
【中圖分類號】D920 【文獻標識碼】A
習近平總書記強調:“網絡生態治理是網絡強國建設的重要任務,事關國家發展和安全,事關人民群眾切身利益。”[1]《中華人民共和國網絡安全法》(以下簡稱《網安法》)作為我國網絡領域的基礎性法律,在維護國家網絡空間主權、安全和發展利益,保護各方主體在網絡空間的合法權益,促進數字經濟與社會健康發展等方面,發揮著積極重要的作用。自2017年6月1日《網安法》施行以來,我國信息技術迅速迭代,軟件應用日新月異,網民規模從2017年的7.51億[2]增至2025年的11.23億,[3]我國互聯網發展呈現從廣泛普及到深度應用的巨大躍升,但網絡安全風險亦進一步凸顯。時易世變,變法宜矣。2022年9月,《網安法》修法工作正式啟動,修訂后的《中華人民共和國網絡安全法》(以下簡稱新《網安法》)于2025年10月28日,經十四屆全國人大常委會第十八次會議表決通過,并于2026年1月1日起正式施行。新《網安法》有效拓展網絡空間主權,增設促進人工智能安全發展的規定,并對網絡安全法律責任制度作出完善,為國家網絡安全體系和網絡治理現代化的推進奠定堅實的法治之基。
更有力的域外管轄:網絡空間主權的拓展
在數字全球化浪潮中,數據流動與網絡攻擊早已跨越傳統物理國界。如何將國家主權有效地延伸至網絡空間,是各國面臨的共同難題。《網安法》第一條即申明“維護網絡空間主權”的立法主旨,[4]并在第七十五條通過保護性管轄權,將“境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動,造成嚴重后果的”,納入我國網絡空間主權范圍。然而,近年來境外網絡攻擊頻發,其對象已不再限于“關鍵信息基礎設施”,正向著更寬泛的數據設施、計算機系統,甚至網絡信息內容蔓延。2025年12月22日,國內知名短視頻平臺快手遭遇境外大規模網絡攻擊就是典型一例。據報道,境外黑客組織通過技術手段侵入快手系統,借助自動化工具批量注冊、操控僵尸號,實現違規內容的秒級發布與擴散。更令人擔憂的是,這些直播中隱藏病毒鏈接,用戶點入后賬號即被盜取,不法分子隨即向賬號好友發送借款請求,實施詐騙。[5]在此背景下,新《網安法》統籌推進國內法治與涉外法治,在第七十七條中特別規定“境外的機構、組織、個人從事危害中華人民共和國網絡安全的活動的,依法追究法律責任”,[6]及時拓展法律管轄范圍,顯著強化新《網安法》域外適用效力,標志著我國在網絡空間主權積極作為的法律態度。
網絡空間主權的攻守易型,反映我國在網絡安全領域的域外管轄權已經從基于網絡設施的“領土原則”轉向基于網絡行為的“效果原則”。如同其他物理存在,特定領陸、內河、領海和領空中存在的網絡設施,無論由國家、組織還是個人所有,都應依循“領土原則”處于國家管轄之下。但是,網絡空間并非僅局限于網絡設施本身,還涵蓋網絡主體、網絡行為及相關網絡數據和信息,網絡空間主權亦隨之延伸適用于網絡空間的物理層、邏輯層、應用層和社會層。與依附于領土的網絡設施不同,網絡行為天然是跨地域的——數據以電子信號為載體,通過全球性網絡實現即時跨域傳輸,而廉價存儲器的普及、便捷的網絡訪問渠道進一步降低信息流動的時空成本,使得主權國家難以通過傳統領土管轄邏輯,掌控網絡信息的跨域擴散。因此,對網絡行為的管轄需要舍棄固定化方案,而采用更靈活的方式,這就是“效果原則”。根據該原則,無論網絡行為是否在一國領土之內,只要它在領土之內產生不利影響,均在該國的管轄范圍內。以此為基,新《網安法》從以“關鍵信息基礎設施”為錨點的管轄權,轉向以“危害中華人民共和國網絡安全的活動”為切入的管轄權。當然,由于網絡空間的互動性,效果原則不可避免地與他國主權相互交疊。在立法管轄權和司法管轄權二分的架構下,[7]第七十七條所宣示的本質上是立法管轄權,而我國在域外的執法活動,需基于主權平等原則,采取國際刑事司法協助、外交途徑等與他國合作的方式開展。
新《網安法》關于涉外管轄權的修訂,并非孤立的法律條文調整,而是我國在網絡空間治理領域一次系統性革新。它將網絡空間主權的法律主張從原則性宣示,轉化為具備明確觸發條件、強力制裁手段和理論支撐的可操作規則,從而構建出更精細、更主動且更具威懾力的法律治理框架,影響深遠。對內而言,它為我國執法和司法部門應對日益嚴峻的跨境網絡威脅,提供清晰、有力的法律依據,實現從被動防御到依法反制和追責的轉變。對外而言,它向國際社會傳遞我國堅定維護網絡空間主權與安全利益的聲音,并將通過國際溝通與協商,參與和塑造跨境網絡空間行為規則的制定;對全球產業而言,這意味著必須將我國的網絡安全法律合規要求,納入其全球供應鏈和業務運營的風險評估框架,網絡安全的“合規邊界”已隨立法管轄權的延伸而拓展。
更強調發展的安全:面向未來的人工智能治理
新《網安法》具前瞻性的突破之一,在于新增的第二十條第一款“國家支持人工智能基礎理論研究和算法等關鍵技術研發,推進訓練數據資源、算力等基礎設施建設,完善人工智能倫理規范,加強風險監測評估和安全監管,促進人工智能應用和健康發展”。這是我國首次在法律層面針對人工智能治理做出規定,“支持發展、協同共治、動態安全”的治理總綱得以成型。同時,這是我國網絡安全理念從“為安全而管理”向“在發展中保障安全,以安全促進發展”的演進,深刻契合“不發展是最大的不安全”的時代命題。
與歐盟“基于風險”的人工智能規制不同,新《網安法》第二十條開宗明義將“發展”置于首位。作為第四次工業革命的重要引擎,人工智能的發展不僅展現經濟競爭力,更與國家安全、文化自主和社會經濟的脈動息息相關。因此,自主掌握開發、控制和部署人工智能的能力,使之符合特定價值觀、安全需求和經濟目標,已被各國視為主權的一部分,此即“主權AI”(Sovereign AI)。新《網安法》通過推進人工智能基礎理論研究,以及算法、數據、算力三要素的發展,以期從源頭上實現人工智能的安全可控,在全球科技競爭與博弈中取得先機。同時,將“訓練數據資源”作為基礎設施的定位,將有助于化解當前人工智能數據訓練所面臨的著作權、個人信息權益和數據產權沖突,并為后續的著作權合理使用、基于合法利益的個人信息處理,以及侵權責任的避風港規則等更靈活的制度探索提供上位法依據。
我國始終秉持“以人為本”和“智能向善”原則,確保人工智能更好賦能可持續發展,增進全人類共同福祉。為此,新《網安法》首次在法律層面提出“完善人工智能倫理規范”,由此形成“倫理+法律”的協同共治格局。通過銜接我國已制定的《關于加強科技倫理治理的意見》《人工智能科技倫理管理服務辦法(試行)(公開征求意見稿)》,人工智能的倫理治理已然從軟性倡議走向硬性約束,為解決算法公平、數字正義、防范算法誘導和沉迷等倫理難題,提供法律準則。與剛性且滯后的法律規范相比,倫理規范能夠迅速適應人工智能的技術變革,具有鮮明的靈活性;可以通過“價值對齊”的柔性方法,全周期地融入人工智能研發、部署、提供、使用全過程;進而在企業、行業協會和國際組織中形成廣泛共識,最終經由企業自律、行業行為準則和國際規則推進人工智能的健康發展。
習近平總書記指出,“構建技術監測、風險預警、應急響應體系,確保人工智能安全、可靠、可控”。[8]人工智能的技術迭代迅猛、業態持續演進,相應監管措施必須舍棄“以不變應萬變”的靜態思路,采取“以變化應對變化”的“動態安全”理念,這正是新《網安法》第二十條“風險監測評估和安全監管”的關鍵要義。未來制度建構上,可由監管機構設立“早期預警部門”,監測人工智能國內外前沿發展趨勢,密切跟蹤我國重點領域、重點企業、重點行業中人工智能的實施情況,根據《人工智能安全治理框架》合理測算風險預警臨界點;在達致臨界點時發起人工智能風險評估,組建評估小組,整合各方力量,設立跨領域、跨部門的評估委員會。[9]當評估委員會評估認定,人工智能潛在風險超過一定閾值時,及時發布預警信息。此時,相關主管部門就應提前籌謀,制定人工智能重大安全風險應急、應對處置預案,編制人工智能安全風險應對操作指南,明確應對措施和處置流程,明晰各響應部門職責,有效防范人工智能風險的傳導和擴散。
“動態安全”的另一方面是人工智能對安全的反向賦能。新《網安法》第二十條第二款關于“運用人工智能等新技術,提升網絡安全保護水平”的規定,開辟以發展促安全的實踐路徑。作為一項通用性技術,人工智能不僅是風險的開啟者,也是風險的化解者,“科技與安全”共同編織出交叉演化的動態圖景。2024年和2025年,國家互聯網應急中心連續兩年公布人工智能技術賦能網絡安全應用測試結果,發現在釣魚郵件識別、惡意軟件檢測、網絡安全告警日志降噪、網絡金融用戶賬號欺詐登錄、大模型生成內容安全風險檢測、基于局域網流量的漏洞利用攻擊識別等多個場景中,人工智能正在推動網絡安全防護從被動響應向主動預測、智能防御的升級。
更科學的行政處罰:寬嚴相濟和激勵相容的責任體系
法律責任條款是《網安法》的重要組成部分,也是其實施的保障性制度。隨著《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡數據安全管理條例》等法律法規的實施,網絡違法活動法律責任尺度不統一的問題開始凸顯。而在新形勢下的發展語境中,如何構建更為科學合理的法律責任體系,敦促網絡運營者履行法定義務,是《網安法》修訂的重要關切。新《網安法》在深入總結網絡領域相關立法實施經驗的基礎上,完善危害網絡運行安全、網絡產品和服務安全、網絡信息安全行為的法律責任。通過“加重上限”與“有條件從輕”的雙向調整,不但增強了不同法律之間的體系性與協同性,而且構建了一個分類分級、更富智慧的立體化責任體系,充分體現寬嚴相濟、激勵相容的治理原理。
法律責任的嚴格首先體現為“罰款上限躍升”。新《網安法》針對不同情形大幅提升罰款力度:對關鍵信息基礎設施運營者、網絡服務提供者等主體,若違反網絡安全保護義務造成特別嚴重危害網絡安全后果的,行政罰款上限從原100萬元提升至1000萬元;對網絡信息安全相關違法行為,造成特別嚴重后果的,罰款上限從原50萬元提升至1000萬元,徹底改變“違法成本低、守法成本高”的局面。其次體現為“穿透個人的責任”。寬嚴相濟的前提是責任清晰。新《網安法》不僅大幅提高罰款數額,還普遍采取“雙罰制”,將“直接負責的主管人員和其他直接責任人員”納入處罰范圍,確保責任落實到“人”。這意味著從企業高管到具體的執行者,都可能面臨個人追責和高額罰款,有效遏制企業將罰款視為可量化、可接受的經營成本。再次,新《網安法》將供應鏈安全責任的法定化。對于銷售或者提供未經安全認證、安全檢測,或者安全認證不合格、安全檢測不符合要求的網絡關鍵設備和網絡安全專用產品的行為,主管部門可責令改正、給予警告、沒收違法所得,最高處以違法所得五倍的罰款,直至吊銷相關證照,從而將網絡安全責任鏈條明確延伸至設備供應商和安全產品廠商。最后,新《網安法》將“關閉應用程序”列為行政處罰方式,在移動互聯網時代,應用程序被下架或關停威懾力可能遠超罰款。
在“嚴”的威懾之外,新《網安法》還通過制度設計提供“寬”的出路。作為實現明智監管的關鍵柔性機制,新增的第七十三條引入《中華人民共和國行政處罰法》關于從輕、減輕或者不予處罰的規定,一方面展現出“包容審慎”的監管原則,對于初犯且危害輕微的情況“首違不罰”,為中小企業和數字化創新留出容錯空間,避免僵化執法抑制市場活力;另一方面有助于將執法資源集中于懲戒惡意違法和造成重大損害的行為,有效激勵良性網絡運營者主動建立內部合規體系、積極消除風險。
總之,新《網安法》通過精細化的后果分級,實現處罰與違法行為的精準適配,通過拓展責任主體范圍強化問責穿透力,依托從寬處罰機制賦予執法適度靈活性,最終構建起政府、企業、社會協同共治的網絡安全治理新格局。
【本文作者為對外經濟貿易大學法學院教授】
注釋略
責編:張宏莉/美編:石 玉