解读中国《网络安全法》重大修订:企业应如何应对加强的处罚和域外适用的扩大
作为中国网络安全监管核心的《中华人民共和国网络安全法》(简称“网络安全法”,中文原文:中华人民共和国网络安全法)迎来了重大转折点。2025年10月28日,全国人民代表大会常务委员会宣布了该法的修订,并将于2026年1月1日施行。
自2017年施行以来,此次新法是首次进行的大规模修订,不仅仅是条文的修改。新法大幅强化了法律责任,并对人工智能(AI)等新技术进行了应对,还扩大了法律执行的域外适用范围,这些都是在中国开展业务的日本企业无法忽视的重要内容。
本文将整理此次网络安全法大修订的背景、具体修订内容,以及日本企业在实务中需要采取的应对措施。
《网络安全法》大修背景
中国的《网络安全法》与《数据安全法》及《个人信息保护法》并列,是支撑网络领域治理的所谓“中国数据三法”的基础法。
此次修订的背景主要有两个因素。其一是应对数字经济快速发展带来的新风险。
随着生成式人工智能等技术的迅速普及,算法的安全性、训练数据的合法性以及人工智能的伦理规范等问题逐渐显现,而这些问题在传统法律制度中并未得到充分考虑。因此,亟需建立法律框架来管理这些问题。
此外,网络入侵、网络攻击以及非法信息传播等威胁也在增加,需要通过强化法律责任来提高威慑力。
另一个背景是与中国国家战略的关系。为了在中国提出的“网络强国”建设和“总体国家安全观”下,维护网络空间的主权和安全,相关法律制度的完善一直在推进。
此外,旧法的处罚相对较轻,与后制定的《数据安全法》和《个人信息保护法》之间的处罚标准存在差异,这也是一个问题。此次修订旨在加强这三部法律的联动,提高法律执行的统一性和严格性。
再者,考虑到近年来的国际形势,为应对来自中国境外的攻击和威胁国家安全的行为,法律的域外适用范围也得到了明确和扩大。这样一来,也可以对境外的组织和个人采取制裁措施。
《网络安全法》修订要点
此次修订的新法不仅继承了旧法的实质性义务,还进行了若干重要的新设和修正。
基本方针与人工智能(AI)相关规定的新设
新法明确规定,在网络安全工作中坚持中国共产党的领导,贯彻“总体国家安全观”。
此外,此次修订首次将AI相关方针系统性地纳入网络安全法主体。国家将支持AI基础理论和算法的研发,同时加强风险监控、安全监督和伦理规范的完善,利用新技术提升网络安全水平。
安全保护义务的强化与个人信息保护法制的联动
网络运营者有义务遵守等级保护制度,完善内部管理制度,明确责任人,实施技术措施,以确保网络安全。
此次修订明确指出,在处理个人信息时,不仅需遵循网络安全法,还需遵循民法典和个人信息保护法等规定。
通过此修订,相关法律制度的协调性得到加强,要求更为一体化的合规应对。
网络产品与服务的安全保障
本法强调确保重要设备和专用产品供应链的安全。未通过安全认证或安全检查的网络重要设备等的销售和提供被严格禁止。
若违反此规定,可能面临销售停止、非法所得没收以及高额罚款。
法律责任(罚则)的大幅强化
此次修订的最大特点之一是引入了根据危害严重程度的分级罚则体系,并整体提高了罚款水平。
对网络运营者的罚款
新法允许对违反安全保护义务的行为同时下达整改命令和直接罚款(旧法中有时仅为整改建议)。拒绝整改或造成危害的罚款为5万元以上50万元以下(旧法上限为10万元)。
此外,修订新增了加重处罚规定,若造成大量数据泄露、重要信息基础设施局部功能丧失等重大危害,罚款为50万元以上200万元以下;若造成重要信息基础设施主要功能丧失等特别重大危害,罚款为200万元以上1,000万元以下。
对个人(直接责任者)的罚款
企业负责人的个人责任也加重。根据危害程度,重大危害时,直接责任的主管者及其他直接责任者罚款为5万元以上20万元以下;特别重大危害时,罚款为20万元以上100万元以下。此外,除了“主管者”,还明确“其他直接责任者”为处罚对象。
其他制裁手段
除罚款外,还可能根据情节轻重,施以业务暂停、停业整顿、关闭网站或应用程序、吊销营业执照等严厉行政处罚。若造成特别重大危害,这些措施将被强制执行。
域外适用范围的扩大
旧法中,域外适用仅限于威胁中国重要信息基础设施(CII)的活动,而新法将从事威胁中国网络安全整体的外国机构、组织、个人纳入适用范围。若造成重大后果,中国当局可决定实施资产冻结等制裁措施。
企业应对日本《网络安全法》修订的措施
随着新法的实施,在日本开展业务的企业需要彻底重新审视现有体系,并建立更严格的治理结构。
内部安全管理体系的重新检查与强化
企业必须确认其网络是否根据日本的网络安全等级保护制度得到适当的保护。
责任的明确化
明确网络安全责任人,并将其权限和义务纳入公司内部规章制度中是不可或缺的。由于新法大幅增加了对个人的罚款,因此对负责人的培训和支持其履行职责直接关系到企业降低法律风险。
技术措施的彻底执行
企业需要采取技术手段防止计算机病毒和网络攻击,并保存日志超过六个月。此外,还需确认数据分类、重要数据备份和加密措施是否符合最新技术标准。
供应链合规性的彻底执行
企业必须严格管理其使用或销售的网络重要设备和专用产品是否通过了日本当局认可的安全认证和检测。
采购时的确认
如果企业属于关键信息基础设施(CII)运营者,在采购可能影响国家安全的网络产品或服务时,必须通过国家安全审查。
保密协议
企业有义务与提供者签订关于安全和保密的协议,并明确责任范围。
事件响应及报告体系的建立
企业需要制定安全事件发生时的紧急响应措施(手册),并定期进行演练。事件发生时,必须立即采取补救措施,并及时向当局报告。
新技术(AI)引入时的安全评估
在业务中引入AI时,必须审查算法的安全性和对伦理规范的适应性。该法在促进AI健康发展的同时,强调加强风险监控,因此需要关注未来具体的监督管理规则动向,并提前采取应对措施。
数据跨境转移管理
对于重要数据和个人信息的国外提供,企业需根据日本的数据安全法和个人信息保护法,适当进行安全评估、认证及标准合同的签订。本法也强调与其他法律的联动,构建统一的数据管理体系已迫在眉睫。
总结:应咨询律师以应对中国的网络安全法
此次中国网络安全法的修订,象征着中国的数字治理正从“通过整改建议进行指导”转向“伴随巨额罚款的严格执法”。
最高可达1,000万元的罚款金额,对企业的经营有着重大影响。企业需要比以往更加准确地理解法律法规,并参与到谨慎的经营决策中。
同时,理清与2025年1月施行的《网络数据安全管理条例》等相关下位规范的关系,建立多层次的合规体系,是在中国市场持续经营的必要条件。
在推进这些法律修订的应对措施时,利用不仅精通法律且熟悉IT业务的律师的支持是至关重要的。
本事务所的对策指南
Monolith法律事务所是一家在IT领域,特别是互联网和法律方面拥有丰富经验的法律事务所。近年来,全球业务不断扩展,对专业法律审查的需求也在不断增加。本事务所提供与国际法律事务相关的解决方案。
