2025年最新发布，《网络安全法》新旧版本详细对照表

新华社最新消息，10月28日，十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定，修订后的法律将自2026年1月1日起施行。这是自2016年网络安全法制定以来的首次重大修改。

此次网络安全法的修改，适应网络安全新形势新要求，重点强化网络安全法律责任，加强与相关法律的衔接协调。

回应人工智能治理和促进发展的需要，修改后的网络安全法明确，国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。

修法背景与审议过程

网络安全法作为网络安全领域的基础性法律，自2017年6月1日施行以来，在维护国家网络空间主权、安全和发展利益方面发挥了重要作用。随着网络强国战略深入推进，人工智能等战略性技术迅猛发展，数字经济和实体经济进一步融合，网络安全面临新的挑战。

2022年9月，国家网信办启动修法程序，发布《关于修改〈网络安全法〉的决定(征求意见稿)》；

2025年3月28日，国家网信办会同相关部门研究起草了《中华人民共和国网络安全法（修正草案再次征求意见稿）》；

2025年9月8日-12日，十四届全国人大常委会第十七次会议对网络安全法修正草案进行了初次审议，随后于9月12日至10月11日在中国人大网公开征求意见期间；

2025年10月24日-28日，十四届全国人大常委会第十八次会议对网络安全法修正草案进行了二次审议，并于28日正式表决通过。

2016年制定的网络安全法是网络安全领域的基础性法律。此次网络安全法的修改，适应网络安全新形势新要求，重点强化网络安全法律责任，加强与相关法律的衔接协调。本文对比了新版本和现行版本，为企业后续工作提供一些参考。
 
一、新版本将原第十八条调整为第十九条，并删去第二款，原条文中“国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平”的表述，经过升级后移至新增的第二十条，表述为“国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平”。这一修订因应了人工智能时代网络安全的新挑战与新机遇，彰显了立法与时俱进、对前沿科技的精准回应。

二、新版本将原第四十条完善为第四十二条，在保留“严格保密”与“建立保护制度”原则性要求的基础上，新增了关键的第二款规定，明确要求网络运营者处理个人信息时须遵守本法和《民法典》、《个人信息保护法》等法律法规。此次修订完成了一次从原则性要求到体系化合规指引的里程碑式跨越。它通过高超的法律衔接技术，将散见于各法的个人信息保护规范整合为统一的刚性义务，彻底堵上了网络运营者过去那种“重制度形式、轻保护实质”的漏洞。

三、新版本对第五十九条进行了修改，并对未履行网络安全义务的处罚机制进行了细化和加强，具体体现在以下方面：

一、优化罚款阶梯，显著提升违法成本
新版法规对罚款档次进行了结构性调整，全面提高了处罚下限。具体而言：
基础处罚升级：对于未依法履行网络运行安全保护义务的网络运营者，基础处罚由原先单一的“警告”，升级为“警告，并处一万元以上五万元以下罚款”。
加重处罚翻倍：若出现拒不改正或导致网络安全事故等情形，罚款额度上下限均提升至原标准的五倍，下限由一万元升至五万元，上限则大幅提高至五十万元。
聚焦关键设施：针对关键信息基础设施运营者，处罚力度同步加强，其基础处罚的下限也由“警告”调整为“警告，并处五万元以上十万元以下罚款”。
二、增设加重条款，严惩重大违法行为
为强化对重大网络安全事件的惩戒，修订版专门引入了针对严重后果的加重处罚条款：
设定高额罚则：对于导致“大量数据泄露”或“关键信息基础设施丧失局部功能”等严重危害后果的，罚款幅度显著提升，最高可达二百万元。
明确顶格处罚：若造成“丧失主要功能”等特别严重后果，设定了更高的处罚阶梯，最高罚款额度达一千万元。
扩大问责范围：在此类严重情形中，责任追究范围也由单位延伸至“其他直接责任人员”，实现了对个人责任的有效覆盖。

四、将第六十条改为第六十二条，增加一款，作为第二款，新规明令严惩网络产品与服务提供者的失职行为。若其设置恶意程序，或在发现安全缺陷、漏洞后未立即采取补救措施、未履行告知用户与上报主管部门的法定义务，进而导致严重危害网络安全之后果的，将面临重罚：造成大量数据泄露或关键信息基础设施局部功能丧失的，处五十万元以上二百万元以下罚款；导致关键信息基础设施主要功能丧失等特别严重后果的，罚款额度则大幅提高至二百万元以上一千万元以下。

五、新版本将第六十一条调整为第六十四条，在违反用户“实名制”的罚则部分，扩展了处罚措施所适用的服务载体。在原有“关闭网站”的基础上，增加了“或者应用程序”这一并列选项，将“应用程序”纳入监管处罚范围，使其与传统“网站”处于同等地位。此修订明确宣告：法律监管将覆盖所有服务形态，不因运营者选择移动App或其他载体而改变，彻底打破了其逃避监管的侥幸心理。

六、新版本将原第六十二条调整为第六十五条，针对网络安全认证、检测、风险评估及信息安全发布等活动的违规行为，在法律责任层面作出重要修订：

一、建立分级处罚阶梯，显著提升违法成本
本次修订在法律责任设定上更为严格，核心在于降低罚款门槛并大幅提升处罚上限：
处罚前置化：现行法规仅对“拒不改正或情节严重的”行为处以罚款，新法规则将罚款调整为初始处罚手段，主管部门在责令改正、给予警告的同时，可直接并处一万元以上十万元以下罚款，使罚款成为违规必担的“标准后果”。
幅度显著提升：针对“拒不改正或情节严重的”严重情形，罚款额度从现行的一至十万元，大幅提升至十万元以上一百万元以下，极大强化了对恶性违规的经济惩戒力度。
二、扩展停业整顿范围，实现监管无差别覆盖
为应对服务载体日益移动化的趋势，修订条款在责令暂停相关业务、停业整顿等措施中，明确加入“或着应用程序”选项。此举实现了对网站与应用程序的同等监管，确保了法律在不同服务形态间的全面适用，杜绝了因载体形式不同而产生的监管盲区。
三、强化个人责任追究，压实关键岗位约束
修订案同步加重了对个人的责任追究，将直接负责的主管人员及其他直接责任人员的罚款上限，由五万元提高至十万元。此举进一步凸显了在“双罚制”框架下个人法律责任的重要性，强化了对决策与执行关键岗位的合规约束，督促其审慎履职。

七、新版本将第六十五条修订为第六十七条，进一步完善了针对关键信息基础设施运营者使用未经安全审查或审查未通过的网络产品或服务的法律责任。主要修订内容包括强化处置流程，在原有的“责令停止使用”基础上，新增“责令限期改正”与“消除对国家安全的影响”两项，搭建从行为纠正到风险消除的责任链条，进一步强化了对国家安全的底线保障。

八、新版本将原第六十八条及第六十九条的相关内容整合重构为新的第六十九条，实现了对网络运营者信息管理责任与处罚体系的全面升级，主要体现在以下三个维度：

一、责任体系：构建管理闭环
新法在原有“停止传输、消除处置、保存记录”义务的基础上，新增了“向有关主管部门报告”的强制性要求。此举将原本分散的处置义务，整合升级为 “发现-处置-报告” 的完整责任闭环，显著强化了事前预警与事中协同能力。
二、处罚机制：确立阶梯罚则
新法建立了更为严厉的阶梯式处罚机制，显著提升违法成本：
初步违规：在警告基础上，新增“予以通报”的声誉罚，并可直接处以五万元以上五十万元以下罚款，改变了以往“以改代罚”的局面。
情节严重：对拒不改正或情节严重者，罚款上限由五十万元大幅提升至二百万元。
后果特别严重：特别增设了二百万元以上一千万元以下的顶格罚款区间，展现了强大的法律威慑力。
三、问责范围：强化个人责任
在个人责任追究层面，处罚标准也同步大幅提高：
对直接负责的主管人员及其他责任人员的罚款上限，由十万元翻倍至二十万元。
若造成特别严重后果，个人罚款额度最高可达一百万元，充分体现了“罚到个人”的追责决心。

九、新版本将第六十四条、第六十六条及第七十条合并为第七十一条，《个人信息保护法》《数据安全法》及《关键信息基础设施安全保护条例》等相关法律与行政法规，对第六十四条、第六十六条等条款进行了更为详尽的规定。新版本对此进行了统一汇总，并依照相关法律及行政法规的规定执行处罚。

十、新版本将第七十五条修改为第七十七条，扩展了法律威慑范围并降低了追责门槛。核心变化在于，新版本删除了“关键信息基础设施”的限定，将适用范围从保护特定核心设施扩展至全面维护国家网络安全。

十一、新版本增加了四项关键条款，进一步构建了更为严密的网络安全责任体系：

一、增设销售违规产品罚则，完善安全准入责任
新法进一步构建了严密的网络安全责任体系，特别针对销售或提供未经安全认证、检测，或认证、检测不合格的网络关键设备与网络安全专用产品的行为，专门设置了法律责任条款。明确规定对相关责任方给予警告、没收违法所得，并处以违法所得一倍以上五倍以下的梯度罚款，强化了对供应链上游的安全管控。
二、衔接行政处罚一般原则，体现过罚相当精神
新版本在强化责任的同时，也注重执法精度，明确规定如违反本法行为符合《中华人民共和国行政处罚法》中从轻、减轻或不予处罚的情形，将依法适用相应规定，体现了宽严相济、过罚相当的法治原则。
三、明确根本遵循与治理理念，统筹发展与安全
在法律总则部分，新法进一步确立了网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展与安全，推进网络强国建设的根本方向。同时，对人工智能等新技术的发展与监管作出前瞻性规定，要求统筹推进其技术研发、应用推广与安全治理，充分彰显了“在发展中保安全、在安全中促发展”的立法智慧。