问题:随着数字化、智能化加速推进,网络安全风险呈现“全域化、链条化、外溢化”特征。
一方面,关键信息基础设施承载经济运行、社会治理和公共服务的关键功能,一旦遭受攻击或发生重大事故,影响面广、连锁反应强。
另一方面,内容生产与传播方式深刻变化,直播、短视频、社交平台及相关机构在流量驱动下易出现违规信息扩散、处置不及时等问题。
同时,数据成为关键生产要素,大量数据泄露、恶意程序侵入、系统缺陷与漏洞诱发的安全事件更趋多发,企业与个人权益、公共利益乃至国家安全面临新挑战。
原因:风险抬升既有技术演进的客观因素,也有治理结构的现实因素。
从技术侧看,云化部署、供应链外包、应用快速迭代提高效率的同时,扩大了攻击面;开源组件、第三方服务嵌入广泛,若缺乏统一评估与持续监测,隐患容易累积。
从管理侧看,一些机构存在“重业务轻安全、重建设轻运维”的倾向,安全责任链条不够清晰,投入与能力与规模不匹配;内容治理上,算法推荐、商业变现与合规要求之间的平衡难度加大,平台巡查、处置、留痕、报送等机制有时不到位;数据治理上,数据分级分类、最小必要、访问控制、加密脱敏等制度落实不均衡,应急响应体系和演练不足,使“小漏洞”可能演变为“大事件”。
影响:此次修改在保持网络安全法“基础性、综合性、框架性”定位不变的同时,对重点领域责任作出更具刚性的安排,释放出“抓关键、强责任、重协同”的信号。
首先,关键信息基础设施保护进一步突出,对运营者安全义务与法律责任作出更严格规定,提高违法成本,有利于倒逼相关单位将安全管理前置到规划、建设、采购、运行全流程,推动“三同步”等要求落地,提升关键领域抗风险能力。
其次,内容安全治理链条更加清晰,对平台巡查义务及配合监管责任的强化,有助于形成从主体自律、平台治理到监管纠偏的闭环,促使内容服务企业完善制度与技术手段,减少违法和有害信息传播的空间。
再次,将“大量数据泄露”等情形纳入违法范畴并明确责任指向,体现对数据泄露后果的高度关注,推动网络运营者从被动处置转向主动防控,形成更可预期的合规边界。
与此同时,通过与数据安全法、个人信息保护法等法律的责任衔接,进一步构建网络安全、数据安全、个人信息保护并行的责任体系,为企业合规提供更清晰的制度坐标。
新增人工智能发展与安全条款,则回应了新技术快速应用带来的治理需求,为促进创新与守住安全底线提供法治支撑。
对策:面向新规要求,网络运营者需要从组织、制度、技术、应急四个维度系统提升。
第一,突出关键信息基础设施“重点保护”。
对照法律要求完善网络安全管理机构设置,明确负责人和岗位职责,建立覆盖规划、建设、采购、运行、内控的全周期管理机制,强化供应链安全审查与准入管理,推动安全与业务同部署、同规划、同建设。
第二,健全内容安全风险防控体系。
平台应完善巡查发现、快速处置、复核申诉、证据留存、报告协同等流程,提升对重点领域、重点时段、重点账号的分级管理能力;同时加强员工与生态合作方合规培训,推动MCN机构、主播及内容生产链条各环节明确红线和责任。
第三,补齐数据泄露防控与事件响应短板。
围绕数据资产梳理、分类分级、权限管理、日志审计、加密保护、漏洞治理等关键措施建立标准化制度,并将重大风险纳入常态化排查;结合相关事件报告管理要求,建立应急预案与报告机制,定期开展演练,提高快速发现、定位、隔离、止损和恢复能力。
第四,构建“三位一体”协同合规架构。
将网络安全合规与数据安全、个人信息保护统筹纳入企业治理体系,形成统一的合规职责分工、制度体系和审计评估机制,避免制度割裂、责任空转。
第五,前置布局人工智能安全治理。
在应用上线、模型训练、内容生成与分发等环节建立风险评估与安全控制,强化数据来源合规、输出内容安全审核与可追溯管理,推动技术创新在法治轨道上运行。
前景:随着修改后的网络安全法实施,网络安全治理将更加强调“以重点带全局、以责任促落实、以协同增效能”。
可以预期,执法与监管将更聚焦关键领域、重大风险和典型问题,企业合规投入与治理能力将成为核心竞争力之一。
对产业发展而言,安全要求的强化并非“加码负担”,而是推动市场主体提升基础能力、优化治理结构、减少系统性风险的重要机制。
通过更明确的责任体系与更有力的法治保障,我国网络空间安全底座有望进一步夯实,为数字经济高质量发展提供长期稳定的制度支撑。
新修改的网络安全法标志着我国网络法治建设迈入新阶段。
这部法律既保持了网络安全工作的全面性和基础性,又根据新形势作出了有针对性的完善,充分体现了我国网络安全工作的系统性和科学性。
对于政府部门而言,要加强执法协调,形成监管合力;对于企业而言,要深入学习领会修改内容,主动适应新的法律要求,将网络安全防护能力建设作为核心竞争力;对于全社会而言,要共同参与网络安全建设,维护清朗的网络空间。
只有坚持依法治网,才能为数字经济发展提供坚实的法治保障,为建设网络强国贡献更大力量。