中共《網絡安全法》首次修法評析
關鍵字:網絡安全法、關鍵資訊基礎設施、人工智慧
(本評析內容及建議,屬作者意見,不代表財團法人國防安全研究院立場)
2025 年 10 月 28 日,中共全國人民代表大會通過《網絡安全法》(Cybersecurity Law, CSL)修正案,並將於 2026 年 1 月 1 日正式生效。[1]這是自 2017 年《網絡安全法》上路以來的首次全面調整,其規模遠超技術性細節修補,而是象徵中共正式將網路治理全面納入國家安全與戰略架構中。特別是新增的第 3 條,明確寫入「網絡安全工作堅持中國共產黨的領導、貫徹總體國家安全觀、推進網絡強國建設」,意味網路安全不再只是資訊管理領域,而是政權安全、科技競爭與國家治理體系不可分割的一環。
本次修法內容不少,從執法機關的處置權限、個人與企業的法律責任,到境外主體的追索範圍、關鍵資訊基礎設施(Critical Information Infrastructure, CII)的防護要求,以及「人工智慧」(Artificial intelligence, AI)治理的正式入法,均呈現結構性強化的趨勢。整個修法方向集中於提升行政裁量、擴大法律責任、深化國家安全審查與補強技術治理,反映中共在網路空間治理上的戰略升級。
本次修法至少有三項重要意涵。第一,透過新增第 3 條與第 77 條,中共將原先偏向政策論述的「網路主權」轉化為具有清晰約束力的法律體制,欲使政府在跨境數據、平台服務與境外主體行為上取得更強的法律基礎。第二,透過第 61 條等罰則提升、CII 監管強化與安全產品審查等制度調整,中共正加速推動關鍵基礎設施與資料基盤的「國安化」,使之成為政權安全與技術自主戰略的核心資產。第三,AI首次被納入網安法之中,顯示 AI 已從經濟與創新議題上升為國家安全治理的支撐技術,並為日後模型審查、算力管理與 AI 風險治理提供制度化法源。以下簡述本次修法重點。
第77 條:擴張外國實體的合規義務
首先,本次修法最具有戰略意義的是第 77 條,其擴大範圍加重與中共有業務往來、使用者或資料關聯的外國實體的合規義務。該條賦予中共對境外主體採取法律責任與制裁措施的權力,若是境外機構、組織、個人從事「危害中國網絡安全的活動」,可依法追究法律責任;若造成嚴重後果,公安部門可凍結財產或採取其他必要制裁。
與舊法相比,該項修法包含3項重大擴張。第一,行為範圍從「針對 CII的攻擊或破壞」擴張到任何「危害中國網絡安全的活動」,而何謂「危害中國網絡安全的活動」尚未有明確定義,因此具有高度彈性與風險。第二,責任門檻從「結果責任」降低為「行為責任」,只要被認定有危害行為就可能被究責。第三,新增制裁措施,若是造成嚴重後果的行為,國務院公安部門等可以採取諸多作為,包括凍結財產,反映中共正嘗試在網絡空間確立其域外法權。
第 77 條的效力不僅在網路安全領域,也與中共《國家安全法》《數據安全法》《反間諜法》《對外關係法》《反制裁法》漸漸形成一套體系,使中共在科技戰、跨境資料流、平台管理與國際政治議題中更主動運用法律工具。從企業合規角度看,外國公司、國際平台、雲端服務、通訊工具、資安研究人員等均可能被納入第 77 條的潛在適用範圍,合規風險與不確定性大幅提升。
AI 首次入法:從治理對象到監管工具
此次修法新增的第 20 條,是《網絡安全法》首次在其框架下納入AI。其要求「國家支持人工智慧基礎理論研究和演算法等關鍵技術研發,推動訓練資料資源、算力等基礎建設,完善人工智慧倫理規範,加強風險監測評估和安全監管,促進人工智慧應用和健康發展。」雖然尚未有詳細規則,但這些要求標誌著AI治理將採取更系統化與全面的方法,涵蓋安全、問責與風險管理。
值得注意的是,第 20 條第二款明確提出要「運用人工智慧等新技術,提升網路安全保護水準」。亦即,AI 不僅是被管理的對象,也是監管的工具。未來 AI 可能被系統化地嵌入中共的流量監測、內容審查、輿情分析、惡意行為偵測與平台治理流程中,成為自動化網路監管的核心基礎設施。該條也為日後擴大 AI 監管措施、要求模型審查等更為嚴格地立法或政策鋪路。
懲罰機制全面升級
修法後的第 61 條(原59條)全面調整罰則結構,引進分級處罰機制,依據違規行為的嚴重程度與後果制定相應的法律罰則,並大幅提高企業與責任人員的處罰幅度。一般違規可處1 至5萬人民幣罰款,若造成危害後果或拒不改正,罰款將顯著增加;若造成大量資料外洩或關鍵資訊基礎設施功能喪失或其他特別嚴重後果,罰款可達1000 萬人民幣,並可伴隨停業整頓、關閉網站或應用程式、吊銷執照等處分。
此外,修法強化「個人責任」,依據違規行為的嚴重程度,罰款金最高可處100 萬人民幣。這表示中共法遵制度由組織責任轉向個人責任,符合近期強調個人責任的執法趨勢,並凸顯建立清晰的治理結構、完善的決策流程以及對網路安全相關人員進行充分培訓的重要性。
另一重點是修法納入「關閉網站或應用程式」的處罰,代表 App 下架與平台封禁正式法律化,不再只是行政措施。這對依賴 App 服務的科技公司而言,潛在影響極大。以及第 63 條,將「網絡關鍵設備」與「網路安全專用產品」納入強制審查與檢測,供應鏈環節(如資安產品、雲端設備、網路設備)今後都可能因不符合安全要求而面臨停止銷售、沒收所得或吊銷許可的處罰。這些修正表明中共立法方向朝推動更嚴格的執法、更細緻的監管邁進,未來更多國外製造商與外資雲端供應商可能因安全審查壓力而被迫調整在中國的產品部署與技術架構。
小結
整體而言,本次《網絡安全法》修法展現出中共網路治理模式的全面升級,從國家安全、AI 管控、平台責任、供應鏈監管等,到對境外主體的規範力延伸,均呈現明顯的「安全化」與「國家化」趨勢。修法將 AI、數據與關鍵資訊基礎設施視為國家安全體系的一體三面,使網路治理不再是技術或行政議題,而是被納入整體政治安全戰略框架。
在現今全球科技競爭、供應鏈重組與中美戰略緊張的背景下,中共藉由此次修法大幅強化對數據與平台的控制能力,並提高企業的法遵門檻與政治風險。對境內企業而言,網路安全義務與罰則全面加重,違規責任不僅擴及法人,也強化對管理層的個人處罰;對境外企業與外國供應鏈而言,涉及數據、網路服務與 AI 系統將面臨更高的不確定性與跨境管制。
[1] 〈全國人民代表大會常務委員會關於修改《中華人民共和國網絡安全法》的决定〉,《中國人大網》,2025年10月28日,http://www.npc.gov.cn/c2/c30834/202510/t20251028_449048.html。
