安多多云安全平台 · 技术文章

AI 安全首次入法，解读26年新版《网络安全法》对关基互联网的影响

作者: 让天下没有难做的安全发布时间: 2026年1月4日 09:27

AI 安全首次入法，解读26年新版《网络安全法》对关基互联网的影响作者：让天下没有难做的安全发布时间：2026年1月4日 09:27 原文链接：微信公众号 2025 年 10 月 28 日，全国人大常委会正式通过《网络安全法》修订决定，2026 年 1 月 1 日起强制施行。安多多同起草者、律所、甲方、乙方、政府关系、执法部门等从业者深入探讨，认为作为

AI 安全首次入法，解读26年新版《网络安全法》对关基互联网的影响

作者：让天下没有难做的安全 | 发布时间：2026年1月4日 09:27

原文链接：微信公众号

2025 年 10 月 28 日，全国人大常委会正式通过《网络安全法》修订决定，2026 年 1 月 1 日起强制施行。

安多多同起草者、律所、甲方、乙方、政府关系、执法部门等从业者深入探讨，认为作为上位法“首次明确了 AI 安全的方向，宽严并济，提升了相应的法律责任但较为科学，相应增加了处罚手段，上报主管部门透明化”。

结合后续要公布关基的几份 GB国标，关键信息基础设施运营者在这次修订中承受的压力最大，对裁判组的26 年护网规则变化也有参考价值。

一、对各单位有什么实质影响？

关注主体

核心修订方向

处罚上限提升

甲乙方

等级保护义务落地实操，漏洞需要立即采取补救措施，AI 安全成硬性要求

普通违规：5 万→50 万；严重后果：200 万→1000 万

关基运营者

采购安全审查加码，境外数据存储严控

采购违规：罚款达采购金额 10 倍（无上限）

政府主管部门

跨部门协同执法明确，AI 监管权责新增

执法权限升级：可直接 “关闭违规 APP / 网站”

企业高管

双罚制全覆盖，直接追责无死角

个人罚款上限：10 万→100 万（CEO/CTO/ 安全负责人均难逃）

二、条例的关键变化点？

1、拥抱 AI自身和赋能网络安全。修订新增第二十条

国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管；

国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。

解读：一方面是将 AI在模型、训练、评估、检测方面的加强；一方面将 AI for Security 落实在管理和监管范畴。

2、更明确的等级保护义务落地。修订后第二十三条（原第二十三条）指出

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

解读：等级保护增加了责任人概念，在网信办统筹、公安部门刑事追责、市场监管、应急管理、工信等行业主管部门落实通报。但是什么日志需要留存 6 个月，如何平衡成本，保存全量、五元组还是 session 信息？在公安部反馈还有诸多争议。

3、安全义务处罚翻倍：最高罚 1000 万 + 高管追责，对齐《数据安全法》和《个人信息保护法》、《民法典》

修订后第六十一条（原第五十九条）

关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的安全义务：

首次违规：警告 + 5-10 万罚款；

拒不改正 / 造成轻微后果：10-100 万罚款；

造成大量数据泄露 / 局部功能丧失：50-200 万罚款；

造成主要功能丧失 / 重大社会影响：200 万 - 1000 万罚款，对高管处 20-100 万罚款。

解读：加大了涉及网络运行安全和关键信息基础设施安全的法律责任，主要以罚款作为处罚手段。关基运营者（能源、交通、医疗、政务平台、金融核心系统等）是 “重点监管对象”，处罚力度是普通运营者的 2 倍。使用未经网络安全审查的供应链安全产品的，责令限期改正、停止使用，并处采购金额一倍以上十倍以下的罚款。各种信创产品加快审查进度了。

4、数据安全境外数据存储：核心数据 “境内必存”，境外传输 “先过评估”

关键信息基础设施的运营者违反本法第三十九条规定，在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的，依照有关法律、行政法规的规定从重处罚。

解读：范围不仅仅整个关基包含国家网络安全，明确公安部门的境外执法协调职责。另外新增冻结财产等制裁手段，在出海方向对于以下数据需要更加慎重。

核心数据（用户身份证、交易记录、核心技术图纸、诊疗数据等）：必须存在境内服务器，不能存境外云盘 / 服务器；
境外传输：必须先通过国家网信部门安全评估，未评估直接传输的，吊销业务许可证！

5、合规激励，出了事不要"捂盖子"，主动报告、积极整改，处罚可以减轻。

违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚

主动消除或减轻违法行为危害后果

违法行为轻微并及时改正，没有造成危害后果

初次违法且危害后果轻微并及时改正

有证据足以证明没有主观过错

解读：核心逻辑很清晰，《网络安全法》不再是 “纸面上的法律”，而是企业日常运营的 “硬约束”。网络安全不再是 “技术部门的事”，而是 CEO、高管、全员工共同的责任 —— 毕竟，1000 万罚款、业务关停、个人追责的代价，没有任何企业能承受。

在2026年1月1日新法已经施行，请甲方使用安多多，避免成为首家被典型执法的单位，请乙方同行跟随安多多，走向 AI+云安全前进的步伐🙂

从React2Shell到MongoBleed：让MTTR减少13个小时

我所知道的英伟达是怎么做内部安全的

安多多-Wiz级多云安全平台，资产真实风险一张图看清，正式开放使用

帮助文档：安多多云安全平台帮助中心https://lv8u92t29eh.feishu.cn/docx/MHnKdjZKgoZzpsxAsYcc5hAenzg?from=from\_copylink
微信群聊和微信客服: anduoduo2025