作為我國網絡安全領域的基礎性、綜合性立法，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）首次在法律層面確立了關鍵信息基礎設施（以下簡稱“關基”，主要覆蓋能源、交通、水利、金融等對國家安全、國計民生、公共利益至關重要的行業(yè)領域的重要網絡設施、信息系統(tǒng)）安全保護制度?！毒W絡安全法》施行以來，關基制度建設、識別認定、安全保護、監(jiān)督管理等工作穩(wěn)步推進，對于保障重要網絡設施和信息系統(tǒng)安全、維護國家安全發(fā)揮了重要作用。

近年來，信息技術快速迭代與安全威脅持續(xù)演進給關基安全帶來了雙重挑戰(zhàn)，世界主要國家和地區(qū)紛紛更新、升級本國關基安全保護立法，構建更加系統(tǒng)嚴密的現代化安全保護制度框架。我國也準確把握網絡安全新形勢、新特點，適時啟動并完成了《網絡安全法》的修改工作。此次修法將關基安全保護的法律責任作為重點關切，通過體系化、梯度化的責任設計，切實推動運營者履行安全保護主體責任，并進一步完善網絡產品和服務責任鏈條，全面提升關基供應鏈安全水平，充分彰顯法治建設與時代發(fā)展協(xié)同適配的治理邏輯。

一、網絡安全新形勢下全球關基安全保護法治特點

長期以來，關基安全保護都是全球網絡安全立法的核心議題，各國在國際合作、戰(zhàn)略布局、法律制定、安全實踐等方面開展了大量工作。隨著全球信息化進程日益加快，網絡安全形勢日趨復雜，針對電力、供水、醫(yī)療、政務等行業(yè)領域關基的網絡攻擊事件頻發(fā)，關基安全仍面臨著巨大風險。歐盟網絡安全局2025年對《關于在歐盟實現高水平網絡安全措施的指令》（NIS 2指令）適用行業(yè)的網絡安全成熟度進行評估后指出，信息與通信技術（ICT）服務管理、航天、公共管理、海事、醫(yī)療保健等行業(yè)處于“風險區(qū)”，需立即采取行動保障網絡安全。英國政府表示，2024年有95%的英國關基遭遇過數據泄露。新加坡、澳大利亞等國在官方網絡威脅報告中表示，針對本國關基的惡意網絡活動有所增加。我國國家安全部破獲的美國國家安全局針對我國國家授時中心的網絡攻擊案件，再次印證了關基面臨著嚴峻安全形勢?；诖耍鲊陙硗ㄟ^修訂基礎性立法或制定專項立法，完善本國關基保護立法框架，總體呈現出以下兩大特點。

一是關基制度內核保持穩(wěn)定。盡管各國調整更新了本國關基相關立法，擴展適用范圍，或將部分關基進一步提級管理，但關基制度的內核并未發(fā)生變化，即僅聚焦對國家安全、社會運行至關重要的網絡和信息系統(tǒng)。例如，英國修訂的《網絡和信息系統(tǒng)安全》（NIS）條例，提出的《網絡安全與韌性（網絡和信息系統(tǒng)）法案》將數據中心、托管服務提供商、特定關鍵供應商等主體納入監(jiān)管范圍，表示該法案僅針對特別重要，一旦中斷將影響日常生活的服務。歐盟、澳大利亞進一步聚焦對國家安全至關重要的特定關基對象，賦予更加嚴格的保護要求。歐盟《關鍵實體彈性指令》將關鍵實體中為三分之一以上成員國提供基本服務的實體認定為“具有特定重要性的歐洲關鍵實體”，將在安全保護方面獲得額外建議；澳大利亞修訂的《2018年關鍵基礎設施安全法》，將一旦遭到破壞，可能對其他關基資產和領域造成連鎖反應，進而威脅國家安全的部分關基進一步認定為“國家重要系統(tǒng)”，要求落實網絡安全演習、開發(fā)并維護近乎實時的威脅態(tài)勢圖等增強型防護措施。

二是關基保護細化日漸明晰。各國關基立法呈現出事件報告要求細化普及、行業(yè)針對性指導逐步完善、法律責任更加嚴苛等共性特點。例如，美國網絡安全和基礎設施安全局更新跨行業(yè)網絡安全績效目標2.0版，從治理、識別、保護、檢測、響應、恢復等六方面為關基實體提出普適性的安全保護措施；并發(fā)布首批針對特定關基行業(yè)的定制化目標，提供更加符合行業(yè)特性的安全建議。歐盟加快NIS 2指令細化，發(fā)布多項實施條例或指導性文件。英國《網絡安全與韌性（網絡和信息系統(tǒng)）法案》擬提高罰款額度，與GDPR保持一致。與此同時，我國也通過一系列制度文件細化關基保護要求?！毒W絡數據安全管理條例》《關鍵信息基礎設施商用密碼使用管理規(guī)定》《國家網絡安全事件報告管理辦法》相繼施行，細化關基供應鏈安全、事件報告、商用密碼使用等要求。此外，郵政、公路水路、鐵路等行業(yè)領域發(fā)布關基保護專門規(guī)定，嚴格落實國家法律法規(guī)要求，突出行業(yè)關基保護特性。

總的來說，近年來全球關基安全保護法治建設呈現的特點，為我國《網絡安全法》的修改提供了重要參考。我國應充分結合自身關基安全面臨的境外攻擊滲透加劇、供應鏈風險凸顯等現實挑戰(zhàn)，在延續(xù)關基安全保護核心制度的基礎上，重點強化法律責任體系，形成兼具國際接軌性與本土適應性的制度設計。

二、《網絡安全法》修改全面強化關基安全保護法律責任

此次《網絡安全法》的修改，壓實了運營者主體責任，提升了安全保護主動性；健全網絡產品和服務提供者責任機制，強化供應鏈安全保障能力；同時，完善了對境外危害網絡安全活動的法律追責體系，為關基安全保護構筑起立體化、閉環(huán)式的治理路徑。

（一）壓實運營者主體責任

運營者承擔關基安全保護主體責任，其義務履行情況將直接決定關基整體安全水平。為進一步督促運營者全面落實安全保護要求，《網絡安全法》的修改從行政處罰類型、處罰對象、處罰情節(jié)三個方面切入，構建起更為嚴密、更具威懾力的運營者法律責任體系。

一是處罰類型擴充。對于一般違法行為，在原先責令改正，給予警告的基礎上，增加“可以處五萬元以上十萬元以下罰款”的行政處罰。這意味著，只要運營者不履行《網絡安全法》規(guī)定的安全保護義務，有關主管部門在責令改正、警告的同時可以視情直接處以罰款。

二是處罰對象延伸。對于拒不改正或者導致危害網絡安全等后果的情形，將“其他直接責任人員”列為處罰對象之一。這意味著，當運營者構成此種情形時，有關主管部門在對運營者罰款的同時，對直接負責的主管人員和其他直接責任人員都將處以罰款。此舉不僅與《網絡安全法》其他法律責任條款、《中華人民共和國數據安全法》以及《中華人民共和國個人信息保護法》在處罰對象上保持一致，也是縱深增強各類責任人員安全意識的有效方式。

《網絡安全法》《關鍵信息基礎設施安全保護條例》（以下簡稱《關保條例》）中，明確的運營者內部人員角色包括運營者的主要負責人（負總責）、專門安全管理機構負責人（具體負責保護工作）、專門安全管理機構人員、關鍵崗位人員。在此基礎上，《信息安全技術關鍵信息基礎設施安全保護要求》（GB/T 39204—2022）進一步提出首席網絡安全官（專職管理或分管安全保護工作）、每個關基的安全管理責任人，同時明確關鍵崗位的常見類型。《網絡安全法》的修改擴大了責任人員范圍，將進一步增強相關人員安全意識。

三是處罰情節(jié)分級。增設分級處罰情節(jié)，明確“嚴重危害網絡安全后果”和“特別嚴重危害網絡安全后果”兩類情形并設定梯次化的處罰標準。嚴重危害網絡安全后果包括造成關基喪失局部功能等場景，對運營者最高處以二百萬元罰款，對直接負責的主管人員和其他直接責任人員最高處二十萬元罰款。特別嚴重危害網絡安全后果包括造成關基喪失主要功能等場景，對運營者最高可處一千萬元罰款，對直接負責的主管人員和其他直接責任人員最高處一百萬元罰款。

（二）深化供應鏈安全保障

《網絡安全法》《關保條例》高度重視關基供應鏈安全，在網絡產品和服務采購環(huán)節(jié)引入安全可信、保密協(xié)議、網絡安全審查等規(guī)定。對于網絡產品和服務提供者的普適性保護義務同樣適用于為關基提供產品和服務的場景。

在網絡產品和服務提供者的法律責任方面，此次修改增加行政處罰情節(jié)，明確網絡產品和服務提供者設置惡意程序、未按規(guī)定告知及報告安全風險，并造成嚴重危害或特別嚴重危害網絡安全后果時，最高可對單位罰款一千萬元，對直接負責的主管人員和其他直接責任人員罰款一百萬元。對于違反網絡關鍵設備和網絡安全專用產品管理要求、違法開展網絡安全檢測認證等服務的法律責任也進行相應補全和調整。這凸顯了國家對于供應鏈安全的高度重視，通過強化網絡產品和服務提供者在為包括關基運營者在內的用戶提供產品或服務時的安全意識和安全保障能力，夯實供應鏈安全制度基礎。

（三）夯實境外威脅懲治手段

關基是大國博弈背景下國家行為體、黑客組織的重點目標，長期面臨著攻擊、滲透、破壞的巨大風險。習近平總書記在圍繞防范化解重大風險的講話中曾指出，“既要有防范風險的先手，也要有應對和化解風險挑戰(zhàn)的高招”。就網絡安全形勢而言，既要有防患于未然的現實能力，也要有全面應對、有效懲治的制度工具。

《網絡安全法》的修改，擴大了我國有權對境外機構、組織、個人追究法律責任和采取制裁措施的適用情形。從原先僅針對危害關基的活動擴展至所有危害網絡安全的活動，并且依法追究法律責任的情形不再以“造成嚴重后果”為前提。這意味著，境外機構、組織、個人只要從事了危害我國網絡安全的活動，我國即有權追究法律責任；造成嚴重后果時，國務院公安部門和有關部門可以決定對其采取凍結財產或者其他必要的制裁措施。這充分反映出我國強化底線思維、嚴厲打擊跨境網絡攻擊、提高網絡空間威懾力的態(tài)度和決心。

三、關基安全保護責任落地機制和實施路徑

2026年是“十五五”規(guī)劃開局之年，也是修改后的《網絡安全法》正式施行之年。如何確保修法精神落到實處，持續(xù)推動關基安全保護責任落地，最大化釋放制度效能，仍需從制度優(yōu)化實施、執(zhí)法監(jiān)管強化、技術深度賦能等多角度共同推進。

（一）系統(tǒng)落實關基安全保護各項要求

當前，關基安全保護工作已步入“深水區(qū)”?！毒W絡安全法》《關保條例》施行至今，運營者的安全保護工作已從起步階段逐步邁向攻堅階段。鑒于關基對于國家安全的重要性，安全保護工作不應止步于及格線，應以風險為導向，持續(xù)推動法律法規(guī)各項要求落到實處，相應的評判標準從“是否滿足基線要求”向“能否真正發(fā)揮作用”升級，有效提升防范、發(fā)現、處置網絡安全風險的能力。

（二）著力優(yōu)化關基安全保護制度體系

《網絡安全法》對法律責任的修改，將引發(fā)部分配套法規(guī)中法律責任不適配、處罰力度不一致的情況。如《關保條例》的法律責任部分與原《網絡安全法》一致，其中對運營者不履行安全保護義務最高可處一百萬元罰款，這與修改后《網絡安全法》最高一千萬元的罰款處罰不符。需考慮適時啟動對《關保條例》的同步調整，以確保制度體系的系統(tǒng)性和協(xié)調性。同時，《關保條例》已施行四年多，GB/T 39204—2022作為關基領域唯一正式發(fā)布的國家標準也已施行兩年多。應啟動對《關保條例》及國家標準實施效果的評估，判斷其能否滿足國家關基保護核心目標及運營者保護需求。此外，應加快探索關鍵崗位認定與管理、人員背景審查、供應鏈安全、網絡安全檢測和風險評估、滲透測試等關鍵環(huán)節(jié)的規(guī)范要求，持續(xù)筑牢關基安全保護制度體系。

（三）縱深推進關基安全保護執(zhí)法監(jiān)管

《網絡安全法》的修改進一步激活運營者對于關基安全保護的重視，為加強監(jiān)管執(zhí)法提供了更有力的制度支撐。公安機關承擔著指導監(jiān)督關基安全保護的法定職責，應深化對各部門、各主體在關基安全保護、事件處置、信息共享等環(huán)節(jié)的指導和監(jiān)督，依法懲處未履行安全保護義務的行為，有效防范并嚴厲打擊針對和利用關基實施的違法犯罪活動。同時，各部門應提高站位、統(tǒng)一認識，始終將保障關基安全作為網絡安全工作的重中之重，推動形成齊抓共管、協(xié)同治理的網絡安全綜合防控體系。

（四）持續(xù)強化技術賦能關基安全保護

技術賦能是關基安全保護的重要支撐。人工智能賦能關基安全保護是提高防護效率的有效路徑，而防范人工智能安全風險是確保賦能可持續(xù)性的重要保障，兩者并行不悖。需進一步加強人工智能安全監(jiān)測預警能力建設，依托國家網絡與信息安全信息通報機制、國家信息安全漏洞共享平臺等渠道，加強公安機關、網信部門、保護工作部門、運營者、網絡產品和服務提供者等主體間在人工智能安全信息共享、事件通報、應急處置等方面的協(xié)同聯(lián)動。運營者將人工智能應用于關基時，需保持審慎態(tài)度，系統(tǒng)評估可能帶來的安全風險，提前謀劃，構建具備韌性的安全防護體系。

四、結 語

《網絡安全法》的修改全面強化關基安全保護法律責任體系，這是在全球普遍優(yōu)化關基安全保護立法的大背景下，我國立足網絡安全新形勢新特點所作出的重要立法回應，為我國關基安全保護提供了更為堅實的法治保障。展望未來，關基安全保護工作依然任重道遠。各部門、各主體需持續(xù)強化思想認識，以制度要求為引領、監(jiān)管執(zhí)法為驅動、技術賦能為手段，深入推進各項安全保護工作，確保關基安全穩(wěn)定持續(xù)運行，切實維護網絡空間安全。【本文系國家社科基金青年項目“網絡安全信息共享的法律保障研究”（項目編號：21CFX057）的階段性研究成果】

（本文刊登于《中國信息安全》雜志2026年第2期）