在全球数字化加速转型、网络安全威胁不断扩张的共同驱动下，完善立法成为各国加固数字发展基石的必然选择。2025年10月31日新加坡《网络安全法》（Cybersecurity Act 2018）修订案已经生效，中国对《网络安全法》的修订将在2026年1月1日生效。但两国基于不同的国情与考量，法律修订的方向有所不同，中国的修订侧重于内部法律责任的强化与治理体系的协同构建；而新加坡的修订则通过扩展监管范围同时引入灵活机制，来提升其数字生态的整体韧性。这一近乎同步的立法动态，为观察不同治理模式下网络安全法治的差异化演变提供了典型范例。

一、中新网络安全法修法背景与目的对比

（一）中国《网络安全法》修法背景与目的

1. 修法背景

此次修订既是面对当前网络安全形势深入变化的必要举措，网络攻击与各类风险的影响范围与危害程度持续扩大，使得网络安全成为一项复杂而严峻的挑战；同时也是对人工智能等新兴技术高速发展的战略性回应，为技术创新提供保障同时构建相应的治理框架。此外，修订工作还着眼于完善国内网络与数据法律体系的内部衔接，通过强化与《数据安全法》《个人信息保护法》等后续立法的协同，来进一步提升整体治理的效能与一致性。

2.修法目的

本次《网络安全法》的修订，是对前述修法背景的集中回应与制度落实。修订核心在于进一步健全法律责任体系，通过大幅提高罚款额度并细化处罚情形，解决原法违法成本偏低的问题，从而强化法律的威慑力与执行力。同时，修订明确了对人工智能领域的治理框架，在表明国家支持技术研发导向的基础上，增设了完善伦理规范与安全监管的专门条款，以法治保障其健康发展。此外，修订还显著强化了法律的域外适用效力，新增条款明确了对境外危害我国网络安全的活动追究的法律责任及相关制裁措施，以维护国家网络空间主权与发展利益。

（二）新加坡《网络安全法》立法背景与目的

1.修法背景

新加坡本次修订系针对2018年生效的《网络安全法》，其核心动因来自外部环境的显著变化。这首先是因为外部威胁环境与技术应用模式的持续演变，作为高度数字化国家，新加坡关键基础设施领域面临的安全威胁长期存在，例如2018年SingHealth数据泄露事件，同时云服务与虚拟化技术的普及使得其关键服务对第三方或境外基础设施的依赖加深，进一步加剧了风险。其次，技术发展出现的新场景暴露了现行法律的监管缺口，原有法律主要聚焦于11类关键信息基础设施，但云服务商、数据中心及高校等重要实体并未被纳入监管，对支撑重大活动的临时性关键系统也缺乏监管依据。此外，修法也是对业界核心关切的回应，在咨询环节商界对新增合规成本、监管透明度及执法影响等问题表达了关切，本次修订亦是对这些问题的针对性处理。

2.修法目的

新加坡在2024年对《网络安全法》的修订，是对新型网络风险的针对性回应，使其网络安全治理体系更具前瞻性。修订的核心内容包括拓展监管范围来覆盖新型风险，通过创设“基础数字基础设施”（FDI）与“特殊网络安全关切实体”（ESCI）两类新的范畴，将云服务商、数据中心及高校等重要实体纳入监管，从而填补原有法律监管空白。同时，修订特别针对供应链与外包环节的风险，优化了原有的关键信息基础设施（CII）监管规则，明确即便CII由第三方所有或位于境外，本地关键服务提供商仍需要承担网络安全责任，以确保在享受外包效益时不降低安全标准。此外，为提升应对突发威胁的韧性，修订引入了“临时网络安全关切系统”（STCC），授权监管机构在特定高风险时段对相关系统实施临时性强化监管措施。

二、中国网络安全法修订核心条款与亮点

（一）核心条款解读

1.建立“行为+后果”的精细化惩戒梯度

修订后的法律责任体系（主要体现在新第六十一条、第六十四条、第六十五条、第六十七条、第六十九条等条款）对于以往处罚力度不足、裁量空间过大的情况做了改变，构建了一套精细化的“行为+后果”双维度惩戒阶梯。

首先，在行为方面进一步覆盖。例如，网络运营者只要未履行基本的网络安全保护义务（如未落实等级保护制度），即使未造成实际危害，主管部门也可直接处以“一万元以上五万元以下罚款”，改变了旧法“先警告、后罚款”的单一模式。这表明合规已成为一项必须实时履行的持续性义务，而非事后的补救目标。

其次，在后果方面分级量化。本次修订最具威慑力的创新在于引入了与危害后果直接挂钩的、断崖式跃升的罚款机制。其核心逻辑如下表所示：

2.大幅强化了对个人的处罚

对直接负责的主管人员和其他直接责任人员的罚款上限，从五万元跃升至一百万元，增幅达二十倍。这意味着，高管的个人财产将直接与其网络安全决策挂钩，迫使公司内部的“权责利”结构发生重塑，合规部门的地位将从成本中心提升至核心风险决策层。

3. 扩充“关闭应用程序”成为运营性制裁

在多项处罚条款中，新法在原有“关闭网站”后增加了“或者应用程序”这一措施。对于以移动应用为核心业务入口的现代企业而言，这实质上是一种“运营死刑”，其威慑力远超财务罚款。它标志着监管机构掌握了直接针对数字商业模式的要害进行干预的能力，将企业的合规风险从“财务损失”层面提升至“生存风险”层面。

4.扩张管辖权，从“关键信息基础设施”到“网络安全”

将原第七十五条中的管辖范围从“危害中华人民共和国的关键信息基础设施”修改为“危害中华人民共和国网络安全”（新第七十七条），一词之变，影响深远。

从“设施防御”到“状态保卫”，“关键信息基础设施”是一个相对具体、有边界的概念；而“网络安全”则是一个内涵广泛、动态变化的抽象状态。此举极大地拓展了中国法律在网络空间的域外适用边界。任何被中国主管部门认定为危害其“网络安全”的境外行为，无论其是否直接攻击了被认定的CII，都可能落入中国法律的制裁范围。

5. 衔接《行政处罚法》合规条款

新增的第七十三条（衔接《行政处罚法》）为企业提供了依法从轻、减轻或不予处罚的路径。该条款的深层意图是激励企业建立并有效运行“事前预防”与“事中响应”的合规体系。在发生安全事件时，企业能否证明自身已尽到“合理注意义务”（如拥有完善的合规制度、定期安全评估、完整的应急响应日志），将成为区分“不幸的受害者”与“过失的责任方”的关键，也是高管规避个人高额罚款的主要抗辩依据。

6.建立人工智能治理框架

新增的第二十条是本次修订中极具前瞻性的亮点。条款前半部分明确了国家支持人工智能研发与基础设施建设的“发展导向”，后半部分则强调了完善伦理规范、加强风险监测评估和安全监管的“安全导向”。这一定位表明，人工智能在中国法律框架下，既是重点发展的战略技术，也是必须同步纳入监管的关键风险领域。同时该条款将“风险监测评估”与“安全监管”并提，意味着未来人工智能服务与产品的合规重点，将前置到研发与训练阶段，要求企业建立贯穿全生命周期的风险自评估与监管机制。

（二）修订主要亮点

1.威慑的进一步升级

新法通过“千万罚款”“关闭应用程序”（新第六十四条、第六十五条）以及“百万个人罚单”的组合拳，实现了威慑力的实质性飞跃。

对绝大多数互联网、移动应用企业而言，应用程序是核心业务载体和用户入口。“关闭应用程序”的处罚措施，其威慑力远超罚款，直接关乎企业商业模式的运转与存续。

个人罚款上限升至百万，使得网络安全责任穿透公司法人面纱，直接锁定了决策与执行层面的自然人。这必将倒逼企业高管、技术负责人及法务合规部门形成深度的合作与协同，将安全合规从技术上的任务提升为管理层的重要职责。

2. 合规“避风港”条款的引入

新增第七十三条（衔接《行政处罚法》关于从轻、减轻或不予处罚的规定）是本次修订中体现监管手段的关键设计。该条款的实务价值在于为那些已经建立并有效运行了完备合规体系，但仍因极高技术手段遭遇攻击的企业，提供了法律上抗辩的依据。在这样的逻辑下，企业在网络安全上的投入，不再仅仅是成本支出，同时转化成为一种可举证的风险对冲资产和责任保险。在发生安全事件时，这些系统化、文档化的证据链，可以证明企业已尽合理注意义务、从而争取减免处罚。

3. 强化了与《数据安全法》《个人信息保护法》的衔接

例如，新第四十二条第二款明确要求，网络运营者处理个人信息应当同时遵守《民法典》《个人信息保护法》等规定。这解决了企业在面对多部法律时的适用困惑，要求必须进行一体化合规。新第七十一条将原法中关于个人信息保护、数据出境等行为的罚则，修改为“依照有关法律、行政法规的规定处罚”，直接指向《个人信息保护法》和《数据安全法》的具体罚则。这避免了法律重复，也使得监管执法依据更为统一和权威。

三、新加坡网络安全法修订核心条款与亮点

（一）核心条款解读

 

1. 监管范围实现战略性拓展。修订案新增两类监管实体类型，第一类为“基础数字基础设施”（FDI），即支撑新加坡数字生态运行的核心物理系统，涵盖数据中心、云计算设施等；第二类为“特殊网络安全关切实体”（ESCI），此类主体虽不属于关键信息基础设施（CII）或基础数字基础设施（FDI），但一旦遭受破坏，可能对新加坡国防、外交、经济等重要领域造成严重影响，主要高等院校、关键研发机构均属于此类实体。通过本次修订，此前处于监管盲区的重要实体被正式纳入监管框架。

2.供应链与外包风险得到明确规制。修订案强化关键信息基础设施（CII）所有者对第三方供应商（含云服务商）的管理责任，明确即便核心系统由第三方拥所有、运营或位于境外，CII所有者仍需承担最终的安全责任，以确保第三方服务符合法定的网络安全标准。这一规定精准的回应了数字化进程中外包与云服务普及带来的安全风险传导问题。

3.引入灵活的临时性监管机制。为应对特定时期的短期高风险场景——如举办重大国际会议、遭遇有针对性的高级可持续威胁攻击等，修订案增设“临时网络安全关切系统”（STCC）制度。网络安全专员有权将特定系统临时认定为STCC，并对其强化网络安全义务，待风险期结束后，该认定便可依法撤销，为应对动态变化的网络威胁提供了必要的法律弹性。

4.事件报告要求与监管权力同步强化。修订案扩大了网络安全事件的报告范围，同时可能缩短报告时限；另一方面，赋予网络安全专员（CSA）更广泛的调查与执法权限，例如可更便捷地进入非CII场所开展调查、要求相关主体提供必要信息等，以适配日益复杂的网络安全调查需求。

（二）修订主要亮点

1.此次修订标志着新加坡网络安全治理范式的再次进阶。通过将基础数字基础设施（FDI）与特殊网络安全关切实体（ESCI）纳入监管范畴，将法律覆盖范围延伸至支撑数字经济运行的更广泛基础层面，充分体现了国家网络安全治理的前瞻性布局。

2.立法呈现鲜明的风险导向与精细化特征。临时网络安全关切系统（STCC）机制摒弃“一刀切”的监管模式，并未将所有高风险系统永久纳入严格监管框架，而是通过临时的、精准地强化监管措施应对特定时期的高风险场景，有效平衡了网络安全保障的需求与市场主体的运营负担。

3.责任归属界定清晰。针对云计算与IT外包普遍化的行业趋势，修订案明确确立“责任不随外包转移”的核心原则，倒逼最终用户企业主动履行供应链安全管理义务，推动网络安全责任在整个供应链中层层传导、切实落地，破解了技术外包背景下安全责任难要求的行业难题。

4.修订案兼顾了网络安全保障与商业发展便利的双重需求。在扩大监管覆盖面的同时，充分回应了商业主体关切，例如为FDI与ESCI的监管纳入设定明确的准入门槛与考量标准，同时要求网络安全局（CSA）在行使新增监管与执法权力时严格遵循必要性原则，既加固国家网络安全防线，也为市场主体维持良好的经营环境提供了制度保障。

结  语

综上，中国与新加坡的网络安全法修订，都展现出对当下数字时代纷繁复杂网络风险的法律应对思路，但修法路径各有侧重。对于跨国经营企业而言，这一修法的趋势意味着合规工作已从满足单一法域的要求，升级为对双重监管的动态把握。深刻理解两国修法背后的治理逻辑差异，准确把握数据出境、供应链安全、事件响应等关键点的义务重合处，是构建稳健、高效的跨境网络合规体系的核心路径。