2025年10月28日,第十四屆全國人民代表大會常務委員會第十八次會議透過《關於修改〈中華人民共和國網路安全法〉的決定》,已於2026年1月1日起施行法律。此次修訂是《網路安全法》自2017年實施以來的首次系統性修改,旨在適應網路技術快速發展帶來的安全挑戰,完善網路安全治理體系。
根據公共網際網路反網路釣魚工作組觀察,近年來網路釣魚攻擊呈現持續高發態勢法律。攻擊目標主要集中在金融、電子商務、政務服務等領域,且攻擊手段日益複雜,包括利用人工智慧生成高度模擬的釣魚內容、註冊形似合法域名、部署HTTPS加密證書以增強欺騙性等。部分攻擊已從廣撒網式轉向針對特定企業或高價值個人的精準誘導,對使用者個人資訊安全和關鍵業務系統構成現實威脅。
本次法律修訂在多個方面為防範和處置網路釣魚活動提供了明確依據法律:
一、進一步明確網路運營者的安全義務
修訂後的《網路安全法》第四十二條要求網路運營者處理個人資訊應當遵守法律、行政法規的規定法律。第六十九條規定,電子資訊傳送服務提供者和應用軟體下載服務提供者應當履行安全管理義務,對法律、行政法規禁止釋出或者傳輸的資訊,應當立即停止傳輸,採取消除等處置措施,儲存有關記錄,並向有關主管部門報告。未履行上述義務且情節嚴重的,最高可處二百萬元罰款,並可責令暫停相關業務、停業整頓、關閉網站或者應用程式、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處二十萬元以下罰款。
操作建議法律:
建立釣魚資訊監測機制:在郵件閘道器、即時通訊平臺、APP內嵌瀏覽器、使用者生成內容(UGC)等入口部署自動化檢測模組,重點識別仿冒域名、異常跳轉連結、誘導性話術等特徵法律。
制定內部處置流程:明確從發現疑似釣魚內容到阻斷、取證、上報的時限要求和責任人法律。處置記錄應至少儲存六個月,以滿足第六十九條“儲存有關記錄”的法定要求。
定期開展合規自查:對照《網路安全法》第四十二條關於個人資訊處理的規定,檢查使用者賬號找回、密碼重置、身份驗證等環節是否存在被釣魚利用的風險點法律。
二、支援運用新技術提升防護能力
新增第二十條規定:“國家支援創新網路安全管理方式,運用人工智慧等新技術,提升網路安全保護水平法律。”該條款為研發和部署基於人工智慧的釣魚網站識別、異常通訊檢測、惡意連結阻斷等技術手段提供了法律支援,有助於提高對新型釣魚攻擊的自動化發現與響應能力。
操作建議法律:
部署基於行為分析的釣魚檢測系統:對使用者訪問的外部連結進行即時風險評估,包括域名註冊資訊異常(如近期註冊、隱私保護開啟)、SSL證書不匹配、頁面結構與已知品牌官網差異過大等指標法律。
啟用多因素認證(MFA):在涉及賬戶登入、資金操作、敏感資訊修改等場景,強制使用簡訊驗證碼、生物識別或硬體令牌等第二因子,降低憑證洩露後的賬戶接管風險法律。
展開全文
限制高風險操作的自動跳轉:在網頁或APP中,對非白名單域名的自動跳轉(如透過短連結、二維碼觸發)應彈出二次確認提示,防止使用者在無感知情況下進入釣魚站點法律。
三、規範漏洞與資訊管理法律,切斷攻擊鏈路
《網路安全法》第六十三條規定,任何個人和組織不得銷售或者提供專門用於從事侵入網路、干擾網路正常功能及其防護措施的程式、工具法律。第六十五條對漏洞資訊釋出作出規範。
操作建議法律:
禁止員工使用非授權安全工具:內部IT管理制度應明確禁止安裝未經安全審查的代理軟體、抓包工具、自動化指令碼等,防止其被用於測試或傳播釣魚載荷法律。
建立漏洞響應機制:若發現自身系統存在可被用於釣魚的社會工程漏洞(如密碼重置邏輯缺陷、會話固定問題),應按照第六十五條精神,在修復前避免公開細節,並及時通知受影響使用者法律。
清理殭屍頁面與過期子域名:定期審計網站資產,關閉不再使用的測試頁面、舊版登入入口,防止攻擊者利用這些未維護頁面部署釣魚內容法律。
四、強化對違法行為的法律責任追究
第六十一條對關鍵資訊基礎設施運營者和一般網路運營者未履行網路安全保護義務的行為,設定了分級處罰標準法律。造成大量資料洩露或關鍵資訊基礎設施區域性功能喪失的,最高可處二百萬元罰款;導致關鍵資訊基礎設施主要功能喪失等特別嚴重後果的,最高可處一千萬元罰款,並對直接負責的主管人員和其他直接責任人員處一百萬元以下罰款。
操作建議法律:
建立事件分級標準:例如,將“單日釣魚攻擊導致100個以上使用者憑證洩露”或“釣魚站點仿冒本單位關鍵業務系統”等情形納入“重大事件”範疇,觸發內部應急響應及法定報告流程法律。
保留完整證據鏈:包括釣魚頁面原始碼、訪問日誌、IP地址、域名註冊資訊等,以支援後續執法調查法律。
五、完善跨境網路安全治理機制
第七十七條明確,境外的機構、組織、個人從事攻擊、侵入、干擾、破壞我國關鍵資訊基礎設施等活動,造成嚴重後果的,國務院公安部門可以決定對其採取凍結財產等必要制裁措施法律。該規定為應對依託境外伺服器實施的釣魚攻擊提供了法律工具。
操作建議法律:
關注跨境攻擊線索:如發現釣魚伺服器位於境外,且攻擊目標集中於我國關鍵資訊基礎設施,應按第七十七條規定,及時向屬地網信部門或公安部門報送法律。
結語
建議各網路運營者對照新修訂的《網路安全法》要求,全面梳理安全管理制度和技術措施,重點加強對使用者身份驗證、連結跳轉、第三方內容嵌入等環節的風險管控法律。
公共網際網路反網路釣魚工作組將持續開展釣魚網站監測、分析與處置工作,向公眾科普反網路釣魚常識及通報風險線索法律。公眾在日常網路使用中,應注意核實網站域名真實性,謹慎點選不明來源的連結,避免在非官方頁面輸入賬號密碼或身份證號等敏感資訊。
《中華人民共和國網路安全法》的修訂實施,為構建更加安全、可信的網路環境提供了制度保障法律。各方應依法履行責任,共同提升網路釣魚等安全風險的防範與應對能力。
作者法律:蘆笛 中國網際網路絡資訊中心
來源法律:中國網際網路絡資訊中心 CNNIC
作者: 蘆笛
