新修訂《網(wǎng)絡(luò)安全法》對(duì)反網(wǎng)絡(luò)釣魚(yú)工作的法律支撐解讀

2025年10月28日，第十四屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十八次會(huì)議通過(guò)《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定》，已于2026年1月1日起施行法律。此次修訂是《網(wǎng)絡(luò)安全法》自2017年實(shí)施以來(lái)的首次系統(tǒng)性修改，旨在適應(yīng)網(wǎng)絡(luò)技術(shù)快速發(fā)展帶來(lái)的安全挑戰(zhàn)，完善網(wǎng)絡(luò)安全治理體系。

根據(jù)公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚(yú)工作組觀察，近年來(lái)網(wǎng)絡(luò)釣魚(yú)攻擊呈現(xiàn)持續(xù)高發(fā)態(tài)勢(shì)法律。攻擊目標(biāo)主要集中在金融、電子商務(wù)、政務(wù)服務(wù)等領(lǐng)域，且攻擊手段日益復(fù)雜，包括利用人工智能生成高度仿真的釣魚(yú)內(nèi)容、注冊(cè)形似合法域名、部署HTTPS加密證書(shū)以增強(qiáng)欺騙性等。部分攻擊已從廣撒網(wǎng)式轉(zhuǎn)向針對(duì)特定企業(yè)或高價(jià)值個(gè)人的精準(zhǔn)誘導(dǎo)，對(duì)用戶個(gè)人信息安全和關(guān)鍵業(yè)務(wù)系統(tǒng)構(gòu)成現(xiàn)實(shí)威脅。

本次法律修訂在多個(gè)方面為防范和處置網(wǎng)絡(luò)釣魚(yú)活動(dòng)提供了明確依據(jù)法律：

一、進(jìn)一步明確網(wǎng)絡(luò)運(yùn)營(yíng)者的安全義務(wù)

修訂后的《網(wǎng)絡(luò)安全法》第四十二條要求網(wǎng)絡(luò)運(yùn)營(yíng)者處理個(gè)人信息應(yīng)當(dāng)遵守法律、行政法規(guī)的規(guī)定法律。第六十九條規(guī)定，電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者應(yīng)當(dāng)履行安全管理義務(wù)，對(duì)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?，?yīng)當(dāng)立即停止傳輸，采取消除等處置措施，保存有關(guān)記錄，并向有關(guān)主管部門(mén)報(bào)告。未履行上述義務(wù)且情節(jié)嚴(yán)重的，最高可處二百萬(wàn)元罰款，并可責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站或者應(yīng)用程序、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處二十萬(wàn)元以下罰款。

操作建議法律：

建立釣魚(yú)信息監(jiān)測(cè)機(jī)制：在郵件網(wǎng)關(guān)、即時(shí)通訊平臺(tái)、APP內(nèi)嵌瀏覽器、用戶生成內(nèi)容（UGC）等入口部署自動(dòng)化檢測(cè)模塊，重點(diǎn)識(shí)別仿冒域名、異常跳轉(zhuǎn)鏈接、誘導(dǎo)性話術(shù)等特征法律。

制定內(nèi)部處置流程：明確從發(fā)現(xiàn)疑似釣魚(yú)內(nèi)容到阻斷、取證、上報(bào)的時(shí)限要求和責(zé)任人法律。處置記錄應(yīng)至少保存六個(gè)月，以滿足第六十九條“保存有關(guān)記錄”的法定要求。

定期開(kāi)展合規(guī)自查：對(duì)照《網(wǎng)絡(luò)安全法》第四十二條關(guān)于個(gè)人信息處理的規(guī)定，檢查用戶賬號(hào)找回、密碼重置、身份驗(yàn)證等環(huán)節(jié)是否存在被釣魚(yú)利用的風(fēng)險(xiǎn)點(diǎn)法律。

二、支持運(yùn)用新技術(shù)提升防護(hù)能力

新增第二十條規(guī)定：“國(guó)家支持創(chuàng)新網(wǎng)絡(luò)安全管理方式，運(yùn)用人工智能等新技術(shù)，提升網(wǎng)絡(luò)安全保護(hù)水平法律?！痹摋l款為研發(fā)和部署基于人工智能的釣魚(yú)網(wǎng)站識(shí)別、異常通信檢測(cè)、惡意鏈接阻斷等技術(shù)手段提供了法律支持，有助于提高對(duì)新型釣魚(yú)攻擊的自動(dòng)化發(fā)現(xiàn)與響應(yīng)能力。

操作建議法律：

部署基于行為分析的釣魚(yú)檢測(cè)系統(tǒng)：對(duì)用戶訪問(wèn)的外部鏈接進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估，包括域名注冊(cè)信息異常（如近期注冊(cè)、隱私保護(hù)開(kāi)啟）、SSL證書(shū)不匹配、頁(yè)面結(jié)構(gòu)與已知品牌官網(wǎng)差異過(guò)大等指標(biāo)法律。

啟用多因素認(rèn)證（MFA）：在涉及賬戶登錄、資金操作、敏感信息修改等場(chǎng)景，強(qiáng)制使用短信驗(yàn)證碼、生物識(shí)別或硬件令牌等第二因子，降低憑證泄露后的賬戶接管風(fēng)險(xiǎn)法律。

展開(kāi)全文

限制高風(fēng)險(xiǎn)操作的自動(dòng)跳轉(zhuǎn)：在網(wǎng)頁(yè)或APP中，對(duì)非白名單域名的自動(dòng)跳轉(zhuǎn)（如通過(guò)短鏈接、二維碼觸發(fā)）應(yīng)彈出二次確認(rèn)提示，防止用戶在無(wú)感知情況下進(jìn)入釣魚(yú)站點(diǎn)法律。

三、規(guī)范漏洞與信息管理法律，切斷攻擊鏈路

《網(wǎng)絡(luò)安全法》第六十三條規(guī)定，任何個(gè)人和組織不得銷售或者提供專門(mén)用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及其防護(hù)措施的程序、工具法律。第六十五條對(duì)漏洞信息發(fā)布作出規(guī)范。

操作建議法律：

禁止員工使用非授權(quán)安全工具：內(nèi)部IT管理制度應(yīng)明確禁止安裝未經(jīng)安全審查的代理軟件、抓包工具、自動(dòng)化腳本等，防止其被用于測(cè)試或傳播釣魚(yú)載荷法律。

建立漏洞響應(yīng)機(jī)制：若發(fā)現(xiàn)自身系統(tǒng)存在可被用于釣魚(yú)的社會(huì)工程漏洞（如密碼重置邏輯缺陷、會(huì)話固定問(wèn)題），應(yīng)按照第六十五條精神，在修復(fù)前避免公開(kāi)細(xì)節(jié)，并及時(shí)通知受影響用戶法律。

清理僵尸頁(yè)面與過(guò)期子域名：定期審計(jì)網(wǎng)站資產(chǎn)，關(guān)閉不再使用的測(cè)試頁(yè)面、舊版登錄入口，防止攻擊者利用這些未維護(hù)頁(yè)面部署釣魚(yú)內(nèi)容法律。

四、強(qiáng)化對(duì)違法行為的法律責(zé)任追究

第六十一條對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和一般網(wǎng)絡(luò)運(yùn)營(yíng)者未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的行為，設(shè)定了分級(jí)處罰標(biāo)準(zhǔn)法律。造成大量數(shù)據(jù)泄露或關(guān)鍵信息基礎(chǔ)設(shè)施局部功能喪失的，最高可處二百萬(wàn)元罰款；導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施主要功能喪失等特別嚴(yán)重后果的，最高可處一千萬(wàn)元罰款，并對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一百萬(wàn)元以下罰款。

操作建議法律：

建立事件分級(jí)標(biāo)準(zhǔn)：例如，將“單日釣魚(yú)攻擊導(dǎo)致100個(gè)以上用戶憑證泄露”或“釣魚(yú)站點(diǎn)仿冒本單位關(guān)鍵業(yè)務(wù)系統(tǒng)”等情形納入“重大事件”范疇，觸發(fā)內(nèi)部應(yīng)急響應(yīng)及法定報(bào)告流程法律。

保留完整證據(jù)鏈：包括釣魚(yú)頁(yè)面源碼、訪問(wèn)日志、IP地址、域名注冊(cè)信息等，以支持后續(xù)執(zhí)法調(diào)查法律。

五、完善跨境網(wǎng)絡(luò)安全治理機(jī)制

第七十七條明確，境外的機(jī)構(gòu)、組織、個(gè)人從事攻擊、侵入、干擾、破壞我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施等活動(dòng)，造成嚴(yán)重后果的，國(guó)務(wù)院公安部門(mén)可以決定對(duì)其采取凍結(jié)財(cái)產(chǎn)等必要制裁措施法律。該規(guī)定為應(yīng)對(duì)依托境外服務(wù)器實(shí)施的釣魚(yú)攻擊提供了法律工具。

操作建議法律：

關(guān)注跨境攻擊線索：如發(fā)現(xiàn)釣魚(yú)服務(wù)器位于境外，且攻擊目標(biāo)集中于我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)按第七十七條規(guī)定，及時(shí)向?qū)俚鼐W(wǎng)信部門(mén)或公安部門(mén)報(bào)送法律。

結(jié)語(yǔ)

建議各網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)照新修訂的《網(wǎng)絡(luò)安全法》要求，全面梳理安全管理制度和技術(shù)措施，重點(diǎn)加強(qiáng)對(duì)用戶身份驗(yàn)證、鏈接跳轉(zhuǎn)、第三方內(nèi)容嵌入等環(huán)節(jié)的風(fēng)險(xiǎn)管控法律。

公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚(yú)工作組將持續(xù)開(kāi)展釣魚(yú)網(wǎng)站監(jiān)測(cè)、分析與處置工作，向公眾科普反網(wǎng)絡(luò)釣魚(yú)常識(shí)及通報(bào)風(fēng)險(xiǎn)線索法律。公眾在日常網(wǎng)絡(luò)使用中，應(yīng)注意核實(shí)網(wǎng)站域名真實(shí)性，謹(jǐn)慎點(diǎn)擊不明來(lái)源的鏈接，避免在非官方頁(yè)面輸入賬號(hào)密碼或身份證號(hào)等敏感信息。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的修訂實(shí)施，為構(gòu)建更加安全、可信的網(wǎng)絡(luò)環(huán)境提供了制度保障法律。各方應(yīng)依法履行責(zé)任，共同提升網(wǎng)絡(luò)釣魚(yú)等安全風(fēng)險(xiǎn)的防范與應(yīng)對(duì)能力。

作者法律：蘆笛 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心

來(lái)源法律：中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心 CNNIC

作者: 蘆笛