新修訂《網(wǎng)絡(luò)安全法》對反網(wǎng)絡(luò)釣魚工作的法律支撐解讀

2025年10月28日，第十四屆全國人民代表大會常務(wù)委員會第十八次會議通過《關(guān)于修改〈中華人民共和國網(wǎng)絡(luò)安全法〉的決定》，已于2026年1月1日起施行法律。此次修訂是《網(wǎng)絡(luò)安全法》自2017年實(shí)施以來的首次系統(tǒng)性修改，旨在適應(yīng)網(wǎng)絡(luò)技術(shù)快速發(fā)展帶來的安全挑戰(zhàn)，完善網(wǎng)絡(luò)安全治理體系。

根據(jù)公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚工作組觀察，近年來網(wǎng)絡(luò)釣魚攻擊呈現(xiàn)持續(xù)高發(fā)態(tài)勢法律。攻擊目標(biāo)主要集中在金融、電子商務(wù)、政務(wù)服務(wù)等領(lǐng)域，且攻擊手段日益復(fù)雜，包括利用人工智能生成高度仿真的釣魚內(nèi)容、注冊形似合法域名、部署HTTPS加密證書以增強(qiáng)欺騙性等。部分攻擊已從廣撒網(wǎng)式轉(zhuǎn)向針對特定企業(yè)或高價(jià)值個(gè)人的精準(zhǔn)誘導(dǎo)，對用戶個(gè)人信息安全和關(guān)鍵業(yè)務(wù)系統(tǒng)構(gòu)成現(xiàn)實(shí)威脅。

本次法律修訂在多個(gè)方面為防范和處置網(wǎng)絡(luò)釣魚活動提供了明確依據(jù)法律：

一、進(jìn)一步明確網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)

修訂后的《網(wǎng)絡(luò)安全法》第四十二條要求網(wǎng)絡(luò)運(yùn)營者處理個(gè)人信息應(yīng)當(dāng)遵守法律、行政法規(guī)的規(guī)定法律。第六十九條規(guī)定，電子信息發(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者應(yīng)當(dāng)履行安全管理義務(wù)，對法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?，?yīng)當(dāng)立即停止傳輸，采取消除等處置措施，保存有關(guān)記錄，并向有關(guān)主管部門報(bào)告。未履行上述義務(wù)且情節(jié)嚴(yán)重的，最高可處二百萬元罰款，并可責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站或者應(yīng)用程序、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處二十萬元以下罰款。

操作建議法律：

建立釣魚信息監(jiān)測機(jī)制：在郵件網(wǎng)關(guān)、即時(shí)通訊平臺、APP內(nèi)嵌瀏覽器、用戶生成內(nèi)容（UGC）等入口部署自動化檢測模塊，重點(diǎn)識別仿冒域名、異常跳轉(zhuǎn)鏈接、誘導(dǎo)性話術(shù)等特征法律。

制定內(nèi)部處置流程：明確從發(fā)現(xiàn)疑似釣魚內(nèi)容到阻斷、取證、上報(bào)的時(shí)限要求和責(zé)任人法律。處置記錄應(yīng)至少保存六個(gè)月，以滿足第六十九條“保存有關(guān)記錄”的法定要求。

定期開展合規(guī)自查：對照《網(wǎng)絡(luò)安全法》第四十二條關(guān)于個(gè)人信息處理的規(guī)定，檢查用戶賬號找回、密碼重置、身份驗(yàn)證等環(huán)節(jié)是否存在被釣魚利用的風(fēng)險(xiǎn)點(diǎn)法律。

二、支持運(yùn)用新技術(shù)提升防護(hù)能力

新增第二十條規(guī)定：“國家支持創(chuàng)新網(wǎng)絡(luò)安全管理方式，運(yùn)用人工智能等新技術(shù)，提升網(wǎng)絡(luò)安全保護(hù)水平法律?！痹摋l款為研發(fā)和部署基于人工智能的釣魚網(wǎng)站識別、異常通信檢測、惡意鏈接阻斷等技術(shù)手段提供了法律支持，有助于提高對新型釣魚攻擊的自動化發(fā)現(xiàn)與響應(yīng)能力。

操作建議法律：

部署基于行為分析的釣魚檢測系統(tǒng)：對用戶訪問的外部鏈接進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)評估，包括域名注冊信息異常（如近期注冊、隱私保護(hù)開啟）、SSL證書不匹配、頁面結(jié)構(gòu)與已知品牌官網(wǎng)差異過大等指標(biāo)法律。

啟用多因素認(rèn)證（MFA）：在涉及賬戶登錄、資金操作、敏感信息修改等場景，強(qiáng)制使用短信驗(yàn)證碼、生物識別或硬件令牌等第二因子，降低憑證泄露后的賬戶接管風(fēng)險(xiǎn)法律。

展開全文

限制高風(fēng)險(xiǎn)操作的自動跳轉(zhuǎn)：在網(wǎng)頁或APP中，對非白名單域名的自動跳轉(zhuǎn)（如通過短鏈接、二維碼觸發(fā)）應(yīng)彈出二次確認(rèn)提示，防止用戶在無感知情況下進(jìn)入釣魚站點(diǎn)法律。

三、規(guī)范漏洞與信息管理法律，切斷攻擊鏈路

《網(wǎng)絡(luò)安全法》第六十三條規(guī)定，任何個(gè)人和組織不得銷售或者提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及其防護(hù)措施的程序、工具法律。第六十五條對漏洞信息發(fā)布作出規(guī)范。

操作建議法律：

禁止員工使用非授權(quán)安全工具：內(nèi)部IT管理制度應(yīng)明確禁止安裝未經(jīng)安全審查的代理軟件、抓包工具、自動化腳本等，防止其被用于測試或傳播釣魚載荷法律。

建立漏洞響應(yīng)機(jī)制：若發(fā)現(xiàn)自身系統(tǒng)存在可被用于釣魚的社會工程漏洞（如密碼重置邏輯缺陷、會話固定問題），應(yīng)按照第六十五條精神，在修復(fù)前避免公開細(xì)節(jié)，并及時(shí)通知受影響用戶法律。

清理僵尸頁面與過期子域名：定期審計(jì)網(wǎng)站資產(chǎn)，關(guān)閉不再使用的測試頁面、舊版登錄入口，防止攻擊者利用這些未維護(hù)頁面部署釣魚內(nèi)容法律。

四、強(qiáng)化對違法行為的法律責(zé)任追究

第六十一條對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和一般網(wǎng)絡(luò)運(yùn)營者未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的行為，設(shè)定了分級處罰標(biāo)準(zhǔn)法律。造成大量數(shù)據(jù)泄露或關(guān)鍵信息基礎(chǔ)設(shè)施局部功能喪失的，最高可處二百萬元罰款；導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施主要功能喪失等特別嚴(yán)重后果的，最高可處一千萬元罰款，并對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一百萬元以下罰款。

操作建議法律：

建立事件分級標(biāo)準(zhǔn)：例如，將“單日釣魚攻擊導(dǎo)致100個(gè)以上用戶憑證泄露”或“釣魚站點(diǎn)仿冒本單位關(guān)鍵業(yè)務(wù)系統(tǒng)”等情形納入“重大事件”范疇，觸發(fā)內(nèi)部應(yīng)急響應(yīng)及法定報(bào)告流程法律。

保留完整證據(jù)鏈：包括釣魚頁面源碼、訪問日志、IP地址、域名注冊信息等，以支持后續(xù)執(zhí)法調(diào)查法律。

五、完善跨境網(wǎng)絡(luò)安全治理機(jī)制

第七十七條明確，境外的機(jī)構(gòu)、組織、個(gè)人從事攻擊、侵入、干擾、破壞我國關(guān)鍵信息基礎(chǔ)設(shè)施等活動，造成嚴(yán)重后果的，國務(wù)院公安部門可以決定對其采取凍結(jié)財(cái)產(chǎn)等必要制裁措施法律。該規(guī)定為應(yīng)對依托境外服務(wù)器實(shí)施的釣魚攻擊提供了法律工具。

操作建議法律：

關(guān)注跨境攻擊線索：如發(fā)現(xiàn)釣魚服務(wù)器位于境外，且攻擊目標(biāo)集中于我國關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)按第七十七條規(guī)定，及時(shí)向?qū)俚鼐W(wǎng)信部門或公安部門報(bào)送法律。

結(jié)語

建議各網(wǎng)絡(luò)運(yùn)營者對照新修訂的《網(wǎng)絡(luò)安全法》要求，全面梳理安全管理制度和技術(shù)措施，重點(diǎn)加強(qiáng)對用戶身份驗(yàn)證、鏈接跳轉(zhuǎn)、第三方內(nèi)容嵌入等環(huán)節(jié)的風(fēng)險(xiǎn)管控法律。

公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚工作組將持續(xù)開展釣魚網(wǎng)站監(jiān)測、分析與處置工作，向公眾科普反網(wǎng)絡(luò)釣魚常識及通報(bào)風(fēng)險(xiǎn)線索法律。公眾在日常網(wǎng)絡(luò)使用中，應(yīng)注意核實(shí)網(wǎng)站域名真實(shí)性，謹(jǐn)慎點(diǎn)擊不明來源的鏈接，避免在非官方頁面輸入賬號密碼或身份證號等敏感信息。

《中華人民共和國網(wǎng)絡(luò)安全法》的修訂實(shí)施，為構(gòu)建更加安全、可信的網(wǎng)絡(luò)環(huán)境提供了制度保障法律。各方應(yīng)依法履行責(zé)任，共同提升網(wǎng)絡(luò)釣魚等安全風(fēng)險(xiǎn)的防范與應(yīng)對能力。

作者法律：蘆笛 中國互聯(lián)網(wǎng)絡(luò)信息中心

來源法律：中國互聯(lián)網(wǎng)絡(luò)信息中心 CNNIC

作者: 蘆笛