新修订《网络安全法》对反网络钓鱼工作的法律支撑解读
2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议通过《关于修改〈中华人民共和国网络安全法〉的决定》,已于2026年1月1日起施行。此次修订是《网络安全法》自2017年实施以来的首次系统性修改,旨在适应网络技术快速发展带来的安全挑战,完善网络安全治理体系。
根据公共互联网反网络钓鱼工作组观察,近年来网络钓鱼攻击呈现持续高发态势。攻击目标主要集中在金融、电子商务、政务服务等领域,且攻击手段日益复杂,包括利用人工智能生成高度仿真的钓鱼内容、注册形似合法域名、部署HTTPS加密证书以增强欺骗性等。部分攻击已从广撒网式转向针对特定企业或高价值个人的精准诱导,对用户个人信息安全和关键业务系统构成现实威胁。
本次法律修订在多个方面为防范和处置网络钓鱼活动提供了明确依据:
一、进一步明确网络运营者的安全义务
修订后的《网络安全法》第四十二条要求网络运营者处理个人信息应当遵守法律、行政法规的规定。第六十九条规定,电子信息发送服务提供者和应用软件下载服务提供者应当履行安全管理义务,对法律、行政法规禁止发布或者传输的信息,应当立即停止传输,采取消除等处置措施,保存有关记录,并向有关主管部门报告。未履行上述义务且情节严重的,最高可处二百万元罚款,并可责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处二十万元以下罚款。
操作建议:
建立钓鱼信息监测机制:在邮件网关、即时通讯平台、APP内嵌浏览器、用户生成内容(UGC)等入口部署自动化检测模块,重点识别仿冒域名、异常跳转链接、诱导性话术等特征。
制定内部处置流程:明确从发现疑似钓鱼内容到阻断、取证、上报的时限要求和责任人。处置记录应至少保存六个月,以满足第六十九条“保存有关记录”的法定要求。
定期开展合规自查:对照《网络安全法》第四十二条关于个人信息处理的规定,检查用户账号找回、密码重置、身份验证等环节是否存在被钓鱼利用的风险点。
二、支持运用新技术提升防护能力
新增第二十条规定:“国家支持创新网络安全管理方式,运用人工智能等新技术,提升网络安全保护水平。”该条款为研发和部署基于人工智能的钓鱼网站识别、异常通信检测、恶意链接阻断等技术手段提供了法律支持,有助于提高对新型钓鱼攻击的自动化发现与响应能力。
操作建议:
部署基于行为分析的钓鱼检测系统:对用户访问的外部链接进行实时风险评估,包括域名注册信息异常(如近期注册、隐私保护开启)、SSL证书不匹配、页面结构与已知品牌官网差异过大等指标。
启用多因素认证(MFA):在涉及账户登录、资金操作、敏感信息修改等场景,强制使用短信验证码、生物识别或硬件令牌等第二因子,降低凭证泄露后的账户接管风险。
限制高风险操作的自动跳转:在网页或APP中,对非白名单域名的自动跳转(如通过短链接、二维码触发)应弹出二次确认提示,防止用户在无感知情况下进入钓鱼站点。
三、规范漏洞与信息管理,切断攻击链路
《网络安全法》第六十三条规定,任何个人和组织不得销售或者提供专门用于从事侵入网络、干扰网络正常功能及其防护措施的程序、工具。第六十五条对漏洞信息发布作出规范。
操作建议:
禁止员工使用非授权安全工具:内部IT管理制度应明确禁止安装未经安全审查的代理软件、抓包工具、自动化脚本等,防止其被用于测试或传播钓鱼载荷。
建立漏洞响应机制:若发现自身系统存在可被用于钓鱼的社会工程漏洞(如密码重置逻辑缺陷、会话固定问题),应按照第六十五条精神,在修复前避免公开细节,并及时通知受影响用户。
清理僵尸页面与过期子域名:定期审计网站资产,关闭不再使用的测试页面、旧版登录入口,防止攻击者利用这些未维护页面部署钓鱼内容。
四、强化对违法行为的法律责任追究
第六十一条对关键信息基础设施运营者和一般网络运营者未履行网络安全保护义务的行为,设定了分级处罚标准。造成大量数据泄露或关键信息基础设施局部功能丧失的,最高可处二百万元罚款;导致关键信息基础设施主要功能丧失等特别严重后果的,最高可处一千万元罚款,并对直接负责的主管人员和其他直接责任人员处一百万元以下罚款。
操作建议:
建立事件分级标准:例如,将“单日钓鱼攻击导致100个以上用户凭证泄露”或“钓鱼站点仿冒本单位关键业务系统”等情形纳入“重大事件”范畴,触发内部应急响应及法定报告流程。
保留完整证据链:包括钓鱼页面源码、访问日志、IP地址、域名注册信息等,以支持后续执法调查。
五、完善跨境网络安全治理机制
第七十七条明确,境外的机构、组织、个人从事攻击、侵入、干扰、破坏我国关键信息基础设施等活动,造成严重后果的,国务院公安部门可以决定对其采取冻结财产等必要制裁措施。该规定为应对依托境外服务器实施的钓鱼攻击提供了法律工具。
操作建议:
关注跨境攻击线索:如发现钓鱼服务器位于境外,且攻击目标集中于我国关键信息基础设施,应按第七十七条规定,及时向属地网信部门或公安部门报送。
结语
建议各网络运营者对照新修订的《网络安全法》要求,全面梳理安全管理制度和技术措施,重点加强对用户身份验证、链接跳转、第三方内容嵌入等环节的风险管控。
公共互联网反网络钓鱼工作组将持续开展钓鱼网站监测、分析与处置工作,向公众科普反网络钓鱼常识及通报风险线索。公众在日常网络使用中,应注意核实网站域名真实性,谨慎点击不明来源的链接,避免在非官方页面输入账号密码或身份证号等敏感信息。
《中华人民共和国网络安全法》的修订实施,为构建更加安全、可信的网络环境提供了制度保障。各方应依法履行责任,共同提升网络钓鱼等安全风险的防范与应对能力。
作者:芦笛 中国互联网络信息中心
来源:中国互联网络信息中心 CNNIC
作者: 芦笛