对《网络犯罪防治法（征求意见稿）》的反馈意见

2026年1月31日，公安部就《网络犯罪防治法（征求意见稿）》面向社会公开征求意见（公告网址）。

两个公告文件：
网络犯罪防治法（征求意见稿）
关于起草《网络犯罪防治法（征求意见稿）》的说明

一、总体意见

（一）权力边界与责任主体不够清晰，存在“弹性授权”风险

草案多处使用“有关主管部门”（第4/16/36/37/47/48/52/54/55/56/57/60/64条）“国家有关规定”（第4/6/11/13/18/24/36/38/44/51条）“其他必要措施”（第5/43/44/51条）“主管部门认定”（第14/15/47条）等表述，容易导致执法尺度随部门口径扩张，难以满足法治国家对明确性、可预期性的要求。建议：

（二）程序性救济不足：限制服务、拉黑、封禁、阻断、冻结、限制出入境等措施缺少“告知—申辩—复核—救济”的闭环

草案仅在第16条写了“提出异议可核查恢复”，但总体上对公民权利保障的重大不利措施缺乏统一的程序保障：决定主体、书面决定、理由告知、期限、复核层级、紧急情形的后置审查等均不完整。建议增设一条或一节，明确：

（三）对公民权利的限制强度偏大，且“必要性 - 比例性”论证不足

草案在实名、动态核验、数量上限、工具管制、跨境阻断、AI内容监测识别、解密接口等方面，对正常使用互联网、表达、科研与安全防护的外溢影响较大。建议引入明确的立法原则：

（四）个人信息与数据安全配套不足

草案多处要求实名、动态核验、重新核验、登记备案购买者或使用者身份信息，涉及大量个人信息甚至敏感个人信息。建议明确：

（五）技术可行性与网络安全“反噬效应”需要正视

要求平台“监测识别AI生成内容”、“未标识就删除或标注”、以及要求“提供解密接口和解密能力”（例如在端到端加密场景），在技术上可能不可行或成本畸高，并可能削弱整体网络安全。建议把义务从“结果保证”调整为“合理能力及合理措施”，并明确不得以合规名义强制弱化加密安全。

二、具体条款意见

第十二条

第十二条 任何个人和组织办理互联网信息发布、即时通讯等服务，应当提供真实身份信息，不得实施下列行为扰乱网络实名制管理：
（一）使用虚假身份信息、营业执照，冒用他人身份信息、营业执照、电话号码、邮箱，或者使用物联网卡等办理互联网服务的；
（二）违法违规收购、租用、出售、出租网络账号，或者明知被用于违法犯罪而出借网络账号的；
（三）使用网络地址切换工具、批量电话卡控制工具等规避网络运营者账号注册审核规则及其他措施，大量注册网络账号的；
（四）为已被依法依规采取封禁等措施的网络账号提供解封等技术支持或者帮助的；
（五）无正当理由大量持有非本人注册的网络账号的；
（六）其他扰乱网络实名制管理的行为。

“办理互联网信息发布、即时通讯等服务”的表述存在歧义。该条与第十一条“开立”、第十三条“办理网络接入、域名注册等服务”的并列结构看，应主要规范“用户侧申请开通、注册使用服务”的实名义务；但现行用语“任何个人和组织办理……服务”亦有可能被理解为服务提供者“开办/运营该类服务”，导致义务主体与行为类型不匹配。建议将义务主体拆分并明确：“互联网信息发布、即时通讯等服务提供者”应当依法落实实名注册核验义务；“用户”在注册、开通、使用相关服务时应当提供真实身份信息；明确“办理”的具体环节（注册账号、开通发布权限等），以增强法律明确性、可预期性，避免边界模糊。

兜底条款存在泛化风险。“其他扰乱网络实名制管理的行为”建议改为列举式，或至少设定构成要件（主观明知 + 规模性 + 规避监管目的），避免兜底条款泛化。

实名制适用范围需要明确，否则将与互联网实践生态严重冲突并诱发个人信息安全风险。目前大量个人博客、独立站点的留言/评论功能允许匿名或仅填写邮箱，未建立账号体系，更不具备核验真实身份信息的能力。若按第十二条字面理解将其纳入强制实名，将迫使大量小站收集、保存敏感身份信息，反而增加个人信息泄露与滥用风险，也会导致治理措施显著超出必要限度。建议明确实名制适用对象为具备账号体系、面向公众提供信息发布/即时通讯服务的网络运营者，并对个人小站、一次性留言等场景设定分级要求或豁免（例如：不强制实名，但保留必要的反滥用措施与违法线索处置机制）。

第十四条

第十四条 任何个人和组织不得非法制作、销售、提供、使用具有下列功能的设备、软件、工具、服务：
（一）具有使目标电话号码无法正常使用的自动追呼功能的；
（二）具有批量控制移动电话卡的功能的；
（三）具有改变主叫号码、虚拟拨号、互联网电话违规接入公用电信网络等功能的设备、软件；
（四）具有批量网络地址自动切换，批量接收、提供短信验证、语音验证功能的；
（五）具有搜取移动终端用户信息，强行向不特定用户手机发送、拦截短信息等功能的；
（六）其他由省级以上公安机关会同电信、广播电视等主管部门认定的，专门用于实施网络违法犯罪或者具有规避监管制度功能的设备、软件、工具、服务。

第六项极易在相关主管部门执行时发生外延，形成“口袋条款”。根据《立法法》第七条，“法律规范应当明确、具体，具有针对性和可执行性。”建议将“具有规避监管制度功能的设备、软件、工具、服务”改为“无明显正当用途的设备、软件、工具、服务”。同时，“主管部门认定”应有公开标准，公开清单、有效期和定期复审。对科研、教学、运维、安全测试、企业合规通讯等用途，应设置豁免条款。相关认定标准建议设置程序约束：认定前应征求意见、评估影响，认定后提供申诉复核与司法救济指引。

第十五条

第十五条 任何个人和组织制作、销售、提供具有下列功能的设备、软件、工具、服务的，应当到公安机关、电信等主管部门备案，并登记购买者、使用者的真实身份信息：
（一）具有批量控制网络账号、上网线路、智能终端等功能的；
（二）具有网络虚拟定位功能的；
（三）具有侵入、控制计算机信息系统功能的；
（四）其他由省级以上公安机关会同电信等主管部门认定的，可能被大量用于网络违法犯罪的设备、软件、工具、服务。
前款所称的备案制度，由国务院公安部门会同电信等主管部门作具体规定。

“网络虚拟定位功能”的定义不够明确。该技术也可能用于测试、隐私保护、合规业务（例如异地容灾演练）等。建议明确定义并增加限定为“用于规避风控或实施违法犯罪的伪造定位、归属地工具”，排除正常使用场景下的测试、科研等。

对备案的个人身份信息应明确保护措施。建议对备案收集的购买者/使用者身份信息，明确用途限制与保存期限，避免形成新的数据泄露风险。

第十七条

第十七条 国家建设、提供网络身份认证公共服务，电信、金融、互联网等服务提供者登记、核验用户真实身份，可以通过国家网络身份认证公共服务进行。
对存在网络犯罪风险的移动电话卡、物联网卡、银行账户、支付账户、网络账号，以及被用于实施网络犯罪的网络应用服务，相关行业主管部门可以要求电信、金融、互联网等服务提供者通过国家网络身份认证公共服务等方式对用户身份重新进行核验。
任何个人和组织不得破坏、干扰国家网络身份认证公共服务的运行。

国家网络身份认证公共服务的可操作性与自愿性存在冲突。第一款将国家网络身份认证公共服务定位为可选核验方式；但第二款规定主管部门可要求服务提供者“通过国家网络身份认证公共服务等方式”对用户重新核验。若用户此前未开通该公共服务，或因客观原因无法接入，条文未明确是否应当强制用户接入、是否允许其他核验方式替代，以及用户拒绝或无法接入时的服务处置、期限与救济机制。

“存在网络犯罪风险”存在泛化可能性。若主管部门可以轻易认定“存在网络犯罪风险”，就会让“重新核验”从个案措施变成泛化措施，类似情形在银行账户操作中已经在多地出现（比如现金取款被柜台刁难等）。因此，相关行业主管部门对于如何判定“存在网络犯罪风险”应有公开标准，并限定适用场景。

第十八条

第十八条 电信、金融、互联网等服务提供者对个人、组织申请办理移动电话卡、银行账户、支付账户、网络账号的，应当依照国家有关规定设定数量上限。

“网络账号”范围过于宽泛。《反电信网络诈骗法》确实规定了移动电话卡、银行账户、支付账户的设定数量上限。《互联网公众账号信息服务管理规定》第十条：“公众账号信息服务平台应当对同一主体在本平台注册公众账号的数量合理设定上限”。但“网络账号”定义更为宽泛，类型复杂，并不仅仅包含“公众账号”。建议明确“网络账号”是否限于“互联网用户公众账号/高风险业务账号”等特定类型，避免覆盖一切普通登录账号。同时应明确“国家有关规定”的制定主体、公开方式与救济路径。

第二十四条

第二十四条 任何个人和组织不得违反国家有关规定，实施网络产品安全漏洞发现、收集、发布等违法犯罪活动，或者散布、传播重要信息系统的设计方案、网络拓扑、核心源代码等可能危害网络安全的信息。

“国家有关规定”需要进一步明确，否则会误伤“红队、白帽、安全研究”等合法研究漏洞的组织与负责任披露漏洞的行为。《宪法》第四十七条也明确，公民有进行科学研究的自由。建议为合法合规的安全研究设置例外，明确经授权测试、负责任披露、参与合规漏洞奖励计划、教学科研等不作为禁止对象，且禁止对象应聚焦于“未经授权侵入/控制、利用漏洞实施攻击、向不特定对象兜售可直接武器化的漏洞利用链”等。避免使用“国家有关规定”这类模糊用语，明确指向具体制度，明确披露边界。

第二十八条

第二十八条 任何个人和组织不得通过下列方式发布信息，扰乱网络秩序：
（一）发布虚假信息的；
（二）通过控制计算机信息系统等违法方式发布信息的；
（三）控制大量非本人注册的网络账号发布信息，或者使用批量控制软件等提供虚假的评论、转发、点赞等服务的；
（四）发布违背社会公序良俗等信息，获取流量收益、广告收益的；
（五）其他实施流量造假，扰乱网络秩序等行为。

“发布虚假信息”应增加“主观性”前提。现实中很难要求普通公民在发布时“确定真伪”，建议修改为“捏造、明知为虚假仍散布，或者有重大过失且造成严重后果”等，与既有法律体系保持一致。

“违背社会公序良俗”指代不清、过于抽象，易成为泛化口径，可能伤及公共利益表达与正常讨论。建议改为列举式，避免排除公益性讨论、批评监督、合理质疑等。

“其他扰乱网络秩序”非常不明确，缺少认定标准，极易泛化成“口袋罪”。《宪法》第三十五条规定，公民有言论自由；第四十一条规定，公民对于任何国家机关和国家工作人员，有提出批评和建议的权利。如果“扰乱网络秩序”认定不清晰，易与《宪法》精神产生冲突。建议明确执法边界，对公共事件报道、科学争议、政策讨论、讽刺评论等，除非明确违法，不应以“扰乱网络秩序”直接处置。

第三十一条

第三十一条 任何个人和组织不得实施下列行为，非法推广相关应用程序、软件：
（一）为违法的应用程序提供电子签名、制作、封装、发布或者以测试为名提供下载等服务的；
（二）植入用户无法卸载的非基本功能软件，或者未经用户同意强行植入软件的；
（三）明知他人非法植入软件而为其提供推广服务的。

该条对“内置反诈软件”行为应同样有效。国产手机内置的“反诈软件”既非“基本功能”，也未经用户同意。“反诈软件”无法卸载，甚至没有可见的界面。“反诈软件”原则上应遵循“告知—同意—可卸载/关闭—不影响基本通信”的最小干预模式；即便确需强制的，应以明确法律依据与严格适用条件作为支撑。

第三十五条

第三十五条 网络运营者应当采取下列必要措施，保障其提供的服务免受违法犯罪侵害或者被用于实施违法犯罪活动：
（一）设立专门机构或者指定专门人员直接负责网络犯罪防治工作，网络运营者负责人为第一责任人；
（二）建立网络犯罪防治管理制度、操作规程，采取必要技术措施，并定期开展内部网络犯罪防治培训；
（三）建立网络犯罪防治工作预案，并定期开展应急处置演练；
（四）加强对第三方供应链单位以及参与网络运维重要岗位人员的管理，采取必要措施加强网络和数据安全监测预警；
（五）发现网络攻击威胁和网络违法犯罪线索的，应当及时采取处置措施，保存相关记录并向公安机关报告，配合开展侦查调查； 
（六）其他必要的网络犯罪防治措施。

“网络运营者”适用范围过宽，其定义可能覆盖网络所有者、管理者及服务提供者；若不分规模与风险，个人小站也可能被纳入，导致合规负担不相称。建议按业务规模、风险等级、是否面向公众提供服务等区分义务强度，避免对个人/小微主体施加与大型平台同等级义务。

第三十六条

第三十六条 互联网接入服务提供者应当采取下列措施，防范其服务被用于实施违法犯罪活动：
（一）发现、阻断违反国家有关规定的网站、网络地址、应用程序；
（二）发现、阻断干扰、侵入、攻击、破坏网络服务设施等危害网络安全的行为；
（三）及时处置有关主管部门通报的利用其服务实施违法犯罪活动的行为。

“违反国家有关规定”指代不清。建议将“国家有关规定”至少明确为：法律、行政法规、部门规章中的哪类文件；并建立公开可查询清单或引用具体制度，避免以内部口径替代法律明确性。

第三十九条

第三十九条 提供域名注册、主机托管、内容分发等服务的服务提供者，应当采取下列网络犯罪防治措施：
（一）提供域名注册服务的，应当采取监测发现、阻断、处置恶意注册、仿冒域名的措施，以及对用于实施违法犯罪活动域名的处置措施；
（二）提供服务器托管、空间租用、云服务的，应当采取监测发现、阻断、处置违法信息、网站、应用程序，拒绝服务攻击、恶意代码、僵尸网络，非法设立的虚拟专用网络等措施；
（三）提供内容分发服务的，应当采取监测发现、阻断、处置违法信息、网站、应用程序的措施。

对于提供服务器托管、空间租用、云服务的厂商来说，“虚拟专用网络”是否“非法”并不属于可识别的技术特征。第二款将“非法设立的虚拟专用网络”作为云服务商需监测处置对象，但相关服务提供商无法判断用户创建的虚拟专用网络是否属于未经批准开展的跨境经营活动、是否用于违法犯罪。此外，ZeroTier/Tailscale 等工具属于组网/VPN类技术，广泛用于企业内网互联与远程办公，除非明确用于网络犯罪，否则不应被纳入打击对象。建议明确“非法设立”的判定标准与处置触发条件（如主管部门通报、公开经营、跨境经营用途等），避免云厂商被迫对所有VPN/组网技术“一刀切”处置，造成合规远程办公与网络安全能力受损。

第四十一条

第四十一条 互联网信息服务提供者、移动智能终端生产者应当采取措施监测发现人工智能生成合成的信息，发现相关信息未添加标识的，应当及时采取消除等处置措施，或者添加标识提示用户该信息属于生成合成信息。

“识别AI生成内容”在技术上并不能可靠实现。建议把“结果义务”改为“合理措施义务”：明确“在技术可行、成本合理范围内采取识别与处置措施”，同时提供误判救济，被处置内容应有申诉复核与恢复机制。

第四十四条

第四十四条 国家网信部门统筹相关部门和网络运营者采取技术措施和其他必要措施，阻断来源于中华人民共和国境外的违法信息。
网络运营者发现用于实施违法犯罪活动的网络域名、网络地址、网络账号、电话线路、网络线路、应用程序，应当及时采取措施予以阻断，并向公安机关等主管部门报告。
任何个人和组织不得违反国家有关规定，制作、销售、提供相关设备、软件、工具、线路、服务，为他人获取、传播第一款被依法阻断的信息提供技术支持或者帮助。

实际执行中，阻断对象远远大于“违法信息”范围。“违法信息”的范围与现行法律明确的违法类别应有对应关系，不应泛化为不确定概念。比如Pinterest、Quora，甚至 Dropbox（一度被阻断），很难说它们是因为传播“违法内容”而被采取“阻断措施”。严格来说，即便是 Youtube、Wikipedia 等平台上可能存在一些中国法律规定的违法内容，但目前采取的对策是全站阻断，显然不符合最小干预和最小必要原则。

第三款可能将大量正当用途用具纳入。建议至少应当要求“明知他人用于访问、传播违法信息仍提供专门支持”，并排除具有显著正当用途的通用工具与企业合规场景。

此外，建议对被阻断的域名、地址提供清单、期限，明确复核机制和误伤纠正机制。

第五十一条

第五十一条 网络运营者应当为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供技术接口、解密等技术支持、协助与保障。具体要求由国务院公安部门会同有关部门制定。
公安机关、国家安全机关因维护国家安全、侦查犯罪的需要，可以依照国家有关规定，要求有关组织采取发现、防范危害国家安全和犯罪活动的管理措施和其他必要措施，有关组织应当予以配合。

“国家安全机关”不在宪法第四十条列举的通信检查机关之列。《宪法》第四十条规定，仅“公安机关或者检查机关”可以“依照法律规定的程序对通信进行检查”。部门主体口径应与《宪法》保持一致。

“提供解密保障”与商业加密保护冲突。在诸如“端到端加密”场景下，网络运营者技术上也不具备提供“解密保障”的能力。建议删除“必须提供解密接口/解密能力”的结果性要求，且应明确：不得要求服务提供者为全体用户预置后门，不得以合规名义普遍削弱加密安全。同时，应增加监督与救济条款，明确请求的审批层级、留痕审计、范围控制、滥用责任追究机制。

第五十六条

第五十六条 对利用网络跨境实施本法第三章规定的行为，依法受到刑事处罚的中国公民，设区的市级以上公安机关可以根据犯罪情况和预防再犯罪的需要，决定自处罚完毕后六个月至三年内不准其出境。
境外人员利用网络实施本法第三章规定的违法犯罪行为的，有关主管部门可以依法决定不准其入境。

“设区的市级以上公安机关”即可决定限制公民的出入境自由可能导致滥用。建议明确适用范围：应限于特定严重犯罪类型与确有再犯危险的情形，不宜笼统覆盖“第三章规定的行为”全部。应强化程序，对于限制出入境的措施，应出具书面决定，给出理由说明、限制期限，并允许期限审查、引入复核机制，必要时引入司法审查或等同监督。明确与现行《出境入境管理法》及《反电信网络诈骗法》相关条款的衔接，避免重复限制。

第五十七条

第五十七条 违反本法第十一条至十三条的规定，扰乱实名注册等制度的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足二万元的，处二十万元以下罚款；情节严重的，并处十五日以下拘留。
对上述被行政处罚的个人和组织，有关主管部门可以将其列入黑名单，责令有关服务提供者对其采取限制使用、限制或者禁止开设卡号等惩戒措施。

追加的“黑名单”处罚没有明确的程序与期限。建议明确“黑名单”性质、列入条件、期限、退出机制与救济渠道；不得无限期惩戒。应避免对“轻微违法”适用过重惩戒，严格比例。