《网络数据安全管理条例》解读

文摘 2025-01-06 00:00 河南

条例出台的必要性与重要性

2024年9月24日，《网络数据安全管理条例》正式出台，自2025年1月1日起施行。作为《网络安全法》《数据安全法》《个人信息保护法》三法的下位配套规范，《网络数据安全管理条例》的出台弥补了我国数据治理领域全位阶法律规范体系中“行政法规”的缺失，为三法框架下的制度衔接与协调、规则细化与补充提供了解决方案，在网络数据安全保护领域起到纲领性作用，也为贯彻落实“坚持高质量发展和高水平安全良性互动”理念提供了重要范式。随着《网络数据安全管理条例》的施行，我国网络数据安全规则体系将迎来新一轮调整，对当前网络数据安全监管格局、监管思路、重点与方向以及法规的合规遵从工作均会带来直接影响。

党的二十大报告提出，高质量发展是全面建设社会主义现代化国家的首要任务。二十届三中全会通过的《中共中央关于进一步全面深化改革推进中国式现代化的决定》强调，要实现高质量发展和高水平安全良性互动，并将其作为推进国家安全体系和能力现代化的重要内容。构建以数据为关键要素的数字经济已成我国推动高质量发展的必然要求，同时在人工智能、量子计算等颠覆性技术带来的安全形势不断变化的背景下，如何在数据治理领域贯彻落实这一国家顶层要求，已经成为事关国家发展和安全大局的重大问题。

《网络数据安全管理条例》出台之前，法律层面，我国网络与数据安全领域的三大核心立法《网络安全法》《数据安全法》《个人信息保护法》已相继施行，为保障数据安全发挥了重要作用。近年来，行业、领域及地方在数据治理方面已开展了包括重要数据安全、数据分类分级、数据出境等在内的诸多试点、调研，围绕数据安全、个人信息保护的执法检查相继开展，《促进和规范数据跨境流动规定》《自然资源领域数据安全管理办法》《工业和信息化领域数据安全管理办法（试行）》《民航数据管理办法（征求意见稿）》等部门规章、规范性文件密集出台，为数据治理方案优化提供了有益经验。值得注意的是，行业、领域、区域在规则出台进度、内容设计等方面也存在一定的差异性，需要行政法规层面予以统一或明确。

因此，《网络数据安全管理条例》是立足于我国网络数据安全风险变化、法治建设需要以及数字经济发展形势，在总结近年监管与产业互动、磨合中的先进经验，通盘考虑高质量发展与高水平安全需求基础上提出的中国数据治理方案，明确了未来相当长时期的监管思路、重点与方向。

从法律体系定位来看，《网络数据安全管理条例》是《网络安全法》《数据安全法》《个人信息保护法》三大立法的下位配套规范，也是目前唯一一部横跨网络安全、数据安全与个人信息保护三大领域，集三大核心立法制度设计、规则细化任务于一身的行政法规，其重要性不言而喻。从效力位阶上看，《网络数据安全管理条例》属于效力仅次于法律的行政法规。虽然此前同位阶的还有《关键信息基础设施安全保护条例》，但该条例仅适用于关键信息基础设施领域，且更侧重于网络安全而不是数据安全。《网络数据安全管理条例》出台后，先行施行的下位规范可能需要对标《网络数据安全管理条例》进行相应的规则清理和调整。而以《网络数据安全管理条例》为依据的新的地方性法规、部门规章和规范性文件的制定发布工作也会开启。

核心规则设计的变化与延续

作为效力仅次于“法律”的行政法规，《网络数据安全管理条例》不是对上位法进行简单的重复，而是充分发挥“行政法规”在法律体系中的重要作用。一方面细化《网络安全法》《数据安全法》《个人信息保护法》，并落实三法中明确“行政法规”可以补充规定或另行规定的事项，进行补充性或创新性规定。另一方面，结合近年数据治理经验，聚焦信息技术创新及数字经济发展中的突出问题，衔接、协调上位法律及下位部门规章相关规定。总的来说，《网络数据安全管理条例》确立的规则呈现以下变化与延续：

一、明确界定“网络数据处理者”“重要数据”等核心概念

与《数据安全法》主要以行为即“开展数据处理活动”为中心构建数据安全规则不同，《网络数据安全管理条例》中的网络数据安全保护义务与责任主要围绕“网络数据处理者”这一主体身份展开。只有“网络数据处理者”需履行等级保护基础上全流程的数据安全保护，网络数据安全风险告知报告，网络数据安全应急处置，提供、委托、共同处理环节的风险评估义务等义务。至于何为“网络数据处理者”，基于《数据安全法》并未对数据处理者做出界定。《网络数据安全管理条例》借鉴了《个人信息保护法》中“个人信息处理者”定义，在附则的含义中明确“网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织”。由此，能否“自主决定”处理目的和处理方式判定是否属于“网络数据处理者”的核心标准。“自主决定”蕴含着控制力、影响力和决定性地位的实质性判断，并与是否承担数据安全责任直接关联。实践中证明某个主体是否具备自主决定数据处理目的和处理方式，往往需要结合场景进行判断，如数据合作或服务协议中的职责界定，在集团数据处理模式中还要考虑企业股权架构、决策机制等。

《网络数据安全管理条例》另一个核心概念是“重要数据”，《网络数据安全管理条例》吸纳了国家标准《数据安全技术数据分类分级规则》对“重要数据”的界定，在附则的含义中明确“重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。关于重要数据的认定，《网络数据安全管理条例》延续《数据安全法》确立的国家数据安全工作协调机制制定重要数据目录，各地区、各部门确定本地区、本部门以及行业、领域的重要数据具体目录的认定机制，同时吸收近年重要数据出境安全评估中的监管经验，明确网络数据处理者只需负责重要数据的识别、申报。是否属于重要数据的认定交由各地区、各部门，各地区、各部门负责审核后告知或公布。

二、新增网络数据安全风险、事件告知与报告规则

《网络数据安全管理条例》首先在《网络安全法》基础上强调“网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求”；其次，在延续《网络安全法》关于“网络产品、服务提供者”安全风险告知及补救义务规定的基础上，首次提出“涉及危害国家安全、公共利益的，网络数据处理者还应当在24小时内向有关主管部门报告”。

关于网络数据安全事件的告知与报告，《网络数据安全管理条例》延续了《数据安全法》《网络安全法》中安全事件向主管部门的报告要求，未做进一步细化。但重点补充了是否需要向利害关系人告知以及如何告知的规则。《网络数据安全管理条例》在平衡企业合规负担与个体权益保障的基础上，仅规定网络数据安全事件对个人、组织合法权益“造成危害的”才需告知。告知方式包括电话、短信、即时通信工具、电子邮件或者公告。此前征求意见稿对于以公告方式告知的，设置了前置条件，仅无法通知的才可公告告知。正式稿删除了该限制，进一步降低合规要求。

三、补充数据流转中的安全保护要求

数据流转安全问题随着数据要素开发利用日益频繁，《数据安全法》定义了数据安全有效保护和合法利用的两种状态，但并未建立数据流转安全的具体规则。《个人信息保护法》针对个人信息对外提供、委托、共同处理确立了一定要求，例如应当开展个人信息保护影响评估。对外提供个人信息的，应当履行告知义务并取得单独同意。委托处理个人信息的，应当与受托人约定各自权利义务并进行监督等。《网络数据安全管理条例》紧抓数据流动和利用安全这一数据要素时代的数据安全核心问题，关注点从“数据安全”到“数据合法有效利用”，在《数据安全法》《个人信息保护法》基础上做了诸多规则补充。

一是要求提供、委托处理个人信息和重要数据的，应当通过合同等明确安全保护义务、监督义务履行情况、记录处理情况并至少保存3年。值得注意的是，《个人信息保护法》仅要求“委托”处理个人信息的需要约定权利义务并监督，《网络数据安全管理条例》则扩展至“提供”个人信息的场景。“提供、委托处理”重要数据的要求则吸收行业、领域的实践经验。二是要求重要数据的处理者提供、委托处理、共同处理重要数据前，除为履行法定职责或者法定义务外，应当进行风险评估。三是明确了针对自动化采集豁免知情同意规则。《网络数据安全管理条例》第二十四条吸收《个人信息保护法》第十三条、第十八条规定，利用行政法规层级，实现对自动化采集知情同意规则的豁免，即免除前端采集环节义务，在后续环节处理即可。

四、新增特殊主体的供应链安全要求

《网络数据安全管理条例》对网络数据安全的关注不再是节点安全而是整个产业链供应链的安全。《网络数据安全管理条例》不仅明确提出“供应链网络数据安全”概念，也构建了较为全面的数据供应链安全体系。在规则设计上，对国家机关、关键信息基础设施运营者、公共基础设施及公共服务系统运营者、处理重要数据的大型网络平台服务提供者的供应链安全提出新增要求。

一是《网络数据安全管理条例》不仅关注国家机关网络数据安全，还首次针对为“关键信息基础设施运营者、参与其他公共基础设施、公共服务系统建设、运行、维护的”供应商，提出其与“国家机关”相关服务供应商同等安全保护要求。二是不仅关注供应链上的服务安全还关注信息系统安全，要求为国家机关提供服务的信息系统参照电子政务系统的管理要求。三是对于处理重要数据的大型网络平台服务提供者，《网络数据安全管理条例》首次明确要求前者应当充分说明关键业务和供应链网络数据安全等情况。

五、补充重要数据安全保护规则

重要数据安全保护制度是国家数据安全管理的重要抓手，《数据安全法》在一般数据基础上对重要数据设置了增强要求，包括明确数据安全负责人和管理机构、定期开展风险评估以及出境安全管理。

近年来，行业、领域在重要数据安全保护工作探索中也提出一些细化、不同强度的保护要求。例如重要数据备案要求，《工业和信息化领域数据安全管理办法（试行）》规定，工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案；重要数据安全能力核验要求，《工业和信息化领域数据安全管理办法（试行）》规定，委托处理重要数据，应当对受托方的数据安全保护能力、资质进行核验；重要数据年度风险评估要求，《工业和信息化领域数据安全管理办法（试行）》规定，工业和信息化领域重要数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，并向本地区行业监管部门报送风险评估报告；重要数据的存储要求，《会计师事务所数据安全管理暂行办法》规定，存储重要数据的信息系统要落实三级及以上网络安全等级保护要求；重要数据日志留存要求，《会计师事务所数据安全管理暂行办法》规定，涉及重要数据的相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理重要数据的相关日志留存时间不少于三年等。

《网络数据安全管理条例》一是补充了网络数据安全负责人资格要求。包括具备网络数据安全专业知识、具备相关管理经验，属于管理层成员。对于掌握有关主管部门特定种类、规模重要数据的处理者，还需对网络数据安全负责人和关键岗位人员进行安全背景审查。二是补充了网络数据安全管理机构职责。三是细化了风险评估制度。《网络数据安全管理条例》规定了提供、委托处理、共同处理重要数据前需要开展风险评估以及重要数据安全年度风险评估两类评估要求。后者评估报告需向省级以上主管部门报送。四是新增了特殊情形下重要数据处置方案报告要求。此前《自然资源部数据安全管理办法》规定，数据处理者因重组等原因需要转移数据的，应当明确数据转移方案。涉及重要数据的，应当事前向行业监管部门报告数据转移方案。《网络数据安全管理条例》则明确只要因合并、分立、解散、破产等可能影响重要数据安全的，均需报告。

六、补充数据跨境安全规则

数据跨境安全规则是重要的对外经贸规则。党的二十届三中全会《决定》再次强调，“要提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制”。近年来，我国数据出境规则在监管与产业的互动、磨合中迅速调试。《网络数据安全管理条例》在总结《数据出境安全评估办法》《促进和规范数据跨境流动规定》等部门规章制定、实施经验基础上，进一步优化了数据跨境流动机制，尤其是吸纳了《促进和规范数据跨境流动规定》诸多规则。

一是明确国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制。二是扩展个人信息可自由出境的情形。《网络数据安全管理条例》吸纳《促进和规范数据跨境流动规定》豁免规定，在《个人信息保护法》的基础上新增“明确为订立、履行个人作为一方当事人的合同”、“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”、“紧急情况下为保护自然人的生命健康和财产安全”情形下确需向境外提供个人信息的，个人信息可以出境。值得注意的是，《网络数据安全管理条例》在《促进和规范数据跨境流动规定》基础上又增加了“为履行法定职责或者法定义务，确需向境外提供个人信息”，作为可以向境外提供个人信息的情形。《促进和规范数据跨境流动规定》规定的“关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的”则并未纳入《网络数据安全管理条例》。但基于《个人信息保护法》第38条明确法律、行政法规或者国家网信部门规定可以对个人信息出境条件做出规定。《促进和规范数据跨境流动规定》作为“国家网信部门规定”，该条款依然有效。三是吸纳《促进和规范数据跨境流动规定》规定，明确未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估。

值得注意的是，相较2021年征求意见稿，《网络数据安全管理条例》还规定国家采取措施，防范、处置网络数据跨境安全风险和威胁。大型网络平台服务提供者应当健全相关技术和管理措施，防范网络数据跨境安全风险。

七、扩展网络平台服务提供者安全保护规则

《网络数据安全管理条例》借鉴了欧盟《数字服务法》《数字市场法》的“守门人”制度，专章规定了网络平台服务提供者的安全义务。与2021年征求意见稿相比，《网络数据安全管理条例》整体体现了对数字经济更为柔性、灵活的监管态度，如删除了征求意见稿中“大型互联网平台运营者在境外设立总部或者运营中心、研发中心，向国家网信部门和主管部门报告”的要求，平台规则、隐私政策制定或者对用户权益有重大影响的修订需要公开征求意见以及网络平台服务提供者先行赔付要求，调整法律责任的设置等。何为“网络平台服务提供者”，《网络数据安全管理条例》并未做出明确界定，仅在附则的含义中明确“大型网络平台是指注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。

《网络数据安全管理条例》第40条规定，网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务，督促第三方产品和服务提供者加强网络数据安全管理。从文义来看，《网络数据安全管理条例》中的“网络平台”应当是有第三方产品和服务提供者接入的。纯自营没有接入第三方产品和服务提供者是否属于“网络平台”还有待进一步明确。

《网络数据安全管理条例》一是规定了网络平台服务提供者对第三方产品、服务提供者的监督义务，建立了造成用户损害的责任分配机制，并将规则适用范围扩展至预装应用程序的智能终端等设备生产者。同时细化了通过自动化决策进行信息推送的用户拒绝机制。二是用专条对提供应用程序分发服务的网络平台服务提供者设置了特殊的安全要求，包括核验要求及应用程序的处置要求。三是特别关注大型网络平台服务提供者安全义务，要求健全相关技术和管理措施防范网络数据跨境安全风险，并明确不得非法利用网络数据、算法、平台规则从事损害用户权益及其他违法违规活动。

八、补充个人信息保护规则

在个人信息保护方面，《网络数据安全管理条例》在现行法律法规框架下补充了以下规则：

一是在行政法规层面确立“清单”告知要求。《网络数据安全管理条例》吸收2024年行业、领域在个人信息保护领域的治理经验，在用户告知方面引入“双清单”，即已收集个人信息清单和与第三方共享个人信息清单告知要求。

二是明确自动化采集特殊要求，明确通过自动化采集技术等无法避免采集到非必要个人信息，或者未依法取得个人同意的个人信息的情形，应当及时删除个人信息或者进行匿名化处理，如技术上难以实现，应停止除存储和采取必要的安全保护措施之外的处理。

三是细化个人信息可携权规定，明确该权利行使的前提包括限于基于个人同意或合同收集的个人信息场景，基于法定职责、法定义务等其他事由收集的个人信息不适用。此外，还应当在技术上具备可行性。

四是明确处理1000万人以上个人信息处理者应履行重要数据处理者在人员和机构设置及处置方案报告方面（而非2021年征求意见稿中重要数据处理者的全部义务）的增强要求。

九、调整网络数据安全监管机制

《网络数据安全管理条例》在延续《数据安全法》确立的监管机制基础上，一是回应国家数据局的成立，将国家数据局纳入监管机制，明确“国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责”。此前施行的《促进和规范数据跨境流动规定》就已明确自贸区负面清单需要报国家网信部门、国家数据管理部门备案。二是增加公安机关、国家安全机关依法防范和打击危害网络数据安全违法犯罪活动职责。三是细化行业、领域监管职责的具体内容，包括明确网络数据安全保护工作机构、统筹制定并组织应急预案，定期开展相关风险评估，对网络数据处理者进行监督检查、指导督促整改等等。

此外，《网络数据安全管理条例》建立了监管机构协调规则，特别是明确个人信息保护合规审计、重要数据安全风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。

十、明确对利用数据从事非法活动的全链条打击

《网络数据安全管理条例》首次在网络数据使用环节明确要求“不得利用网络数据从事非法活动”。在三法基础上，吸收《刑法》及相关司法解释中对于侵犯公民个人信息罪、帮助信息网络犯罪活动罪的相关规定和表述，涵盖了包括窃取、以其他非法方式获取、非法出售、非法提供网络数据等禁止性行为规定，并进一步禁止提供非法活动的程序、工具，禁止提供技术支持和推广、结算帮助，明确对利用数据从事非法活动的全链条打击要求。

新形势下公安机关网络数据安全保护工作定位及着力点

作为保障社会公共安全与国家安全的主力军，公安机关是《人民警察法》《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《计算机信息系统安全保护条例》等明确的网络安全、数据安全与个人信息保护监管部门，是网络数据安全保护的重要力量，准确理解、把握《网络数据安全管理条例》规则与要求，将网络数据安全保护工作置于党和国家工作大局中来思考把握，构筑高质量发展和高水平安全良性互动新格局。

一是积极推进公安履职尽责，以高水平安全保障数字经济高质量发展。

相较于《网络安全法》《数据安全法》《个人信息保护法》，《网络数据安全管理条例》赋予了公安机关在网络数据安全领域更为明确的职权，基本全面覆盖了重要数据、个人信息、网络平台服务提供者的网络数据安全监督管理。一方面《网络数据安全管理条例》“第七章监督管理”延续《数据安全法》规定，明确公安机关在职责范围内承担网络数据安全监督管理职责。同时新增“依法防范和打击危害网络数据安全违法犯罪活动职责”。另一方面，从罚则来看，《网络数据安全管理条例》将“公安”与“网信”“电信”并列作为具备处罚职责的主管部门。除国家机关的特殊处理规则外，只要《网络数据安全管理条例》有明确罚则的，公安机关均属于其明确列出的具备处罚职责的主管部门。此外，还有几个工作机制公安机关均是其中重要成员，包括负责统筹协调有关部门制定重要数据目录的国家数据安全工作协调机制，国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制，以及网络数据处理活动影响或者可能影响国家安全的国家安全审查机制。接下来，公安机关应当积极履职尽责，推进《网络数据安全管理条例》的贯彻落实。

二是推进公安网络数据安全监管工作现代化，把握安全与发展的动态平衡。

在高质量发展成为全面建设社会主义现代化国家首要任务的背景下，无论是规则制定还是执法监管，均不可脱离产业发展实际或发展水平、发展需求谈安全。这就要求一方面要结合发展形势关注发展中的安全问题，提升监管重点、方式与安全形势的适应性。例如监管重点方面，高度关注数据要素流转、加工、分析、融合等安全风险，落实对利用数据从事非法活动的全链条打击任务。监管思路方面，结合数据要素产业发展情况，实现对产品、工具、服务等前端、中端、终端的全链治理。另一方面关注数据安全监管对数字经济发展的影响，提升网络数据安全执法规范化，推进落实《网络数据安全管理条例》监管机构协调，从轻、减轻或者不予行政处罚等规则的贯彻落实。

此外，公安机关是各类网络数据处理的重要机构，自身也构成网络数据处理者，是《网络数据安全管理条例》框架下重要的义务主体，需要承担相应的主体责任，应当对标《网络数据安全管理条例》新要求，推进公安机关内部网络数据安全管理规则制定与落实，强化公安机关自身网络数据安全管理，包括公安政务数据安全、重要数据安全、个人信息保护、互联网政务应用安全等。

来源：国家网络安全通报中心

— 欢迎关注往期回顾 —

精彩回顾：祺印说信安2024之前

230个网络和数据安全相关法律法规规范文件打包下载

单位高层领导参与网络安全不应该只是口头说说

党委（党组）网络安全工作责任制实施办法

“两高一弱”专项下，谈合规下的弱口令

网络被黑？还看“两高一弱” ，原来是不履行网络安全义务惹的祸

>>>网络安全等级保护<<<

网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系

1994-2024等级保护30年法律法规及政策发展历程概览

网络安全等级保护：等级保护的概念