《網絡數據安全管理條例》重點解析

《網絡數據安全管理條例》（文中簡稱《條例》）自2025年1月1日起施行，旨在規范網絡數據處理活動，保障網絡數據安全，促進網絡數據依法合理有效利用，保護個人、組織的合法權益，維護國家安全和公共利益。

我國的網絡安全法、數據安全法、個人信息保護法對數據安全和個人信息保護制度作了基本規定。為做好法律實施，《條例》作為配套行政法規，提出了更為細化的要求。

網絡數據安全管理的總體思想

一是體現國家主權的總體宗旨。《條例》強調維護國家主權、安全和發展利益一致，明確在中國境內開展網絡數據處理活動及其安全監督管理，以及在中國境外處理我國境內自然人個人信息的活動，以向境內自然人提供產品或者服務為目的，或者分析、評估境內自然人的行為等，適用本條例。在中國境外開展網絡數據處理活動，損害我國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

二是體現“黨管數據”和“總體國家安全觀”的核心思想。我國網絡數據安全管理工作堅持黨的領導。《條例》的制定，全面貫徹黨的二十大和二十屆二中、三中全會精神，將習近平總書記關于網絡數據安全管理的重要指示批示精神及黨中央、國務院決策部署落實到具體條文中。《條例》明確提出貫徹總體國家安全觀，在數據分類分級、風險防范、事件處置、安全審查等方面均考慮到國家安全。

三是體現統籌發展和安全的基本原則。網絡安全法指出，國家堅持網絡安全與信息化發展并重，遵循積極利用、科學發展、依法管理、確保安全的方針。數據安全法強調統籌發展和安全。《條例》也堅持統籌促進網絡數據開發利用與保障網絡數據安全，既加強網絡數據安全保護，又鼓勵和促進網絡數據的依法合理有效利用。

網絡數據安全管理的基本要求

一是以合法為基本要求。《條例》規定，任何個人、組織不得利用網絡數據從事非法活動，不得從事竊取或者以其他非法方式獲取網絡數據、非法出售或者非法向他人提供網絡數據等非法網絡數據處理活動。任何個人、組織不得提供專門用于從事前述非法活動的程序、工具；明知他人從事前述非法活動的，不得為其提供相關技術支持，或者提供廣告推廣、支付結算等幫助。

二是安全保護義務。《條例》規定，網絡數據處理者應當依照法律、行政法規的規定和國家標準的強制性要求，在網絡安全等級保護的基礎上，加強網絡數據安全防護，建立健全網絡數據安全管理制度，采取相應技術措施和其他必要措施，保護網絡數據免遭篡改、破壞、泄露或者非法獲取、非法利用，處置網絡數據安全事件，防范針對和利用網絡數據實施的違法犯罪活動，并對所處理網絡數據的安全承擔主體責任。

三是全生命周期管理。一方面是網絡安全的全生命周期，網絡數據處理者應當加強網絡產品、服務的安全管理，并且建立健全網絡數據安全事件應急預案，以及加強安全事件和風險處置。另一方面是數據安全的全生命周期，網絡數據處理者向其他網絡數據處理者提供、委托處理個人信息和重要數據的，因合并、分立、解散、破產等需要轉移網絡數據的，國家機關委托他人建設、運行、維護電子政務系統，存儲、加工政務數據，網絡數據處理者為國家機關、關鍵信息基礎設施運營者提供服務等，均應當加強數據安全管理。

特定網絡數據的安全管理

一是個人信息保護方面，《條例》重點細化了個人信息保護法關于告知、同意、個人行使權利等方面的規定，明確在境內設立專門機構或指定代表的要求，進一步明確網絡數據處理者處理1000萬人以上個人信息時應當履行的義務。

二是重要數據安全方面，《條例》明確制定重要數據目錄的要求，規定網絡數據處理者識別、申報重要數據義務，規定網絡數據安全負責人和網絡數據安全管理機構責任，要求提供、委托處理、共同處理重要數據前進行風險評估，并明確重點評估內容；要求重要數據的處理者每年度對其網絡數據處理活動開展風險評估，并明確風險評估報告內容。

三是網絡數據跨境安全管理方面，《條例》進一步優化數據跨境流動機制，明確國家網信部門在國家數據出境安全管理專項中的統籌協調地位，規定網絡數據處理者可以向中國境外提供個人信息的條件，明確數據出境不得超出評估時明確的數據出境目的、方式、范圍和種類、規模等，以及還規定國家采取措施防范、處置網絡數據跨境安全風險和威脅。

網絡平臺服務提供者的義務

一是網絡平臺服務提供者與第三方的共同責任。《條例》規定網絡平臺服務提供者應該督促接入其平臺的第三方產品和服務提供者加強網絡數據安全管理，預裝應用程序的智能終端等設備生產者參照規定執行。第三方產品和服務提供者違法違規開展網絡數據處理活動，對用戶造成損害的，網絡平臺服務提供者、第三方產品和服務提供者、預裝應用程序的智能終端等設備生產者應當依法承擔相應責任。提供應用程序分發服務的網絡平臺服務提供者，應當建立應用程序核驗規則并開展相關核驗。

二是自動化信息推送服務的用戶權益保護。此前發布的《互聯網信息服務算法推薦管理規定》，針對利用算法技術向用戶提供信息的提出安全要求。《條例》強調，網絡平臺服務提供者通過自動化決策方式向個人進行信息推送的，應當設置易于理解、便于訪問和操作的個性化推薦關閉選項，為用戶提供拒絕接收推送信息、刪除針對其個人特征的用戶標簽等功能。

三是大型網絡平臺服務提供者的安全要求。大型網絡平臺，是指注冊用戶5000萬以上或者月活躍用戶1000萬以上，業務類型復雜，網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響的網絡平臺。《條例》規定其每年度發布個人信息保護社會責任報告、防范網絡數據跨境安全風險的要求，以及明確不得利用網絡數據、算法、平臺規則等從事相關活動。

監督管理職責分工

一是國家網信部門。除了前述重要數據和數據跨境的安全管理職能之外，國家網信部門負責統籌協調網絡數據安全和相關監督管理工作，并統籌協調有關主管部門及時匯總、研判、共享、發布網絡數據安全風險相關信息，加強網絡數據安全信息共享、網絡數據安全風險和威脅監測預警以及網絡數據安全事件應急處置工作。中國境外的組織、個人從事危害我國國家安全、公共利益，或者侵害我國公民的個人信息權益的網絡數據處理活動的，國家網信部門會同有關主管部門可以依法采取相應的必要措施。

二是公安機關、國家安全機關。依照有關法律、行政法規和《條例》的規定，在各自職責范圍內承擔網絡數據安全監督管理職責，依法防范和打擊危害網絡數據安全的違法犯罪活動。按照《計算機信息系統安全保護條例》及有關規定，公安機關還承擔著監督、檢查、指導相關網絡安全保護工作的職責。

三是國家數據管理部門在具體承擔數據管理工作中履行相應網絡數據安全職責，各地區、各部門對本地區、本部門工作中收集和產生的網絡數據及網絡數據安全負責，各有關主管部門承擔本行業、本領域網絡數據安全監督管理職責。網信、電信、公安、國家安全等主管部門依據各自職責具有相關執法權力。

（作者系公安部第三研究所研究員，全國網絡安全標準化技術委員會成員，公安部警務保障專家；本文僅對《條例》核心理念和部分條款進行解讀）

編輯：張宏羽" " zhanghongyuchn@hotmail.com