解讀《網絡數據安全管理條例》

Abstract：The RegulationsonNetwork Data SecurityManagement，which officially cameinto effecton January1，2025，signify a critical step in advancing the rule of law in China’s data governance.This paper examines the applicability and potential impact of the regulations within the archivalfield，withparticularattentiontohowinstitutional adjustmentsand operational practicesinarchivalmanagementcanensurethesecurityofarchival data in the network environment. The study focuses on key regulatory requirements relatedto theclassification and hierarchical protectionofarchival data，the standardization of archival work reporting，and the clarification of rights andobligationsamongarchival collaborators.The findings aim to offer practical insights for strengthening cybersecurity risk response and enhancing regulatorycomplianceinarchival practices.

Keywords：Regulations on Network Data SecurityManagement;Archival informatization;Datagovernance;Data classification and hierarchical protection

隨著數智化時代的到來，數據已成為社會治理、經濟發展和公共服務的重要支撐。然而，數據的廣泛流通和深度挖掘在帶來便利的同時，也伴隨著數據泄露、濫用及網絡攻擊等安全隱患。近年來，國家層面不斷強化數據安全的法律規制，以應對日益嚴峻的安全挑戰。去年網絡安全宣傳周發布的信息顯示，我國網絡安全法律體系已初具規模，涵蓋多部關鍵法律法規與政策文件，覆蓋范圍包括數據安全、個人信息保護和人工智能服務等，并形成380余項網絡安全領域的國家標準。2024年9月30日，國務院正式發布《網絡數據安全管理條例》（以下簡稱《網數條例》），自2025年1月1日起正式施行，標志著我國在網絡數據安全領域立法的進一步完善。檔案數據作為重要的歷史記錄和信息資源，關系到國家安全、社會穩定和公眾權益。在數字檔案管理快速發展的背景下，如何在開放共享與安全可控之間取得平衡，如何在法律框架下完善檔案數據管理制度，成為檔案管理領域亟待解決的課題。因此，本文將重點分析《網數條例》的核心內容及其對檔案領域的影響，探討檔案管理工作如何通過行動和制度上的調整與之對接，為網絡環境下檔案的安全管理和有效利用提供參考。

一、《網數條例》在檔案領域的適用性分析

從法律位階來看，《網數條例》是我國網絡數據安全領域首個行政法規級文件，依據《網絡安全法》《數據安全法》和《個人信息保護法》等上位法，對這三大領域的原則性規范和制度進行了細化和補充，具有較強的約束力、普適性及操作性。

從適用范圍來看，《網數條例》總則第二條明確規定，凡在我國境內實施的網絡數據處理行為及相應安全監管工作，均須遵循該條例規范。相較于《網絡安全法》和《數據安全法》的第二條規定，《網數條例》將其適用范圍精確限制在了“網絡數據處理活動\"這一特定情形。何為“網絡數據處理活動\"？《網數條例》規定：“網絡數據，是指通過網絡處理和產生的各種電子數據。\"“網絡數據處理活動，是指網絡數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。”何為“網絡”？《網絡安全法》規定：“網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。”由此可見，檔案部門通過計算機或其他信息終端及相關設備進行數據的收集、存儲、使用、傳輸、提供、刪除等操作時，屬于《網數條例》的監管范圍，理應關注和執行相關規定。

從現實需要來看，檔案領域迫切需要與時俱進的政策規范來應對網絡風險，維護檔案安全。一方面，檔案領域對網絡數據處理活動的安全需求與《網數條例》的核心理念高度契合。例如，“安全”一詞在《檔案法》里出現了24次，涵蓋檔案實體安全、信息安全，以及依托檔案安全保障的國家安全。尤其強調檔案信息化建設過程中的網絡安全，這是由當前網絡環境的復雜性和檔案信息化對網絡的深度依賴所決定的。另一方面，檔案領域為《網數條例》的適用留有政策接口和實施空間，如表1所示。這些銜接性條款表明，檔案領域已主動將網絡安全與數據安全要求納入核心制度框架，為相關規定在實踐中協同適用提供了制度基礎。這種制度層面的協同，有助于打破不同法律法規之間的執行壁壘，形成嚴密的數據安全防護網，推動檔案領域數據安全管理工作朝著規范化、法治化的方向發展，為國家整體網絡數據安全的維護貢獻檔案力量。

二、《網數條例》的主要內容

《網數條例》共九章六十四條，下面將分章介紹。第一章“總則”共7條，明確了條例的制定目的、立法依據、適用范圍、指導思想、基本原則，以及國家在網絡數據安全管理中的職責與支持措施。第二章“一般規定\"共13條，明確了網絡數據處理活動的基本要求。如禁止非法獲取、出售數據等行為；要求處理者加強安全防護、建立管理制度，妥善應對安全事件并及時報告；規定數據轉移、委托處理時的安全責任；強調政務與公共服務數據保護、自動化工具合規使用，以及對生成式人工智能訓練數據的管理，倡導社會監督等。

接下來，《網數條例》針對個人信息、重要數據、網絡數據跨境流動、網絡平臺治理等問題較為突出的領域，進一步細化相關制度和措施。

第三章“個人信息保護\"共8條，主要規定了網絡數據處理者在處理個人信息時應履行的義務，對《個人信息保護法》的相關規定進行了細化，使其更具操作性。例如，明確要求集中公開展示個人信息處理規則，落實個人信息保存期限問題，建立并執行雙清單制度4，以及明確個人信息轉移請求的適用條件和具體要求等。

第四章“重要數據安全\"共5條，主要規定了網絡數據處理者在處理重要數據時應履行的義務，細化了《數據安全法》第三章和第四章關于“重要數據”的規定。一是在要求制定重要數據目錄、推進重要數據分類分級保護的基礎上進一步規定網絡數據處理者需主動識別并申報重要數據；二是明確重要數據處理者應指定網絡數據安全負責人，設立網絡數據安全管理機構，并且明確了負責人要求和管理機構職責；三是規范了重要數據處理活動開展風險評估的內容構成，并確立年度風險評估報告制度；四是制定特殊情況下的重要數據處置方案，強化了重要數據的全生命周期安全管理。

第五章“網絡數據跨境安全管理\"共6條，主要細化了《數據安全法》和《個人信息保護法》關于數據跨境的規定，明確了網絡數據處理者在向境外提供數據時應履行的義務。例如，吸納《促進和規范數據跨境流動規定》中的部分條款，以行政法規形式進一步細化個人信息跨境傳輸的豁免情形：建立數據跨境安全評估制度，要求重要數據出境需通過國家網信部門的安全評估，并不得超出評估明確的范圍；還從減輕企業合規壓力的層面進一步明確，企業按規申報后，對于未被相關部門認定為重要數據的，無需將其納入重要數據范疇進行數據出境安全評估申報。

第六章“網絡平臺服務提供者義務\"共7條，明確了網絡平臺服務提供者及相關主體在網絡數據安全方面的責任，特別強化了大型網絡平臺服務提供者的責任要求。例如，規定其需每年公布個人信息保護社會責任報告，涵蓋保護措施及用戶權利行使情況。

第七章“監督管理\"共8條，對監管部門的職責分工和工作要求做出了規定，第八章“法律責任”共7條，規定了對違反條例行為的法律責任，包括行政處罰、民事責任及刑事責任。第九章“附則\"共3條，對“重要數據”“大型網絡平臺\"等關鍵術語進行了解釋，明確了條例的適用范圍和與其他法律的銜接，并規定本條例自2025年1月1日起施行。

三、《網數條例》背景下檔案部門的合規路徑

《網數條例》對組織機構和個人在開展網絡數據處理活動中的安全責任和合規要求進行了明確規定，作為數據治理的重要領域，檔案部門今后在利用網絡開展相關工作時，應重點關注以下方面，以增強業務的合規性。

（一）推進網絡環境下檔案數據分類分級保護

數據分類分級保護制度是《數據安全法》的核心內容，旨在依據數據的重要性和風險等級實施差異化管理，并提出“重要數據”這個關涉國家數據安全的概念。但基礎性法律的規定較為原則性，對“重要數據”的識別和管控方案都未明晰，亟需配套法規與細則的完善。《網數條例》的出臺，為數據分類分級保護制度的細化落實提供了法律支撐。條例首次在法律層面明確了“重要數據”的定義，并通過專章規定了重要數據處理者的義務和國家監管部門的職責，為數據安全管理提供了更具操作性的指導。檔案部門作為重要的網絡數據處理者，應結合檔案工作的特殊性和《網數條例》提出的規范要求，積極構建并完善檔案數據分類分級保護體系。

國標《數據安全技術數據分類分級規則》（GB/T43697-2024）對數據分類、分級的規則和方法做出了具體規范。關于分類規則，按先行業領域分類、再業務屬性分類的思路對數據進行分類；關于分級規則，根據數據在經濟社會發展中的重要程度，以及一旦遇到泄露、篡改、損毀等所造成的危害程度，從高到低分為核心數據、重要數據、一般數據三個級別，一般數據內部又可分為四個或者三個或者兩個等級。對于檔案領域而言，“分類\"向來是檔案工作的核心業務，并已形成較為科學、系統的分類方法和實踐體系；關于“分級”，《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》將涉密檔案分為絕密、機密、秘密三個等級，《中華人民共和國檔案法實施條例》（以下簡稱《實施條例》也提出要“根據檔案的不同等級，采取有效措施，加以保護和管理”，與網絡安全相關的《檔案信息系統安全等級保護定級工作指南》，將檔案信息系統的安全保護等級從低到高依次劃分為自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。如何銜接檔案領域和整體數據治理領域關于數據分類分級的規定，是當前檔案管理現代化轉型中的重要課題。這一銜接不僅需要在理念上形成共識，還需在實踐中建立統一的標準體系和協同機制。

以“重要數據”這個概念的銜接為例，《網數條例》規定：“重要數據，是指特定領域、特定群體、特定區域或者達到一定精度和規模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。”馮慧敏認為檔案領域可將“保存價值\"納入“重要數據\"的界定標準，葉然·吐爾遜江等認為在對檔案數據分類分級時，將企業檔案數據劃分為一般數據、重要數據、核心數據，而對公共檔案數據和個人檔案數據的劃分里則不涉及“重要數據\"這個概念。8

由此可見，隨著《網數條例》的出臺和落地實施，檔案管理領域正面臨著新的挑戰與機遇。《網數條例》作為規范網絡數據處理活動的重要行政法規，對數據的分類分級管理提出了明確要求，使檔案管理部門亟須在遵循國家法律法規和標準的大框架下，緊密結合自身實際，搭建一套科學系統的檔案數據分類分級規則體系。

（二）強化網絡環境下檔案工作報告規范建設

“報告\"一詞在《網數條例》里出現了12次，明確了網絡數據處理者在不同情境下的報告義務，涵蓋安全缺陷與漏洞報告、網絡數據安全事件報告、重要數據處置方案報告、年度風險評估報告、個人信息保護社會責任報告等內容。法學學者劉宇飛在檔案數據安全治理研究中強調，發生安全事件之后，檔案數據處理者的主要責任包括兩方面：迅速采取處置措施和及時報告。其中，報告的對象包括數據主體等利害關系人、檔案主管部門、網信主管部門等。對此，檔案領域應從以下兩個方面強化網絡環境下檔案工作報告規范建設。

一方面，檔案部門應對標《網數條例》相關要求，明確自身的報告義務和責任。在現有安全事件處置程序的基礎上，進一步健全風險上報機制，細化報告對象、報告流程、報告時限，以及具體的報告內容，確保應對措施高效且合規。尤其是發生涉及危害國家安全、公共利益的網絡數據安全事件時，應嚴格遵循《網數條例》第十條關于24小時內報告的規定，避免因報告路徑不明或溝通不暢而導致延誤。此外，檔案部門應注重日常與相關主管部門的溝通與協調，建立常態化的聯系機制，及時同步相關監管要求，為突發事件的快速響應奠定基礎，增強檔案部門在網絡數據安全管理中的合規性與主動性。

另一方面，檔案部門需建立健全網絡環境下檔案數據風險監控與報告體系，重點關注檔案數據的核心風險領域。例如，對涉及個人信息的檔案數據，應根據《個人信息保護法》和《網數條例》的規定，明確數據泄露或違規使用的報告標準和處置流程；對歸屬于“重要數據\"范疇的檔案數據，不僅應該向相關主管部門進行識別和申報，還應該定期開展風險評估并報送相關部門；關于檔案數據出境問題，《實施條例》第二十七條第三款規定：“檔案或者復制件出境涉及數據出境的，還應當符合國家關于數據出境的規定。\"這與《網數條例》第五章“網絡數據跨境安全管理\"的要求相銜接，如《網數條例》第三十七條規定，重要數據出境還需要通過國家網信部門組織的數據出境安全評估。檔案部門應深入研究并協調這些法律法規之間的規定，規范檔案數據出境的安全評估和申報程序，確保檔案數據跨境流動安全可控。

綜上所述，檔案部門需要強化網絡環境下檔案數據報告規范建設，在遵循國家法律法規的前提下，結合檔案數據處理活動的特殊性，建立健全的監控機制與報告體系，并在必要時與外部監管部門對接，形成內外聯動的協同治理機制，為檔案數據安全筑牢防線。

（三）在網絡環境下約定檔案數據處理合作方的權利與義務

在網絡環境下，檔案數據的處理和利用通常涉及多個合作方，如檔案服務企業、技術提供商與軟件開發商、檔案數據利用者、數據共享平臺等。無論是《檔案法》還是《數據安全法》《個人信息保護法》，都要求這些合作方之間的合作關系及其權利義務必須通過明確約定加以規范。有學者指出，檔案數據處理方與檔案服務公司簽訂檔案數據處理委托協議，并與申請使用檔案數據的組織或個人簽訂許可使用協議。[0《網數條例》對上述合作關系提出了更為具體和系統的規范，以下兩方面內容值得檔案部門關注。一是《網數條例》第十二條對個人信息和重要數據委托處理作出的專門規定。對檔案部門而言，在向其他網絡數據處理者提供、委托處理檔案中的個人信息和重要數據時，需要格外重視合規性，嚴格遵守以下要求：（1）檔案部門在委托他方處理數據時，應明確約定檔案數據的處理自的、方式、范圍及其安全保護義務，確保第三方在數據處理過程中不會超越授權范圍；（2）檔案部門應要求合作方采取相應的技術和管理措施，確保個人信息和重要數據的安全，防止數據泄露、丟失或被非法訪問；（3）檔案部門應定期監督第三方履行安全保護義務的情況，確保其遵守合同約定，履行數據保護責任；（4）檔案部門應重視檔案數據處理過程記錄，保留與其他數據處理者的處理協議和處理記錄，并確保至少保存三年，以備審計與監管檢查。

二是《網數條例》第六章關于網絡平臺服務提供者義務的專門規定。例如，第四十條明確要求，網絡平臺服務提供者應通過平臺規則或合同等方式，明確接入其平臺的第三方產品和服務提供者的安全義務，并對其履約情況進行監督。若第三方違反相關規定造成損害，平臺服務方亦需承擔相應責任。當前，越來越多的檔案部門通過網絡平臺為公眾提供服務，如全國檔案查詢利用服務平臺、上海市檔案館數字檔案公共查閱系統、“跟著檔案觀上海\"數字人文平臺、全國檔案科技管理公共服務平臺等。檔案部門在建設和運營網絡服務平臺時可能會與其他第三方平臺合作，如政府數據庫、云服務提供商、學術研究平臺等。這要求檔案部門重視與第三方的合規性管理，通過合同等形式明確規定第三方服務提供者的安全保護義務，并定期對第三方的安全管理情況進行審查，確保其遵守合同約定，及時發現并解決潛在的安全風險，以保障檔案數據處理活動的安全性和合法性。

四、結語

隨著檔案信息化建設的不斷深入，如何在網絡環境下有效保障檔案數據的安全性，已成為檔案管理的核心任務之一。《網數條例》的頒布與實施為檔案領域的數據治理工作提供了明確的法律依據，確保檔案數據處理在網絡安全體系中有章可循。檔案部門需要積極響應和適應這一法規帶來的新要求，通過強化數據分類分級保護、完善安全報告機制，以及與合作方簽訂明確的數據處理協議，切實保障檔案數據在網絡環境中的安全性，進一步完善與國家數據治理體系的銜接路徑，為國家的信息安全體系建設貢獻力量。

注釋及參考文獻：

[1]光明網.中央網信辦：我國網絡安全政策法規體系已基本建立[EB/OL].[2025-01-01].https：//poli-tics.gmw.cn/2024-09/02/c0ntent_37538760.htm.

[2]本文所稱“數據”，采用《數據安全法》里的定義，指任何以電子或者其他方式對信息的記錄。

[3]王英瑋，楊千.總體國家安全觀視角下《中華人民共和國檔案法》的安全理念[J].檔案學研究，2020（6）：78-85.

[4]指要求企業建立已收集個人信息清單并與第三方共享個人信息清單，且在醒目位置集中展示，方便用戶查詢和理解。

[5]袁康，鄢浩宇.數據分類分級保護的邏輯厘定與制度構建——以重要數據識別和管控為中心中國科技論壇，2022（7）：167-177.

[6]國家市場監督管理總局國家標準化管理委員會.數據安全技術數據分類分級規則（GB/T43697-2024）[EB/OL].[2025- 01- 01].http：//c.gb688.cn/bzgk/gb/showGb？type L= on-lineamp;hcnc ? F0C385EDC38CBF277AEC021F23126ADE.

[7]馮慧敏.檔案管理與數據管理的協同研究：分類分級視角[J].中國檔案，2023（5）：32-34.

[8]葉然·吐爾遜江，王興廣.我國檔案數據確權的內容、挑戰與路徑[J].浙江檔案，2024（7）：30-33+36.

[9][10]劉宇飛.《數據安全法》視域下檔案數據安全保護義務制度的規范化構建[J].檔案學通訊，2024（1）：104-112.

作者單位：中國人民大學信息資源管理學院

（欄目編輯：胡菡）