《网络数据安全管理条例》重点解析
作者：陈长松     时间：2025-05-12

《网络数据安全管理条例》（文中简称《条例》）自2025年1月1日起施行，旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。

我国的网络安全法、数据安全法、个人信息保护法对数据安全和个人信息保护制度作了基本规定。为做好法律实施，《条例》作为配套行政法规，提出了更为细化的要求。

网络数据安全管理的总体思想

一是体现国家主权的总体宗旨。《条例》强调维护国家主权、安全和发展利益一致，明确在中国境内开展网络数据处理活动及其安全监督管理，以及在中国境外处理我国境内自然人个人信息的活动，以向境内自然人提供产品或者服务为目的，或者分析、评估境内自然人的行为等，适用本条例。在中国境外开展网络数据处理活动，损害我国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

二是体现“党管数据”和“总体国家安全观”的核心思想。我国网络数据安全管理工作坚持党的领导。《条例》的制定，全面贯彻党的二十大和二十届二中、三中全会精神，将习近平总书记关于网络数据安全管理的重要指示批示精神及党中央、国务院决策部署落实到具体条文中。《条例》明确提出贯彻总体国家安全观，在数据分类分级、风险防范、事件处置、安全审查等方面均考虑到国家安全。

三是体现统筹发展和安全的基本原则。网络安全法指出，国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针。数据安全法强调统筹发展和安全。《条例》也坚持统筹促进网络数据开发利用与保障网络数据安全，既加强网络数据安全保护，又鼓励和促进网络数据的依法合理有效利用。

网络数据安全管理的基本要求

一是以合法为基本要求。《条例》规定，任何个人、组织不得利用网络数据从事非法活动，不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。任何个人、组织不得提供专门用于从事前述非法活动的程序、工具；明知他人从事前述非法活动的，不得为其提供相关技术支持，或者提供广告推广、支付结算等帮助。

二是安全保护义务。《条例》规定，网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求，在网络安全等级保护的基础上，加强网络数据安全防护，建立健全网络数据安全管理制度，采取相应技术措施和其他必要措施，保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用，处置网络数据安全事件，防范针对和利用网络数据实施的违法犯罪活动，并对所处理网络数据的安全承担主体责任。

三是全生命周期管理。一方面是网络安全的全生命周期，网络数据处理者应当加强网络产品、服务的安全管理，并且建立健全网络数据安全事件应急预案，以及加强安全事件和风险处置。另一方面是数据安全的全生命周期，网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的，因合并、分立、解散、破产等需要转移网络数据的，国家机关委托他人建设、运行、维护电子政务系统，存储、加工政务数据，网络数据处理者为国家机关、关键信息基础设施运营者提供服务等，均应当加强数据安全管理。

特定网络数据的安全管理

一是个人信息保护方面，《条例》重点细化了个人信息保护法关于告知、同意、个人行使权利等方面的规定，明确在境内设立专门机构或指定代表的要求，进一步明确网络数据处理者处理1000万人以上个人信息时应当履行的义务。

二是重要数据安全方面，《条例》明确制定重要数据目录的要求，规定网络数据处理者识别、申报重要数据义务，规定网络数据安全负责人和网络数据安全管理机构责任，要求提供、委托处理、共同处理重要数据前进行风险评估，并明确重点评估内容；要求重要数据的处理者每年度对其网络数据处理活动开展风险评估，并明确风险评估报告内容。

三是网络数据跨境安全管理方面，《条例》进一步优化数据跨境流动机制，明确国家网信部门在国家数据出境安全管理专项中的统筹协调地位，规定网络数据处理者可以向中国境外提供个人信息的条件，明确数据出境不得超出评估时明确的数据出境目的、方式、范围和种类、规模等，以及还规定国家采取措施防范、处置网络数据跨境安全风险和威胁。

网络平台服务提供者的义务

一是网络平台服务提供者与第三方的共同责任。《条例》规定网络平台服务提供者应该督促接入其平台的第三方产品和服务提供者加强网络数据安全管理，预装应用程序的智能终端等设备生产者参照规定执行。第三方产品和服务提供者违法违规开展网络数据处理活动，对用户造成损害的，网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。提供应用程序分发服务的网络平台服务提供者，应当建立应用程序核验规则并开展相关核验。

二是自动化信息推送服务的用户权益保护。此前发布的《互联网信息服务算法推荐管理规定》，针对利用算法技术向用户提供信息的提出安全要求。《条例》强调，网络平台服务提供者通过自动化决策方式向个人进行信息推送的，应当设置易于理解、便于访问和操作的个性化推荐关闭选项，为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。

三是大型网络平台服务提供者的安全要求。大型网络平台，是指注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。《条例》规定其每年度发布个人信息保护社会责任报告、防范网络数据跨境安全风险的要求，以及明确不得利用网络数据、算法、平台规则等从事相关活动。

监督管理职责分工

一是国家网信部门。除了前述重要数据和数据跨境的安全管理职能之外，国家网信部门负责统筹协调网络数据安全和相关监督管理工作，并统筹协调有关主管部门及时汇总、研判、共享、发布网络数据安全风险相关信息，加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。中国境外的组织、个人从事危害我国国家安全、公共利益，或者侵害我国公民的个人信息权益的网络数据处理活动的，国家网信部门会同有关主管部门可以依法采取相应的必要措施。

二是公安机关、国家安全机关。依照有关法律、行政法规和《条例》的规定，在各自职责范围内承担网络数据安全监督管理职责，依法防范和打击危害网络数据安全的违法犯罪活动。按照《计算机信息系统安全保护条例》及有关规定，公安机关还承担着监督、检查、指导相关网络安全保护工作的职责。

三是国家数据管理部门在具体承担数据管理工作中履行相应网络数据安全职责，各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责，各有关主管部门承担本行业、本领域网络数据安全监督管理职责。网信、电信、公安、国家安全等主管部门依据各自职责具有相关执法权力。

（作者系公安部第三研究所研究员，全国网络安全标准化技术委员会成员，公安部警务保障专家；本文仅对《条例》核心理念和部分条款进行解读）