“点击查看您家孩子的成绩单”“您需要办理贷款吗？”……这些看似稀松平常的诈骗或骚扰短信，实则是数据滥用和泄露引发的连锁反应。作为个体我们似乎对此毫无办法，实际上国家早已启动了数据立法工程。

《网络数据安全管理条例》（以下简称“《条例》”）出台征求意见稿，后连续三年写入国务院立法工作计划。

《条例》公开发布，明确规范网络数据处理活动。

《条例》将正式实施，强合规时代即将来临。

《条例》千呼万唤始出来，一方面，《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》构建了我国“三法一条例”的基本立法框架；另一方面，近年的网络安全监管近九成处罚与数据安全有关，个人信息保护检查和通报常态化、数据跨境审批备案逐步标准化、重要数据识别展开多轮试点。针对前述法规中述及的以及作为监管重点关注的数据安全管理具体制度，一直有待一部行政法规承接和细化。

《条例》统筹了三法的相关关系，重点完善重要数据的处理规则，展开和细化了相关制度的具体实施规则，标志着我国建立起“三法二条例”为主的网络与数据安全保障与治理的法律法规体系新格局。

面对新增的合规义务，企业面临着“我要做什么”“应该怎么做”的疑难，威努特将梳理《条例》的重点内容，解读分析合规要点并提出相应的建设实践方案，帮助企业准确理解并正确适用《条例》。

本篇将首先对《条例》作出合规解读。明日将发布对应的解决方案（下篇），敬请关注。

《条例》框架图

相较于征求意见稿，正式稿《条例》对严苛的数据处理活动规则进行了相当幅度的简化，显示了更为灵活和全面的规范态度。《条例》共9章64条，主要规定了以下内容：

• 境内：在中国境内开展网络数据处理活动及其安全监督管理。

• 境外：在中国境外处理中国境内自然人个人信息的活动，符合《个人信息保护法》第三条第二款规定情形，即：以向境内自然人提供产品或者服务为目的；分析、评估境内自然人的行为；法律、行政法规规定的其他情形。

• 境外：在中国境外开展网络数据处理活动，损害中国国家安全、公共利益或者公民、组织合法权益。(新增)

网络数据处理者、网络平台服务提供者

• 网络数据处理者：指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。

• 大型网络平台：指注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。

• 个人信息保护

• 重要数据安全

• 网络数据跨境安全管理

• 网络平台服务提供者义务

图/中国信通院（向下滑动查看全部 ）

在网络安全等级保护的基础上建设数据安全

过去，很多人将数据安全视为网络安全的一部分，包括从物理安全、通信安全、边界安全、主机安全、应用安全，再到数据库的数据安全，这是在学术、模型和框架层面建立的。然而，在实际工作中，网络安全是安全建设的基础和保障，根据《数据安全法》相关要求，需要在此基础上进行数据安全建设。

《条例》规定在网络安全等级保护的基础上

加强网络数据安全防护

• 首先，如果网络安全得不到保障，数据安全自然无从谈起，因此提升网络安全基础能力是保护数据安全的前提；

• 其次，当前讨论的数据安全更多关注数据处理过程中的合规性问题，核心是数据合规，不同于传统的网络攻击与防御问题，即数据处理的合规问题已超出网络安全的关注的范围；

• 最后，网络安全强调的是数据的完整性、保密性和可用性，而数据安全则进一步强调在此基础上实现对数据的有效保护与合法利用之间的平衡，同时注重数据价值的实现和转化。

合规重点围绕“个人信息”和“重要数据”

作为《条例》的主要内容，第二章-第四章名为“一般规定”“个人信息保护”“重要数据安全”，为何如此设置呢？因为在数据流通过程中，确保数据安全是核心目标，简而言之，数据安全工作的重点主要集中在对个人信息和重要数据的防护及管理上。

《条例》对个人信息和重要数据的保护体现了差异化管理和重点防控的原则：

• 对于个人信息，《条例》强调合法、正当、必要的处理原则，要求数据处理者确保信息的准确性和安全性，并采取严格措施防止信息泄露、篡改、滥用，特别是在跨境传输和敏感个人信息处理时设立了更高的合规门槛；

• 对于重要数据，《条例》则更加注重其对国家安全、公共利益和经济社会稳定的影响，要求建立分级分类保护机制，并明确对重要数据的采集、存储、使用、传输等全生命周期的严格管控。跨境传输重要数据需经过安全评估，防止对国家安全和战略利益构成风险。这种双轨制的管理模式既保护个人权益，又维护国家核心利益，构建了个人、社会与国家层面的多维安全体系。

个人信息保护义务划重点

《条例》第三章专章规定了网络数据处理者处理个人信息的相关义务。从内容上看，《条例》对《个人信息保护法》及相关配套规范和标准的内容均有吸纳，主要体现在以下几方面：

• 网络数据处理者制定公开的个人信息处理规则，明确目的、方式、保存期限等，处理敏感信息或未成年人信息需单独或监护人同意；

• 个人有权调查、更正、删除信息或注销账号，处理者应及时响应并删除同意或非必要信息；

• 信息转移需验证身份且不损害他人利益，境外处理者需在境内设置机构并报送信息；

• 处理者应定期合规审计，并规定了处理1000万以上个人信息的需履行重要数据处理者相关义务。

明确界定“重要数据”，范围远超“网络数据”

《条例》中的“网络数据”，即通常理解的电子数据，与《网络安全法》第七十六条相互衔接。此外，运营商、金融等行业的实践也主要聚焦于电子化数据。

《条例》对于网络数据、重要数据的定义

“重要数据”的范围则远超“网络数据”，其定义直接使用“数据”过程，涵盖了所有以电子或其他方式形式记录的信息。根据《信息安全技术 重要数据识别指南》（征求意见稿），重要数据的“数据载体”是指其存在形式，包括纸质数据、生物材料以及网络数据等。在具体实践中，一些国家重要资产的相关材料，例如铁路、输油管道的施工图、核电站设计图、涉及关键信息基础设施系统应急预案、测评报告等纸质文件亦是重要数据。这表明“重要数据”具有更广泛的覆盖范围。

数据分类分级聚焦

“重要数据”和“核心数据”保护

当前，数据分类分级制度的核心目的是识别和保护对国家安全、公共利益等有重要影响的数据。传统上，影响国家安全的数据被视为国家机密，但随着数据量的增加，不涉密领域的某些数据也开始影响国家安全。但这类数据叫什么呢？以前对这类数据没有定义也没有专门的保护，换言之，当下对非国家秘密领域中影响国家安全的数据，即重要数据的保护存在着制度设计方面的缺失。因此，数据分类分级制度的建立，旨在完善本制度空白。

数据分为一般数据、重要数据和核心数据，从重要数据开始已经是影响国家安全的数据了。因此国家标识并保护重要数据和核心数据，而一般数据没有设置特殊条件，可自由流通，体现出安全和发展之间的平衡。

明确“重要数据处理者”及其法定义务

何为重要数据处理者？这其实与重要数据的定义和识别有关。

《条例》第二十九条明确，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录。

《条例》第六十二条定义，重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。这一定义与国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》中的阐释保持了高度一致性，确保了数据安全保护工作的连贯性和有效性。

数据分类分级规则国标中重要数据的确定规则

针对重要数据处理者法定义务，主要包括以下几个方面：

• 一是建立网络数据安全负责和管理机构；

• 二是进行重要数据识别与通报；

• 三是进行风险评估，分成日常触发式（如委托、共同处理等）和年度定期式（每年报送评估报告）；

• 四是涉及重要数据出境的，需遵循出境评估申报相关要求。

数据多方流转，各方权责边界要厘清

《条例》对受托方和接收方的数据安全管理作出了明确规定：

• 受托方在接受数据处理任务时，必须按照合同约定严格履行数据安全保护义务，确保数据的安全性，防止数据泄露、篡改或非法使用；

• 接收方在接收数据时，亦应遵循同样的安全责任，确保处理数据的合法性和安全性；

• 数据提供方应按合同约定，切实接受受托方的安全义务，依法对受托方的数据安全管理情况进行监督。

《条例》对受托方和接收方提出明确规定

（向下滑动查看全部）

同时，双方必须对数据处理活动进行风险评估，特别是涉及敏感数据或跨境数据流动时，确保符合相关法律法规要求，并在发生数据安全事件时及时报告并采取应对措施。这些规定确保数据处理过程中各部门的安全责任得到落实，提升数据整体安全防护水平。

 “网络平台服务提供者”担重责

《条例》第六章专章规定了网络平台服务提供者在数据安全管理中的责任，包括：

• 明确第三方产品和服务提供者的数据安全义务，遵守其平台规则，承担相应责任，对智能终端等设备的生产者也同样适用；

• 平台应设置应用程序核检验规则，确保分发的应用程序符合法律要求；

• 为用户提供个性化推荐关闭选项；

• 支持国家网络身份认证服务；

• 大型平台应发布个人信息保护报告，确保数据跨境处理符合安全管理要求，并防止通过平台规则和算法进行歧视等不当行为。

作为现阶段数字经济的主要形态，平台经济主要是以数据为关键要素的经济活动，因此，网络平台服务提供者对于保障网络数据安全承担着重要作用。

对当下新技术新应用的回应

新技术新应用往往具有“双刃剑”效应，提升效能的同时，若使用不当也容易引入安全风险。

《条例》规避新技术潜在的安全风险

对自动化访问、收集网络数据(即网络爬虫)的重点防范在于对大规模数据处理中的安全风险。《条例》要求在使用自动化工具时，相关方需确保工具的合法性和技术安全性，包括避免工具设计或使用过程中带来的数据泄露、滥用或不当采集问题。特别是对于敏感数据和重要数据的处理，要求工具具备风险防控能力，并实施访问控制、日志记录等安全措施。此外，自动化工具的使用者需对工具运行过程中的异常情况进行监控和处置，防止因工具失控或操作不当引发的安全事件。

这些要求旨在通过规范技术使用，平衡效率与安全，防止技术工具成为数据安全风险的薄弱环节。

健全监管模式，保障执行力度

《条例》第七章主要聚焦于监管法律责任，通过明确各类违规行为及其相应的处罚措施，形成对数据处理活动的约束和威慑力，同时，提出了网络数据安全监管模式，即“1+2+X”模式：

• “1”是指国家网信部门；

• “2”是公安机关和国家安全机关、国家数据管理部门；

• “X”是指各地区、各部门以及各有关主管部门。

对监督管理和法律责任的规定反映了监管部门在数据安全治理中的核心关注点。监管部门的重点在于建立全面的监督机制，确保数据处理活动的合规性和安全性。一方面，《条例》要求监管部门加强对重要数据和敏感数据的管理，包括明确数据分类分级的标准、建立风险评估和应急响应机制，防范因数据泄露、篡改等导致的重大安全事件。另一方面，对数据处理者的行为设立了严格的法律责任，特别是对未履行安全义务或发生严重违规的行为，施以警告、罚款、吊销许可证等惩罚措施，以形成强有力的威慑。

《条例》还关注数据安全审计、举报和社会监督，推动构建多方协同的监管体系，强化企业的主体责任，确保监管力度与社会效益的平衡。这种多层次的监督和法律框架，体现了对数据安全领域治理全局性和可持续性的深度关注。

坚持高质量发展和高水平安全良性互动是《条例》的立法导向，与《网络安全法》《数据安全法》《个人信息保护法》一脉相承。《条例》设定了网络数据安全的底线，划清了网络数据安全的红线，明确了网络数据安全的责任，在此背景下，网络数据处理者需要将关注点从基础架构建设转向实际执行和持续化运营。

下一篇，威努特将提出数据安全防护建设实践及一站式解决方案，帮助企业通过精细化的操作与系统化的管理，应对复杂的监管环境，推动企业实现整体安全水位的提升，并为未来的可持续发展奠定基础。