2025年1月1日起,《网络数据安全管理条例》(以下简称《条例》)正式施行,这部横跨网络安全、数据安全、个人信息保护三大领域的首部行政法规,将如何重塑企业数据治理逻辑?
作为《网络安全法》《数据安全法》《个人信息保护法》的首部配套行政法规,解决三大上位法“原则性强、操作性弱”的问题。
统一行业、地方在数据分类分级、跨境流动等规则差异,终结“各自为政”局面。
平衡数据开发利用与安全防护:既要求“加强安全保护”,也明确“鼓励数据创新应用”(第四条)。
聚焦三大痛点:个人信息滥用、重要数据泄露、跨境流动失控。
适用对象 |
法律依据 |
境内所有网络数据处理者 |
第二条(境内活动全覆盖) |
境外处理境内个人信息的组织 |
第二条(符合《个保法》第3条情形) |
境外损害我国安全利益的组织 |
第二条(跨境追责) |
示例:某跨境电商存储中国用户生物信息,即使服务器在境外,仍需遵守《条例》关于敏感信息“单独同意”的强制要求(第二十二条)。
国家统一框架:按数据遭篡改/泄露后对国家安全、公共利益、个人权益的危害程度划分级别(第五条)。
重要数据目录:各地区、各部门制定具体目录,企业需主动识别申报(第二十九条)。
注:国家未预设“一般/核心”等名称,避免企业自行分级混乱。
告知义务:处理规则需醒目展示,包含目的、方式、权利行使途径(第二十一条)。
敏感信息管控:生物识别、行踪轨迹等需单独同意;未成年人信息需监护人同意(第二十二条)。
平台特别义务:
提供“一键关闭”个性化推荐选项(第四十二条);
处理超1000万人信息的企业,需履行重要数据级义务(第二十八条)。
责任到人:必须设立数据安全负责人(管理层成员)及管理机构(第三十条)。
风险评估双机制:
提供/委托重要数据前需风险评估(第三十一条);
每年向省级部门报送风险评估报告(第三十三条)。
出境条件(第三十五条):
1. 通过国家网信部门安全评估;
2. 经专业机构个人信息保护认证;
3. 签署网信部门标准合同;
4. 履行合同、人力管理等必要场景。
重要数据出境:强制安全评估,但未被告知为重要数据的无需申报(第三十七条)。
第三方管理:平台需监督接入的第三方产品,预装APP的智能终端厂商参照执行(第四十条)。
大型平台额外义务(定义:用户超5000万/月活超1000万):
发布年度个人信息保护社会责任报告;
禁止利用算法实施不合理的差别待遇(第四十六条)。
监管主体 |
职责 |
国家网信部门 |
统筹协调数据安全监管(第四十七条) |
公安机关/国安机关 |
打击数据违法犯罪(第四十七条) |
行业主管部门 |
制定本领域数据目录及监管细则(第四十八条) |
未履行重要数据义务:最高罚200万元+吊销执照(第五十七条);
危害国家安全拒不改正:最高罚1000万元(第五十六条)。
定级与识别:
按业务梳理数据资产,对照行业目录识别重要数据;
处理超1000万个人信息的,按重要数据标准管理。
架构与制度:
任命数据安全负责人(需管理层成员);
建立年度风险评估及跨境合规流程。
技术保障:
对重要数据和敏感个人信息实施加密、访问控制(第九条);
平台企业需上线个性化推荐关闭功能。
金城保密提示:国家鼓励采用数据标签标识技术提升管理效率(第二十九条),可优先纳入合规工具规划。
本文依据:国务院令第790号《网络数据安全管理条例》原文,及国家网信办、司法部官方解读。企业需以中央法规为唯一基准,及时排查地方性细则冲突。
了解最新保密信息
随时咨询保密相关问题

