《网络数据安全管理条例》是我国网络数据安全领域第一部综合性行政法规,由国务院公布(国务院令第790号),2024年9月24日签署、公布,自2025年1月1日起施行,现行有效,共9章64条。它把《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法确立的原则性制度,细化为可操作的具体规则,覆盖一般规定、个人信息保护、重要数据安全、数据跨境、网络平台服务提供者义务、监督管理与法律责任。对做大模型和AI应用的团队而言,它是训练数据与语料合规最直接的落地标尺——第十九条专门要求提供生成式人工智能服务的处理者加强对训练数据和训练数据处理活动的安全管理;对处理用户个人信息、掌握重要数据、开展数据跨境业务的企业和它们的法务、合规负责人来说,这部条例把上位法里“数据安全”“个人信息处理”这些抽象义务,落成了保存期限、风险评估、告知同意、罚款区间等一条条能对照自查的硬要求。

  • 发布机关:国务院
  • 文号:国务院令第790号
  • 公布日期:2024年9月24日
  • 施行日期:2025年1月1日
  • 官方原文:中国政府网

解读要点

  1. 层级定位是“法律—行政法规—配套细则”的中间层(第一条):本条例明确以网络安全法、数据安全法、个人信息保护法为上位法依据,不新设基本制度,而是把三法的原则规定“细化、补充、完善”,遇到具体处理场景应当把本条例与三部上位法一起适用,站内已收录《数据安全法》《个人信息保护法》《网络安全法》全文可对照查阅。
  2. 适用范围以“境内处理活动”为主轴、附域外效力(第二条):境内开展网络数据处理活动一律适用;境外处理境内自然人个人信息、符合个人信息保护法第三条第二款情形的也适用;境外处理活动损害我国国家安全、公共利益或公民组织权益的,依法追究责任。第六十二条给出“网络数据”定义——通过网络处理和产生的各种电子数据。
  3. 个人信息保护专章细化告知、同意与个人权利(第二十一条至第二十八条):告知规则要集中公开、置于醒目位置;处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息须取得单独同意;处理不满十四周岁未成年人个人信息须取得监护人同意并制定专门规则;处理1000万人以上个人信息的,还要承担重要数据处理者的部分义务。
  4. 重要数据设专章、义务最重(第二十八条至第三十三条):重要数据的处理者应设网络数据安全负责人和管理机构、由管理层成员担任负责人,提供或委托处理前须做风险评估,且每年度对处理活动开展风险评估并向省级以上主管部门报送报告——这是全条例合规成本最高的一块。
  5. 数据跨境延续“评估—认证—标准合同”三条路径(第三十四条至第三十九条):个人信息出境有八类合法条件,重要数据出境原则上须通过国家网信部门组织的数据出境安全评估,但未被告知或公开发布为重要数据的可不作为重要数据申报评估,给企业留了明确的“不确定即不申报”缓冲。
  6. 罚则按违规轻重分三档、最高1000万元(第五十五条至第五十七条):一般义务违反处100万元以下罚款;违反国家安全审查规定最高处1000万元罚款;违反重要数据相关义务造成大量数据泄露等严重后果的处50万元以上200万元以下罚款,均可责令暂停业务、吊销许可证或营业执照,并对直接责任人员单独处罚。

法规全文

第一章 总则

第一条 为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。

条款解读:本条把三部上位法一并列为依据,点明了这部条例的身份——它是配套细化的行政法规,不是另起炉灶的新法。三者构成“法律—行政法规—配套”的清晰层级:网络安全法、数据安全法、个人信息保护法是全国人大常委会通过的法律,划定基本制度和框架;本条例由国务院制定,把框架落成具体、可执行的规则;再往下才是网信办等部门的规章和国家标准。

实务里遇到具体处理场景,正确的适用顺序是先看上位法有没有基本规定,再看本条例怎么细化,两者不冲突时叠加适用、本条例更具体的从本条例。站内已收录《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》全文,做合规排查时三部上位法与本条例最好放在一起对照。

第二条 在中华人民共和国境内开展网络数据处理活动及其安全监督管理,适用本条例。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,也适用本条例。

在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

条款解读:本条划定的是“谁受管”,判断的是数据处理活动发生地和影响对象,而不是企业注册地。境内开展处理活动的一律适用;境外主体只要处理境内自然人个人信息、且落入个人信息保护法第三条第二款的情形(以向境内自然人提供产品服务为目的、或分析评估境内自然人行为),同样适用——这是把上位法的域外效力在网络数据领域再确认一次。

结合第六十二条的定义,“网络数据”是指通过网络处理和产生的各种电子数据,范围很宽,用户数据、业务数据、日志、模型训练用的语料,只要在网络环境里处理,基本都进得来。对出海企业和境外SaaS服务商,第二款和第三款意味着“服务器在境外”不再是天然的合规屏障。

第三条 网络数据安全管理工作坚持中国共产党的领导,贯彻总体国家安全观,统筹促进网络数据开发利用与保障网络数据安全。

第四条 国家鼓励网络数据在各行业、各领域的创新应用,加强网络数据安全防护能力建设,支持网络数据相关技术、产品、服务创新,开展网络数据安全宣传教育和人才培养,促进网络数据开发利用和产业发展。

第五条 国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。

第六条 国家积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。

第七条 国家支持相关行业组织按照章程,制定网络数据安全行为规范,加强行业自律,指导会员加强网络数据安全保护,提高网络数据安全保护水平,促进行业健康发展。

第二章 一般规定

第八条 任何个人、组织不得利用网络数据从事非法活动,不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。

任何个人、组织不得提供专门用于从事前款非法活动的程序、工具;明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。

案例参考:浙江某甲公司等与某丙公司等不正当竞争纠纷案((2024)浙02民初562号,浙江省宁波市中级人民法院)——被告方经营的比价、电商数据分析平台以爬虫程序、并通过比价插件截取普通用户登录cookie等技术手段,绕过某甲、某乙电商平台的反爬风控,非法获取平台合法持有的商品数据,再打包成“价格监测”“比价API”“市场分析”等产品对外有偿提供。法院认定该获取行为妨碍、破坏了平台正常运行、扰乱数据市场竞争秩序,构成不正当竞争,判决停止侵权、赔偿经济损失500万元并消除影响。

判决说理中直接援引本条例第八条“任何个人、组织不得从事窃取或者以其他非法方式获取网络数据……等非法网络数据处理活动”,把它作为“数据来源应当合法”这一数据市场商业道德的规范依据。本条虽是行政禁止性规范,但已被法院引为民事不正当竞争案件评价数据获取手段正当性的标尺——爬虫、破解风控、盗用cookie取数据,越过的是本条划定的底线。

第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。

条款解读:本条是全条例给所有网络数据处理者设定的安全防护底线义务,核心是三句话:以网络安全等级保护为基础、建立健全管理制度、采取加密备份访问控制等必要措施,并对所处理数据的安全承担主体责任。这不是原则宣示,而是执法直接对照的检查项。

施行以来,国家网信办已在依法查处的执法典型案例中反复援引本条例。2025年9月公布的一批执法典型案例中,就有企业因系统存在弱口令、越权访问、未授权访问等漏洞、未采取必要技术措施保障数据安全,导致数据被窃取或泄露,被认定违反《网络安全法》《数据安全法》《网络数据安全管理条例》,由属地网信办责令改正、给予警告并罚款。

我给企业做数据合规时,第九条对应的是最基础也最容易被忽视的一档:等保定级备案、最小权限访问控制、日志留存、加密备份是否落地。这些做不到,一旦发生数据泄露,主体责任和罚款几乎是直接落定的。

第十条 网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。

第十一条 网络数据处理者应当建立健全网络数据安全事件应急预案,发生网络数据安全事件时,应当立即启动预案,采取措施防止危害扩大,消除安全隐患,并按照规定向有关主管部门报告。

网络数据安全事件对个人、组织合法权益造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人;法律、行政法规规定可以不通知的,从其规定。网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的,应当按照规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。

第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。

网络数据接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。

两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。

第十三条 网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。

条款解读:本条把数据处理活动纳入国家安全审查通道,违反它的罚则在第五十六条单列且最重——最高可处1000万元罚款。判断“影响或者可能影响国家安全”的具体标准由国家有关规定(如网络安全审查办法等)承接,掌握大量重要数据、关键信息基础设施相关数据、拟境外上市的企业尤其要把这一条前置到决策环节。

第十四条 网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。

第十五条 国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据,应当按照国家有关规定经过严格的批准程序,明确受托方的网络数据处理权限、保护责任等,监督受托方履行网络数据安全保护义务。

第十六条 网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,应当依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务。

前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。

第十七条 为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。

第十八条 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。

条款解读:本条是数据爬取行为的合规红线:用爬虫等自动化工具访问、收集数据,先要评估对目标网络服务的影响,且不得非法侵入他人网络、不得干扰其正常运行。它与第八条“非法获取网络数据”的禁止相互衔接——绕过反爬风控、破解验证、盗用凭证取数,越过的正是本条的边界,违反本条可处100万元以下罚款并责令改正(第五十五条)。

第十九条 提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。

条款解读:这是本条例专门写给AI行业的一条,也是它相对上位法的一处“补充完善”——把生成式AI的训练数据安全管理,从部门规章层级提升到了行政法规层级。它要求提供生成式人工智能服务的处理者对训练数据和训练数据处理活动加强安全管理、有效防范和处置风险。

这条不是孤立的,它与站内已收录的《生成式人工智能服务管理暂行办法》第七条(训练数据来源合法、不侵权、个人信息有合法性基础、数据质量四性)构成一套完整的训练数据合规义务链:《暂行办法》给要件,本条例把它作为行政法规再确认并接上第五十五条的罚则(违反本条可处100万元以下罚款)。

对做大模型、做语料采集和标注的团队,落地上要抓三件事:

  1. 建立训练数据来源台账,逐批记录语料的取得方式和授权链,来路不明、无授权的数据集不入库。
  2. 把爬取语料的合规评估前置(结合第八条、第十八条),不用绕过反爬、破解风控的手段取数。
  3. 对训练数据处理全流程做安全管理,涉及个人信息的按第三章履行告知同意,涉及重要数据的按第四章做风险评估。

第二十条 面向社会提供产品、服务的网络数据处理者应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。

第三章 个人信息保护

第二十一条 网络数据处理者在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容:

(一)网络数据处理者的名称或者姓名和联系方式;

(二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;

(三)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;

(四)个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。

网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。

条款解读:本条把个人信息保护法里“告知”这个抽象义务,细化成了隐私政策该怎么写、写什么——集中公开、置于醒目位置,主体信息、处理目的方式种类、敏感个人信息必要性、保存期限及到期处理、个人行使权利的途径,逐项列明。企业照本条逐项体检自己的隐私政策,是成本最低的一次自查。

第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定:

(一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;

(二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;

(三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;

(四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;

(五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意;

(六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。

法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

条款解读:本条是个人信息合规里最容易踩线、也最常被执法命中的一条。它划了几条硬边界:收集不得超范围、不得靠误导欺诈胁迫取同意;处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息必须取得单独同意;处理不满十四周岁未成年人个人信息须取得监护人同意;被明确拒绝后不得频繁征求同意;目的方式种类变更须重新取得同意。

执法端已经在密集适用。国家网信办2025年9月公布的执法典型案例里,有App在用户未使用任何功能时后台收集上传安装卸载信息、调用非必要权限,被认定超范围收集、违反必要原则;也有企业运营的自动售货机在支付环节未经同意收集人脸信息,均被援引《网络安全法》《个人信息保护法》《网络数据安全管理条例》责令改正并处罚。“超范围收集”和“人脸等敏感信息未取单独同意”,是当前监管最集中的两个火力点。

第二十三条 个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。

第二十四条 因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第二十五条 对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:

(一)能够验证请求人的真实身份;

(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;

(三)转移个人信息具备技术可行性;

(四)转移个人信息不损害他人合法权益。

请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。

第二十六条 中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应当及时通报同级有关主管部门。

第二十七条 网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第二十八条 网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。

条款解读:本条设了一条量化触发线——处理1000万人以上个人信息的,即便所处理的不是“重要数据”,也要额外承担重要数据处理者在第三十条(设网络数据安全负责人和管理机构)、第三十二条(合并分立解散破产时向省级以上主管部门报告)项下的部分义务。对用户规模大的平台和App,这条意味着“个人信息数量”本身就能把你抬进更高一档的合规义务,务必先算清自己处理的个人信息主体数量。

第四章 重要数据安全

第二十九条 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。

网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。

国家鼓励网络数据处理者使用数据标签标识等技术和产品,提高重要数据安全管理水平。

条款解读:重要数据是本条例义务最重的一类,判断标准在第六十二条:特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭篡改、破坏、泄露或非法获取利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。它与《数据安全法》确立的数据分类分级保护制度一脉相承。

本条设计了“目录+告知”的双向机制:一方面各地区各部门制定本领域重要数据具体目录,另一方面处理者按国家规定自行识别、申报,被确认为重要数据的由相关部门告知或公开发布。这个机制的实务意义在第三十七条兑现——未被告知或公开发布为重要数据的,出境时不需要作为重要数据申报安全评估,等于给了企业一个“不确定即暂不按重要数据处理”的合理预期。

第三十条 重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任:

(一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;

(二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;

(三)受理并处理网络数据安全投诉、举报。

网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。

掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。

条款解读:本条给重要数据处理者设了组织架构上的硬要求:必须明确网络数据安全负责人和管理机构,且负责人要有专业知识和管理经历、由管理层成员担任、有权直接向主管部门报告。这不是可有可无的合规文书,而是把数据安全责任压到管理层的制度安排。掌握特定种类规模重要数据的,还要对负责人和关键岗位人员做安全背景审查,违反本条第二款、第三款的罚则在第五十七条。

第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。

风险评估应当重点评估下列内容:

(一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;

(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;

(三)网络数据接收方的诚信、守法等情况;

(四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;

(五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;

(六)有关主管部门规定的其他评估内容。

条款解读:本条是重要数据对外流转的前置闸门——提供、委托处理、共同处理重要数据之前必须做风险评估,并列明了六项重点评估内容。它是一份现成的自查清单:接收方处理的目的方式范围是否合法正当必要、数据泄露风险及对国家安全的影响、接收方诚信守法情况、合同能否有效约束接收方、技术管理措施是否有效。企业把这六项做成评估模板,每次对外提供重要数据前逐项打勾,就是本条要求的合规动作。履行法定职责或义务的情形除外。

第三十二条 重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。

第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。

风险评估报告应当包括下列内容:

(一)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等;

(二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;

(三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;

(四)发现的网络数据安全风险,发生的网络数据安全事件及处置情况;

(五)提供、委托处理、共同处理重要数据的风险评估情况;

(六)网络数据出境情况;

(七)有关主管部门规定的其他报告内容。

处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络数据安全等情况。

重要数据的处理者存在可能危害国家安全的重要数据处理活动的,省级以上有关主管部门应当责令其采取整改或者停止处理重要数据等措施。重要数据的处理者应当按照有关要求立即采取措施。

条款解读:本条设定的是重要数据处理者的年度合规体检——每年度对网络数据处理活动开展风险评估、向省级以上主管部门报送报告,报告内容七项俱全(注意第二项明确“不包括网络数据内容本身”,避免报告本身成为泄密渠道)。这是一项持续的、年度重复的义务,对重要数据处理者来说是全条例里合规成本最高、也最需要提前把流程和人员配齐的一块。违反本条的罚则在第五十七条。

第五章 网络数据跨境安全管理

第三十四条 国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。

第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息:

(一)通过国家网信部门组织的数据出境安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;

(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;

(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;

(六)为履行法定职责或者法定义务,确需向境外提供个人信息;

(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;

(八)法律、行政法规或者国家网信部门规定的其他条件。

条款解读:本条把个人信息出境的合法路径完整列了出来,前三项是“三条主通道”——数据出境安全评估、个人信息保护认证、个人信息出境标准合同,第四至第八项是订立履行合同、跨境人力资源管理、履行法定义务、紧急保护生命健康等豁免情形。它承接的是个人信息保护法第三十八条并整合了《促进和规范数据跨境流动规定》等既有部门规章的实践。

对有员工外派、跨国集团内部数据共享、或产品面向境外用户的企业,务必先对号入座:走哪条路径,取决于出境的个人信息类型、数量和场景。选错通道或漏走评估,违规成本可以很高。

第三十六条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

第三十七条 网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。网络数据处理者按照国家有关规定识别、申报重要数据,但未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。

条款解读:本条对重要数据出境立了硬规矩:境内运营中收集产生的重要数据确需出境的,原则上必须通过国家网信部门组织的数据出境安全评估。但第二句是给企业的重要缓冲——已按规定识别申报、却未被相关部门告知或公开发布为重要数据的,不需要把它作为重要数据去申报出境评估。这与第二十九条的“目录+告知”机制呼应,实务上形成一个可操作预期:在没有被明确告知或列入目录之前,企业不必自我加码把普通数据当重要数据申报,避免陷入“不确定就全都评估”的过度合规。

第三十八条 通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。

第三十九条 国家采取措施,防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助。

第六章 网络平台服务提供者义务

第四十条 网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。

预装应用程序的智能终端等设备生产者,适用前款规定。

第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。

国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。

条款解读:本条把平台对接入第三方的数据安全管理责任写实——平台要通过平台规则或合同明确第三方产品服务提供者的数据安全义务并督促落实,预装App的智能终端设备生产者同样适用。第三方违规造成用户损害的,平台、第三方、设备生产者按各自过错依法承担相应责任。对开放平台、应用商店、预装厂商而言,接入协议里的数据安全条款、对第三方的核验和督促记录,是发生用户损害时切分自身责任的关键证据(违反本条第一款、第二款的罚则在第五十五条)。

第四十一条 提供应用程序分发服务的网络平台服务提供者,应当建立应用程序核验规则并开展网络数据安全相关核验。发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。

条款解读:本条是应用商店(应用程序分发平台)的专属义务:建立App核验规则、开展数据安全核验,发现不合规的App要采取警示、不予分发、暂停或终止分发等措施。国家网信办2025年9月公布的执法典型案例中,就有提供AI换脸等深度合成服务的App因未按规定落实安全评估、内容未作显著标识,被网信部门责令移动应用程序分发平台依规依约予以下架处置——本条的分发端管控在执法中已实际运行。

第四十二条 网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。

条款解读:本条直接回应了个性化推荐“关闭难”的老问题——通过自动化决策推送信息的平台,必须给用户提供易于理解、便于操作的一键关闭个性化推荐、拒绝推送、删除用户标签的功能。这是一项能被用户和监管直接验证的产品功能要求,藏得深、找不到、点不动都算不合规,违反本条的罚则在第五十五条。

第四十三条 国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。

鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。

第四十四条 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。

第四十五条 大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。

第四十六条 大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:

(一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;

(二)无正当理由限制用户访问、使用其在平台上产生的网络数据;

(三)对用户实施不合理的差别待遇,损害用户合法权益;

(四)法律、行政法规禁止的其他活动。

条款解读:本条是给大型网络平台单设的义务清单,“大型网络平台”的门槛在第六十二条第八项:注册用户5000万以上或月活1000万以上、业务类型复杂、对国家安全经济运行国计民生有重要影响。本条明令禁止的三类行为直指平台滥用数据和算法优势:误导欺诈胁迫处理用户数据、无正当理由限制用户使用自己产生的数据、对用户搞不合理差别待遇(即常说的“大数据杀熟”)。它与第四十四条的社会责任报告、第四十五条的跨境数据管理一起,构成对超大平台的强化监管。

第七章 监督管理

第四十七条 国家网信部门负责统筹协调网络数据安全和相关监督管理工作。

公安机关、国家安全机关依照有关法律、行政法规和本条例的规定,在各自职责范围内承担网络数据安全监督管理职责,依法防范和打击危害网络数据安全的违法犯罪活动。

国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。

各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。

第四十八条 各有关主管部门承担本行业、本领域网络数据安全监督管理职责,应当明确本行业、本领域网络数据安全保护工作机构,统筹制定并组织实施本行业、本领域网络数据安全事件应急预案,定期组织开展本行业、本领域网络数据安全风险评估,对网络数据处理者履行网络数据安全保护义务情况进行监督检查,指导督促网络数据处理者及时对存在的风险隐患进行整改。

第四十九条 国家网信部门统筹协调有关主管部门及时汇总、研判、共享、发布网络数据安全风险相关信息,加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。

第五十条 有关主管部门可以采取下列措施对网络数据安全进行监督检查:

(一)要求网络数据处理者及其相关人员就监督检查事项作出说明;

(二)查阅、复制与网络数据安全有关的文件、记录;

(三)检查网络数据安全措施运行情况;

(四)检查与网络数据处理活动有关的设备、物品;

(五)法律、行政法规规定的其他必要措施。

网络数据处理者应当对有关主管部门依法开展的网络数据安全监督检查予以配合。

第五十一条 有关主管部门开展网络数据安全监督检查,应当客观公正,不得向被检查单位收取费用。

有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途。

有关主管部门发现网络数据处理者的网络数据处理活动存在较大安全风险的,可以按照规定的权限和程序要求网络数据处理者暂停相关服务、修改平台规则、完善技术措施等,消除网络数据安全隐患。

第五十二条 有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。

个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。

条款解读:本条是给企业减负的一条,值得合规负责人记住:个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接、避免重复,重要数据风险评估与网络安全等级测评内容重合的结果可以互相采信。等保测评、风险评估、合规审计尽量统筹一次做透、结果复用,而不是各做各的、重复投入。

第五十三条 有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据应当依法予以保密,不得泄露或者非法向他人提供。

第五十四条 境外的组织、个人从事危害中华人民共和国国家安全、公共利益,或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的,国家网信部门会同有关主管部门可以依法采取相应的必要措施。

第八章 法律责任

第五十五条 违反本条例第十二条、第十六条至第二十条、第二十二条、第四十条第一款和第二款、第四十一条、第四十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。

条款解读:本条是三档罚则里的第一档,对应的是数据流转记录、爬取合规、生成式AI训练数据、个人信息同意、平台第三方管理、应用分发核验、个性化推荐关闭等一批基础义务(第十二条、第十六条至第二十条、第二十二条、第四十条第一款第二款、第四十一条、第四十二条)。处罚逻辑是“先责令改正、给予警告、没收违法所得”,拒不改正或情节严重的才处100万元以下罚款,并可责令暂停业务、停业整顿直至吊销许可证或营业执照,对直接责任人员另处1万元至10万元罚款。

换句话说,这一档给了企业“改正窗口”——首次、轻微违规及时整改,往往止步于警告;但把警告当耳旁风、拒不整改,罚款和暂停业务就会跟上,直接责任人还要个人担责。

第五十六条 违反本条例第十三条规定的,由网信、电信、公安、国家安全等主管部门依据各自职责责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者情节严重的,处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。

条款解读:本条单独对应第十三条(应做国家安全审查而未做),是全条例罚款上限最高的一档——拒不改正或情节严重的可处100万元以上1000万元以下罚款,直接责任人处10万元以上100万元以下罚款。它的严厉程度反映了立法对数据安全与国家安全交叉地带的高度重视。掌握大量重要数据、拟境外上市或涉及关键信息基础设施的企业,把国家安全审查前置到重大决策环节,是避免落入这一档的必要动作。

第五十七条 违反本条例第二十九条第二款、第三十条第二款和第三款、第三十一条、第三十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。

条款解读:本条对应重要数据处理者的核心义务(第二十九条第二款识别申报、第三十条第二款第三款安全负责人与背景审查、第三十一条提供前风险评估、第三十二条重大变更报告)。一般违规处5万元至50万元罚款;拒不改正或造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可暂停业务、吊销执照,直接责任人另处5万元至20万元。“造成大量数据泄露”是本档从轻档跳到重档的关键触发点——重要数据一旦发生规模性泄露,罚款和责任人处罚会显著加码。

第五十八条 违反本条例其他有关规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的有关规定追究法律责任。

条款解读:本条是转致条款,也是理解本条例罚则体系的关键——第五十五条至第五十七条只覆盖了部分条款,本条例其他义务(如第九条安全防护、第二十一条告知规则等)违反后的处罚,直接转致上位法。这意味着违法成本并不因本条例罚款条款有限而降低:落到《个人信息保护法》,情节严重的可处最高5000万元或上一年度营业额百分之五的罚款。评估违规后果时,必须把本条例罚则和三部上位法的罚则合并来看。

第五十九条 网络数据处理者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。

第六十条 国家机关不履行本条例规定的网络数据安全保护义务的,由其上级机关或者有关主管部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

第六十一条 违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

条款解读:本条打通了民事、行政、刑事三条责任通道。违反本条例造成他人损害的承担民事责任——第八条被法院引为不正当竞争案件里评价数据获取正当性的依据(见前文(2024)浙02民初562号案),就是民事责任落地的例子;构成违反治安管理的给治安处罚;构成犯罪的追究刑事责任。数据领域最常衔接的罪名是侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪等,本条是把行政法规义务与刑事责任接起来的桥。

第九章 附则

第六十二条 本条例下列用语的含义:

(一)网络数据,是指通过网络处理和产生的各种电子数据。

(二)网络数据处理活动,是指网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。

(三)网络数据处理者,是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。

(四)重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

(五)委托处理,是指网络数据处理者委托个人、组织按照约定的目的和方式开展的网络数据处理活动。

(六)共同处理,是指两个以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。

(七)单独同意,是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。

(八)大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。

条款解读:本条是全条例的定义总表,读前面任何一条遇到概念拿不准都回到这里核对。几个关键边界:“网络数据”覆盖面极宽(通过网络处理和产生的各种电子数据),“重要数据”和“大型网络平台”各自带量化或半量化标准,“单独同意”要求针对特定处理专门作出具体、明确的同意。

第六十三条 开展核心数据的网络数据处理活动,按照国家有关规定执行。

自然人因个人或者家庭事务处理个人信息的,不适用本条例。

开展涉及国家秘密、工作秘密的网络数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

第六十四条 本条例自2025年1月1日起施行。

参考来源

  1. 《网络数据安全管理条例》官方全文,中国政府网
  2. 司法部、国家网信办负责人就《网络数据安全管理条例》答记者问,中国政府网
  3. 国家网信办发布近期网络安全、数据安全、个人信息保护相关执法典型案例,中国网信网
  4. 案例检索:经过中国裁判文书网检索,共引用1个案例