新修订的《中华人民共和国网络安全法》(以下简称:“《网络安全法》”),已由中华人民共和国第十四届全国人民代表大会常务委员会第十八次会议于2025年10月28日通过,自2026年1月1日起施行。
修订后的《网络安全法》构建了以网络运行安全、网络数据安全、个人信息保护为核心框架的基础制度体系。本文立足于数据安全和个人信息保护视角,对修订后的《网络安全法》中关于数据安全和个人信息保护相关的内容进行解读,旨在实现以下两个目标:
一是帮助网络运营者、安全产品供应商和服务商更深入地理解我国首部全面规范网络安全和信息化的基础性法律。
二是抛砖引玉,结合解读提出数据安全方面的建议,以帮助网络运营者了解可选用的安全措施和安全产品,从而加强自身在网络数据安全和个人信息保护方面的建设能力。
图1 《网络安全法》数据安全和个人信息保护内容概要
一、主要修订内容
1、增加一条,作为第三条:“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设。”
本条款与《数据安全法》第四条“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”的规定相互呼应,增强了制度之间的衔接协同,从国家层面阐述了维护网络数据安全的重要性。
2、增加一条,作为第二十条:“国家支持人工智能基础理论研究和算法等关键技术研发,推进训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强风险监测评估和安全监管,促进人工智能应用和健康发展。
本条款增加促进人工智能应用的内容,体现了数字化、网络化、智能化已成为发展新质生产力的重要引擎。从数据全生命周期角度来看,应首要关注训练数据收集阶段的合规性,具体包括检查数据收集渠道、收集方式、数据范围、收集目的、收集频率、外部数据源、合同协议、相关系统等;在训练数据使用和加工阶段,应做好风险监测;在数据公开前,应评估其公开的目的、方式、对象范围、数据种类及数据规模等,避免公开人工智能幻觉产生的数据。
针对处置措施,修订后的《网络安全法》更加注重分级分类治理,既明确区分不同类型违法行为的法律责任,也结合行为的危害程度、影响范围等多方面因素,科学合理地设定宽严相济的法律责任。一方面,区分一般网络运营者和关键信息基础设施运营者。例如,对二者违反相关规定的行为,设置不同幅度的罚款,进一步凸显关键信息基础设施作为经济社会运行神经中枢的重要地位;另一方面,区分一般违法行为、造成严重危害网络安全后果以及造成特别严重危害网络安全后果的情形,对影响深远的典型违法行为予以重点处置,充分体现过罚相当原则。
二、网络安全等级保护
第二十三条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
本条款规定网络运营者应履行“网络安全等级保护制度”,旨在防止网络数据泄露、被窃取或篡改。重点包括:
1、明确网络安全责任人,以落实保护责任。需注意,责任人将依法承担相应法律责任。
2、在技术层面,应采取应用系统安全审计、数据库安全审计等手段,采集、记录并分析日志,且日志留存不少于六个月。
3、再次强调数据分类和数据加密措施的重要性。数据分类的重点在于帮助责任人自动识别、发现系统中的个人敏感信息和重要数据,特别是其存储位置、数据库表及字段,从而明确需要保护的内容;数据加密一直是难点,关键在于兼顾保密性和可用性,“透明数据加密(TDE)”是较为理想的技术手段。
特别提醒网络运营者和安全责任人:如未履行本条义务,须承担法律责任,适用第六十一条的法律责任规定。
三、关键信息基础设施保护
第三十三条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
本条款明确了关键信息基础设施的范围,再次强调必须落实网络安全等级保护制度,并实施重点保护。《关键信息基础设施安全保护条例》已于2021年4月27日经国务院第133次常务会议通过,自2021年9月1日起施行。
第三十九条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
本条款是关键信息基础设施的一项核心条款,其关键是要求个人信息和重要数据应在境内存储,并对数据跨境提供作出专门规定,旨在解决个人信息和重要数据的数据安全问题。关于重要数据的明确分类,可参考国标GB/T 43697-2024《数据安全技术 数据分类分级规则》附录G《重要数据识别指南》。关键信息基础设施运营者和处理100万人以上个人信息的数据处理者,在向境外提供个人信息时,应按照国家互联网信息办公室发布的《数据出境安全评估办法》(自2022年9月1日起施行)执行。
四、个人信息保护
第四十二条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
本条款的核心是用户信息保护,此处需注意“用户信息”和“个人信息”存在区别,具体内容可参见《网络安全法》第七十八条对个人信息的解释。
第四十三条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
本条款强化了个人信息保护的知情同意和特定目的原则,明确网络运营者收集个人信息必须遵循合法、正当、必要原则,并强调个人信息收集过程中的透明度和用户自主选择权,同时要求信息采集者合法使用和保存个人信息。
第四十四条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
本条款在强调个人信息保护的同时,建设性地提出“经过处理无法识别特定个人且不能复原的除外”,为个人信息数据的合法使用、交换和交易提供了法律依据,并要求对个人信息数据进行匿名化处理。该处理在技术上是指通过采用数据脱敏产品或技术手段,对涉及个人隐私的敏感数据进行脱敏,确保脱敏后的数据无法识别特定个人且不可逆(即无法通过技术手段复原)。
此外,脱敏技术也可应用于日常数据维护。对于金融、医疗健康、零售、游戏等需要收集大量用户个人信息的网络系统,在数据库日常维护中同样需要防范个人隐私数据泄露。通过采用具备动态脱敏能力的产品或技术手段,可有效避免数据泄露,降低运维安全风险,并为运维者提供免责的技术保障。
同时,本条款作为个人信息保护的核心内容,明确了网络运营者对个人信息保护的责任:有必要采取技术措施保护个人信息,确保其收集的个人信息安全,通过监控、审计等技术手段及时发现和记录异常行为,为主管部门追责和定责提供数据依据。
第四十五条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
本条款的核心是法律明确赋予公民对其个人信息的删除权和更正权:如发现网络运营者不当使用个人信息,个人有权要求删除;如信息有误,个人有权要求其改正。特别提醒网络运营者,有义务采取措施予以删除或更正,否则将构成违法行为。
第四十六条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
本条款的核心是禁止非法获取、出售或提供个人信息。从法律角度理解,需结合前述第四十四条中“经过处理无法识别特定个人且不能复原的除外”这一规定。合法的数据交易必须以个人信息经合规脱敏为前提,只有满足此条件的数据交易才可能符合法律规定。
第四十七条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
本条款规定了执法部门和执法人员必须履行的保密责任。
五、总 结
本文从数据安全和个人信息保护的视角对修订后的《网络安全法》进行解读,主要阐述了主要修订内容、网络安全等级保护、关键信息基础设施保护和个人信息保护相关的条款,希望网络运营者、安全产品供应商和服务商都能从中受益,文中如有不当之处,敬请包涵。