文 | 清華大學黨委研究生工作部 崔曦元

數字時代，數據安全是國家安全的重要組成部分。所謂“網絡數據”，是通過網絡處理和產生的各種電子數據，是網絡空間中最活躍的要素，也是各類數據要素中傳播力最強的一部分?！毒W絡數據安全管理條例》（以下簡稱《條例》）的發(fā)布實施，有效規(guī)范了網絡數據處理活動，為深化網絡數據依法有效利用提供了方向指引。

一、深刻認識加強網絡數據安全管理的重要意義

當前，數字經濟與網絡空間深度融合，加強網絡數據安全管理對國家安全、經濟發(fā)展和群眾權益具有重要意義。

（一）加強網絡數據安全管理是維護國家安全的必然要求

隨著信息技術的高速發(fā)展，網絡數據已經成為國家戰(zhàn)略資源和重要生產要素，網絡數據安全與國家安全的聯系日益緊密。關鍵信息基礎設施、國防軍事設備、政府機關系統(tǒng)等都高度依賴網絡技術，一旦遭受攻擊導致數據泄露或篡改，可能造成公共部門運行中斷、軍事情報泄露等嚴重后果，危害國家安全和社會穩(wěn)定。面對日益復雜的網絡安全威脅，只有確保網絡數據的安全性、完整性和可用性，才能有效維護國家的主權、安全與發(fā)展利益。
（二）加強網絡數據安全管理是促進經濟社會健康有序發(fā)展的必然要求

在數字經濟高速發(fā)展的背景下，網絡數據已成為推動經濟社會運行的重要驅動力，網絡數據安全有序流通對提升生產效率、促進產業(yè)升級、支撐新業(yè)態(tài)發(fā)展具有重要意義。例如，金融機構依賴精準的數據分析進行風險控制和市場決策，醫(yī)療系統(tǒng)通過數據共享優(yōu)化診療服務，公共服務平臺借助大數據提升社會治理能力。如果數據管理不善，數據泄露、濫用或非法交易等問題將嚴重威脅市場秩序和社會穩(wěn)定，可能導致信用體系受損、企業(yè)競爭環(huán)境惡化，進而影響國家經濟安全。因此，加強網絡數據安全管理，是優(yōu)化營商環(huán)境、維護經濟社會秩序、推動經濟社會高質量發(fā)展的重要支撐。
（三）加強網絡數據安全管理是保障群眾在網絡空間合法權益的必然要求

網絡空間中的信息傳播力強，個人作為單一主體在其中的隱私性保障存在困難。個人信息一旦泄露，可能在短時間內被廣泛傳播，造成難以挽回的損失。隨著網絡數據活動頻率的增加，個人信息非法獲取、泄漏和濫用現象愈發(fā)頻繁。例如，某大型社交媒體平臺因安全漏洞導致用戶數據泄露，數百萬用戶的個人信息被黑客獲取，這不僅影響了用戶的隱私安全，也損害了公眾對該平臺的信任，甚至導致受害者財產損失和心理傷害。在此背景下，群眾參與網絡活動等合法權益與網絡數據安全管理息息相關，規(guī)范數據活動是保障公民利益的必然要求。《中華人民共和國個人信息保護法》已經對個人信息處理活動進行了規(guī)范，但關于告知、同意、個人行使權利等方面的規(guī)定仍需進一步細化，個人信息合規(guī)處理的要求也需要進一步明確，才能切實保障公民的切身利益。

二、《條例》為開展網絡數據安全管理提供了重要遵循

《條例》作為我國數據安全領域的重要行政法規(guī)，從網絡數據處理者責任、跨境數據管理、平臺義務和監(jiān)督機制等多個方面明確了有關要求，為網絡數據安全管理工作提供了指導價值和實踐意義。

（一）明確了網絡數據處理者的責任義務

《條例》明確了“網絡數據處理者”的定義，指“在網絡數據處理活動中自主決定處理目的和處理方式的個人或組織”。上述規(guī)定為認定網絡數據處理的責任主體提供了依據和遵循?？梢钥闯?，網絡數據處理者的認定，主要依據個人或組織在網絡數據處理活動中的權限，而非其所在單位和組織的所有制性質。任何個人或組織，只要具備對網絡數據處理的自主決定權，即屬于網絡數據處理者的范圍。

《條例》明確了網絡數據處理者在網絡數據處理過程中的責任義務，主要包括：一是壓實主體責任，按照“誰處理數據、誰負責安全”的原則，網絡數據處理者對所處理網絡數據的安全承擔主體責任。如果因合并、分立、解散、破產等原因需轉移網絡數據，相關責任也隨之轉予接收方。二是強化制度建設，網絡數據處理者應建立健全網絡數據安全管理制度，采取有效措施，保護網絡數據免遭篡改、破壞、非法利用等情況；并建立健全網絡數據安全事件應急預案，做好事件應對和處置工作。三是規(guī)范數據“外包”，明確原始網絡數據處理者的監(jiān)管義務，針對向其他網絡數據處理者提供或委托處理網絡數據的情況，應通過合同等約定安全保護措施，并對接收方履行義務的情況進行監(jiān)督。四是發(fā)揮社會監(jiān)督作用，要求面向社會提供產品或服務的網絡數據處理者應建立便捷的網絡數據安全投訴和舉報渠道，并及時受理處理，充分發(fā)揮廣大群眾對數據安全工作的參與作用。

加強個人信息保護是廣大人民群眾的期盼。《條例》用專章規(guī)定了網絡數據處理者處理個人信息保護的有關要求，主要包括：一是保障用戶知情權，要求網絡數據處理者在處理個人信息前，應制定個人信息處理規(guī)則，并經本人同意。二是強化用戶對本人信息的管理權，規(guī)定個人請求查閱、復制、更正、補充、刪除、限制處理其個人信息等情況，網絡數據處理者應當及時受理，不得設置不合理條件限制個人的合理請求。三是強化未成年人個人信息保護，要求網絡數據處理者需處理不滿十四周歲未成年人個人信息的，應制定專門的個人信息處理規(guī)則，并取得其父母或監(jiān)護人的同意。
（二）明確了網絡數據跨境安全管理要求

數據跨境安全管理是網絡數據安全管理的重要組成部分，《條例》對網絡數據跨境安全管理的有關要求進行了明確，主要包括：一是明確工作機制，由國家網信部門統(tǒng)籌協調有關部門建立國家數據出境安全管理專項工作機制。二是個人信息出境的要求，規(guī)定了網絡數據處理者向境外提供個人應滿足的條件，符合其中任意一條即可。三是重要數據出境的要求，明確在中華人民共和國境內運營中收集和產生的重要數據需向境外提供的，應通過國家網信部門組織的數據出境安全評估。四是強化過程管理，即通過數據出境安全評估后，網絡數據處理者向境外所提供個人信息和重要數據時，不得超出評估時明確的數據出境目的、方式、范圍、種類和規(guī)模等。
（三）明確了網絡平臺服務提供者的網絡數據保護職責

網絡平臺通過用戶交互、內容制作、應用使用等方式生成并存儲海量數據，是網絡數據產生的重要來源，平臺服務提供者更是網絡數據安全保護的重要責任主體?！稐l例》首次對網絡平臺服務提供者義務作出專門規(guī)定，具體為：一方面，考慮到網絡平臺通常集成大量第三方產品和服務，要求網絡平臺服務提供者應明確接入其平臺的第三方產品和服務提供者的網絡數據安全保護義務，督促加強網絡數據安全管理；對提供應用程序分發(fā)服務的網絡平臺服務提供者，應當建立應用程序核驗規(guī)則，并開展網絡數據安全相關核驗。另一方面，對于注冊用戶 5000 萬以上或月活躍用戶 1000 萬以上，業(yè)務類型復雜，網絡數據處理活動對國家安全、經濟運行、國計民生等具有重要影響的大型網絡平臺，要求其履行社會責任，每年發(fā)布個人信息保護社會責任報告，并不得利用網絡數據、算法以及平臺規(guī)則等損害用戶合法權益。
（四）明確了網絡數據安全的監(jiān)督管理體制

為保障網絡數據安全管理工作的有序實施，《條例》明確了有關主管部門在網絡數據安全管理中的職責分工。一是統(tǒng)籌協調職責，國家網信部門負責統(tǒng)籌協調網絡數據安全和相關監(jiān)督管理工作。二是監(jiān)督管理職責，公安機關、國家安全機關在職責范圍內承擔網絡數據安全監(jiān)督管理職責；國家數據管理部門在具體承擔數據管理工作中履行網絡數據安全職責。三是行業(yè)主管職責，各有關主管部門承擔本行業(yè)、本領域網絡數據安全監(jiān)督管理職責。四是地方工作職責，各地區(qū)對本地區(qū)工作中收集和產生的網絡數據及其安全負責。上述措施既有利于各部門之間的協同合作、形成合力，也能發(fā)揮各主管部門在本行業(yè)領域的工作優(yōu)勢，全面推進網絡數據安全管理工作。值得關注的是，主管部門通過對相關運營主體實施監(jiān)督檢查，是確保網絡數據安全各項要求落實到位的重要措施?！稐l例》一方面明確了有關主管部門對網絡數據安全工作進行監(jiān)督檢查的措施要求，包括檢查網絡數據安全措施的運行情況、查閱有關文件記錄等，要求網絡數據處理者應依法依規(guī)予以配合。另一方面明確主管部門在開展網絡數據安全監(jiān)督檢查時，應合理確定檢查頻次，避免不必要的檢查和交叉重復檢查，以減輕網絡數據處理者的工作負擔。

三、對做好網絡數據安全管理的幾點思考

《條例》的出臺為網絡數據安全治理提供了制度保障，在落實的過程中需要多方深度協同、共同發(fā)力。通過壓實各方責任、完善標準規(guī)劃、強化支撐保障，可以推動網絡數據安全管理體系的落地和見效。

（一）進一步壓實各方責任，推動網絡數據安全管理各項要求落實落細

一是指導網絡數據處理者落實主體責任，完善本單位網絡數據安全管理制度，加快推進網絡數據安全防護技術手段建設。二是強化行業(yè)監(jiān)管職責落實，各行業(yè)領域主管監(jiān)管部門建立健全本行業(yè)領域的網絡數據安全管理制度，精細精準認定重要數據，扎實做好網絡數據安全威脅的監(jiān)測預警。三是深化統(tǒng)籌協調工作職責，國家網信部門進一步加大統(tǒng)籌協調力度，推動建立全國一盤棋的網絡數據安全工作格局，匯聚各方力量推動網絡數據安全管理水平不斷提升。
（二）進一步完善標準規(guī)范，發(fā)揮標準對網絡數據安全管理的指引性作用一是結合網絡數據安全保護共性需求和各行業(yè)領域的個性需求，研究制定網絡數據安全管理標準框架，并根據需要進行動態(tài)更新，為后續(xù)網絡數據安全管理標準研制提供指引。二是按照“急用先行”的原則，加快推進技術防護、態(tài)勢感知等重點領域的網絡數據安全管理標準的研制。三是持續(xù)推動網絡數據安全管理標準落地，指導網絡數據處理者切實抓好標準的實施，及時總結并推廣優(yōu)秀經驗和做法。
（三）進一步強化支撐保障，持續(xù)夯實網絡數據安全管理工作基礎一是推動技術創(chuàng)新，積極利用人工智能、區(qū)塊鏈等新技術，強化網絡數據安全管理能力建設，為網絡數據處理者、行業(yè)領域主管監(jiān)管部門等提供技術支持。二是探索評估機制，研制并制定科學合理的網絡數據安全管理評估指標體系，供相關網絡數據處理者開展自評估和第三方評估。三是強化人才供給，支持相關高校、科研院所等加快網絡數據安全人才的培養(yǎng)，鼓勵開展網絡數據安全優(yōu)秀人才評選活動，不斷提升相關人才培養(yǎng)質量。

（本文刊登于《中國信息安全》雜志2025年第1期）