编者按：习近平总书记指出：“要坚持把全民普法和守法作为依法治国的长期基础性工作。”2025年9月12日，十四届全国人大常委会第十七次会议表决通过《中华人民共和国法治宣传教育法》，将于2025年11月1日起施行。法治宣传教育法的颁布施行，是深入学习贯彻习近平法治思想的重大举措，有力推动和保障新时代法治宣传教育工作，促进全社会形成尊法学法守法用法的良好氛围，对于推动建设更高水平的社会主义法治国家具有重要意义。《中华人民共和国法治宣传教育法》规定，网信、电信、公安等部门应当加强对网络服务提供者和网络用户的法治宣传教育，引导其自觉遵守法律法规、尊重社会公德，营造文明安全的网络环境。2024年9月，国务院公布《网络数据安全管理条例》，于2025年1月1日起施行。该《条例》是网络安全法、数据安全法和个人信息保护法最重要的配套规定，也是我国网络数据安全领域首个基础性行政法规。本文予以详细解读，力求将抽象的条文转化为公众可感知的行为准则，帮助公众树立法治意识。

　　随着网络技术、数字技术和智能技术的飞速发展，网络数据处理活动更加频繁，数据安全风险重点聚焦在网络数据领域，给经济社会发展和国家安全带来严峻挑战。2024年9月，国务院公布《网络数据安全管理条例》（以下简称《条例》），于2025年1月1日起施行。《条例》统筹发展和安全，坚持问题导向，重点聚焦个人信息保护、重要数据安全、网络数据跨境流动、大型网络平台治理等方面的突出问题，妥善处理了与《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法的关系，对上位法的相关制度规定进行了细化、补充、完善。《条例》是网络安全法、数据安全法和个人信息保护法最重要的配套规定，也是我国网络数据安全领域首个基础性行政法规。

　　规范网络数据处理活动是《条例》的核心

　　《条例》第一条规定：“为了规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律，制定本条例。”从《条例》的立法目的看，“规范网络数据处理活动”是《条例》的核心，处于整个网络数据安全保护的主导地位，只有夯实“规范网络数据处理活动”这一关键环节，才能保障网络数据安全，促进网络数据依法合理有效利用。

　　《条例》第八条确立两项禁止性规定：首先，任何个人、组织不得利用网络数据从事非法活动，包括不得从事窃取或者以其他非法方式获取网络数据，不得非法出售或者非法向他人提供网络数据等非法网络数据处理活动；其次，任何个人、组织不得提供专门用于从事上述非法活动的程序、工具，包括明知他人从事前款非法活动的，不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助。

　　充实和细化了个人信息保护法的相关内容

　　《条例》重点细化了《中华人民共和国个人信息保护法》关于告知、同意、个人行使权利等方面的规定，确立了网络数据处理者基于个人同意处理个人信息，应当履行的六项强制性义务：一是收集个人信息为提供产品或者服务所必需，不得超范围收集个人信息，不得通过误导、欺诈、胁迫等方式取得个人同意；二是处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的，应当取得个人的单独同意；三是处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意；四是不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息；五是不得在个人明确表示不同意处理其个人信息后，频繁征求同意；六是个人信息的处理目的、方式、种类发生变更的，应当重新取得个人同意。

　　《条例》明确了行使个人请求信息查阅、复制、更正、补充、删除、限制处理其个人信息等权利的基本要求，对于个人注销账号、撤回同意的，网络数据处理者应当及时受理，并提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求。《条例》细化个人信息转移的具体条件，对于符合法定条件的个人信息转移请求，网络数据处理者应当为个人指定的其他网络数据处理者进行访问，并获取有关个人信息提供途径。《条例》强调了网络数据处理者处理1000万人以上个人信息，应当履行对重要数据的处理者作出的规定。《条例》对处理不满十四周岁未成年人个人信息作出了特别规定，要求制定专门的个人信息处理规则等。

　　强化对重要数据的认定和风险评估

　　《条例》从两个层面明确了“重要数据”认定的范围、规模和精度：一是只有在特定领域、特定群体、特定区域的数据才有可能成为“重要数据”；二是应要达到准确性和精确性程度，同时必须具备一定的规模。在危害结果认定上，2022年9月施行的《数据出境安全评估办法》采用了“可能危害”的表述，《条例》则强调可能导致的“直接危害”，“直接危害”的影响程度通常会导致立即的、显而易见的危害结果，且“直接危害”通常与某种危害行为或事件相关联。

　　《条例》强化了重要数据的处理者对重要数据的风险管控和评估，重要数据处理者在提供、委托处理、共同处理重要数据前，除了属于履行法定职责或者法定义务之外，应当事先履行强制性风险评估义务，风险评估包括下列重要内容：一是提供、委托处理、共同处理网络数据，以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要；二是提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险，以及对国家安全、公共利益或者个人、组织合法权益带来的风险；三是网络数据接收方的诚信、守法等情况；四是与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务；五是采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险；六是有关主管部门规定的其他评估内容。

　　促进网络数据跨境安全流通

　　《条例》明确规定只要符合以下八种情形之一，网络数据处理者即可向境外提供个人信息：一是通过国家网信部门组织的数据出境安全评估；二是按照国家网信部门的规定经专业机构进行个人信息保护认证；三是符合国家网信部门制定的关于个人信息出境标准合同的规定；四是为订立、履行个人作为一方当事人的合同，确需向境外提供个人信息；五是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息；六是为履行法定职责或者法定义务，确需向境外提供个人信息；七是紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息；八是法律、行政法规或者国家网信部门规定的其他条件。

　　网络数据处理者在我国境内运营中产生和收集的重要数据确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。《条例》要求，网络数据处理者按照国家有关规定识别、申报重要数据，但同时规定“未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估”。2024年3月，国家网信办发布的《促进和规范数据跨境流动规定》已经明确：数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。我国数据安全法规定，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。由此，国务院行业主管部门和省级人民政府应依照数据安全法关于制定重要数据目录的规定，制定并动态公布重要数据目录，为重要数据处理者识别和申报重要数据提供便利。

　　网络平台服务提供者的责任认定

　　《条例》专章设定了网络平台服务提供者应履行的多项网络数据安全保护义务，包括接入网络平台的第三方产品和服务提供者的网络数据安全保护义务；提供应用程序分发服务的网络平台服务提供者的义务；网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项的义务等。《条例》专门就大型网络平台服务提供者的网络数据安全责任提出了强制性义务。例如，针对当前个性化推荐服务关闭难、收集个人信息类型多、个人精准画像数据滥用等问题，《条例》明确网络平台服务提供者应当设置易于理解、便于访问和操作的个性化推荐关闭选项，为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告，报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。（作者 王春晖）