以法护航 | 新《网络安全法》下的数据安全与个人信息保护
2026-3-12 0:00:00浏览量:10编辑:管理员来源:天畅
2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议表决通过新修订的《中华人民共和国网络安全法》(以下简称“新《网络安全法》”),该法自2026年1月1日起正式施行。此次修订紧扣数字时代发展需求,构建起以网络运行安全、网络数据安全、个人信息保护为核心的制度框架,尤其在数据安全治理与个人信息权益保障方面作出系统性完善。
本文从数据安全全生命周期管理视角,对新《网络安全法》中数据安全与个人信息保护相关条款进行深度解读,为网络运营者、安全服务机构落实合规要求提供实操指引,同时为数据安全技术体系建设提供参考方向。
此次修订围绕数据安全治理体系完善、数字产业发展保障、法律责任精准设定三大方向,新增并调整多项关键条款,为数据安全保护划定顶层规则,其中与数据安全直接相关的修订内容主要体现在三方面:
新增第三条明确“网络安全工作坚持中国共产党的领导,贯彻总体国家安全观,统筹发展和安全,推进网络强国建设”,该条款与《数据安全法》第四条形成制度衔接,将数据安全纳入国家总体安全体系,从立法层面明确数据安全是网络安全的核心组成部分,为后续数据安全监管、合规建设确立根本遵循。
新增第二十条专门针对人工智能发展作出规定,明确国家支持人工智能关键技术研发,同时要求完善伦理规范、加强风险监测评估。从数据安全角度,该条款首次将人工智能训练数据的合规管理纳入网络安全法监管范畴,要求从数据收集、使用加工、公开发布三个阶段落实全流程管控:收集阶段需核查渠道合法性、范围必要性、协议完备性;使用阶段需建立实时风险监测机制;发布阶段需开展数据合规评估,严禁发布人工智能幻觉生成的不实数据。这一规定填补了AI时代训练数据安全监管的法律空白,为新质生产力发展筑牢数据安全屏障。
新《网络安全法》对法律责任条款作出大幅修订,核心是针对数据安全违法行为实施分级分类处罚,实现“过罚相当”。一方面,区分一般网络运营者与关键信息基础设施运营者,对后者设置更高幅度的罚款标准,凸显关键领域数据安全的重要性;另一方面,按违法行为后果分为一般情形、严重危害情形、特别严重危害情形,针对数据泄露、关键设施功能丧失等后果,设置从五十万元到一千万元的梯度罚款,同时对直接责任人追责到底。此外,新增从轻、减轻或不予处罚的情形,兼顾法律刚性与执法柔性。
新《网络安全法》第二十三条延续并强化了网络安全等级保护制度,将其作为所有网络运营者数据安全保护的基础义务,明确要求运营者通过制度建设、技术措施、流程管控,实现网络数据“防泄露、防窃取、防篡改”,这也是数据安全保护的第一道防线。
网络运营者需履行五项核心安全保护义务,其中与数据安全直接相关的关键要求为:
制定内部数据安全管理制度,确定网络安全负责人,该负责人对数据安全问题依法承担直接责任;
采取技术措施监测、记录网络运行状态与安全事件,日志留存时间不少于六个月,为数据安全事件溯源、追责提供依据;
对数据实施分类分级管理,对重要数据采取备份、加密等防护措施,同时防范病毒、网络攻击等外部威胁。
从合规落地角度,等级保护制度对数据安全技术提出明确要求:
部署应用系统安全审计、数据库安全审计工具,实现数据操作行为的全流程记录与分析;
通过自动化工具识别系统中的个人敏感信息、重要数据,精准定位其存储位置、数据库表及字段,明确保护重点;
优先采用透明数据加密(TDE)技术,在兼顾数据保密性与业务可用性的前提下,实现数据全生命周期加密保护。
新《网络安全法》第六十一条明确了未落实等级保护义务的处罚标准,一般网络运营者拒不改正的,处五万元以上五十万元以下罚款;造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,同时对直接责任人处一万元以上二十万元以下罚款,处罚力度较原法大幅提升。
关键信息基础设施作为经济社会运行的“神经中枢”,其数据安全直接关系国家安全、国计民生与公共利益,新《网络安全法》在等级保护制度基础上,对其设置重点保护要求,形成数据安全的“特殊防护层”,核心条款为第三十三条与第三十九条。
第三十三条界定了关键信息基础设施的覆盖领域,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业,以及其他一旦发生数据泄露即可能严重危害国家安全的设施,其具体范围由国务院制定,《关键信息基础设施安全保护条例》为具体实施依据。
第三十九条为关键信息基础设施数据安全的“核心条款”,明确要求其运营者在境内收集和产生的个人信息与重要数据必须境内存储,这是保障核心数据主权与安全的根本要求。确因业务需要向境外提供的,需满足两项合规条件:
1. 按照国家网信部门会同国务院有关部门制定的办法开展安全评估;
2. 处理100万人以上个人信息的运营者,需严格遵循《数据出境安全评估办法》完成评估流程。
关于“重要数据”的界定,可参考国标GB/T 43697-2024《数据安全技术 数据分类分级规则》 附录G《重要数据识别指南》,精准识别重要数据范围是落实境内存储要求的前提。
新《网络安全法》第四十二条至第四十七条构建起完整的个人信息保护规则体系,与《个人信息保护法》形成衔接,既明确网络运营者的合规义务,也赋予个人信息主体法定权利,同时为个人信息的合法使用划定边界,核心体现“权益保障、合法使用、全程管控”三大原则。
对收集的用户信息严格保密,建立健全个人信息保护专项制度,需注意“用户信息”与“个人信息”的法律界定差异,具体参照新《网络安全法》第七十八条规定;
收集、使用个人信息需遵循合法、正当、必要原则,公开收集规则,明示目的、方式和范围,并经被收集者同意,严禁收集与服务无关的个人信息;
采取技术措施防止个人信息泄露、毁损、丢失,发生或可能发生信息安全事件时,需立即采取补救措施,及时告知用户并向主管部门报告;
对个人提出的信息删除权、更正权请求,需及时采取措施落实,拒不履行的将构成违法行为。
第四十四条作出重要例外规定:“经过处理无法识别特定个人且不能复原的,可向他人提供个人信息”,这为个人信息的合法流通、数据价值挖掘提供了法律依据,其核心要求是对个人信息进行合规匿名化处理:
1.技术层面需采用数据脱敏产品/手段,对敏感数据进行脱敏,确保脱敏后数据无法识别特定个人、不可逆复原;
2.应用场景不仅包括数据对外提供,还适用于金融、医疗、零售、游戏等行业的数据库日常维护,通过动态脱敏技术降低运维过程中的数据泄露风险,为运维人员提供免责技术保障。
严禁泄露、篡改、毁损个人信息,未经同意不得向他人提供(匿名化处理除外);
严禁以非法方式获取、出售、提供个人信息(第四十六条);
对履职中知悉的个人信息、隐私和商业秘密严格保密,严禁泄露、出售(第四十七条)。
包括静态脱敏、动态脱敏,满足不同场景下的个人信息匿名化需求;
实现对个人信息操作行为的实时监控,及时发现异常访问、数据泄露等行为;
通过日志记录、行为分析,为个人信息安全事件提供溯源与追责依据。
结合新《网络安全法》的条款要求与实操落地需求,针对网络运营者(尤其是关键信息基础设施运营者)提出四项核心合规建设建议,助力其构建全流程、体系化的数据安全保护能力:
以国标GB/T 43697-2024为依据,结合自身业务特点,对数据实施分类、分级、分域管理,明确个人敏感信息、重要数据的范围与保护标准,实现“精准防护、重点管控”。
从数据收集、存储、使用、加工、传输、公开、销毁全生命周期,建立对应的安全管理制度与技术措施:收集阶段强化源头合规,存储阶段落实境内存储与加密要求,使用阶段做好风险监测,跨境阶段完成安全评估,销毁阶段采取不可逆销毁措施。
围绕“防泄露、防窃取、防篡改”核心目标,部署日志审计、数据加密、数据脱敏、安全监控等技术产品,重点推广透明数据加密(TDE)、动态脱敏等合规技术,同时实现技术措施与管理制度的有效衔接。
制定个人信息泄露、重要数据丢失等安全事件的应急预案,明确应急处置流程、责任主体、告知与报告要求,定期开展应急演练,提升事件响应与处置能力,降低安全事件造成的危害后果。
新修订的《网络安全法》作为网络安全领域的基础性法律,此次修订将数据安全与个人信息保护提升至全新高度,通过顶层原则确立、分级分类监管、全流程合规要求、梯度化法律责任,构建起系统完备的数据安全治理规则体系。对于网络运营者而言,落实新《网络安全法》的合规要求,不仅是履行法律义务,更是提升自身数据安全保护能力、保障业务持续发展的核心举措;对于安全产品供应商和服务商而言,需紧扣法律要求研发合规技术产品,为网络运营者提供全流程的安全服务支持。
数字时代,数据安全是网络安全的核心,也是数字经济健康发展的前提。新《网络安全法》的施行,将进一步推动我国数据安全治理体系和治理能力现代化,为网络强国建设、新质生产力发展筑牢数据安全屏障。网络空间各方主体需协同发力,严格落实法律要求,共同构建安全、有序、繁荣的数字生态。