网络法与数据法是调整网络空间活动和数据处理行为的法律规范体系,是数字时代法治建设的重要组成部分。随着互联网、大数据、人工智能等技术的迅猛发展,网络空间治理和数据权益保护已成为全球性法律议题。中国已构建以《网络安全法》《数据安全法》《个人信息保护法》为核心的"三法"体系,配套实施《网络数据安全管理条例》《个人信息保护合规审计管理办法》等行政法规,形成了覆盖网络安全、数据安全、个人信息保护三大领域的法律框架。
截至2025年,全球数据保护领域GDPR罚款总额已超过71亿欧元,2025年单年罚款约12亿欧元,欧盟每天收到443份数据泄露通知。在中国,国家网信办累计完成数据出境安全评估项目298个,执法行动覆盖APP治理、医疗、金融、停车、餐饮等民生领域。这些数据表明,网络法与数据法已从"纸面立法"进入"严厉执法"阶段。
网络法(Cyber Law)是调整网络空间中的社会关系和法律关系的规范总称,涵盖网络安全、网络犯罪、电子商务、网络知识产权、网络内容管理等领域。数据法(Data Law)是调整数据的收集、存储、使用、加工、传输、提供、公开等行为的法律规范,核心关注数据安全、数据权益、数据流通三个维度。
在中国法律语境下,两者既有交叉又有侧重:
| 维度 | 网络法 | 数据法 |
|---|---|---|
| 核心对象 | 网络系统、网络行为、网络内容 | 数据本身(含个人信息) |
| 主要法律 | 《网络安全法》《反电信网络诈骗法》 | 《数据安全法》《个人信息保护法》 |
| 关注重点 | 系统安全、网络秩序、内容管理 | 数据安全、权益保护、流通利用 |
| 监管主体 | 网信办、工信部、公安部门 | 网信办、国家数据局、行业主管部门 |
中国网络与数据立法经历了从分散到系统、从原则到精细的演进过程:
| 年份 | 里程碑事件 | 意义 |
|---|---|---|
| 2000年 | 《全国人大常委会关于维护互联网安全的决定》 | 首部网络立法 |
| 2012年 | 《全国人大常委会关于加强网络信息保护的决定》 | 首次在法律层面规范个人信息保护 |
| 2016年11月 | 《网络安全法》通过(2017年6月施行) | 首部网络安全基础性法律 |
| 2021年6月 | 《数据安全法》通过(2021年9月施行) | 首部数据安全领域基础性法律 |
| 2021年8月 | 《个人信息保护法》通过(2021年11月施行) | 首部个人信息保护专门法 |
| 2024年3月 | 《促进和规范数据跨境流动规定》施行 | 优化数据出境管理制度 |
| 2024年9月 | 《网络数据安全管理条例》公布(2025年1月施行) | 三法衔接的行政法规 |
| 2025年5月 | 《个人信息保护合规审计管理办法》施行 | 合规进入"可核验"时代 |
| 2025年6月 | 《人脸识别技术应用安全管理办法》施行 | 敏感场景治理前置 |
| 2025年10月 | 《网络安全法》完成首次修订(2026年1月施行) | 三法系统衔接,罚则大幅提高 |
从全球来看,网络与数据立法呈现"百花齐放"格局:
| 国家/地区 | 代表性立法 | 特点 |
|---|---|---|
| 欧盟 | GDPR(2018年生效)、AI Act(2024年)、NIS2指令 | 严格保护、高额罚款(最高全球营收4%),全球标杆 |
| 美国 | CCPA/CPRA(加州)、联邦隐私法尚无统一立法 | 行业分散立法,州级先行 |
| 中国 | 《网络安全法》《数据安全法》《个人信息保护法》 | 三法联动,安全与发展并重 |
| 日本 | 《个人信息保护法》(APPI,2020年修订) | 借鉴GDPR,侧重行业自律 |
| 韩国 | 《个人信息保护法》(PIPA,多次修订) | 严格同意机制,高额处罚 |
| 新加坡 | PDPA(2012年) | 基于风险的管理路径 |
《中华人民共和国网络安全法》于2016年11月通过,2017年6月1日起施行,是我国网络安全领域的基础性法律。2025年10月完成首次修订,修订后于2026年1月1日正式施行。
核心制度架构:
网络安全等级保护制度:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。等级保护分为五级,一级最低、五级最高,对应不同的保护要求。
关键信息基础设施保护(CII保护):对公共通信、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的网络设施实行重点保护。CII运营者应设置专门安全管理机构和安全管理负责人,定期进行安全检测评估。
网络信息安全义务:网络运营者发现违法信息应当立即停止传输、采取消除等处置措施,防止信息扩散,保存有关记录并向主管部门报告。
监测预警与应急处置:国家建立网络安全监测预警和信息通报制度,制定网络安全事件应急预案。
法律责任:2025年修订后大幅提高了处罚力度,区分了一般违法、严重违法和特别严重违法三个层级:
| 违法情形 | 对单位的罚款上限 | 对直接责任人的罚款上限 |
|---|---|---|
| 一般违法 | 1万—50万元 | 1万—10万元 |
| 严重违法(如大量数据泄露) | 50万—200万元 | 5万—20万元 |
| 特别严重(如CII丧失主要功能) | 200万—1000万元 | 20万—100万元 |
📊 具体例子 — 2025年执法案例:
2025年9月,青海省网信办在日常巡查中发现某运输公司OA系统存在认证绕过漏洞,数据库直接暴露在互联网端,存储了一定数量的个人敏感数据。依据《网络安全法》第五十九条第一款,该公司被予以警告、责令改正。这个案例说明,即便是未被利用的漏洞,只要存在安全义务履行的"不作为",就可能触发行政处罚。
CII(Critical Information Infrastructure)保护是网络安全法的核心制度之一,具体要求包括:
2019年发布的《网络安全等级保护基本要求》(GB/T 22239-2019)标志着"等保2.0"时代到来,覆盖范围从信息系统扩展到网络基础设施、云平台、大数据、物联网、工业控制等新场景。
| 等级 | 适用对象 | 基本要求 |
|---|---|---|
| 第一级 | 不涉及重要信息的系统 | 自主保护 |
| 第二级 | 一般企事业单位信息系统 | 指导保护 |
| 第三级 | 地市级政府、金融、医疗等关键系统 | 监督保护(每年测评) |
| 第四级 | 国家级重要系统 | 强制保护 |
| 第五级 | 国家安全核心系统 | 专控保护 |
《中华人民共和国数据安全法》于2021年6月通过,2021年9月1日起施行,建立了数据安全治理的基本框架。
核心制度:
数据分类分级保护制度:根据数据在经济社会发展中的重要程度,以及一旦被篡改、破坏、泄露或非法利用后对国家安全、公共利益或个人权益造成的危害程度,分为核心数据、重要数据和一般数据三个层级。
数据安全审查制度:对影响或可能影响国家安全的数据处理活动进行国家安全审查。审查重点包括数据处理活动的目的和方式、数据安全风险、对国家安全的潜在影响等。
数据安全风险评估:数据处理者应定期开展风险评估,向主管部门报送风险评估报告。
数据交易管理制度:建立数据交易管理制度,数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份。
数据安全应急处置:发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
📊 具体例子 — 重要数据的识别:
根据《数据安全技术 数据分类分级规则》(GB/T 43697-2024),重要数据的识别需要综合考虑以下维度:
以一组示例来说明:
| 数据类型 | 分类等级 | 判定理由 |
|---|---|---|
| 某城市电网实时运行数据 | 重要数据 | 遭到破坏可能影响公共安全 |
| 某上市公司员工花名册 | 一般数据 | 不直接影响国家安全 |
| 某医院的20万患者诊疗记录 | 重要数据 | 规模较大,敏感程度高 |
| 某网站的10条用户评论 | 一般数据 | 规模小,不构成重要数据 |
2025年1月1日施行的《网络数据安全管理条例》是从行政法规层面将三部法律的核心义务进行系统化的关键文件,共9章64条。核心要点包括:
《中华人民共和国个人信息保护法》于2021年11月1日起施行,被《华尔街日报》评价为"世界上最严格的数据隐私法之一"。
核心原则("合法、正当、必要、诚信"原则体系):
| 原则 | 具体要求 | 示例说明 |
|---|---|---|
| 合法 | 基于法定七种情形之一处理个人信息 | 同意、合同必需、法定义务、紧急保护等 |
| 正当 | 处理目的明确、合理 | 不得以"改善用户体验"为由收集与业务无关的数据 |
| 必要 | 限于实现处理目的的最小范围 | 外卖App不应收集通讯录信息 |
| 诚信 | 不得欺骗、误导用户 | 隐私政策应真实、完整、清晰可读 |
| 透明 | 告知处理规则,明示目的、方式和范围 | 弹窗+隐私政策双重告知 |
| 质量 | 保证个人信息准确、完整 | 允许用户更正错误信息 |
| 安全 | 采取必要保障措施 | 加密、访问控制、备份等 |
个人信息处理的法律基础(七种合法情形):
敏感个人信息:
敏感个人信息(包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等)的处理,需取得个人单独同意,并告知处理的必要性及对个人权益的影响。
📊 具体例子 — 个人信息处理中的"单独同意":
某电商App计划将用户收货地址共享给合作物流平台:
《个人信息保护法》建立了阶梯式处罚体系:
| 违法程度 | 处罚内容 | 最高额度 |
|---|---|---|
| 一般违法 | 责令改正、警告、没收违法所得 | 100万元以下罚款 |
| 情节严重 | 责令改正、没收违法所得、暂停业务 | 5000万元或上年度营收5% |
| 个人责任 | 对主管人员和其他直接责任人 | 10万—100万元罚款 |
📊 具体例子 — 2025年检察公益诉讼案例:
2025年7月,上海市闵行区检察院发现某医院存在违法处理逝者及其亲属个人信息的行为。经调查,该医院信息管理系统中包括逝者病历、死亡证明等敏感信息,且缺乏必要的访问控制措施。闵行区卫健委依据检察建议对涉案医院作出责令改正、警告、罚款的行政处罚,对涉案医生作出警告、罚款、暂停执业活动的处罚,并调整了疾控信息系统权限设置。本案说明,即使是逝者信息也受《个人信息保护法》保护,医疗机构的信息安全管理已进入严格监管时代。
2025年5月1日起施行的《个人信息保护合规审计管理办法》标志着合规审计进入"可核验时代"。企业合规工作的重点从"有无制度"转向"制度是否运行并留下证据"。
合规审计的"四件套"要求:
2025年6月1日起施行的《人脸识别技术应用安全管理办法》对敏感场景治理提出了刚性要求:
中国对数据出境采取"分类分级+多重路径"的管理思路,仅对重要数据和个人信息实施管控,一般数据可自由跨境流动。
三条合规路径:
| 路径 | 适用条件 | 门槛 |
|---|---|---|
| 数据出境安全评估 | 重要数据出境、累计向境外提供100万人以上个人信息、或1万人以上敏感个人信息 | 向省级网信部门申报→国家网信办评估 |
| 个人信息出境标准合同 | 未达到安全评估门槛的个人信息出境 | 与境外接收方签订标准合同,向省级网信部门备案 |
| 个人信息保护认证 | 通过专业认证机构认证 | 获得认证后可在认证范围内开展出境活动 |
📊 具体数据 — 安全评估实践:
截至2025年3月,国家网信办累计完成数据出境安全评估项目298个,其中:
这一组数据说明:重要数据"不等于"不能出境,约三分之二的重要数据经评估后可依法出境,但需要充分的出境必要性和安全保障措施。
自贸试验区可在国家数据分类分级保护制度框架下制定数据出境负面清单,清单外数据免予申报安全评估、订立标准合同、通过保护认证。截至2025年4月,已覆盖汽车、医药、零售、民航、再保险、深海业、种业等17个领域。
| 维度 | 中国 | EU GDPR |
|---|---|---|
| 基本路径 | 安全评估/标准合同/认证 | 充分性认定/SCCs/BCRs |
| 适用范围 | 重要数据和个人信息 | 所有个人数据 |
| 域外适用 | 对境内自然人提供服务 | 对欧盟数据主体提供服务/监控行为 |
| 罚款上限 | 5000万元或年营收5% | 2000万欧元或全球年营收4% |
| 跨境限制 | 核心数据严格管控 | 充分性认定国家自由流动 |
中国《刑法》中的网络犯罪罪名体系:
| 罪名 | 法律依据 | 典型案例 |
|---|---|---|
| 非法侵入计算机信息系统罪 | 刑法第285条 | 黑客攻击政府网站 |
| 非法获取计算机信息系统数据罪 | 刑法第285条 | 爬虫批量获取用户数据 |
| 破坏计算机信息系统罪 | 刑法第286条 | DDoS攻击 |
| 侵犯公民个人信息罪 | 刑法第253条之一 | 数据公司非法倒卖个人信息 |
| 帮助信息网络犯罪活动罪 | 刑法第287条之二 | 为诈骗团伙提供支付接口 |
| 非法利用信息网络罪 | 刑法第287条之一 | 设立诈骗网站 |
2022年12月1日施行的《反电信网络诈骗法》是中国首部专门针对电信网络诈骗的法律,建立了覆盖金融、通信、互联网三大领域的综合治理体系。2024年,"两高一部"联合发布《关于办理跨境电信网络诈骗等刑事案件适用法律若干问题的意见》,进一步明确跨境电信网络诈骗的法律适用。
📊 数据 — 网络犯罪治理成效:
2024年,公安部共侦办网络违法犯罪案件数万起;关停违法违规网络账号10万余个;拦截诈骗电话数十亿次。尤其在跨境电信网络诈骗领域,中国与多个国家建立了执法合作机制。
2023年8月15日施行的《生成式人工智能服务管理暂行办法》是全球较早的生成式AI专门监管法规之一,采用"包容审慎和分类分级监管"的总体原则。
核心合规要求:
📊 具体例子 — AI训练数据的版权争议:
某AI公司使用网络爬虫收集大量受版权保护的文章训练大语言模型,被版权方起诉。根据《生成式人工智能服务管理暂行办法》第七条,"使用具有合法来源的数据和基础模型"是基本要求,"涉及知识产权的,不得侵害他人依法享有的知识产权"。这一案例凸显了AI训练中数据合规的核心矛盾——训练数据的"量大质优"与"合法来源"之间的平衡。
| 维度 | 中国 | EU(AI Act) | 美国 |
|---|---|---|---|
| 监管思路 | 包容审慎+分类分级 | 风险分级(不可接受→高→有限→最低) | 行业自律+行政令指引 |
| 适用范围 | 面向境内公众提供生成式AI服务 | 所有AI系统(按风险分类) | 侧重联邦机构使用 |
| 高风险要求 | 安全评估、算法备案、内容标识 | 风险评估、人类监督、透明度 | NIST AI风险管理框架 |
| 处罚力度 | 转致《网络安全法》等处罚 | 最高3500万欧元或全球年营收7% | 尚无统一联邦处罚 |
| 跨境限制 | 境外AI服务的限制条款 | 通用AI规范适用于所有提供者 | 暂无明确限制 |
2022年12月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》("数据二十条")发布,提出建立数据资源持有权、数据加工使用权、数据产品经营权"三权分置"的数据产权制度框架。
数据产权的"三权分置":
| 权利类型 | 定义 | 适用场景 |
|---|---|---|
| 数据资源持有权 | 对合法获取的数据资源的控制权 | 企业收集的原始数据 |
| 数据加工使用权 | 对数据进行加工、分析的权利 | 数据分析、AI训练 |
| 数据产品经营权 | 对加工后形成的数据产品的经营权利 | 数据API服务、数据报告销售 |