现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
网络安全与等保
最后更新:2026-04-05 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 网络安全 | 重要数据保护
核心法条
- 《网络安全法》第 21 条:国家实行网络安全等级保护制度,网络运营者应当按照等级保护要求履行安全保护义务 [现行有效]
- 《网络安全法》第 31 条:关键信息基础设施的范围——公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域 [现行有效]
- 《网络安全法》第 37 条:关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当本地化存储 [现行有效]
- 《网络安全法》第 38 条:关键信息基础设施运营者应当自行或委托开展网络安全检测评估 [现行有效]
- 《网络安全法》第 41-44 条:网络个人信息收集使用规则 [现行有效]
- 《关键信息基础设施安全保护条例》(2021 年 9 月 1 日起施行):CIIO 认定、保护义务、法律责任 [现行有效]
- 《网络安全审查办法》(2023 年修订):网络安全审查的范围、条件和程序 [现行有效]
- 《企业数据合规指引》第 16-18 条:个人信息处理规则、第三方数据责任 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、网络安全等级保护制度
1.1 制度基础
《网络安全法》第 21 条确立了我国网络安全等级保护制度(即"等保 2.0"体系),是所有网络运营者必须履行的法定义务。该制度要求网络运营者根据网络的重要程度和安全风险,按照国家规定采取相应的安全保护措施。
1.2 五个等级
网络安全等级保护分为五个等级,各等级的保护要求递增:
| 等级 | 名称 | 适用对象 | 核心要求 |
|---|---|---|---|
| 一级 | 自主保护级 | 小型非敏感系统 | 自主进行基本安全保护 |
| 二级 | 指导保护级 | 一般信息系统 | 在等级保护制度指导下实施安全措施,需测评 |
| 三级 | 监督保护级 | 重要信息系统(金融、医疗、教育等) | 接受监管部门监督,定期测评(每年一次以上) |
| 四级 | 强制保护级 | 涉及国家安全的重要系统 | 强制性保护措施,定期测评(每半年一次以上) |
| 五级 | 专控保护级 | 国家核心系统 | 专控保护,最高等级安全措施 |
1.3 等级保护的义务体系
等保 2.0 体系下,网络运营者的安全保护义务包括:
- 安全管理制度:制定内部安全管理制度和操作规程,确定网络安全负责人
- 技术防护:采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施
- 监测与日志:采取监测、记录网络运行状态、网络安全事件的技术措施,日志留存不少于六个月
- 数据分类与备份:采取数据分类管理、备份和加密等技术措施
- 应急预案:制定网络安全事件应急预案并定期演练
二、关键信息基础设施安全保护
2.1 CIIO 的认定
《关键信息基础设施安全保护条例》明确了关键信息基础设施运营者(CIIO)的认定标准:
行业范围:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。
认定标准:综合考虑网络设施一旦遭到破坏、丧失功能或者数据泄露可能造成的危害程度:
- 国家安全维度:是否对国家安全造成严重威胁
- 经济影响维度:是否对国计民生造成重大影响
- 公共利益维度:是否对公共利益造成严重损害
2.2 CIIO 的专门保护义务
与一般网络运营者相比,CIIO 承担更严格的保护义务:
| 义务类型 | 一般网络运营者 | CIIO |
|---|---|---|
| 等级保护 | 按规定执行 | 在等保基础上强化保护 |
| 本地化存储 | 无强制要求 | 必须境内存储个人信息和重要数据 |
| 安全评估 | 建议开展 | 自行或委托开展(第 38 条) |
| 数据出境 | 按分类分级管理 | 强制安全评估(第 37 条) |
| 网络安全审查 | 符合条件时申报 | 影响或可能影响国家安全时必须申报 |
| 安全管理机构 | 建议设置 | 强制设置,指定安全负责人 |
2.3 网络安全审查
依据《网络安全审查办法》(2023 年修订),以下情形须申报网络安全审查:
- CIIO 采购网络产品和服务:影响或可能影响国家安全的
- 数据处理者开展数据处理活动:影响或可能影响国家安全的
- 掌握超过 100 万用户个人信息的运营者赴国外上市:须向网络安全审查办公室申报
网络安全审查重点评估:
- 产品和服务使用后带来的国家安全风险
- 关键信息基础设施被非法控制、干扰或破坏的风险
- 核心数据、重要数据或个人信息被泄露的风险
三、网络安全防护的法律责任
3.1 违反等保义务的法律后果
| 违法情形 | 法律依据 | 处罚 |
|---|---|---|
| 未履行等级保护义务 | 《网络安全法》第 59 条 | 责令改正,给予警告;拒不改正的,处 1-10 万元罚款 |
| 造成严重后果 | 《网络安全法》第 59 条 | 处 10-100 万元罚款,对直接负责的主管人员处 1-10 万元罚款 |
| 拒不履行信息网络安全管理义务 | 《刑法》第 286 条之一 | 三年以下有期徒刑、拘役或者管制,并处或者单处罚金 |
| 关键信息基础设施运营者未设安全管理机构 | 《关键信息基础设施安全保护条例》 | 责令改正,给予警告 |
3.2 个人信息违法收集使用的法律责任
| 违法情形 | 法律依据 | 处罚 |
|---|---|---|
| 违反必要原则收集使用个人信息 | 《网络安全法》第 64 条 | 责令改正,可根据情节单处或者并处警告、没收违法所得、罚款 |
| 情节严重者 | 《个人信息保护法》第 66 条 | 最高 5000 万元或上年度营业额 5% 罚款,吊销营业执照 |
| 强制收集人脸等生物特征信息 | 《最高法人脸识别司法解释》 | 构成侵权,承担民事责任 |
四、等保与数据安全的衔接
4.1 等保是数据安全的底线要求
《数据安全法》第 27 条明确要求,利用互联网等信息网络开展数据处理活动的,应当在网络安全等级保护制度的基础上履行数据安全保护义务。这意味着:
- 等保是前置条件:完成等保测评是开展数据处理活动的基本前提
- 数据安全法是增强要求:在等保基础上,还需满足数据安全分类分级、风险评估等专门义务
- 个人信息保护法是特别要求:处理个人信息的,还需满足个人权利保护、告知同意等专门规则
4.2 三级联动的合规框架
| 层级 | 核心法律 | 合规重点 |
|---|---|---|
| 等保底线条 | 《网络安全法》 | 网络基础设施安全防护 |
| 数据增强线 | 《数据安全法》 | 数据分类分级、风险评估、出境管理 |
| 个人信息保护线 | 《个人信息保护法》 | 合法性基础、告知同意、个人权利 |
4.3 合规实务清单
- 网络资产盘点:全面梳理信息系统、网络平台、数据资产清单
- 等级定级:按照国家规定确定信息系统安全保护等级
- 测评整改:完成等保测评,对发现的问题进行整改
- 安全负责人:指定网络安全负责人和关键信息基础设施安全负责人
- 日志留存:确保网络日志留存不少于 6 个月
- 数据分类分级:按照国家及行业目录对数据进行分类分级
- 出境合规:涉及数据跨境传输的,严格走安全评估程序
- 审查申报:符合条件的采购、数据处理活动、国外上市,及时申报安全审查
- 应急预案:制定网络安全事件应急预案并定期演练
- 持续评估:定期开展安全检测评估
五、与个人信息保护的交叉
5.1 网络运营者 vs 个人信息处理者
| 维度 | 网络运营者(网络安全法) | 个人信息处理者(个保法) |
|---|---|---|
| 范围 | 网络运营者/服务提供者 | 所有处理个人信息的组织和个人 |
| 核心义务 | 等保义务、日志留存、安全管理 | 合法性基础、告知同意、数据最小化 |
| 交叉场景 | 收集用户注册信息、日志数据 | 处理用户个人信息的全部场景 |
5.2 生物特征信息的特殊保护
- 《网络安全法》框架下:网络运营者收集生物特征信息须经个人同意
- 《最高法人脸识别司法解释》框架下:处理人脸信息须取得单独同意,不得强制收集
- 《企业数据合规指引》第 18 条:利用生物特征进行身份认证须评估必要性和安全性,宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所收集使用须严格遵守法律规定
知识库原始资料索引
法律法规
- 中华人民共和国数据安全法
- 关键信息基础设施安全保护条例
部门规章
- 网络安全审查办法(2023 年修订)
- 常见类型移动互联网应用程序必要个人信息范围规定
地方指引
- 企业数据合规指引(上海市杨浦区)
- 深圳市律师数据合规法律服务产品