文章总结： 文档解析《网络安全法》第二十三条兜底条款，指出其具有承接性与动态扩展属性，将数据安全法等上位法及行政法规纳入合规体系。该条款否定了单法合规误区，明确不知法不免责，要求网络运营者履行数据分类、关基保护等动态义务。建议建立法律义务清单，实施跨法域主题式合规，以等级保护为基础实现持续合规。 综合评分： 88 文章分类： 政策法规,安全建设,解决方案

《网络安全法》第二十三条第（五）项合规分解：与其他法律的连接器

原创

何威风 何威风

河南等级保护测评

2026年3月10日 00:01 河南

| | | — | | 《网络安全法》第二十三条（五）法律、行政法规规定的其他义务。 |

一、条款性质：兜底性、承接性法律义务

“法律、行政法规规定的其他义务”并不是一句空话，是在立法结构中具有三重属性：

1.兜底条款防止网络安全义务被“列举穷尽”，避免因技术或业态变化出现监管空白。

2.承接条款将网络安全法与后续、配套、专项法律法规“无缝衔接”。

3.动态扩展条款义务范围随法律、行政法规更新而自动扩展，无需修改本法。

换句话说：这是一条“会自动生长”的安全义务条款。

二、“其他义务”——法律层级拆解

1️、上位法律义务

主要包括（但不限于）：

o 《中华人民共和国国家安全法》

o 《中华人民共和国数据安全法》

o 《中华人民共和国个人信息保护法》

o 《中华人民共和国密码法》

o 《中华人民共和国保守国家秘密法》

o 《中华人民共和国突发事件应对法》

o ……

这些法律中的网络安全、数据安全、信息保护义务，通过本条款自动并入网络运营者义务体系。所以，网络安全等级保护制度之下对应的网络不仅仅是“非涉密网络”，是所有中国境内所有网络。

2️、行政法规义务（重点风险区）

包括国务院及其授权部门制定的法规，如：

o 《网络安全等级保护条例》（制定中）

o 《关键信息基础设施安全保护条例》

o 《网络数据安全管理条例》

o 《商用密码管理条例》

o ……

o 各地地方人大通过的法规，如《河南省网络安全条例》等

行政法规具有直接可处罚性，是执法最常引用的依据。

3️、部门规章与规范性文件（实践中被引用）

虽然严格意义上不是“法律、行政法规”，但在执法和合规中常被纳入判断依据：

o 行业主管部门发布的实施细则

o 网络安全等级保护配套文件

o 行业数据安全管理办法

三、这条款真正约束的是什么？

它约束的不是“未知义务”，而是三类现实风险：

1️、“只看网络安全法”的合规误区

很多组织的合规思路是：我已经符合《网络安全法》了。但实际上：《网络安全法》只是“入口法”，不是“全集”。该条款直接否定了“单法合规”的可能性，所以网络安全合规从来不是开展等级测评。

2️、“不知不免”的法律风险

由于该条款具有自动引用效力：

o 新出台的行政法规

o 新修订的法律

无需再次告知，即构成义务来源。“不知道”不构成免责理由。很多单位的执行层面的人，总寄希望相关监管部门，发布通知，好给领导汇报。这种认知是非常错误的，同时如果领导对这块“不知道”，是陷领导于未履行一把手负责制，结合《党委（党组）网络安全工作责任制实施办法》，领导未落实网络安全责任，可以被问责的。

3️、行业例外不存在

不论是：国企/民企、传统行业/互联网行业、技术公司/非技术公司。只要是网络都受监管，只要属于网络运营者，该条款均适用。

四、典型“其他义务”实例拆解

以下是执法中常通过本条款追溯的义务类型：

数据与个人信息义务

o数据分类分级

o 重要数据识别与保护

o 个人信息最小必要原则

o 数据出境评估与报备

o ……

关基与重要系统义务

o关键信息基础设施识别与保护

o 定期安全检测与风险评估

o 重大变更报备

o ……

密码与加密义务

o合法使用商用密码（商用密码、普通密码、核心密码）

o 禁止使用未经批准的密码产品

o ……

安全事件义务

o网络安全事件分级

o 及时报告、处置与通报

o 配合调查与取证

o ……

五、这条款如何被“用”？

在实践中，监管部门通常通过以下路径适用本条款：

1.发现具体违法行为

2.定位行为违反某一专项法规

3.通过网络安全法该条款“并案引用”

4.提升违法行为的法律层级与处罚强度

该条款是一个 “法律连接器”，不是独立处罚条款，却是处罚成立的关键支点。

六、合规建议：如何应对这一“无限义务条款”

1️、 建立“法律义务清单”机制

o持续跟踪法律、行政法规更新

o 形成内部义务映射表

2️ 、按“主题”而非“单法”合规

o数据安全主题

o 个人信息主题

o 网络运行安全主题

3️ 、以等级保护为基础，但不止于等保

o等级保护是最低合规底座

o 该条款要求“超出等保”的动态合规能力（其实广义上还是“等级保护”）

“法律、行政法规规定的其他义务”是一条将《网络安全法》变成‘活法’的兜底条款，使网络安全合规成为一项持续、动态、跨法域的责任，而不是一次性达标任务。第二十三条在“等级保护制度”，也让等级保护制度具备了向后兼容的包容性。

到此，《网络安全法》第二十三条具体要求已经分解完成，第二十三条明确“国家实行网络安全等级保护制度”，这个是一个大制度，这个“网络”涵盖“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理”，具体工作区分涉密、非涉密，但是等级保护制度不区分涉密、非涉密。如分级保护在《保守国家秘密法》中，也不称之为“分级保护制度”，不过在自媒体公众号的狂轰滥炸下，把“分级保护”说成与“等级保护制度”对等的“制度”，这个说法是错误的。《网络安全法》第二十三条描述的内容，其实都是等级保护自身及延伸，所以等级保护有广义和狭义之分。广义的等级保护《网络安全法》第二十三条规定的内容，都可以归到等级保护中来。

《网络安全法》第二十三条第（四）项合规分解

《网络安全法》第二十三条第（三）项合规分解

《网络安全法》第二十三条第（二）项合规分解

《网络安全法》第二十三条第（一）项合规分解

《网络安全法》第二十七条合规分解

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 何威风 何威风《《网络安全法》第二十三条第（五）项合规分解：与其他法律的连接器》