绿盟数据安全3.0专刊

绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有 70 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。数据，作为新时代的重要核心资产，蕴含着巨大价值。在数字经济浪潮席卷全球的今天，数据安全犹如数字时代的 " 生命线 "，正以其前所未有的重要性走向数据“舞台”的中央。近年来，我国在数据安全领域的法规政策呈现出从顶层设计到细分领域深化、从监管规范到产业培育的多方位覆盖的特点。从 2021 年《数据安全法》和《个人信息保护法》的相继出台，到 2022 年《工业和信息化领域数据安全管理办法（试行）》的发布，再到 2025 年《网络数据安全管理条例》的施行，彰显了我国数据安全法规体系持续完善、与时俱进的发展趋势。其中，关于数据产业发展的法规政策数量也在稳步提升。国家先后发布了“数据二十条”、《“数据要素 X”三年行动计划》、《可信数据空间发展行动计划 (2024-2028 年 )》、《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》等系列法规政策，密集部署促进数据要素和数据安全产业的协同发展。绿盟科技深入学习理解数据安全政策时势，以持续的技术创新为驱动，积极探索可信数据空间，致力于促进数据要素的安全流通与高效利用。2024 年以来，公司依托 AI 赋能的数据安全保护体系，先后推出多款重磅数据安全产品和解决方案，数据安全综合实力受到国内外认可：发布 CDG 融合版，基于“一体化防护、智能化管控”的理念，为客户实现终端数据安全防护闭环；推出 API 安全监测与审计系统，以敏感数据为核心，帮助客户解决接口流动数据的分类分级与安全治理问题；打造数据安全网关，有机融合多个数据安全原子能力，助力客户快速实现数据分级保护；运用大模型赋能数据分类分级，为数据要素安全流通提供了良好的支撑；基于数据保险箱探索孵化，落地了行业级可信数据空间；14 次入围 Gartner、IDC、Forrester 等知名机构的报告，涵盖数据隐私保护、API 安全、数据安全服务、数据发现与分类分级、数据泄露防护、数据安全治理等多个方面；以综合排名第一的成绩获得国家级权威赛事“数信杯”最具竞争力单位奖第一名……本刊汇编了绿盟科技在数据安全领域的最新研究成果与实践经验，热切期盼与业界领导、专家学者和广大同仁共商数据安全发展之策，携手推动数据安全实践迈向新高度。绿盟科技副总裁 陈珂卷首语CONTENTS 市场洞察016数据安全专刊 3.0《网络数据安全管理条例》解读之合规启示录运营服务 BG 梁世伟关键词：网络数据；重要数据；个人信息；数据分类分级；摘要：2024 年 9 月 30 日，《网络数据安全管理条例》（以下简称《条例》）公开发布，自 2025 年 1 月 1 日起施行。《条例》作为《中华人民共和国数据安全法》（以下简称《数安法》）和《中华人民共和国个人信息保护法》（以下简称《个保法》）颁布后的首部行政法规级文件，进一步细化了网络数据保护的合规要求，为推进网络数据安全治理体系与能力现代化进程提供了更具操作性的法治保障，标志着我国网络数据安全治理迈入了崭新的发展阶段。一 . 综合概述《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《条例》共 9 章 64 条，整体框架如下图所示。二 . 十大启示2.1 启示一：数据范围限定在网络但重要数据并不止于此《条例》中“网络数据”的“网络”指“网络处理与产生”，可理解为电子数据，与《网络安全法》第 76 条衔接。电信、金融等行业优先实践电子化数据处理。而“重要数据定义中仅提“数据”，不限于网络数据，指任何电子或其他方式记录的信息。7市场洞察据《信息安全技术 重要数据识别指南》（征求意见稿），重要数据描述中的“数据载体”涵盖纸质、生物材料、网络数据等形式，如核电站设计图、关键信息基础设施应急预案等纸质文件也属重要数据。2.2 启示二：在网络安全等级保护的基础上建设数据安全以前，数据安全常被视为网络安全的一部分，涵盖物理、通信、边界、主机、应用及数据库安全，这在学术、模型、框架层面成立。但在实际工作中，网络安全是数据安全的基础。依《数安法》要求，需在网络安全基础上构建数据安全。首先，数据安全依赖网络安全防护，需优先夯实网络安全能力。其次，当前数据安全聚焦数据处理合规，已超出网络安全所关注的网络攻击与防御范畴。最后，网络安全侧重保障数据的 CIA 三性，而数据安全则在此基础上，更强调数据有效保护与合法利用的平衡及价值转化。2.3 启示三：数据安全工作重点对象是个人信息和重要数据《条例》第二、三、四章布局精妙，核心在于数据要素流通中，数据安全至关重要，而个人信息与重要数据保护更是重中之重。第二章确立通用安全要求，筑牢数据安全基础 ；第三章细化个人信息保护，弥补《个人信息保护法》执行漏洞；第四章创新构建重要数据保护体系，涵盖识别、监管及处理者义务，全方位保障重要数据安全。此章节设置既全面考量数据安全，又突出重点保护，彰显条例精准施策与周密部署。2.4 启示四：数据分类分级聚焦重要数据和核心数据保护传统上，数据影响国家安全多指国家秘密。但随数据海量聚集、高速流动，非国家秘密的社会领域数据也开始影响国家安全。这类数据此前无定义、无专门保护，即重要数据保护存在制度缺失。构建数据分类分级制度，旨在弥补此不足。数据分级包括一般、重要、核心数据，核心是识别并保护对国家安全、公共利益等有重要影响的数据。一般数据无特殊限制，可自由流通，包括跨境，这体现了安全与业务发展的平衡。2.5 启示五：对网络数据处理者的个人信息保护合规提示《条例》第三章专章规定了网络数据处理者处理个人信息的相关义务。从内容上看，《条例》对《个保法》及相关配套规范和标准的内容均有吸纳，主要体现在以下几方面 ：一是梳理完善个人信息处理规则，明确提出个人信息采集和提供“双清单”；二是梳理敏感个人信息处理场景，补足敏感个人信息单独同意功能 ；三是个人信息授权同意管理机制，包括拒绝后频繁8数据安全专刊 3.0征求同意、变更后须重新取得同意等 ；四是健全内部个人信息行权响应机制与工作规范，同时提出了个人信息转移权相关处置要求 ；五是进一步明确了境外网络数据处理者的义务，包括设立专门机构或者指定代表以及报送义务 ；六是重申个人信息保护合规审计要求 ；六是处理 1000 万以上个人信息的需履行重要数据处理者相关义务。2.6 启示六：哪些被称之为重要数据处理者与其法定义务哪些被称之为重要数据处理者呢