绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公 司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设 有 70 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全 线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国 伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程 等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权 法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式 复制或引用本文的任何片断。数据，作为新时代的重要核心资产，蕴含着巨大价值。在数字经济浪潮席卷全球的今天，数据安全犹 如数字时代的 " 生命线 "，正以其前所未有的重要性走向数据“舞台”的中央。 近年来，我国在数据安全领域的法规政策呈现出从顶层设计到细分领域深化、从监管规范到产业培育 的多方位覆盖的特点。从 2021 年《数据安全法》和《个人信息保护法》的相继出台，到 2022 年《工业和 信息化领域数据安全管理办法（试行）》的发布，再到 2025 年《网络数据安全管理条例》的施行，彰显了 我国数据安全法规体系持续完善、与时俱进的发展趋势。其中，关于数据产业发展的法规政策数量也在稳 步提升。国家先后发布了“数据二十条”、《“数据要素 X”三年行动计划》、《可信数据空间发展行动 计划 (2024-2028 年 )》、《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》等系 列法规政策，密集部署促进数据要素和数据安全产业的协同发展。 绿盟科技深入学习理解数据安全政策时势，以持续的技术创新为驱动，积极探索可信数据空间，致力 于促进数据要素的安全流通与高效利用。2024 年以来，公司依托 AI 赋能的数据安全保护体系，先后推出 多款重磅数据安全产品和解决方案，数据安全综合实力受到国内外认可：发布 CDG 融合版，基于“一体化 防护、智能化管控”的理念，为客户实现终端数据安全防护闭环；推出 API 安全监测与审计系统，以敏感 数据为核心，帮助客户解决接口流动数据的分类分级与安全治理问题；打造数据安全网关，有机融合多个 数据安全原子能力，助力客户快速实现数据分级保护；运用大模型赋能数据分类分级，为数据要素安全流 通提供了良好的支撑；基于数据保险箱探索孵化，落地了行业级可信数据空间；14 次入围 Gartner、IDC、 Forrester 等知名机构的报告，涵盖数据隐私保护、API 安全、数据安全服务、数据发现与分类分级、数据 泄露防护、数据安全治理等多个方面；以综合排名第一的成绩获得国家级权威赛事“数信杯”最具竞争力 单位奖第一名…… 本刊汇编了绿盟科技在数据安全领域的最新研究成果与实践经验，热切期盼与业界领导、专家学者和 广大同仁共商数据安全发展之策，携手推动数据安全实践迈向新高度。 绿盟科技副总裁 陈珂卷首语CONTENTS 市场洞察016 数据安全专刊 3.0《网络数据安全管理条例》解读之合规启示录 运营服务 BG 梁世伟 关键词：网络数据；重要数据；个人信息；数据分类分级； 摘要：2024 年 9 月 30 日，《网络数据安全管理条例》（以下简称《条例》）公开发布， 自 2025 年 1 月 1 日起施行。 《条例》 作为 《中华人民共和国数据安全法》 （以下简称 《数安法》 ） 和 《中华人民共和国个人信息保护法》 （以下简称 《个保法》 ） 颁布后的首部行政法规级文件， 进一步细化了网络数据保护的合规要求，为推进网络数据安全治理体系与能力现代化进程提 供了更具操作性的法治保障，标志着我国网络数据安全治理迈入了崭新的发展阶段。 一.综合概述 《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利 用，保护个人、组织的合法权益，维护国家安全和公共利益。 《条例》共 9 章 64 条，整体框 架如下图所示。 二.十大启示 2.1启示一：数据范围限定在网络但重要数据并不止于此 《条例》中“网络数据”的“网络”指“网络处理与产生” ，可理解为电子数据，与《网 络安全法》第 76 条衔接。电信、金融等行业优先实践电子化数据处理。而“重要数据定义 中仅提“数据” ，不限于网络数据，指任何电子或其他方式记录的信息。 7 市场洞察据 《信息安全技术 重要数据识别指南》 （征求意见稿） ， 重要数据描述中的 “数据载体” 涵盖纸质、 生物材料、网络数据等形式，如核电站设计图、关键信息基础设施应急预案等纸质文件也属 重要数据。 2.2 启示二：在网络安全等级保护的基础上建设数据安全 以前，数据安全常被视为网络安全的一部分，涵盖物理、通信、边界、主机、应用及数 据库安全，这在学术、模型、框架层面成立。但在实际工作中，网络安全是数据安全的基础。 依《数安法》要求，需在网络安全基础上构建数据安全。首先，数据安全依赖网络安全防护， 需优先夯实网络安全能力。其次，当前数据安全聚焦数据处理合规，已超出网络安全所关注 的网络攻击与防御范畴。最后， 网络安全侧重保障数据的 CIA 三性， 而数据安全则在此基础上， 更强调数据有效保护与合法利用的平衡及价值转化。 2.3启示三：数据安全工作重点对象是个人信息和重要数据 《条例》第二、三、四章布局精妙，核心在于数据要素流通中，数据安全至关重要，而个 人信息与重要数据保护更是重中之重。第二章确立通用安全要求，筑牢数据安全基础 ； 第三 章细化个人信息保护， 弥补《个人信息保护法》执行漏洞； 第四章创新构建重要数据保护体系， 涵盖识别、监管及处理者义务，全方位保障重要数据安全。此章节设置既全面考量数据安全， 又突出重点保护，彰显条例精准施策与周密部署。 2.4启示四：数据分类分级聚焦重要数据和核心数据保护 传统上，数据影响国家安全多指国家秘密。但随数据海量聚集、高速流动，非国家秘密 的社会领域数据也开始影响国家安全。这类数据此前无定义、无专门保护，即重要数据保护 存在制度缺失。构建数据分类分级制度，旨在弥补此不足。数据分级包括一般、重要、核心 数据，核心是识别并保护对国家安全、公共利益等有重要影响的数据。一般数据无特殊限制， 可自由流通，包括跨境，这体现了安全与业务发展的平衡。 2.5启示五：对网络数据处理者的个人信息保护合规提示 《条例》 第三章专章规定了网络数据处理者处理个人信息的相关义务。从内容上看， 《条例》 对《个保法》及相关配套规范和标准的内容均有吸纳，主要体现在以下几方面 ： 一是梳理完 善个人信息处理规则，明确提出个人信息采集和提供“双清单” ； 二是梳理敏感个人信息处理 场景，补足敏感个人信息单独同意功能 ； 三是个人信息授权同意管理机制，包括拒绝后频繁8 数据安全专刊 3.0征求同意、变更后须重新取得同意等 ； 四是健全内部个人信息行权响应机制与工作规范， 同时提出了个人信息转移权相关处置要求 ； 五是进一步明确了境外网络数据处理者的义务， 包括设立专门机构或者指定代表以及报送义务 ； 六是重申个人信息保护合规审计要求 ； 六是 处理 1000 万以上个人信息的需履行重要数据处理者相关义务。 2.6启示六：哪些被称之为重要数据处理者与其法定义务 哪些被称之为重要数据处理者呢，这其实与重要数据的定义和识别有关。重要数据的识 别规则虽在多个法律法规及标准文件中出现，但各地区、各行业重要数据目录仍在探索制定 中。大多数行业主管部门仅就部分地区部分企业开展重要数据识别试点工作， 如工信部的“数 安护航”专项行动，涉及重要数据识别试点工作，之后的《促进和规范数据跨境流动规定》 则提出了“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重 要数据申报数据出境安全评估” ，同时也写入《条例》第二十九条 第二款，侧面说明“企业 如未被告知或公布涉及处理重要数据，则不构成重要数据处理者” 。而针对重要数据处理者法 定义务则是在一般数据处理者的基础上进一步强化，如下图所示。 2.7 启示七：业务合作方数据安全管理是 “要”更是 “责” 《条例》有多处条款都讲到了接收方、受托方，这里统一称之为“业务合作方” ，是指为 受托代理市场销售和提供业务合作、技术支撑、数据服务等可能接触到组织机构数据的外部 机构。针对业务合作方的数据安全管理是基础要求更是一份责任，主要包括以下几方面内容。