绿盟数据安全3.0专刊
AI智能总结
绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000 年 4 月,总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市,证券代码:300369。绿盟科技在国内设有 70 多个分支机构,为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 卷首语 数据,作为新时代的重要核心资产,蕴含着巨大价值。在数字经济浪潮席卷全球的今天,数据安全犹如数字时代的 " 生命线 ",正以其前所未有的重要性走向数据“舞台”的中央。 近年来,我国在数据安全领域的法规政策呈现出从顶层设计到细分领域深化、从监管规范到产业培育的多方位覆盖的特点。从 2021 年《数据安全法》和《个人信息保护法》的相继出台,到 2022 年《工业和信息化领域数据安全管理办法(试行)》的发布,再到 2025 年《网络数据安全管理条例》的施行,彰显了我国数据安全法规体系持续完善、与时俱进的发展趋势。其中,关于数据产业发展的法规政策数量也在稳步提升。国家先后发布了“数据二十条”、《“数据要素 X”三年行动计划》、《可信数据空间发展行动计划 (2024-2028 年 )》、《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》等系列法规政策,密集部署促进数据要素和数据安全产业的协同发展。 绿盟科技深入学习理解数据安全政策时势,以持续的技术创新为驱动,积极探索可信数据空间,致力于促进数据要素的安全流通与高效利用。2024 年以来,公司依托 AI 赋能的数据安全保护体系,先后推出多款重磅数据安全产品和解决方案,数据安全综合实力受到国内外认可:发布 CDG 融合版,基于“一体化防护、智能化管控”的理念,为客户实现终端数据安全防护闭环;推出 API 安全监测与审计系统,以敏感数据为核心,帮助客户解决接口流动数据的分类分级与安全治理问题;打造数据安全网关,有机融合多个数据安全原子能力,助力客户快速实现数据分级保护;运用大模型赋能数据分类分级,为数据要素安全流通提供了良好的支撑;基于数据保险箱探索孵化,落地了行业级可信数据空间;14 次入围 Gartner、IDC、Forrester 等知名机构的报告,涵盖数据隐私保护、API 安全、数据安全服务、数据发现与分类分级、数据泄露防护、数据安全治理等多个方面;以综合排名第一的成绩获得国家级权威赛事“数信杯”最具竞争力单位奖第一名…… 本刊汇编了绿盟科技在数据安全领域的最新研究成果与实践经验,热切期盼与业界领导、专家学者和广大同仁共商数据安全发展之策,携手推动数据安全实践迈向新高度。 绿盟科技副总裁陈珂 CONTENTS 市场洞察 《网络数据安全管理条例》解读之合规启示录 运营服务 BG 梁世伟 关键词:网络数据;重要数据;个人信息;数据分类分级; 摘要:2024 年 9 月 30 日,《网络数据安全管理条例》(以下简称《条例》)公开发布,自 2025 年 1 月 1 日起施行。《条例》作为《中华人民共和国数据安全法》(以下简称《数安法》)和《中华人民共和国个人信息保护法》(以下简称《个保法》)颁布后的首部行政法规级文件,进一步细化了网络数据保护的合规要求,为推进网络数据安全治理体系与能力现代化进程提供了更具操作性的法治保障,标志着我国网络数据安全治理迈入了崭新的发展阶段。 一.综合概述 《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《条例》共 9 章 64 条,整体框架如下图所示。 二.十大启示 2.1启示一:数据范围限定在网络但重要数据并不止于此 《条例》中“网络数据”的“网络”指“网络处理与产生”,可理解为电子数据,与《网络安全法》第 76 条衔接。电信、金融等行业优先实践电子化数据处理。而“重要数据定义中仅提“数据”,不限于网络数据,指任何电子或其他方式记录的信息。 据《信息安全技术 重要数据识别指南》(征求意见稿),重要数据描述中的“数据载体”涵盖纸质、生物材料、网络数据等形式,如核电站设计图、关键信息基础设施应急预案等纸质文件也属重要数据。 2.2启示二:在网络安全等级保护的基础上建设数据安全 以前,数据安全常被视为网络安全的一部分,涵盖物理、通信、边界、主机、应用及数据库安全,这在学术、模型、框架层面成立。但在实际工作中,网络安全是数据安全的基础。依《数安法》要求,需在网络安全基础上构建数据安全。首先,数据安全依赖网络安全防护,需优先夯实网络安全能力。其次,当前数据安全聚焦数据处理合规,已超出网络安全所关注的网络攻击与防御范畴。最后,网络安全侧重保障数据的 CIA 三性,而数据安全则在此基础上,更强调数据有效保护与合法利用的平衡及价值转化。 2.3启示三:数据安全工作重点对象是个人信息和重要数据 《条例》第二、三、四章布局精妙,核心在于数据要素流通中,数据安全至关重要,而个人信息与重要数据保护更是重中之重。第二章确立通用安全要求,筑牢数据安全基础 ;第三章细化个人信息保护,弥补《个人信息保护法》执行漏洞;第四章创新构建重要数据保护体系,涵盖识别、监管及处理者义务,全方位保障重要数据安全。此章节设置既全面考量数据安全,又突出重点保护,彰显条例精准施策与周密部署。 2.4启示四:数据分类分级聚焦重要数据和核心数据保护 传统上,数据影响国家安全多指国家秘密。但随数据海量聚集、高速流动,非国家秘密的社会领域数据也开始影响国家安全。这类数据此前无定义、无专门保护,即重要数据保护存在制度缺失。构建数据分类分级制度,旨在弥补此不足。数据分级包括一般、重要、核心数据,核心是识别并保护对国家安全、公共利益等有重要影响的数据。一般数据无特殊限制,可自由流通,包括跨境,这体现了安全与业务发展的平衡。 2.5启示五:对网络数据处理者的个人信息保护合规提示 《条例》第三章专章规定了网络数据处理者处理个人信息的相关义务。从内容上看,《条例》对《个保法》及相关配套规范和标准的内容均有吸纳,主要体现在以下几方面 :一是梳理完善个人信息处理规则,明确提出个人信息采集和提供“双清单”;二是梳理敏感个人信息处理场景,补足敏感个人信息单独同意功能 ;三是个人信息授权同意管理机制,包括拒绝后频繁 征求同意、变更后须重新取得同意等 ;四是健全内部个人信息行权响应机制与工作规范,同时提出了个人信息转移权相关处置要求 ;五是进一步明确了境外网络数据处理者的义务,包括设立专门机构或者指定代表以及报送义务 ;六是重申个人信息保护合规审计要求 ;六是处理 1000 万以上个人信息的需履行重要数据处理者相关义务。 2.6启示六:哪些被称之为重要数据处理者与其法定义务 哪些被称之为重要数据处理者呢,这其实与重要数据的定义和识别有关。重要数据的识别规则虽在多个法律法规及标准文件中出现,但各地区、各行业重要数据目录仍在探索制定中。大多数行业主管部门仅就部分地区部分企业开展重要数据识别试点工作,如工信部的“数安护航”专项行动,涉及重要数据识别试点工作,之后的《促进和规范数据跨境流动规定》则提出了“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,同时也写入《条例》第二十九条 第二款,侧面说明“企业如未被告知或公布涉及处理重要数据,则不构成重要数据处理者”。而针对重要数据处理者法定义务则是在一般数据处理者的基础上进一步强化,如下图所示。 2.7启示七:业务合作方数据安全管理是“要”更是“责” 《条例》有多处条款都讲到了接收方、受托方,这里统一称之为“业务合作方”,是指为受托代理市场销售和提供业务合作、技术支撑、数据服务等可能接触到组织机构数据的外部机构。针对业务合作方的数据安全管理是基础要求更是一份责任,主要包括以下几方面内容。 2.8启示八:网络平台服务提供者作为守门人责任被明确 《条例》第六章专章明确网络平台服务提供者义务,按场景细分为智能终端生产者(预装应用)、第三方服务者、应用分发平台及大型网络平台,并分别规定其义务,大型平台还需履行《个保法》第 58 条义务。 2.9启示九:针对当下热门的新技术新应用进行关切回应 《条例》第七章提出“1+2+X”网络数据安全监管模式,“1”为国家网信部门,“2”含公安、国安及数据管理部门,“X”为各地各部门及主管部门,并明确各层级职责,涵盖风险监测、应急预案、评估与检查等。《条例》第八章“法律责任”涵盖一般及重要数据罚则、国安审查、机关及违法犯罪相关罚则,提出合规激励,借鉴《行政处罚法》“包容、教育”理念,同时细化企业和直接责任人等处罚条款。 2.10启示十:从监督管理和法律责任看监管部门关注重点 《条例》第七章设“1+2+X”网络数据安全监管模式,“1”为国家网信部门,“2”指公安、国安及数据管理部门,“X”为各地各部门及主管部门,并明确各层级职责,含风险监测、应急、评估与检查。《条例》第八章“法律责任”涵盖一般及重要数据罚则、国安审查、机关及犯罪处罚,提出合规激励,借鉴《行政处罚法》理念,同时细化企业及直接责任人等处罚条款。 三.结束语 随着国家政策、监管要求的不断明晰,网络数据处理者在数据安全和个人信息保护方面的工作必须从最初的建设思维转变为落地执行和运营思维。过去从零开始搭建的合规体系已无法满足当前和未来的合规要求。因此,我们建议网络数据处理者以《条例》为契机建立专项项目,全面审视数据安全具体实践,包括组织机构、制度流程、人员能力、技术工具,并开展个人信息保护专项工作,制定重要数据的合规应对策略,以确保网络数据处理者的稳健和安全发展。 可信数据空间研究与实践指引 总体技术部 曹雅楠 关键词 :可信数据空间 ;数据要素 ;可信连接器 ;可信数据服务平台 ; 摘要 :可信数据空间是应对数据流通共享中数据泄露、权属模糊和流通壁垒的新兴数据基础设施。本文以数据流通利用全流程可信可控为目标,提出“可信连接器 + 可信数据服务平台”的技术方案,并介绍了实践案例,旨在助力可信数据空间从技术验证迈向产业落地,为推动数据要素高效配置、赋能数字经济高质量发展,构建安全可控、互操作的数据流通环境,实现“可用不可见、可控可计量”。 一.概述 1.1可信数据空间的概念提出 中国数字经济规模近年来快速增长,数字经济规模持续壮大,数据已成为关键生产要素,其价值释放依赖于安全、可信的流通环境。然而,数据孤岛、隐私泄露和安全风险等问题严重制约了数据的市场化配置和创新应用。在此背景下,构建可信数据空间成为推动数据要素高效流通、保障数据安全与隐私、促进数字经济高质量发展的重要战略举措。 为了促进数据要素价值化市场化,国家整体布局数据基础设施建设,可信数据空间是其中很重要的组成部分,为跨层级、跨地域、跨系统、跨部门、跨业务的数据流通利用提供安全可信环境。 按照官方定义,可信数据空间 [1] 是基于共识规则,联接多方主体,实现数据资源共享共用的一种数据流通利用基础设施。它是数据要素价值共创的应用生态,是支撑构建全国一体化数据市场的重要载体。其核心能力包括 :数据可信管控、资源交互能力、价值共创能力。可信数据空间的核心思想是以“可信可控”创造安全的数据流通利用空间,从而促进数据价值的发挥。 1.2可信数据空间的战略意义 可信数据空间的战略意义在于其为数据要素的市场化配置、数字经济的发展以及国家数据安全的保障提供了坚实的基础。通过构建可信、安全的数据流通环境,可信数据空间不仅能够推动经济的数字
