网络安全2026

卷首语 1.1“十五·五”开局 《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》（以下简称《建议》）从国家安全体系和安全能力建设的视角，明确了未来五年我国网络和数据安全发展的目标和任务体系，可以从战略和战术两个层面进行分析和理解。 首先从战略层面来看。《建议》遵循“统筹发展和安全”的总体国家安全观基本纲领，并着重明确将“防范化解各类风险，增强经济和社会韧性”作为未来五年安全发展的主线。作为国家安全重要构成的网络和数据安全，其发展也必然服务于这一主线，协同致力于以新安全格局保障新发展格局。 其次从战术层面来看。《建议》对于网络和数据安全的规划部署主要涉及以下四个细分领域。 一是加快科技自立。技术的自主和自立是网络和数据安全的重要动力，《建议》提出强化关键核心技术攻关，其中的集成电路、基础软件等都是网络和数据安全的重要基础技术领域。《建议》结合数字中国建设，提出构建开放共享安全的全国一体化数据市场，这无疑将成为数据要素基础制度建设的重点任务之一。另外，人工智能等数智技术创新也是《建议》明确的赋能安全重要方向。 二是健全安全体系。《建议》强调了国家安全体系的构成，即法治体系、战略体系、政策体系、风险防控体系，这为网络和数据安全体系化发展给出了明确对标框架。《建议》同时也强调了国家安全重点领域和重要专项协调机制的建设，具体到网络和数据安全领域而言，包括但不限于管理协调机制、安全审查协调机制、数据保护协调机制等等。 三是加强安全能力。《建议》对于十五·五时期网络数据安全能力的任务，明确了两个方面。包括：安全基础保障方面的重要产业链供应链安全、重大基础设施安全；以及新兴领域的网络、数据、人工智能、低空等安全能力建设。 四是强化安全治理。《建议》从网络和数据安全综合施策协同治理的角度，明确了重点治理任务包括：加大预防和打击电信网络诈骗、深化网络空间安全综合治理，加强个人信息保护等。 1.2国内网络安全政策发展 1.2.1年度综述 首先，从行业分布来看，发布数量占比较多的包括：网信（36.6%）、数据（15.3%）、工信（13.8%）、金融（5.7%）、密码（2.1%）、能源（1.8%）等行业。其中尤为值得关注的是，随着数据要素管理机制的逐步健全，我国数据行业法规制度体系在今年呈现了迅猛的增长势头，实现了从数据要素理论体系向现实管理制度体系的快速转化。目前我国数据制度体系已涵盖数据权属、数据流通、数据交易、数据基础设施等多个方面。 其次，从内容领域来看，发布数量占比靠前的包括：网络安全（19.6%）、数据安全（18.7%）、数据要素（16.5%）、人工智能（11.7%）、技术产品管理（11.4%）、个人信息保护（8.1%）等领域。 在这些内容板块中，各自又包含了许多不同的细分子领域，一定程度上可反映不同领域在网络安全建设中所处的不同阶段，以及其对于安全关注的不同侧重。 1.网络安全。侧重点包括网络安全事件管理、网络安全等级保护、关键基础设施网络安全、网络安全分类分级、网络安全人才和素养、卫星及无线电网络安全等。涉及的行业主要包括工业、通信互联网、金融、应急、安全等。 2.数据安全。侧重点包括数据流通安全、数据出境安全、数据隐私技术、数据内容安全、数据合规监管、数据共享安全等。涉及的行业主要包括金融、能源、政务、卫健、自然资源、商贸等。 3.个人信息保护。侧重点包括个人信息出境认证保护、个人信息保护合规审计、人脸识别技术应用管理、敏感个人信息安全管理、未成年人个人信息保护等。涉及的主要行业包括网信、市监、通信、医疗、民政、公安等。 4.数据要素。侧重点包括可信数据空间、高质量数据集、一体化算力网、数据基础设施体系、数据资产管理、公共数据资源开发运营、数据开放共享、数据产权和流通交易等。涉及的行业主要包括财政、物流、数据、工信等。 5.人工智能。侧重点包括人工智能标识管理、人工智能安全治理框架、人工智能备案管理、人工智能技术测评、政务大模型应用、人工智能科技伦理管理等。涉及的行业主要包括政务、交通、教育、能源、知识产权、气象等。 此外，网络空间治理、数字经济、网络安全专项资金管理、网络安全国际合作等也是我国2025年度网络安全法规政策的重要关注领域。 1.2.2热点政策法规分析解读 1.2.2.1【网络安全】《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号） 2025年4月27日，公安部发布《关于对网络安全等级保护有关工作事项进一步说明的函》（公网安〔2025〕1846号）。该文件是对2025年3月8日发布的《关于进一步做好网络安全等级保护有关工作的函》（公网安〔2025〕1001号）的进一步补充说明，文件内容涉及等保业务的重大更新调整及说明，要求各级单位深化系统备案更新、数据资源摸底及风险整改，并对部分关键问题进行了指导说明。 绿盟简评： （一）主要内容 1846号文件的主要内容是以问答形式对1001号文件的要求给出细化和解释说明。文件附件《关于进一步做好网络安全等级保护有关工作的问题释疑》包含24条问答，其内容可以概括为五个方面。一是系统备案动态更新工作要求，包括备案管辖、备案证明有效期等；二是第五级信息系统定级工作要求，包括定级范围、测评依据、测评频次等；三是数据摸底调查工作要求，包括数据摸底的必要性、《数据摸底调查表》如何填写和报送等；四是风险隐患排查工作要求，包括高风险判定依据、与重点风险隐患的关系等；五是制定保护方案工作要求，包括方案的范围和内容、方案涉及资产的上报时间等。 （二）主要变化 与此前的等保备案工作相比，1846号文件主要呈现以下5个方面的不同。 1.备案工作增加了数据摸底调查专项内容。2.将等保测评结论由此前的百分制评分改为三类结论模式（符合、基本符合、不符合）。3.测评报告模板新增“重大风险隐患及整改情况”附录，体现从“合规达标”向“动态防护”目标思路的转变。4.测评报告模板部分具体要求的变化，如渗透测试细化、被测系统内部安全域双维度拓扑展示、风险评估标准更新等等。5.测评报告模板对部分章节的问题描述和风险分析内容进行了更细化的阐述。 （三）重要影响 一是进一步强化了关基和等保的衔接。《网安法》中明确规定了“对关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”（第31条）；2020年公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，则进一步强化了二者关联的协同保护要求。 二是进一步强调和明确了关基认定的依据。《网安法》规定“关键信息基础设施的具体范围和安全保护办法由国务院制定”（第31条）；而落实层面的《关基条例》对关基的认定则仅给出了“范围列举+授权认定”的框架方法（第2条、第9条）。而此次发布的1846号文件及此前发布的1001号文件，明确指出“将第五级信息系统作为关键信息基础设施认定的重要因素”。虽然文件也明确二者“并不是等同关系”，但这无疑为关基认定提供了一个重要且具有很强实践基础和操作性的认定依据。 三是等保备案更新工作的启动，对于相关的数据安全保护、关键信息基础设施保护工作或将产生综合影响。等保工作作为我国网络安全领域跨行业、跨领域的最重要 网络安全运行制度之一，自2007年实施已近二十年，且该制度自身也经历了持续的更新发展。从网络安全保障要素的角度看，等保制度已基本囊括了我国网络安全保障的主要合规要素；从工作机制来看，等保积累形成了较为体系化的工作和管理机制。因此，在等保备案更新工作推进的同时，进一步加强等保机制与网络安全其他工作机制之间的协同配合，无论对于促进国家网络安全保障能力和体系提升、还是对于推进网络安全产业的纵深发展，都会产生重要影响。 1.2.2.2【数据安全】《数据出境安全评估申报指南（第三版）》 2025年6月27日国家网信办发布《数据出境安全评估申报指南（第三版）》。《指南》对数据处理者申报数据出境安全评估需要提交的相关材料进行了优化简化，明确数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容。《指南》规定，数据处理者因业务需要向境外提供重要数据和个人信息，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》和《促进和规范数据跨境流动规定》，按照申报指南申报数据出境安全评估。评估结果有效期届满，符合申请延长评估结果有效期条件的，数据处理者可以在有效期届满前60个工作日内提出延长评估结果有效期申请。 绿盟简评： （一）法规政策脉络简要回顾 回顾我国数据出境安全评估制度的法律法规脉络，可以大致归纳为三个层面。 一是法律层面。数据出境安全评估制度的上位法依据，主要包括《网络安全法》第37条、《数据安全法》第31条、《个人信息保护法》第40条三部分。这些上位法对于重要数据和个人信息的出境安全评估做出了制度授权并预留了法规细化空间。 二是规章政策层面。数据出境安全评估制度的细化和统一，历经多次调整演变。先后经历了《个人信息和重要数据出境安全评估办法（征求意见稿）》（2017）、《个人信息出境安全评估办法（征求意见稿）》（2019）、《数据出境安全评估办法（征求意见稿）》（2021）三个主要文件。2022年正式发布的《数据出境安全评估办法》，可谓是该制度在规章层面的集大成者。它实现了数据出境安全管理制度的两个统一：一是将个人信息、重要信息出境纳入统一管理，明确数据出境评估的范畴；二是将“关键基础设施重要数据”和其他重要数据纳入统一管理，不再区分适用不同规则。 2024年《规范和促进数据跨境流动规定》的发布将数据出境安全评估制度做了进一步优化完善。也奠定了现行数据出境安全评估依据“1办法+1规定”的基本格局。 三是在管理规范层面。国家网信办发布并持续更新了三版《数据出境安全评估申报指南》，从实际操作角度确保数据出境安全评估制度的切实落实和实施。 （二）内容要点和变化 从内容上看，《数据出境安全评估申报指南（第三版）》有以下几处主要变化。 一是框架调整。新版指南保留了第二版的“适用范围”、“申报方式及流程”、“咨询、举报联系方式”三个章节；增加了“申请延长评估结果有效期”一个章节。此外，新版指南还将第二版的“申报材料”章节合并到申报方式和流程中，作为一个独立条款。 二是内容优化。新版指南结合申报方式和流程要求，重点对在线申报系统的使用方法和流程做了较大篇幅的细化和明确。此外，还对数据处理者申请延长数据出境安全评估结果有效期的条件、流程、材料等内容用专门章节进行了明确。 另外，新版指南还对正文及附件材料的部分内容的表述进行了优化简化调整。 （三）影响思考 首先，新版指南的出台，进一步提升了申报数据出境安全评估的便利性，其对相关内容的简化明确，也有助于减轻数据处理者相关申报负担。 其次，在牵引行业发展方面，新版指南也将起到积极的市场推动作用。 一是促进数据出境安全评估等服务供给。一方面可促进面向数据处理者的专业化数据出境安全服务发展，如数据出境自评估咨询、出境数据资产审计等。另一方面，可促进面向数据评估专业机构的支撑服务供给，如出境重要数据识别服务、数据出境安全事件处置等方案和产品研发等。此外，还能促进数据安全出境相关培训服务的发展。 二是拉动数据出境安全监管支撑需求。数据出境安全评估市场的稳定发展，离不开国家相关职能部门监管机制和手段的健全完善，这无疑会扩大对监管支撑相关服务的需求。主要包括：数据出境风险监测、敏感数据威胁情报支持、数据出境安全协同管理平台等等。 1.2.2.3【个人信息保护】《个人信息出境认证办法》 2025年10月14日，国家互联网信息办公室与国家市场监督管理总局联合发布《个人信息出境认证办法》，自2026年1月1日起正式实施。该办法作为《个人信息保护法》的重要配套规定，明确个人信息出境认证的适用情形、申请流程及监管要求。此举将规范个人信息出境活动，在保障个人信息权益的前提下促进数据跨境安全有序流动。 绿盟简评： （一）背景简析 个