修订后的《中华人民共和国网络安全法》于2025年10月1日正式生效，此次修订是该法自2017年实施以来的首次重大调整，重点强化了企业数据安全责任、扩大了保护范围、提高了违法成本，对企业网络安全合规提出了更高要求。

首次明确"一把手负责制"：企业负责人承担主体责任

新规最突出的变化是首次明确了企业数据安全"一把手负责制"，要求企业主要负责人（法定代表人或实际控制人）对本单位网络安全和数据安全负主体责任。企业需设立数据安全管理岗位，配备专职人员，并将数据安全纳入企业重要议事日程和年度考核范围。

同时要求企业制定数据安全管理制度和操作规程，定期开展数据安全风险评估（每年至少一次），并将评估报告报送行业主管部门。对于重要数据和核心数据，需建立"双人负责制"和"权限最小化"管理机制，防止数据泄露和滥用。

保护范围扩大：间接个人信息纳入保护范畴

新规扩大了数据安全保护范围，首次将"间接个人信息"（如用户画像、消费习惯、行为轨迹等可用于识别特定个人的数据）纳入保护范畴，要求企业对这类数据采取与直接个人信息同等的保护措施。

针对数据跨境传输，新规进一步收紧了管理要求：关键信息基础设施运营者向境外提供重要数据，需通过国家网信部门组织的安全评估；非关键信息基础设施运营者向境外提供个人信息，需确保接收方具备相应的数据保护能力，并签订数据安全保护协议。

处罚力度加大：最高可处年营业额5%罚款

为提高违法成本，新规大幅提高了处罚标准：对违反数据安全管理规定的企业，可处5万元以上500万元以下罚款；情节严重的，处500万元以上罚款，或处上一年度营业额5%的罚款，并可责令暂停相关业务、停业整顿、吊销相关许可证或者吊销营业执照。

对直接负责的主管人员和其他直接责任人员，可处1万元以上10万元以下罚款；情节严重的，处10万元以上100万元以下罚款，并可禁止其在一定期限内担任相关企业的董事、监事、高级管理人员。

企业应对建议：三个月合规整改期

考虑到企业适应新规需要时间，监管部门设置了三个月的合规整改期（至2025年12月31日）。期间将以指导、培训、提醒为主，2026年1月1日起正式严格执法。

专家建议企业从三方面着手准备：一是开展数据安全自查，梳理数据资产并分类分级；二是完善管理制度和技术防护措施，特别是针对间接个人信息的保护；三是加强人员培训，提升全员数据安全意识。

数据安全服务机构数据显示，9月以来企业数据安全咨询需求同比增长300%，数据安全评估、合规体系建设、技术防护方案等服务订单量增长250%，显示企业对新规的高度重视。