回顾2024年我国的网络安全与数据合规情势，数字经济蓬勃发展，无论是从相关法规规范的发展， 还是各类交易市场、交易模式的建立都体现出数字经济的重要性。与此同时，数据安全、网络安全、个人信息以及人工智能监管成为社会关注的重要议题。这一年我国一系列的立法和技术标准的颁布执行，加强了数据合规管理，强化了个人信息司法保护，保障了国家数据安全与网络安全。人工智能以及数据要素市场技术安全边界、服务规范和运行规则日渐清晰。本文将简要回顾2024年数据合规的重要监管进展，并展望2025年数据合规的发展，以期明确未来的合规工作方向。

2024年，“数据”作为“第五生产要素”持续受到社会广泛关注，我国无论是从政策制定层面还是具体执行层面，自上而下都进行了积极的探索。

2022年12月颁布的《关于构建数据基础制度更好发挥数据要素作用的意见》（“《数据二十条》”），为数据产权、流通、收益、治理等内容的纲领性制度。2024年1月1日，财政部发布的《企业数据资源相关会计处理暂行规定》开始实施后，数据资源入表开始进入快车道，相关案例日渐增多。

政策层面，2024年从中央到地方，出台了各类政策规范以推动数据要素的流动、数据资产入表。2024年中央层级颁布的重要政策规范包括：

1.2024年2月5日，财政部发布《关于加强行政事业单位数据资产管理的通知》，主要目的是加强行政事业单位数据资产管理，以释放数据资产价值 ，推动数字经济发展。

2.2024年2月29日，中国银行业协会发布《银行业数据资产估值指南》，主要解决商业银行数据资产价值难以衡量等问题，从而为数据资产估值体系的全面构建及落地提供实践参考，推动数据要素市场科学有序发展。

3.2024年9月21日，中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》，中央层面首次对公共数据资源开发利用工作进行系统部署，推动公共数据进入数据要素市场。

4.2024年11月，财政部会计司发布了《数据资源会计处理实施问答》，回复重点聚焦于，当数据资源被确认为无形资产时，如何精准区分研究阶段支出与开发阶段支出。

5.2024年12月，财政部公布了《数据资产全过程管理试点方案》，要求开展数据资产全过程管理试点，形成数据资产管理全过程工作指引，试点范围包括三大类，即中央部门、中央企业和地方财政部门。

地方层面，各省市财政以及国资委纷纷发布关于数据资产管理以及数据资产评估的地方规范性文件。例如北京市财政局发布《关于加强本市数据资产管理的通知》，上海市财政局发布《关于进一步加强本市数据资产管理的通知》， 上海国资委发布《上海市国有企业数据资产评估管理工作指引（试行）》以及深圳市财政局发布《关于加强企业数据资源相关会计处理的通知》等。

从市场发展角度，虽然《数据二十条》明确了数据产权“三权分置”的运行机制，各类数据交易场所以及数据流通机制积极建立，然而，就当前国内数据交易规模而言，无论是场内还是场外，相较于数据要素市场潜能而言仍处于初期发展阶段[1]。总体来看，2024年数据要素在立法和实践方面取得了积极进步，但是只有尽快推动立法层级数据确权，数据市场才会有更为大规模的发展。

“重要数据”这一概念对于数据跨境中路径的识别以及其他重要的数据处理义务具有重要作用，虽然这一概念系在2016年《网络安全法》中首次出现，但是之后很长一段时间内，该概念内涵及外延并未有正式规范，如何识别“重要数据”成为业内的合规难题。

2021年10月1日起施行的《汽车数据安全管理若干规定（试行）》首次在正式发文中定义“重要数据”的数据范围，但是这一界定范围仅针对汽车行业[2]。后续2022年7月生效的《数据出境安全评估办法》等规范性文件虽然采用了类似角度，即从“存在直接危害后果可能性”进行判断，但仍缺乏具体的识别标准供实践参考。期间，推荐性国家标准《信息安全技术 重要数据识别指南》（征求意见稿）也数易其稿。

《促进和规范数据跨境流动规定》（下称“《数据跨境规定》”）2024年3月正式生效，根据其第二条和第六条，数据处理者向境外提供负面清单外的数据或未被主管部门认定为重要数据的数据可以免予申报数据出境安全评估。虽然这一规定缓解了“重要数据”认定的急迫性，但是“重要数据”的明确定义仍然缺失。

直至《网络数据安全管理条例》（下称“《数安条例》”）颁布以及2024年10月1日开始实施的GB/T43697-2024《数据安全技术 数据分类分级规则》（下称“《分类分级国标》”），这一关键性概念才清晰可行。

首先，《数安条例》第六十二条首次在行政法规层级，对“重要数据”进行明确定义，“特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。

《数安条例》第二十九条要求“各地区、各部门应当按照数据监管层面，在电信、互联网、工信（含汽车）等领域持续深化重要数据识别、备案的试点工作。根据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护”，进一步在行政法规层面明确了重要数据目录的制定来源。

值得注意的是，并非只要数据尚未出现在重要数据目录中，就一概认定为非重要数据，各数据处理主体有义务结合本机构、行业以及地域特点进行自我识别和判断，特别是在目前并非所有行业、领域的重要数据目录均完备的情况下，《分类分级国标》可以协助数据处理者对于数据分级分类形成较为清晰的认知。

重要数据不仅在数据跨境场景的合规义务辨识中具有重要作用，《数安条例》亦为重要数据处理者设定一系列义务，包括组织人员设置、与重要数据接收方合作的合规要求（如风险评估、签署合同、监督合作方、保存处理记录至少三年）、重要数据处理者变更后的报告义务以及重要数据处理者的年度风险评估义务等。而且《数安条例》生效前，已经有一系列规范性文件，例如《工业和信息化领域数据安全管理办法（试行）》《会计师事务所数据安全管理暂行办法》等对于重要数据委托处理、风险评估以及存储提出了要求。

2024年3月《数据跨境规定》正式实施。在此规范性文件实施之前，中国境内数据处理者处理数据跨境传输只有三条路径：数据出境安全评估、标准合同备案，以及个人信息保护认证。但是在这一监管体制下，数据出境的触发门槛过低，且实务中显示申报材料及流程也有诸多要求需要明确、细化。

在2024年数据跨境领域“建立高效便利安全的数据跨境流动机制”的总政策趋势下[3]，《数据跨境规定》为数据跨境提供了诸多便利。首先，该规定大幅提高了跨境申报触发门槛，针对非敏感个人信息出境，将原先10万人提升至100万，同时规定了10万人以下即属豁免[4]。此外，统计时间由原有自上年1月1日计算的方式调整为当年1月1日，在计算人数时一个自然人的个人信息多次出境，只计算为一个自然人，大幅减轻计算人数上的难度。

其次，《数据跨境规定》还列明了一系列豁免适用数据出境监管的数据出境活动场景[5]，反映到实务中，被讨论最多的跨境业务企业集团人力资源统一管理，或企业开展跨境生产营销活动等产生的数据出境活动，将被豁免[6]。

同时，跨境申报涉及的相关报告以及流程大幅优化，其中个人信息保护影响评估报告模板简化，删除了评估工作情况、数据安全保证能力以及境外网络安全数据保护法律评估内容，申报数据出境安全评估、备案个人信息出境标准合同流程更改为登录数据出境申报系统集中申报[7]。

配合《数据跨境规定》，粤港澳大湾区以及各地自贸试验区也出台了一系列政策文件促进区域内企业数据跨境流动：

继香港特别行政区后，澳门特区政府和国家网信办于2024年9月签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，并随后联合发布了《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》。该指引的发布进一步促进了个人信息在大湾区内的安全有序流动，加强了内地与澳门在数据跨境流动方面的协同合作。此外，全国网络安全标准化技术委员会（“网安标委”）于2024年11月发布《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》，为实施粤港澳大湾区（内地、香港）个人信息跨境安全互认提供了认证及认可依据。

《数据跨境规定》明确规定自贸试验区内的企业向境外传输负面清单外的数据，可以免予实施数据出境监管制度。天津、北京自贸试验区相应发布了数据出境负面清单以及管理办法，明确了自贸试验区内数据出境流程，上海自贸试验区临港新片区则采用“一般数据清单+负面清单”相结合的监管模式[8]。

《数据跨境规定》以及相关文件为数据出境指明了更为清晰合理的路径，便利了数据交流。根据网信办消息，《跨境规定》出台后，数据出境安全评估平均用时降低至30个工作日内，安全评估申报、标准合同备案数量显著下降[7]。可见，随着数据跨境新规收窄了备案、安全评估范围，并增加多项豁免事由后，企业数据跨境流动的合规义务得到了实质性的减轻。

2024年，我国未成年人网络保护领域蓬勃发展。2024年1月1日，我国首部专门针对未成年人网络保护的综合性立法《未成年人网络保护条例》正式施行。该条例重点规定了未成年人网络保护的体制机制、网络素养促进、网络信息内容建设、个人信息保护、网络沉迷防治以及法律责任等内容。监管执法部门持续加大对各类侵害未成年人网络权益的行为的治理。司法领域公布了一系列典型案例的公正审判。

保护未成年人网络利益是全社会的责任与义务，特别是网络运营者在提供相关产品、服务以及进行平台运营时，如何体现未成年人的利益保护，是极为重要的合规义务。2024年11月15日，国家互联网信息办公室发布了《移动互联网未成年人模式建设指南》，将全面升级“青少年模式”为“未成年人模式”，推动模式覆盖范围由App扩大到移动智能终端、应用商店，实现软硬件三方联动，为企业履行未成年人网络保护义务提供具体指引。首次提出分龄推荐标准，优先展示适龄内容，从时长和功能两方面入手，进一步优化完善防沉迷措施。设置推荐时长，指导企业及时修改可能造成沉迷的内容、功能和规则，采取有效措施防范外链信息内容风险，具备多重防绕过、防破解措施，提升防护效能。

2024年12月18日，全国网安标委发布《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》，分别明确了移动终端、应用程序以及应用程序分发平台，对未成年人模式技术要求以及模式联动技术要求，并通过示例方式，提供参考和指导。司法方面，2024年5月30日最高人民法院发布《关于全面加强未成年人司法保护及犯罪防治工作的意见》，从“刑事、民事、行政”一体保护，全面保护未成年人权益，建立“三审合一”审判机制，对宾馆、酒店、电竞酒店等场所及互联网平台违反法定义务，对诱发未成年人犯罪或被侵害存在过错等案件，细化相关主体承担法律责任的情形，督促相关主体切实履行保护未成年人和预防未成年人违法犯罪的职责。2024年5月30日北京互联网法院发布《未成年人网络司法保护白皮书》，对《中华人民共和国未成年人保护法》修订后实施至今涉未成年人网络纠纷案件的审理情况、主要特征、问题分析以及典型案例进行通报。海南法院公布2024年未成年人权益保护十大典型案例，其中包括短视频平台对用户发布涉未成年人信息审核不严的案例。

2024年7月13日，全国范围内部署开展为期2个月的“清朗·2024年暑期未成年人网络环境整治”专项行动，重点整治6个环节突出问题，包括短视频、直播平台；社交平台；电商平台；应用商店；儿童智能设备以及未成年人模式。

《生成式人工智能（AIGC）服务管理暂行办法》作为首部人工智能专门性部门规章于2023年生效实施，结合《互联网信息服务算法推荐管理规定》确立了以算法备案和大模型评估及备案的事前监管机制。2024年，在既有监管架构的基础上，针对人工智能数据安全、数据训练、数据标注、生产内容标识等多方面，多个推荐性国家标准或征求意见稿颁布，为实务中人工智能的开发、运营和维护提供指导性意见。

2024年3月1日，全国网络安全标准化技术委员会发布《生成式人工智能（AIGC）服务安全基本要求》（TC260-003），该文件虽然并非强制性国家标准，但是对于生成式人工智能（AIGC）（AIGC）服务安全性方面做出了详细的技术指导，对语料安全、模型安全、安全措施、词库/题库要求、安全评估等方面提出了具体规范和要求，以规避相关安全风险。《网络安全技术 生成式人工智能（AIGC）数据标注安全规范（征求意见稿）》旨在规范数据标注行为。《人工智能生成合成内容标识办法（征求意见稿）》及配套国标《网络安全技术 人工智能生成合成内容标识方法（征求意见稿）》发布，旨在避免生成合成内容混淆误认，防止被恶意使用或滥用，为内容创作者和合规检测平台提供了明确的操作指南。

值得关注的是，2024年，中国关于人工智能首轮司法判例出台。虽然我国并非判例法国家，但是相关的判决也可以有效反映中国司法对于人工智能发展领域中焦点问题的态度。

首先，2024年初公布的北京互联网法院（2023）京0491民初11279号一审判决，北京互联网法院认为“涉案图片的调整修正过程亦体现了原告的审美选择和个性判断”，故涉案图片具备“独创性”要件，应当被认定为“作品”，而被告未经授权的使用侵犯了原告的著作权。

其次，广州互联网法院〔2024〕粤0192民初113号一审判决生效，是全球范围内首例生成式AI服务侵犯他人著作权的生效判决，法院认为生成式人工智能（AIGC）（AIGC）服务提供者所生成的图片与第三方作品构成实质性相似，进而构成侵权。

北京互联网法院2024年4月23日一审开庭宣判全国首例AI生成声音人格权侵权案， 明确认定在具备可识别性的前提下， 自然人声音权益的保护范围可及于AI生成声音。

2024年，我国智能网联新能源汽车迎来急速发展期，2024年7月3日，工信部网站发布《五部门关于公布智能网联汽车“车路云一体化”应用试点城市名单的通知》，正式确定了20个城市（联合体）为智能网联汽车“车路云一体化”应用试点城市。2024年6月4日，工信部网站发布《四部门有序开展智能网联汽车准入和上路通行试点》的通知，确认了我国首批由9个汽车生产企业和9个使用主体组成的联合体，将在北京、上海、广州等7个城市开展智能网联汽车准入和上路通行试点。这意味着L3级自动驾驶牌照厂商如果进入试点名单，则其在通过测试后即可以开发可量产的产品。在车辆自动驾驶功能日益先进的同时，也对智能网联汽车处理数据的安全和合规性提出了更高的要求。

首先，测绘合规是智能网联汽车的合规重点。智能网联汽车通过高精度对外探测系统，在运营、测试过程中所收集的车内、车外信息，可能会涉及个人隐私、国家安全等问题。早在2022年，《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》（自然资规〔2022〕1号，以下简称“《1号通知》”）已经明确“智能网联汽车在运行、服务和测试过程中，对车辆及周边道路设施的空间坐标、实景影像（视频和影像等环境感知数据）、点云及其属性信息等地理信息数据（含道路拓扑数据）进行采集、存储、传输和处理的行为，属于《中华人民共和国测绘法》规定的测绘活动”，需要获得相关资质才可进行。2024年7月26日，自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》（自然资发〔2024〕139号），在《1号通知》基础上对于智能网联汽车测绘合规要求进行了进一步梳理。要点包括：澄清基础地图也属于导航电子地图，应当由具备甲级导航电子地图的机构进行[10]；测绘涉及数据应当“闭环”处理，即“智能网联汽车采集、收集的用于导航相关活动以及地图制作、更新的地理信息数据，直接传输至具备导航电子地图制作测绘资质的单位管理，其他单位或个人不得接触”；“地理信息数据必须存储于境内”，申请向境外提供地理信息数据的，必须严格履行对外提供审批或地图审核程序，并落实数据出境安全评估等有关规定。”

其次，行业数据安全标准更为清晰。2024年8月23日，工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2026年1月1日起开始实施。这是我国智能网联汽车领域的首批强制性国家标准，对于我国汽车产品的信息安全防护技术水平、规范车企软件升级行为以及为事故责任认定及原因分析提供技术支撑具有重要意义。

全国汽车标准化技术委员会发布GB/T 44464-2024《汽车数据通用要求》详细规定了汽车处理个人信息和重要数据的一般要求，对个人信息保护的要求，对于重要数据在收集、存储、使用、传输、处理等各个环节中的保护要求以及审核评估及试验要求等。自然资源部组织两项强制性国家标准《智能网联汽车时空数据传感系统安全基本要求》和《智能网联汽车时空数据安全处理基本要求》已经完成征求意见，对智能网联汽车时空数据紧密处理， 以及存储、 传输等都有了更为细致的要求。

2024年，我国数据安全领域规范的基础框架日臻完善。首先要关注2024年9月30日正式发布的《数安条例》。该条例自2025年1月1日起施行，历时3年征求意见时间，终于落地。其作为《网络安全法》《数据安全法》以及《个人信息保护法》三法的配套行政法规，与《关键信息基础设施安全保护条例》和制定中的《网络安全等级保护条例（征求意见稿）》，共同构建了我国网络安全和数据保护领域的基本框架。

具体而言，《数安条例》从一般性合规要求、个人信息保护、重要数据安全、数据跨境、网络平台等方面细化了监管要求。与之相配套，2024年还出台了一系列规范性文件以及国家推荐性标准（包括征求意见稿）支持相关规定的落地执行。

个人信息保护方面，《数安条例》重申了定期开展个人信息保护合规审计的义务要求。2024年7月全国网安标委发布《数据安全技术 个人信息保护合规审计要求（征求意见稿）》，并于2024年11月在金融、互联网等重点行业和领域启动试点。

重要数据方面，如上文所述《数安条例》不仅定义了“重要数据的概念”，还包括重要数据处理者的其他义务。配合2024年3月发布的GB/T 43697-2024《数据安全技术 数据分类分级规则》，重要数据的识别更为清晰。

数据跨境方面，《数安条例》在《数据跨境规定》规定的基础上增加了“为履行法定职责或者法定义务，确需向境外提供个人信息”的个人信息跨境合法机制。

在基础框架基础上，工信、铁路、自然资源、金融、民航等行业，亦纷纷出台具有本行业特色的数据安全治理要求。对于数据处理主体，不仅需要关注网信办发布的相关规定，也需要密切关注自身行业主管部门的相关要求。

例如：工信部印发《工业和信息化领域数据安全风险评估实施细则》明确重要数据和核心数据处理者每年至少开展一次数据安全风险评估，《工业和信息化领域数据安全事件应急预案（试行）》明确工信数据安全事件应急处理及报告的具体要求；《铁路关键信息基础设施安全保护管理办法》发布，落实《关键信息基础设施安全保护条例》的规定；自然资源部印发《自然资源领域数据安全管理办法》用于自然资源领域数据的采集、存储、传输、处理、使用和销毁等全生命周期的安全管理；金融监管总局发布《银行保险机构数据安全管理办法》；民航局发布《民航数据管理办法》《民航数据共享管理办法》等。

关于数据安全和个人信息保护的“三法三条例”已经就位，所以2025年出台突破性立法的可能性较低，但现有法规的细化与执行将成为重点。但是从实务角度，现有政策法规仍然亟须进一步优化，才可以适配复杂业务场景以及实际需求，有些规范性文件或者推荐性国家标准也亟须落地，例如：《网络安全等级保护条例（征求意见稿）》《个人信息保护合规审计管理办法（征求意见稿）》等，各行业重要数据目录以及自贸区数据负面清单仍有待出台、细化。

伴随数据安全以及个人信息保护领域的监管要求逐步清晰和细化，相信针对网络安全以及数据安全的保护义务和个人信息保护的执法会步入常态。同时，中国企业出海业务诉求日渐增长，结合当前的国际关系和地缘政治现状，中国网络安全数据合规工作将会面临更多挑战。2025年，无论是监管者还是市场参与者，均需要持开放、积极的态度，对于网络安全数据合规工作进行系统性的应对。