2025年数据领域值得关注的十大趋势 —— 数据和人工智能法律2025展望系列之一

前言

2024年，我国通过制定一系列立法和技术标准，继续对网络数据管理、个人信息保护、重要数据监管等方面的规则进行细化与完善，并推动对数据跨境流动有序放松的管理。在迅猛发展的人工智能领域，通过发布多项具体实施指南和管理规定，明确了人工智能技术应用的安全边界和服务规范，同时发布多批算法备案信息以及落地实施大模型备案要求，确定了对人工智能技术包容式监管的框架。新春伊始，我们在回顾过去一年数据领域立法和执法情况的同时，也希冀展望我国未来一年与数据保护、网络安全及人工智能相关的且值得关注的重大趋势。

就本文所探讨的相关趋势和重点问题，后续我们将陆续发布系列性文章，进行详细、全面地阐述和分析，敬请关注。

1. 人工智能领域监管逐步落地

2024年，随着生成式人工智能领域的跨越式发展，该领域也成为我国新技术新领域的监管发展最快的领域之一。算法备案在落地两年后已形成常态化合规流程。生成式人工智能大模型备案规则也在2024年进一步明晰，大模型备案数量显著增加。多项标准、指南或其征求意见稿的发布，进一步针对安全评估、内容标识、数据训练安全、应急相应等等亟待监管的领域提出细化规则。人工智能侵权判例及执法活动也不断增加。在人工智能国际合作方面，我国也取得诸多进展，2024世界人工智能大会发布了《人工智能全球治理上海宣言》¹，中国与法国发布了关于人工智能和全球治理的联合声明²，中非互联网发展与合作论坛发布了关于中非人工智能合作的声明³。

预计我国在2025年对人工智能将延续重点事项监管、促进产业有序发展的方向。一方面，2024年已发布的若干人工智能专项规定草案，例如《人工智能生成合成内容标识办法（征求意见稿）》、《信息安全技术 生成式人工智能数据标注安全规范（征求意见稿）》，有望在2025年陆续出台。人工智能安全标准体系将稳中有进、逐步建立完善⁴。另一方面，随着治理规则的完善，预计在人工智能领域的执法行动将有所增加。生成内容合规、人工智能模型安全、网络平台算法滥用问题将是监管部门执法的重点。此外，随着司法领域与人工智能相关的诉讼和执法案件数量不断增长，2025年有可能发布更多指导性案例对人工智能领域关键争议提供明确指引。

2. 数据出境规则有序减负和精细化管理并行

2024年发布的《促进和规范数据跨境流动规定》及《网络数据安全管理条例》（以下简称“《网数条例》”）明确了数据跨境流动条件，提高了数据出境安全评估、标准合同备案及认证的触发门槛。截止2024年底，国家网信办共完成安全评估项目285个，个人信息出境标准合同备案1071个，其中安全评估项目未通过评估的27个，占整体比例不到10%。⁵ 预计2025年中国将进一步完善跨境数据流动的监管框架，澄清数据出境豁免情形的认定标准，并出台出境认证规定及地区性的简化程序指引。

此外，部分特定行业的数据出境规范也有望出台，以金融领域为例，据央行科技司有关领导介绍，《促进和规范金融业数据跨境流动合规指南》正在加紧出台中⁶。另一方面，预计自贸区将继续发布负面清单。《促进和规范数据跨境流动规定》首次向自贸区放权制定“负面清单”，归属于负面清单之外的数据可免于实施出境合规路径。目前，福建平潭片区发布了正面清单，而北京、天津、上海（包括中国（上海）自由贸易试验区及临港新片区⁷）已发布负面清单，预计海南、广东等多地自贸区的数据出境负面清单有望在2025年完成制定和出台。随着《网数条例》的实施，2025年重要数据认定规则有望进一步细化，各行业重要数据目录可能陆续出台，重要数据出境可能面临严格监管。

3. 个人信息民事纠纷将持续增多，但未呈现爆发式增长趋势

随着数字经济的快速发展和信息技术的普及，个人信息保护问题逐渐成为社会关注的焦点。然而，通过检索发现，与个人信息相关的民事案件数量并未出现预期的爆发式增长⁸。从2024年可检索到的个人信息民事纠纷案例来看，案件主要以自然人起诉为主，涉案金额普遍较小，案件类型涉及个人信息泄露、非法获取个人信息、自动化决策、以及未履行个人信息安全保护义务等多种类型。

《个人信息保护法》已实施三年有余，但从当前的司法和监管实践来看，该法活跃的区域仍然主要集中在企业日常合规层面，尚未出现高频涉诉的现象。预计到2025年，与个人信息保护相关的民事诉讼案件数量将继续保持稳步增长，但不会出现大幅度的激增。不过，从已发生的纠纷来看，案件涉及的争议问题愈发复杂和具体，这表明企业对个人信息的利用程度不断加深，同时司法部门对个人信息保护问题的理解也更加深入和细致。

4. 个人信息保护立法体系进一步完善、执法继续强化

2025年，预计中国将进一步围绕《个人信息保护法》出台更多实施细则和配套法规，形成更加系统化的法律体系。通过国家标准和实践操作指南的形式，提供涉及个人信息可携权、敏感个人信息（包括生物可识别信息）识别以及电子身份认证等多个方面的细节性落地要求，并推动企业进行个人信息影响评估的落地。其中，《个人信息保护合规审计管理办法》有望在2025年出台并实施，相应国标也可能相应发布。这两项文件预示着个人信息保护合规审计制度的正式落地。而随着《网数条例》落地实施，个人信息处理的细则要求，例如隐私政策需披露的内容、个人信息匿名化、个人信息可携带权要求，也将更加明确和更具实操性。此外，预计2025年工信、网信部门等执法机构将持续保持对APP、SDK个人信息保护的执行力度，对于违规应用和平台将严格要求整改或做下架处理。

5. 重点行业的立法和执法深入推进

2024年，各重点行业和领域的数据保护立法和监管工作相应展开。例如，在工业互联网领域，工信部推动出台新型工业化网络安全政策标准，包括印发《工业互联网安全分类分级管理办法》、《工业控制系统网络安全防护指南》和《护航新型工业化网络安全专项行动》，共发布工业互联网安全、工控安全相关国家标准3项、行业标准5项，推动立项相关标准60项，并推动全国各省主管部门制定引发50余份新型工业化网络安全相关政策文件⁹。此外，工信部门还持续开展工业互联网安全分类分级管理工作，并首次组织开展制造业重点行业产业网络安全风险防护专项行动。在金融行业，数据安全相关立法和执法活动也非常活跃，国家金融监管总局发布《银行保险机构数据安全管理办法》，规定了银行业保险业的数据分类分级、个人信息保护等要求，还对多家银行开出涉信息安全罚单。预计未来重点行业和领域的数据立法及监管将继续纵深发展，为各行业领域企业落实合规要求提供更细节的指引，监管机构也将加强监督和检查力度。

6. 网络安全立法有望修订、执法形成常态化机制

全国人大常委会公布2024年度立法工作计划已将修订《网络安全法》纳入时间表。预计2025年有望发布修订后的《网络安全法》，进一步完善违反网络安全义务的法律责任制度。在执法方面，2024年，全国各地监管机关均持续公布因未履行网络安全保护义务而被处罚的通报名单，不仅北上广深等一线城市，山东、内蒙古、江西、四川等地也纷纷开展对属地企业网络安全保护工作的常态化监督执法。预计2025年网络安全执法将持续推进，执法重点仍将聚焦于网络安全制度是否健全、是否采取有效的网络安全技术防护措施、是否及时整改网络安全高位漏洞、是否落实网络安全等级保护制度等关键网络安全合规义务。

7. 大型网络平台面临更高合规义务和更严格监管

2024年发布的《网数条例》明确了大型网络平台的定义，规定了大型网络平台服务提供者的相关义务，包括发布年度个人信息保护社会责任报告、算法合规、防范网络数据跨境安全风险等。另一份2024年发布的文件《网络安全标准实践指南——大型互联网平台网络安全评估指南》提出了对大型互联网平台开展网络安全评估的内容和方法，以便平台及时发现和解决潜在的安全风险。另一方面，在2024年，我国还针对经营者竞争行为持续强化监管，具体体现为国务院反垄断反不正当竞争委员会颁布新修订的《经营者反垄断合规指南》，市场监管总局发布《网络反不正当竞争暂行规定》，而《中华人民共和国反不正当竞争法（修订草案）》则于年底发布，目前尚待通过和实施。

2025年，大型网络平台需逐项落地上述已施行的要求，并需密切关注相关草案的出台。针对大型互联网企业的合规检查也仍然会是政府的监管工作重点，并且可能会进一步加强。

8. 网络安全事件管理可能成为监管重点

当前，勒索软件和供应链攻击变得更加复杂，人工智能技术也常被黑客用于发起网络攻击，使得网络安全事件愈加频发，有关网络安全事件的预防、应急响应和处置可能成为监管重点，企业应建立和健全相关合规机制，通过定期演练和技术升级，提升对大规模网络攻击、数据泄露等事件的快速反应和处置能力。一方面，随着《网数条例》在2025年1月正式生效实施，网络数据处理者需依照该新规定，落实建立健全网络数据安全事件应急预案，并在发生网络数据安全事件时，立即启动预案、向有关主管部门报告以及通知利害关系人的义务；发现网络产品服务存在安全缺陷、漏洞等风险时，应按规定采取补救措施并及时告知用户和报告主管部门。另一方面，国家网信办此前发布的《网络安全事件报告管理办法（征求意见稿）》有望于2025年正式发布，以明确报告的内容、方式、期限。而且，地方和特定领域的网络安全事件报告框架及要求也在不断完善和细化。例如，北京通信管理局于2025年1月发布了《北京地区电信领域数据安全事件应急预案和处置规范（试行）》；全国信息安全标准化技术委员会于去年年底发布了《网络安全标准实践指南——生成式人工智能服务安全应急响应指南（征求意见稿）》，今年有望正式出台。

9. 跨部门协同执法机制更加完善

《网数条例》规定，有关主管部门在开展网络数据安全监督检查时，应当加强协同配合、信息沟通，合理确定检查频次和检查方式，避免不必要的检查和交叉重复检查。数据安全、网络安全和人工智能监管涉及多个部门（如网信办、工信部、公安部等），预计随着2025年《网数条例》的落地实施，我国将建立更加高效、完善的跨部门协同执法机制，避免出现监管盲区。并且，可能设立专门的联合执法机构，统筹协调数据安全、个人信息保护和网络安全等相关领域的执法工作。此外，不排除执法部门将更多地利用人工智能、大数据等技术手段，实现对网络犯罪、数据泄露或算法定价歧视行为（如大数据杀熟）等行为的实时监测和精准打击。

10. 数据要素市场化配置机制逐步成熟

2024年7月18日，中国共产党的二十届三中全会召开并发布了《中共中央关于进一步全面深化改革、推进中国式现代化的决定》（以下简称“《决定》”）。《决定》强调中国将在未来很长时间内，大力发展以高科技、高效能、高质量为特征的新智生产力，以数智技术赋能中国千行百业，并提出完善要素市场制度和规则，推动包括数据在内的各类生产要素畅通流动、各类资源高效配置、市场潜力充分释放。作为新智生产力的关键基础，数据要素市场将得到大力发展。基于此，预计2025年中国将推动数据要素市场化配置机制的建立，主要体现在明晰数据产权、推动数据交易市场化、促进数据流通与共享、加强技术支撑与基础设施建设，并通过政策与制度保障实现数据要素市场的规范化发展。同时，立法将更加注重数据主权与数字经济发展的平衡，推动数据资源的合法流通和高效利用，同时防止数据垄断和不正当竞争。

结语

到2025年，中国在数据安全、个人信息保护、网络安全和人工智能领域的立法将更加系统化、精细化。执法层面，技术赋能、跨部门协同将成为主要趋势，形成更加高效、透明的监管体系。同时，中国也将在国际规则制定中更加积极发挥作用，推动全球数据治理和网络安全合作。

1. 参见：https://www.gov.cn/yaowen/liebiao/202407/content_6961358.htm

2. 参见：https://www.gov.cn/yaowen/liebiao/202405/content_6949586.htm

3. 参见：https://www.cac.gov.cn/2024-04/03/c_1713731793084792.htm

4. 在刚过去的2025年1月，全国网络安全标准化技术委员会就发布了《人工智能安全标准体系（V1.0）》（征求意见稿），该标准体系主要由基础共性、安全管理、关键技术、测试评估、产品与应用等5个部分组成。

5. 参见：https://www.nda.gov.cn/sjj/swdt/xwfb/1231/20241231172831486110195_pc.html

6. 参见：http://www1.xinhuanet.com/money/20241122/bf66a82b9c0e4a7f8c1848eb6bdefe96/c.html

7. 2025年2月8日，上海市网信办等五部门印发自由贸易试验区数据出境负面清单管理办法、负面清单（2024版）的相关通知，其中所发布的文件包括《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》。

8. 通过对北大法宝数据库的检索，以“个人信息”、“保护”、“安全”为关键词，选择个人信息保护专题的民事案例，共检索到196个案例。

9. 参见：https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_5de46b4da50a4cfe834c6749c3a54234.html