国家数据局自成立以来，始终保持高密度政策发布的态势，陆续推出了诸多政策文件，包括“数据要素×”、国家数据标准体系建设、可信数据空间发展等。2024年7月，国家数据局提出将陆续推出8项制度文件，包括数据产权、数据流通、收益分配、安全治理、公共数据开发利用、企业数据开发利用、数字经济高质量发展、数据基础设施建设指引等。2024年底和2025年初，政策文件发布频率明显加大，释放了强烈的信号，开展数据治理、数字化转型和管理数据资产，已经是未来数字经济发展大势所趋。对于企业而言，有必要认识政策体系，找准发力点，把握政策红利，抢占市场先机。

金杜网络安全与数据合规团队亦围绕国家数据政策法规设置了专项培训、咨询项目，以希协助企业把握政策要点、守紧法律红线，为国家数据政策法规走实走深贡献力量。（具体参见文末）

2024年12月25日，国家数据局等部门发布了《关于促进企业数据资源开发利用的意见》（国数资源〔2024〕125 号，以下称《企业数据意见》），明确企业在生产经营过程中形成或合法获取、持有的数据是企业发展的重要资源，对加强企业数据资源开发利用进行了专门部署。

（一）何为“企业数据”？

“数据二十条”中提出要探索建立数据产权制度，推动数据产权结构性分置和有序流通。结构性分置就是建立公共数据、企业数据、个人数据的分类分级确权授权制度。《企业数据意见》中明确“企业对其在生产经营过程中形成或合法获取、持有的数据，依法享有法律法规规定的、民商事合同或行政协议约定的各类数据权益”。

这与“数据二十条”相比发生了很大的变化。“数据二十条”中明确，“对各类市场主体在生产经营活动中采集加工的不涉及个人信息和公共利益的数据，市场主体享有依法依规持有、使用、获取收益的权益”。《企业数据意见》中没有“不涉及个人信息和公共利益的数据”的限定，可以理解为只要是企业合法获取、持有的数据，包括个人信息和公共利益，企业都享有相应的数据权益。但是，这种权益并非是绝对的、完全的，而应当是根据法律法规规定、民商事合同或行政协议约定的数据权益。2020年6月，杭州互联网法院就XX计算机公司、XX科技公司诉被告某网络公司、杭州某科技公司不正当竞争纠纷一案进行一审宣判（即国内首例大数据权益案）。法院认为两原告所主张数据权益的数据，可以分为两种数据形态：数据资源整体和单一数据资源。企业对于数据资源整体享有竞争利益，而对单一用户数据不享有专有权。结合《企业数据意见》，我们倾向于理解，在数据集合的层面上，无论是否涉及个人信息数据，只要是合法的处理，都有可能纳入企业数据资源以内。

另外一个变化是，“数据二十条”中对数据产权的分置是数据资源持有权、数据加工使用权、数据产品经营权的运行机制，其持有权、加工使用权、经营权的对象分别是数据资源、数据和数据产品。而在《企业数据意见》中则表述为“推动数据持有权、使用权经营权等分置运行”。这表明，企业对于不同形态的数据拥有了更为灵活的权益形成机制，更大程度地享有数据权益。

（二）企业开发利用数据资源的合规义务

《企业数据意见》以充分释放企业数据资源价值为目标，但也明确统筹数据发展和安全，要求提升数据安全合规治理效能。具体梳理如下：

2024年12月30日，国家发展改革委等部门发布《关于促进数据产业高质量发展的指导意见》[1]（以下称《指导意见》）。其中明确，到2029年，数据产业规模年均复合增长率超过15%。年均复合增长率（Compound Average Growth Rate, CAGR）指的是在特定时期内的年度增长率。15%是一个相对稳健的比率，体现了长期性和稳定性。相较而言，工信部《“十四五”大数据产业发展规划》中指出，“十三五”时期，我国大数据产业规模年均复合增长率超过30%，发展目标是到2025年实现年均复合增长率保持在25%左右。

《指导意见》认为，数据产业是利用现代信息技术对数据资源进行产品或服务开发，并推动其流通应用所形成的新兴产业，包括数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等。数据产业发展包括数据产业结构、数据技术、数据产品和服务等因素。

《指导意见》提出了八个方面的措施：数据产业规划布局、经营主体、数据技术、数据资源开发利用、数据流通交易、基础设施、数据安全、产业发展环境。同时，《指导意见》附件中列明了数据技术和产业重点发展方向，包括数据采集、数据存储、数据治理、数据分析、数据交易、数据应用和数据安全。其中值得关注的有以下几点：

1、鼓励有条件的行业龙头企业、互联网平台企业设立数据业务独立经营主体

通常而言，数据依附于产品和服务。“一切业务数据化，一切数据业务化”，数据与业务紧密相连。“数据业务”应当是数据驱动的、以数据为对象的经营模式，它必须是能够从相对业务中剥离、具备独立性的形态。数据业务的独立运营，往往需要高质量的数据治理基础，以及优质的数据资源，企业能够单独依靠数据能力参与市场活动。

2、引导龙头企业为中小企业提供数据、算法、算力等资源使用便利

欧盟在《数据法》（Data Act）中就提到了特定场景下，大企业向小企业开放数据的要求。欧盟的《数字市场法》（Digital Market Act）中也明确了数字守门人开放数据的义务。数据在企业主体中自然发生不均匀分布的情况，而作为一项要素资源，需要破除其在市场主体之间的流动障碍。不过，需要考虑的是如何平衡企业的商业利益和数据产业的整体利益之间的关系，维护合理竞争秩序的同时寻求数据价值。相较而言，在“数据二十条”（《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》）中的表述是“引导行业龙头企业、互联网平台企业发挥带动作用，促进与中小微企业双向公平授权，共同合理使用数据，赋能中小微企业数字化转型”。

3、发挥数据流动不受地理区位限制的优势，支持有条件的地方立足产业基础和资源禀赋，建设数据产业集聚区

数据流动不受物理空间的限制，但是数据流动会受到网络空间的限制。数据流动需要考虑带宽（时延）、产业链、政策要求等因素，这些因素决定了数据流向的吸引力。从带宽的角度考虑，数据离产品和服务的终端越近越有优势，而终端是分散的且需考虑设置数据中心的成本，因此经济发达区域的中心成为优先的选择；从产业链的角度来看，数据产业需要采集、存储、加工等配套产业能力，以支持数据业务的运作和发展，这对当地的基础设施、人才储备等要求较高；从政策要求来看，数据在境内的流动是不受限制的，但全球互联中仍需考虑数据出入境政策的要求。我国的自贸区（港）在数据出境方面能够享受优惠政策，这是比较有力的政策利好，且部分自贸区（港）已经出台了相应的数据出境具体措施，可以成为数据产业集聚的选择之一。

4、支持企业依法依规对其合法获取的数据进行开发利用

虽然法律上对于数据确权的问题进展缓慢且较为保守，但在政策层面，数据确权的路径愈发清晰。“数据二十条”对企业数据权益创设了“三权”的方式，《指导意见》再次表明了这样的态度。只是，政策性的权利还需要回溯至法律上的稳定预期，因此数据合规仍然是数据确权中的关键、核心环节，而其本质是保证数据“来源可靠、去向可控”。

5、鼓励企业间按照市场化方式授权使用数据；鼓励开展公共数据授权运营

《指导意见》中仅提到的两次“授权”，分别是企业间授权使用和公共数据授权运营。公共数据授权运营并非新事物，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》（2021年）首次提出“开展政府数据授权运营试点，鼓励第三方深化对公共数据的挖掘利用”。但是，需要注意的是，国家数据局发布的《数据领域常用名词解释（第一批）》中对“公共数据”进行了界定，是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。企业间授权使用明确按照市场化方式，这比“数据二十条”又进了一步，在“鼓励探索企业数据授权使用新模式”的基础上，明确了市场化是具体的方式。市场化方式表明自主决策、竞争机制等将发挥主要作用，以价格为核心来调整数据的分配和流通。

6、培育一批数据服务企业

《指导意见》从多元经营主体的角度，将数据企业分为数据资源企业、数据技术企业、数据服务企业、数据应用企业、数据安全企业和数据基础设施企业。其中数据服务企业是指面向数据流通交易提供专业化服务的企业，包括业务咨询、交易撮合、合规服务、金融服务等方面。流通交易是数据作为要素最直接的体现，也可以直接产生经济价值，对于数据产业发展来说具有强指标性。因此，《指导意见》把数据服务的内涵聚焦为数据流通交易的专业化服务。

7、可信数据空间等数据流通利用基础设施

2024年11月，国家数据局发布了《可信数据空间发展行动计划（2024-2028年）》。其中明确，可信数据空间是基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施，并提出到2028年建成100个以上可信数据空间。根据该行动计划，可信数据空间包括企业、行业、城市、个人、跨境等五类。不过，在《指导意见》中，可信数据空间既可以指一种基础设施，也可以指一种技术。

8、支持企业面向人工智能应用创新，开发高质量数据集

生成式人工智能（GenAI）正在迅速发展，高度依赖神经网络规模扩大和训练数据规模。但是，GenAI可能面临训练数据耗尽的挑战。据Epoch AI预测，到2028年AI模型训练数据的规模将达到网上公开信息的总量，也就意味着对于GenAI来说，如果数据供给不增长，3年以后就没有新的数据可供训练了。《指导意见》的思路是对公共数据共享开放和授权运营，对企业数据进行开放和互动共享，对个人数据进行开发利用（前提是保护个人信息权益）。

9、发展数据流通交易

指导意见》中对数据流通交易考虑了两个方面，合规和第三方服务。合规方面聚焦数据交易规则和数据跨境便利化服务体系。“数据二十条”中提到的是，建立合规高效、场内外结合的数据要素流通和交易制度，规范引导场外交易，培育壮大场内交易。《指导意见》中对数据交易机构的态度相对谨慎，以优化布局和互认互通为主要目标。不过，在《国家基础设施建设指引》中，则强调支持数据交易场所创新发展，鼓励各类数据进场交易。

10、支持企业参与算力全产业链生态建设

算力产业链涉及硬件、软件和应用等环节。按照《关于加快构建全国一体化大数据中心协同创新体系的指导意见》以及《全国一体化大数据中心协同创新体系算力枢纽实施方案》的部署，全国已经完成八个算力枢纽节点（京津冀枢纽、长三角枢纽、粤港澳大湾区枢纽、成渝枢纽、内蒙古枢纽、贵州枢纽、甘肃枢纽、宁夏枢纽）和十个国家数据中心集群（中卫集群、天府集群、重庆集群、贵安集群、庆阳集群、和林格尔集群、张家口集群、芜湖集群、韶关集群、长三角生态绿色一体化发展示范集群）。

11、落实数据流通利用全过程相关主体的安全责任

《网络数据安全管理条例》首次提出，网络数据处理者应当对所处理网络数据的安全承担主体责任。“主体责任”可以理解为需要主动证明合规的责任。相较而言，《指导意见》中使用的是“安全责任”，从文义上较弱于“主体责任”。不过，条例属于行政法规，具有强制性，在合规中仍应以条例为准。《指导意见》中对于数据动态安全保障规定了两个方面，数据安全风险防控和数据分类分级。数据安全防控包括风险识别、监测预警、应急处置，这与《网络数据安全管理条例》及相关法律规定是一致的；数据分类分级则分为国家安全、商业秘密和个人隐私的维度，我们理解实践中还需结合相关法律规定考虑更细致的维度，比如重要数据和个人信息的保护。

12、加快建立数据产权归属认定制度

《指导意见》将数据产权归属认定放置于制度标准建设内，并与《国家数据标准体系建设指南》挂钩。该《指南》是国家发展改革委联合国家数据局、中央网信办、工信部、财政部、国家标准委于2024年9月发布的，其中“数据确权”属于“数据流通”的子项。

数据领域既有行业实践的技术性，也有法律规定的固有名词。实践中，涉及法律义务时，往往需要对概念的内涵和外延有清晰的界定，否则就不能确定是否应当承担相关义务，以及如何承担相关义务。2024年12月30日，国家数据局以“数据领域名词解释起草专家组”的名义发布了《数据领域常用名词解释（第一批）》（以下称《名词解释》），以期“推动凝聚共识”。

《名词解释》共列出了40个名词，其中少量的名词来源于法律规定，并进一步进行解释。如《名词解释》认为“数据”是指任何以电子或其他方式对信息的记录，这与《数据安全法》的定义一致。同时，《名词解释》亦进一步指出，数据在不同视角下被称为原始数据、衍生数据、数据资源、数据产品和服务、数据资产、数据要素等。除了“数据”“数据处理者”“数据安全”等概念，《名词解释》对很多缺乏权威界定的名词首次进行了界定，包括技术性概念和经济学概念。值得注意的是，《名词解释》将“公共数据”界定为各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。截至目前，法律规定中并无对“公共数据”的界定，可以参照的是《数据安全法》第四十三条规定，法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动，适用本章规定[2]。由于《数据安全法》在政务数据章节中规定此条，因此实践中通常将此条所规范的对象理解为不含政务数据的公共数据。

反言之，在没有法律明确规定的情况下，通常依据《数据安全法》第四十三条，将“公共数据”等同于法律、法规授权的具有管理公共事务职能的组织为履行法定职责所处理的数据。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（即“数据二十条”）中要求，对各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据，加强汇聚共享和开发开放，……。“数据二十条”没有对公共数据进行界定，但根据其行文表述，公共数据等同于“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据”。

对比而言，《数据安全法》将公共数据的主体限定为“法律、法规授权的具有管理公共事务职能的组织”[3]，而《名词解释》和“数据二十条”则将公共数据的主体理解为“各级党政机关、企事业单位”，但应限于“依法履职或提供公共服务过程中产生”。公共数据开放、共享、授权运营等是数据领域的重要内容之一，因此建议对公共数据较为关注的企业可以关注实际操作层面对公共数据的理解。

鉴于《名词解释》给出了40个名词的概念，本文不作赘述，相关企业可参考国家数据局网站获取更多内容[4]。

1月6日，国家发改委、国家数据局、工信部联合印发了《关于印发<国家数据基础设施建设指引>的通知》（以下称《指引》）（发改数据〔2024〕1853号），对数据基础设施的概念、建设目标和具体措施等进行了部署。《指引》包括概念内涵、发展愿景、总体功能、总体架构、重点方向、算力底座、网络支撑、安全防护、组织保障等九个部分，我们将对其中关键内容进行梳理和分析。

（一）什么是数据基础设施？

《指引》中明确，国家数据基础设施是从数据要素价值释放的角度出发，面向社会提供数据采集、汇聚、传输、加工、流通、利用、运营、安全服务的一类新型基础设施，是集成硬件、软件、模型算法、标准规范、机制设计等在内的有机整体。国家数据基础设施是数据基础制度和先进技术落地的重要载体，以行业、区域数据基础设施为主体，以企业数据基础设施为重要组成。数据基础设施不等同于网络设施、算力设施，但与其密切相关。《名词解释》中提到的“高速数据网”[5]、“数据仓库”[6]、“数据湖”[7]、“湖仓一体”[8]等都可能属于数据基础设施或者数据基础设施的组成部分。

（二）数据基础设施建设的目标和措施是什么？

《指引》提出了数据流通利用、算力底座、网络支撑和应用四个方面的主要目标，路径上分为2024-2026年、2027-2028年和2029年三个阶段。其中，2029年作为《指引》的最终目标，要基本建成国家数据基础设施主体结构，初步形成横向联通、纵向贯通、协调有力的国家数据基础设施基本格局，构建协同联动、规模流通、高效利用、规范可信的数据流通利用体系，协同构筑数据基础设施技术和产业良好生态，国家数据基础设施建设和运营体制机制基本建立。

来源：《国家数据基础设施建设指引》

按照这种理解，企业数据亦将被纳入全国数据“一本账”。对此，《指引》中还提出，要对社会形成统一的数据资源开放目录。该目录包括公共数据、主动公开的企业数据和个人数据和各类高质量数据集。因此倾向于认为，企业数据基础设施作为国家基础设施的一部分，但是仅有企业主动公开的企业数据才进入“一本账”的范围。而纳入“一本账”范围的数据资源，则将“实现全国数据资源的跨领域、跨层级、跨区域流通利用”。

（三）数据流通和交易有什么措施？

在数据流通方面，《指引》明确支持建设数据流通交易公共服务平台，明确建立数据流通准入标准规则。《指引》衔接了《可信数据空间发展行动计划（2024-2028年）》，明确支持建设企业可信数据空间、行业可信数据空间、城市可信数据空间，探索建设个人可信数据空间、跨境可信数据空间。

在数据交易方面，《指引》提出将建立统一的数据资产凭证、交易凭证结构等手段，在鼓励进场交易的基础上，构建集约、高效的数据交付基础设施，为场内集中交易和场外分散交易提供低成本、高效率、可信赖的数据交付环境。

（四）如何保障安全？

《指引》明确将构建多层次、全方位、立体化的安全保障框架，从数据生命周期全流程保障安全。具体分为两个层面：针对国家数据基础设施本身和利用国家基础设施进行的数据流通利用。从国家数据基础设施本身来看，主要是构建内部和外部风险发现和处置能力；从数据流通利用来看，主要是提升和应用隐私计算等技术能力，加强算法、模型、数据的安全审计，以确保风险可控。

《指引》将健全政策保障体系、加快技术创新探索、 标准和人才支撑作为组织保障措施，其中再次强调了将建立健全数据基础制度体系，加快出台数据产权、流通交易、收益分配、安全治理等政策文件。

1月13日，国家发改委等部门联合发布了《关于促进数据标注产业高质量发展的实施意见》（发改数据〔2024〕1822号，以下称《数据标注意见》）。数据标注实际上并不在国家数据局此前提到的8项制度文件之中，但正如《数据标注意见》所称，数据标注产业是对数据进行筛选、清洗、分类、注释、标记和质量检验等加工处理的新兴产业。培育壮大数据标注产业对于提升数据供给质量，推动人工智能创新发展具有重要支撑作用。

诚然，人工智能新一轮发展浪潮特别是生成式人工智能迅猛发展，是基于数据的海量增长，同时也需要更多、更优质的数据供给。数据标注对于人工智能持续发展尤为关键，《数据标注意见》提出到2027年，数据标注产业专业化、智能化及科技创新能力显著提升，产业规模大幅跃升，年均复合增长率超过20%。值得注意的是，前述《关于促进数据产业高质量发展的指导意见》对数据产业的年均复合增长率的目标是15%，可见数据标注产业在整体数据产业中将发挥重要的带动作用。

《数据标注意见》包括总体要求、深化需求牵引、增强创新驱动、培育繁荣生态、优化支撑体系和加强保障措施等六个部分，具体有十三条措施。其中从合规的角度值得关注两点，法律审计和安全发展。《数据标注意见》明确，培育……法律审计等服务数据标注的第三方机构，以及推动数据标注中小企业与……合规咨询等第三方机构精准对接。《数据标注意见》中还强调，要加强数据标准隐私保护、人工智能对齐、安全评估能力建设。这说明，数据标注产业必然涉及数据合规、人工智能合规问题，而第三方服务机构的协助作用非常重要，特别是针对数据标注中小企业。

1月15日，国家发改委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（发改数据〔2025〕18号，以下称《实施方案》）。实施方案由国家发改委、国家数据局、中央网信办、工信部、公安部和国家市场监管总局等六家主管部门联合印发，体现了数据流通安全治理的多维性，涉及多个主管部门职责，以及多项合规义务。

《实施方案》简明扼要，包括总体要求和主要任务两个方面。总体要求中提出到2027年，基本构建规则明晰、产业繁荣、多方协同的数据流通安全治理体系，数据合规高效流通机制更加完善，治理效能显著提升，为繁荣数据市场、释放数据价值提供坚强保障。主要任务包括七项：

（一）企业数据流通安全规则

《实施方案》强调了数据分类分级保护措施，这与现行《数据安全法》等要求一致。首先是识别、申报重要数据。值得注意的是，2025年1月1日起，《网络数据安全管理条例》正式实施，其中规定，网络数据处理者应当按照国家有关规定识别、申报重要数据。因此，企业主动识别、申报重要数据变成了一项明确的合规义务。识别发现重要数据的，应当履行重要数据内部管理和外部流转的相关义务。识别过程中需要特别注意的是，根据《网络数据安全管理条例》第二十八条规定，网络数据处理者处理1000万人以上个人信息的，还应当遵守处理重要数据的网络数据处理者的相关合规义务。（有关《网络数据安全管理条例》合规义务。在识别和保护重要数据的基础上，《实施方案》鼓励开展数据脱敏等研究，对于经脱敏等技术处理后，依据所属行业领域的分类分级标准规范重新识别为一般数据的，可按照一般数据开展流通交易。

（二）公共数据流通安全管理

《实施方案》分为两个层面，政务数据和公共数据。两者之间有交叉，理论上来说公共数据应包含政务数据。对于政务数据而言，《实施方案》要求在共享过程中，明确安全管理责任，探索建立数据接收方数据安全管理风险评估制度，确保安全有序共享；对于公共数据而言，《实施方案》要求明确公共数据授权运营机构的安全管理责任，建立健全数据安全管理制度，加强关联风险识别和管控。

（三）个人数据流通保障

《实施方案》强调个人数据流通中，应当依法依规取得个人同意或经过匿名化处理。值得注意的是，《实施方案》中使用的表述是“个人数据”，而在“数据二十条”中使用的是“个人信息数据”。“数据二十条”中指出，对承载个人信息的数据，推动数据处理者按照个人授权范围依法依规……。据此，可以认为“数据二十条”将“个人信息数据”理解为承载了个人信息的数据。不过，《实施方案》在具体要求上还是遵循了《个人信息保护法》的相关要求。《实施方案》中强调个人同意，但是“依法依规”的情况下，企业应该仍然可以适用《个人信息保护法》第十三条所规定的同意以外的合法性基础。同时，《实施方案》也再次回应业内比较关注的匿名化问题，明确将制定个人信息匿名化相关标准规范，明确匿名化操作规范、技术指标和流通环境要求。

（四）数据流通安全责任界定机制

数据具有典型的可复制性和非排他性，企业可以在内部通过合规风控的方式降低数据安全风险，而一旦企业将数据投入流通环节，则存在数据安全的责任划分问题。《实施方案》鼓励供需双方在数据流通交易合同中约定各自权责范围，同时从安全审计和溯源两个方面着手，探索建立数据流通安全审计和溯源机制，利用数字水印、数据指纹、区块链等技术手段，支撑数据流通过程中的取证和定责。《实施方案》亦支持在自贸区（港）开展数据流通交易溯源机制、重点场景安全责任界定机制等的探索和现行先试。值得注意的是，《实施方案》在流通环节中再次强调了安全审计的要求。从个人信息保护合规的角度来看，合规审计是非常有效的手段，也是监管部门敦促企业合规的主要切入点之一，2023年国家网信办亦就《个人信息保护合规审计管理办法（征求意见稿）》向社会公开征求意见。因此，对于2025年来说，加强个人信息保护和促进个人信息数据的价值实现，都应重点关注个人信息合规审计工作的推进和落实。

（五）数据流通安全技术应用

《实施方案》基于分类分级的思路，对不同数据明确了相应的技术要求。对于一般数据，鼓励自行采取必要安全措施进行流通利用；对于未认定为重要数据，但企业认为涉及重要经营信息的，鼓励通过数据流通利用基础设施进行流通利用；对于重要数据，鼓励通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式依法依规实现数据价值开发。

（六）数据流通安全服务供给

《实施方案》再次提出要培育数据流通安全审计等服务，同时也提出要丰富数据托管等服务供给，鼓励有条件的企业拓展面向中小企业的数据安全托管服务。

（七）防范数据滥用风险

《实施方案》明确将严厉打击非法获取、出售或提供数据的黑灰产业。这就划定了数据流通利用的红线。《实施方案》还指出，将依法依规惩处利用数据开展垄断、不正当竞争等行为，对重点行业领域数据安全风险加强监测。