来源：威科先行，作者：潘永建、朱晓阳。转载已获得作者授权。

2025年即将过去，网络安全与数据合规领域无疑是中国法治建设进程中的重要一笔，不仅发生了诸多立法和执法的重要事件，也是中国网络安全与数据合规水平大幅提升的关键拐点。这一年，新法新规新要求不断出台，监管执法向纵深推进且呈现常态化、精细化的特点，网络安全与数据合规无疑成为企业合规建设的重点内容。

一、立法节奏提速，大法修订与配套规则并进

（一）《网络安全法》修订：增加人工智能规定，调整法律责任

2025年10月28日，全国人大常委会通过《网络安全法》修改决定，完成该法自2017年实施以来首次修订。修改后的新法回应人工智能治理和促进发展的需要，明确国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。同时，新法重点强化网络安全法律责任，加强与《个人信息保护法》等法律的衔接协调。

（二） 《网络数据安全管理条例》实施：细化落实三部重要法律

《网络数据安全管理条例》（“《网数条例》”）在连续三年写入国务院立法工作计划中后，于2024年9月30日下午正式发布，并将于2025年1月1日起施行，成为网络数据安全领域首个行政法规级文件。《网数条例》以《网络安全法》《数据安全法》和《个人信息保护法》三部重要法律作为上位法依据，对三部法律中规定的原则性规范和制度进行内容和流程方面的细化规定，明确了网络数据安全管理架构、重要数据安全及个人信息保护、网络平台责任等相关要求。

（三）数据治理系列配套出台：全面指引企业数据合规治理

2025年是《数据安全法》《个人信息保护法》实施的第四年，国家在个人信息保护、重要数据方面规定了一系列的配套规定，不断构建完善数据监管法律体系。而就在今年第一季度，国家又集中在立法方面蓄力，密集起草、出台了相关数据保护法律规定，包括公共安全视频图像信息系统管理、人脸识别技术应用安全管理、个人信息合规审计、个人信息出境保护认证、网络安全事件报告管理、人工智能标识管理等规定；国家数据局也集中出台了一批关于数据要素和数据价值的文件，指导企业在保护数据安全的基础上，积极开发利用数据价值。

二、数据监管执法全面重启进入常态化

2025年网络安全与数据安全领域监管执法明显趋严趋密。监管机构在常规性监督管理的基础上，专门组织了人脸识别、个人信息保护负责人等报送工作，最为重要的是开展了贯穿全年的专项执法行动。3月28日，中央网信办、工信部、公安部、市场监管总局联合发布了《关于开展2025年个人信息保护系列专项行动的公告》。这是自2019年以来四部委再次联合部署个人信息保护专项行动，也是2025年数据合规领域最为重要的执法行动。相较于2019年，今年四部委专项行动较为密集和深入。截至目前，四部委专项行动累计公开通报26批，累计通报1140款移动应用，下架340款移动应用。其中，工信部信管局通报了6批违法违规收集使用个人信息的移动应用和1批违法违规收集使用个人信息的智能终端；中央网信办通报了2批违法违规收集使用个人信息的移动应用；国家计算机病毒应急处理中心通报了12批违法违规收集使用个人信息的移动应用；公安部计算机信息系统安全产品质量监督检验中心通报了5批违法违规收集使用个人信息的移动应用。

跨境数据流动监管是2025年数据合规的热点话题。一方面，国家层面持续优化完善数据出境监管体系。在去年出台《促进和规范数据跨境流动规定》的基础上，国家网信办更新了数据出境指南，组织中资、外资企业座谈会，连续发布“数据出境安全管理政策问答”，不断促进数据跨境高效便利和安全流动；另一方面，监管机构依法规范数据跨境流动。上海公安机关首次对某跨国公司未履行个人信息保护义务案进行行政处罚，其中一项违法事实为违规向法国总部传输用户个人信息。国家计算机病毒应急处理中心的通报中多次涉及违规数据出境的情形。

三、合规观察：精细化、常态化监管转变与企业合规范式转型

2025年是网络安全与数据合规从业者需要持续学习的一年，“每天有新法规出台”虽是戏言但也不无道理。通过2025年的立法和执法态势，可以看出网络安全与数据合规领域“框架稳定、细则密集”的特征。从合规的角度，宜全面梳理网络安全与数据合规现状，对标新规定、新要求，科学建立合规管控体系，防范合规风险。

（一）建立“1+N”动态合规体系

网络安全与数据合规要坚持“1”个基准”，以《网络安全法》《数据安全法》《个人信息保护法》为不变框架，作为最基础的合规底线。同时，还要及时补充“N个插件”，跟踪和关注新发布的规定、管理办法、标准、执法通报等，定时或不定时开展差距分析，补足合规短板。

（二）从“被动应对”到“主动合规”

网络安全与数据合规不仅是数字经济时代防范法律风险的必修课程，也是企业树立“数字可信”市场形象的进阶课程。通过合规，企业可以避免高额罚款、应用下架等严厉处罚；通过合规，企业还可以优化数字资产，充分发掘数字价值；通过合规，企业更可以形成品牌效应，取得消费者的信赖，提升数字经济竞争力。

（三）布局全球业务同时做好跨境数据流动合规

无论是跨国企业在华经营，还是中国企业出海，都要注意跨境数据流动合规，全面梳理跨境业务模式和数据流动图，评估数据跨境流动法律风险并及时完成相应合规。对于中国企业出海而言，更要注意数据跨境的双重性，既有数据出境部分的合规，还有从境外向中国传输数据部分的合规，特别是近期欧盟对向中国数据跨境传输的监管压力大幅提升，美国14117号行政令对中国数据“封锁”等复杂情况，避免因为合规疏忽带来严重的法律责任。

（四）前瞻性把握人工智能合规先机

人工智能仍然是2025年产业发展的热点，在网络安全与数据合规领域产生了一系列新的挑战。《网络安全法》《网络数据安全管理条例》等都回应了人工智能产业的相关合规要求和特殊特点。随着未来产业发展进一步提速，相信网络安全与数据合规在其中的作用将更为突出。我们既要关注人工智能合规的既定要求，也可以关注国家立法、执法和司法的动态发展，全面布局合规体系，及时调整合规策略，确保在合规的前提下提供相关人工智能产品和服务。

（原标题：2025年网络安全与数据合规年度观察： 监管重构与合规范式转型丨威科先行）

来源：威科先行

作者：

• 潘永建，通力律师事务所合伙人；业务领域：跨境经营环境下公司合规、网络安全与数据保护、反垄断与竞争法、投资并购与运营等；联系方式：邮箱： david.pan@llinkslaw.com
• 朱晓阳，通力律师事务所合伙人；业务领域：网络安全与数据合规、反垄断、反腐败、出口管制及ESG等；联系方式：邮箱: nigel.zhu@llinkslaw.com

特别声明：以上所刊登的文章仅代表作者本人观点，不代表威科中国出具的任何形式之法律意见或建议。