数据合规年度回顾与展望系列:立法篇_贸法通
EN

企业合规

数据合规年度回顾与展望系列:立法篇

发布日期:2026-03-12
字体:
分享到:
文章二维码

微信扫一扫

2025 年,我国数字经济深度发展,人工智能、跨境数据流通等新业态快速渗透,数据作为核心生产要素,已深度融入工业互联网、跨境电商、智慧城市、生成式AI等产业链、供应链、创新链各环节,成为驱动经济增长的关键力量,数据流通和数据应用日益融入各个行业、各类型企业生产经营的各个环节。但与此同时,数据安全事件频发、个人信息被过度收集与非法交易、AI滥用引发算法歧视和虚假信息传播等问题凸显,重要数据泄漏更威胁国家安全与产业安全,传统治理模式难以适配数字时代的风险防控需求。

值此岁末年初之际,天达共和数据合规团队特推出数据合规年度回顾与展望系列,围绕立法、监管与执法、重点问题等各个方面,希望为企业合规经营和业务发展提供助力。

立法篇

2025年度,我国以《数据安全法》《个人信息保护法》《网络安全法》为核心框架,持续推进数据合规立法体系建设,呈现顶层设计完善、部门协同强化、重点领域突破的显著特征。顶层设计立足数字经济发展实际,明确数据治理核心原则与制度,同时预留创新空间适配技术与产业升级。部门协同层面,网信、工信、公安、市场监管等多部门联动,形成立法、执法、监管闭环;重点领域则针对个人信息保护、跨境数据流动、AI治理等高频风险场景密集出台专项规则,通过法规与标准深度联动,构建起覆盖数据收集、存储、使用、加工、传输、提供、公开全生命周期的合规治理体系。

一、2025年度重点立法回顾

(一)个人信息保护

2025年个人信息保护立法核心在于进一步推动从原则性规定到精细化落地,围绕全生命周期保护设定具体规则,同时针对不同主体实施差异化管控,配套审计、身份认证等制度筑牢保护防线。

关注领域

重点立法

立法内容与分析

身份认证

《国家网络身份认证公共服务管理办法》

  • 《办法》适用范围涵盖国家网络身份认证公共服务平台运营主体、各类需核验用户身份的互联网平台服务提供者及广大自然人用户

  • 创新建立“网号+网证”的“可用不可见”数字身份体系,依托国家统一公共服务平台,为自然人发放不含明文身份信息的网络身份符号与认证凭证,用于网络场景中的身份登记与核验

  • 明确要求需登记、核验用户真实身份信息的互联网平台按规定接入国家网络身份认证公共服务系统。划分平台在用户身份认证审核、网号网证使用管理、用户信息安全保护等方面的责任边界

个人信息保护合规审计

  • 《个人信息保护合规审计管理办法》

  • 《个人信息保护合规审计指引》

  • GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》  

  • 达到一定规模的个人信息处理者每两年至少审计1次

  • 合规审计机构应当为具备相应资质、人员与设施的第三方专业机构,确保独立、客观

  • 未按规定开展审计、整改不力的,可被处以罚款、暂停相关业务等行政处罚

  • 实现“规章+指引+国标”三层衔接,解决“审什么、怎么审、如何算合格”的实操问题

大型网络平台个人信息保护

《大型网络平台个人信息保护规定(征求意见稿)》

  • 适用对象为注册用户5000万以上或者月活跃用户1000万以上的大型网络平台服务提供者

  • 要求必须设立专属个人信息保护机构、配备专职专业人员,并提供履职所需资源与权限

  • 平台需对平台内经营者的个人信息处理活动进行监督

(二)数据出境

2025年数据出境监管体系得以完善,出境路径得以优化并与法律规定相适应。同时,重点行业领域也针对本行业数据出台了针对性的出境监管政策,进一步明确了各类数据主体在出境活动中应当履行的义务。

关注领域

重点立法

立法内容与分析

出境路径

《个人信息出境认证办法》

  • 进一步完善“安全评估、标准合同、保护认证”三大个人信息出境合规路径,针对性为中等规模个人信息跨境数据流动场景提供体系化合规方案

  • 符合条件的数据处理者,通过资质认证机构审核并取得认证证书后,可直接凭证书办理个人信息出境手续,大幅简化中等规模主体的跨境合规流程

  • 认证证书有效期为 3 年,认证机构对证书实行全周期动态管理

重点行业跨境规制

  • 《银行业务领域数据安全管理办法》

  • 《能源行业数据安全管理办法(试行)》

  • 区别于普通领域数据跨境规则,通过“领域专属立法+核心/重要数据重点管控”的模式,防范重点领域数据跨境泄露风险

  • 确立金融领域数据跨境安全评估前置的核心原则,将安全评估作为跨境传输的必经环节

  • 能源领域数据跨境应当按照法律要求进行合规手续

 

(三)网络安全

2025年网络安全立法以修订完善核心法律、细化行业标准、规范事件处置为核心,大幅强化监管力度与法律责任,同时针对工业控制、直播、支付等重点领域补全标准空白,构建全链条安全防控体系。

关注领域

重点立法

立法内容与分析

重点法律修订

《网络安全法》修订

  • 大幅提高罚款额度,明确严重违法情形下,单位最高可处罚1000万元,直接负责人员最高可处罚100万元

  • 避免“一刀切”的处罚模式,既通过重罚遏制严重违法行为,又为存在主动消除危害后果、轻微违法且及时改正等情形的主体提供从轻空间

  • 明确与《个人信息保护法》等数据领域其他法律的协同适用规则,厘清法律适用边界,实现数据领域法律监管的体系化联动

核心标准出台

  • GB/T 45406-2025《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》

  •  GA 1277 系列公共安全行业标准

  • GB/T 45406-2025聚焦关键基础设施工业控制系统的核心薄弱环节,针对性填补PLC设备安全标准空白,为关键基础设施网络安全防护提供核心技术支撑

  • GA 1277系列针对网络直播领域主播身份混乱、违规内容泛滥等突出安全问题,通过标准细化具体管控措施,实现对直播全流程的安全规制

  •  GA 1277系列针对性防范网络支付欺诈、账户盗刷等高频安全风险强化支付全流程技术防护

网络安全事件处置

  • 《国家网络安全事件报告管理办法》

  • 明确网络运营者为网络安全事件报告的责任主体

  • 实行分级报告制度,涉及关键信息基础设施的重大、特别重大网络安全事件,须第一时间报告,最迟不得超过1小时

  • 将报告要求与应急预案启动、事件研判相结合,明确报告时限、报告对象和责任追究,形成“发现—研判—上报—处置”的完整流程规范
 (四)数据安全

2025年数据安全立法核心实现行业深耕与体系化构建,以分级分类保护为基础,覆盖政务、金融、能源等重点行业,同时建立风险评估制度,配套国家标准,结合AI治理防范新型数据安全风险,构建法律—规章—标准的治理体系。

关注领域

重点立法

立法内容与分析

通用数据安全要求

  • GB/T 45577-2025《数据安全风险评估指南》

  • 《网络数据安全风险评估办法(征求意见稿)》

  • 填补此前数据安全风险评估缺乏统一标准的空白,为各类主体开展评估工作提供基础遵循,同时为监管部门监督检查提供统一参照

  • 《办法(征求意见稿)》明确差异化评估频次,重要数据处理者每年至少1次,鼓励一般数据处理者每3年至少1次,处理敏感个人信息、开展跨境数据处理的主体适当提高频次

重点行业数据安全规范

  • 《政务数据共享条例》

  • 《银行业务领域数据安全管理办法》

  • 《能源行业数据安全管理办法(试行)》

  • 明确政务数据处理主体需遵循“无条件共享、有条件共享、不予共享”三类分级共享规则。依托国家电子政务体系建立全国统一政务数据共享平台。数据提供部门对数据真实性、准确性、完整性负责,使用部门需按约定用途使用并落实安全保护责任

  • 金融数据处理者强化数据全生命周期安全管控,明确金融数据分级分类保护标准、遵循最小必要原则收集用户信息,不得过度收集

  • 能源数据处理者需编制本单位重要数据目录,向省级能源主管部门、国家网信部门双重报送。建立全流程安全管理制度,配备专职数据安全团队与负责人

AI领域数据安全治理

  • 《人工智能生成合成内容标识办法》

  • 《人工智能拟人化互动服务管理暂行办法(征求意见稿)》

  • 建立显式与隐式双重标识制度,AI 生成的文本、图片等可显式标注内容,需显著注明“AI 生成”。无法显式标注的,嵌入数字水印完成隐式标识

  • 明确 AI 技术提供者、服务使用者、网络平台、监管部门四方权责

  • 要求AI拟人化互动服务提供者落实安全主体责任,审核训练数据来源及使用的合法性,严禁生成、传播违法违规及违背公序良俗的内容

(五)数据要素流通

2025 年数据要素流通立法核心实现公共数据运营规范与产权制度探索,以公共数据授权运营为重点,完善政务数据共享机制,开展数据知识产权地方立法实践,为数据要素市场化配置奠定制度基础。

关注领域

重点立法

立法内容与分析

公共数据授权运营

《公共数据资源授权运营实施规范(试行)》

  • 明确公共数据授权运营的适用范围、基本原则,界定实施机构、运营机构的权责边界

  • 要求编制授权运营实施方案,明确运营机构遴选、授权模式、数据范围、收益分配等核心内容

  • 规定运营机构需在授权范围内开展业务,不得参与授权数据产品再开发,鼓励市场主体开展二次开发

  • 建立实施方案、授权运营协议备案管理制度,强化数据安全与个人信息保护要求

政务数据共享流通

《政务数据共享条例》

  • 明确通过共享获取的数据可满足履职需要的,不得重复收集,优化共享申请、答复流程及时限

  •  要求整合构建全国一体化政务大数据体系,所有政务数据平台纳入体系,原则上不新建共享交换系统

地方数据知识产权界定尝试

  • 《福建省知识产权保护与促进条例》

  • 明确 “数据知识产权” 概念,为数据要素赋予法律身份

  • 明确经特定规则加工、具有实用价值和智力成果属性的数据集合可申请登记、转让许可、质押融资

  • 推动数据资源向数据资产转化,规范数据知识产权流通交易,为国家层面数据产权立法提供实践样本

 二、2025年立法核心特征与影响

(一)分类施策

1、按规模与行业属性区分不同主体的合规义务

对大型平台设定较高要求,如《大型网络平台个人信息保护规定(征求意见稿)》针对超大型平台要求设立专属保护机构,并对平台内经营者的个人信息处理行为进行监督。

2、数据维度细化分级分类保护标准

按重要性区分设定管控要求,敏感个人信息、核心数据的保护要求最严格,如《银行业务领域数据安全管理办法》划定金融数据分级标准并要求核心数据境内存储,并且明确要求在一般数据中进一步识别敏感级数据并采取相关保护措施。《个人信息保护合规审计管理办法》将达到一定规模个人信息处理主体的审计设定为至少每两年一次。

3、针对高风险、新兴场景制定专项规制

针对AI场景,出台《人工智能生成合成内容标识办法》等专项文件;针对直播、支付等场景发布 GA 1277 系列标准制定专属安全要求。

4、相关影响

(1)对企业的影响

各类企业需根据自身规模、所属行业、处理数据类型及业务场景精准匹配合规义务,避免合规成本浪费。其中大型平台、AI 企业及金融、能源等重点行业企业,需落实设立专门合规机构、完善数据分级保护、开展定期合规评估与风险审计等专项义务。中小微企业可借助行业协会、第三方机构的轻量化合规工具和标准化模板,低成本搭建基础合规体系,降低合规门槛与运营成本。

(2)对个人的影响

针对敏感个人信息的从严专属保护规则,让个人核心信息权益得到更具针对性、精准化的保障,避免不同类型数据混同保护带来的权益漏洞。同时针对直播、支付、AI等个人信息高频流转的高风险场景,专项规制从源头防范个人信息被过度收集、滥用、泄露的风险。

(二)多元联动

1、市场主体联动

引入市场化认证、审计机制,第三方专业机构深度参与合规工作,形成企业自律、市场约束、政府监管的协同模式,如《个人信息保护合规审计管理办法》要求外部合规审计委托具备资质的第三方机构,《个人信息出境认证办法》确立第三方参与的市场化认证路径并凭证书简化出境手续。

2、规则体系联动

推动法律、规章、国家标准及行业标准深度衔接,形成层级化治理体系,提升合规要求可操作性,如数据安全风险评估领域的《网络数据安全风险评估办法(征求意见稿)》与 GB/T 45577-2025 国标衔接,个人信息审计领域的《个人信息保护合规审计管理办法》与 GB/T 46903-2025 国标配套落地。

3、相关影响

(1)对企业的影响

企业合规有了明确、细化的多层级规则依据,合规体系搭建更具方向性和规范性。同时企业合规不再仅依赖内部自律,还需配合第三方机构的审计、认证结果开展合规整改与优化,要求企业从被动合规转向主动合规,进一步提升内部合规管理的专业性与严谨性。

(2)对个人的影响

个人信息权益保护形成多层级、多主体的共治保障体系,从市场层面形成有效约束。同时清晰具体的层级化规则体系,为个人行使信息查询、更正、异议、维权等权利提供明确法律依据,让个人维权渠道更畅通、行权更便捷,此外个人还可通过参与维权、提出立法建议等方式主动参与数据合规共治,进一步推动自身信息权益保护。

三、当前立法存在的问题与2026年数据合规立法展望

结合2025年数据合规立法实践、国务院及全国人大已发布的立法工作计划中对数据相关领域的布局要求,以及当前数据合规治理的现实需求,我们认为,2026年数据合规立法领域需要关注的重点内容可能包括:

(一)征求意见稿密集落地推动数据治理实操性全面提升

2025年,《网络数据安全风险评估办法》《人工智能拟人化互动服务管理暂行办法》《大型网络平台个人信息保护规定》等一批核心规则以征求意见稿形式发布。我们认为,2026年上述征求意见稿将完成意见征集与修订并正式出台的可能性较大。此类正式文件的落地,将进一步明确数据风险评估、AI 场景合规、大型平台监管等领域的实操标准,填补此前规则模糊、边界不清的治理漏洞,推动企业合规工作向精细化落地转变,同时也为监管部门执法提供更具体、明确的法律依据,提升数据合规监管的精准性与有效性。

(二)重点行业如医疗、交通运输领域等将成为新一轮行业立法重点

2025年,金融、能源、AI、直播支付等领域已完成专项立法布局,形成行业化数据安全治理规则,但医疗、交通运输等与国计民生密切相关的数据密集型重点领域,尚未出台系统性数据安全保护规则。其中医疗领域涉及个人健康敏感数据,数据类型复杂、流转场景多元,且当前缺乏统一的分级分类保护与合规利用标准;交通运输领域汇聚车辆轨迹、乘客信息、路网运行等海量数据,兼具个人信息与重要数据属性,相关跨境流转、全生命周期管控等方面立法需求迫切。

结合国务院2025年立法工作计划中对生物医学新技术、交通运输等相关领域的立法部署,我们预计,2026年立法将聚焦上述空白领域,出台医疗、交通运输行业数据安全管理专项办法,明确行业数据分级分类标准、安全管控要求、主体合规义务,推动重点行业数据安全治理实现全覆盖,筑牢各领域数据安全防线。

(三)加快数据要素流通确权顶层立法,完善数据要素市场化配置制度

数据要素流通确权相关制度目前停留在政策层面,在立法方面长期缺失,是当前制约数据要素市场化高效发展的核心痛点。产权界定、权利归属、流转规则等核心问题尚未形成统一的法律规范,导致数据要素在流通、交易、收益分配等环节缺乏明确依据,严重影响数据要素从资源向资产的转化进程,对数据要素市场的规模化、规范化发展形成显著制约。

尽管数据确权因涉及多方主体权益、法律关系复杂等问题存在较大立法难度,但作为数据要素流通的基础前提,亟需加快推进数据要素流通确权顶层立法的制定工作。我们希望,2026年立法层面能够尽快明确公共数据、企业数据、个人数据的分类确权规则,探索数据资源持有权、加工使用权、产品经营权的分置运行机制,厘清不同主体在数据要素流通中的权利与义务边界,为数据要素的合规流通、公平交易、价值实现奠定坚实的制度基础,激活数据要素市场的核心活力。

结语

纵观全年立法实践,重点领域规制、法规与标准协同、多部门联动构建治理格局,成为我国数据合规立法的趋势。2025年,我国数据合规领域立法出台多项法律法规、规章及国家标准,多项法律法规公开征求意见,围绕个人信息保护、网络安全、数据安全三大基础领域,及AI治理、跨境数据流通等新兴场景,搭建起多层级、全生命周期的治理框架,形成了“法律定原则、规章定规则、标准定细节”的规制体系。

立法的完善是数据合规治理坚实的根基。2026 年,我们也期待数据合规立法持续深化,推动已征求意见的法律文件落地实施,补齐数据产权立法短板,完善新兴领域规则,让数据合规治理体系更趋完善、实操性持续提升。

同时,立法的落地成效也依托于监管执法实践来检验与支撑。关于 2025 年数据合规领域的执法总结与回顾,我们将在本系列第二篇文章《温故知新 继往开来——数据合规年度回顾与展望系列:监管执法篇》中详细解读,敬请关注。

(原标题:E&C 观点 | 温故知新 继往开来——数据合规年度回顾与展望系列:立法篇)

来源:天达共和法律观察

作者:

  • 叶鹏,天达共和律师事务所北京办公室合伙人;联系方式:邮箱:yepeng@east-concord.com、电话:+8610 6510 7032
  • 杨越文,天达共和律师事务所北京办公室

声明:以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。 

免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询