中國數據合規2025年觀察：深化、協同與激活

2025年，中國數據治理在《網絡安全法》、《數據安全法》、《個人信息保護法》三大基礎性法律框架已然穩固的背景下，邁入了以深化細化規則、強化協同治理、激活要素價值爲特徵的縱深推進階段。本年度的核心動態，可概括爲從宏觀立法轉向微觀實操的“深化”、從單一監管轉向多元共治的“協同”，以及從合規成本轉向發展引擎的“激活”。

2025年，監管的核心任務之一是將上位法的原則性規定，通過配套細則、國家標準和專項治理，深化爲可執行、可操作、可審計的具體規則，並深入特定技術場景與產業環節。

1、關鍵制度配套細則的完善與補全

年內多項重磅配套規章的出臺，標誌着數據合規核心領域的操作路徑已基本繪製完成。

2、監管執法的深化：從線上應用到全域場景

2025年的執法行動呈現出範圍深化、力度強化、案例指導性突出的特點。

（1）專項行動的全域覆蓋。年初啓動的“2025年個人信息保護系列專項行動”，由多部門聯合開展，其整治範圍從過往聚焦的App，深化至SDK、智能終端、線下消費（如掃碼點餐、停車繳費）、公共場所人臉識別等線上線下融合的全場景。這表明監管已穿透至數據採集的每一個末梢。

（2）典型案例的規則釋明。9月，國家網信辦集中發佈的10起網絡安全與數據安全執法典型案例，具有極強的指導意義。案例不僅涵蓋傳統的數據泄露、網頁篡改，更包括“AI換臉”服務未履行安全評估、超範圍收集個人信息等新型、複雜情形。這些案例以案釋法，生動詮釋了“最小必要”、“安全評估”等原則在具體情境下的認定標準。

（3）供應鏈安全的風險預警。7月，監管部門就潛在安全風險約談跨國科技企業英偉達。這一事件超越了對數據直接處理活動的監管，將關切點深化至算力芯片等數字基礎設施的供應鏈安全層面，體現了對國家安全與產業安全風險的深遠考量。

2025年，數據治理不再是網信部門的“獨角戲”，而是呈現出立法、執法、司法、標準制定及國際對話多方協同，硬性監管與柔性服務並舉的共治格局。

1、立法與標準的協同

法律法規與國家標準、行業標準形成配套輸出。例如，《人臉識別技術應用安全管理辦法》作爲部門規章，與相關個人信息去標識化、安全測評等國家標準共同構成對該技術領域的規制組合拳，實現了管理要求與技術規範的協同。

2、行政、司法與企業的協同

（1）部門協同，聯合監管。2025年底，中央網信辦、工信部、公安部和市場監管總局開展2025年個人信息保護系列專項行動，經公安部計算機信息系統安全產品質量監督檢驗中心檢測，通報54款移動應用違法違規收集使用個人信息。但沒有進一步的處罰措施，處罰力度略顯薄弱。

（2）行政處罰，樹立典型。2025年5月，多家媒體報道迪奧發生數據泄露事件，中國大陸地區用戶也陸續收到該公司警示短信。上海公安機關網安部門查明，迪奧中國公司未通過數據出境安全評估、訂立個人信息出境標準合同或通過個人信息保護認證，違規向境外總部傳輸用戶個人信息，未向用戶充分告知其個人信息境外接收方的處理方式，未取得用戶“單獨同意”，未對收集的個人信息採取加密、去標識化等安全技術措施。上海公安機關已依法對該公司予以行政處罰並責令限期改正。但具體的處罰措施並未公佈。

（3）司法指引，規則供給。2025年8月28日，最高人民法院公佈指導案例，其中兩個案例對《個人信息保護法》關於“爲訂立、履行個人作爲一方當事人的合同所必需”處理個人信息的合法性基礎進行了司法解讀。在羅某訴某科技有限公司隱私權、個人信息保護糾紛案確立了兩個裁判規則：判斷處理個人信息是否屬於“爲訂立、履行個人作爲一方當事人的合同所必需”，可以結合有關法律法規及規章、規範性文件等對必要個人信息範圍的規定，並考量合同的類型、內容等作出認定；在收集用戶畫像信息並非提供網絡服務所必需的情況下，網站或者軟件登錄註冊界面收集該信息時，未向用戶提供不同意提交相關信息情況下的其他登錄方式的，屬於用戶非自願同意提供個人信息。黃某歡訴某信用管理有限公司個人信息保護糾紛案確認的裁判規則是，“先享後付”功能以開通信用服務爲必要條件，相關信用服務商收集反映用戶個人信用或者風險狀況的個人信息，屬於“爲訂立、履行個人作爲一方當事人的合同所必需”。

（4）監管對話，服務協同。10月，國家網信辦專門爲在華外資企業召開數據跨境流動政策座談會。此舉超越了單純的監管，體現了主動宣貫政策、回應關切、穩定外資信心的“監管服務”意識，是優化營商環境的協同舉措。

3、國內治理與國際關切的協同

在嚴格守護數據安全底線的前提下，通過制定清晰的跨境規則（如認證辦法）、舉辦外資企業座談會、探索粵港澳大灣區跨境流動便利機制等，展現了中國在數據治理領域兼顧安全與發展、平衡監管與開放的協同思路，積極回應全球化企業的合規需求。

2025年，數據治理的敘事在“規範”之外，濃墨重彩地加入了“發展”篇章。政策重心從“管得住”向“用得好”傾斜，系統性激活數據要素價值。

1、頂層設計：構建流通基礎制度

1月，國家發改委、國家數據局等七部門聯合印發《關於完善數據流通安全治理的實施方案》，明確提出構建數據流通安全治理的規則、技術、市場、環境“四大體系”。該方案旨在從頂層設計上破解“不願流、不敢流、不會流”的難題，爲數據要素市場化配置奠定製度基礎。

2、市場實踐：培育多層次交易生態

地方數據交易所的創新實踐不斷湧現。例如，4月揭牌的廣州數據交易所（順德）服務專區，是省級數據交易體系向縣域特色產業（製造業）的深化下沉。它探索的是貼近產業需求、激活本地數據資源的具體路徑，是數據要素市場激活微觀經濟活力的體現。

3、企業焦點：從合規成本到核心資產

隨着《企業數據資源相關會計處理暫行規定》的實施，數據資源“入表”從理論走向實踐。合規、可計量、可交易的數據，正從企業的成本中心和風險源，轉變爲能夠在財務報表中顯性化、並可能進行融資或交易的核心資產。這一根本性轉變，正在激活企業從戰略層面重視數據治理與合規的內在動力。

回顧2025年，中國數據治理之路清晰呈現出三大轉向：

1、 從“立規”向“精治”深化：規則日益精密，直指技術內核與業務細節。

2、 從“單管”向“共治”協同：多元主體參與，工具箱不斷豐富，治理韌性增強。

3、 從“防禦”向“賦能”激活：在築牢安全底板的同時，全力構建數據價值化的基礎設施和市場生態。

展望2026年，已步入“深水區”的數據治理將面臨更複雜的挑戰：人工智能（特別是AIGC）的治理規則需進一步細化；數據跨境流動的便利化與安全如何更好平衡；數據要素市場的規模化運行機制亟待突破。對企業而言，數據合規已絕非應付檢查的“成本項目”，而是關乎競爭優勢、資產價值乃至生存空間的戰略必修課。唯有主動將合規內化爲發展基因，方能在這場“規範與發展”的辯證航行中行穩致遠。