序言
2025 年,我国数字经济深度发展,人工智能、跨境数据流通等新业态快速渗透,数据作为核心生产要素,已深度融入工业互联网、跨境电商、智慧城市、生成式AI等产业链、供应链、创新链各环节,成为驱动经济增长的关键力量,数据流通和数据应用日益融入各个行业、各类型企业生产经营的各个环节。但与此同时,数据安全事件频发、个人信息被过度收集与非法交易、AI滥用引发算法歧视和虚假信息传播等问题凸显,重要数据泄漏更威胁国家安全与产业安全,传统治理模式难以适配数字时代的风险防控需求。
值此岁末年初之际,天达共和数据合规团队特推出数据合规年度回顾与展望系列,围绕立法、监管与执法、重点问题等各个方面,希望为企业合规经营和业务发展提供助力。
立法篇
2025年度,我国以《数据安全法》《个人信息保护法》《网络安全法》为核心框架,持续推进数据合规立法体系建设,呈现顶层设计完善、部门协同强化、重点领域突破的显著特征。顶层设计立足数字经济发展实际,明确数据治理核心原则与制度,同时预留创新空间适配技术与产业升级。部门协同层面,网信、工信、公安、市场监管等多部门联动,形成立法、执法、监管闭环;重点领域则针对个人信息保护、跨境数据流动、AI治理等高频风险场景密集出台专项规则,通过法规与标准深度联动,构建起覆盖数据收集、存储、使用、加工、传输、提供、公开全生命周期的合规治理体系。
一、2025年度重点立法回顾
1.个人信息保护
2025年个人信息保护立法核心在于进一步推动从原则性规定到精细化落地,围绕全生命周期保护设定具体规则,同时针对不同主体实施差异化管控,配套审计、身份认证等制度筑牢保护防线。
2.数据出境
2025年数据出境监管体系得以完善,出境路径得以优化并与法律规定相适应。同时,重点行业领域也针对本行业数据出台了针对性的出境监管政策,进一步明确了各类数据主体在出境活动中应当履行的义务。
3.网络安全
2025年网络安全立法以修订完善核心法律、细化行业标准、规范事件处置为核心,大幅强化监管力度与法律责任,同时针对工业控制、直播、支付等重点领域补全标准空白,构建全链条安全防控体系。
4.数据安全
2025年数据安全立法核心实现行业深耕与体系化构建,以分级分类保护为基础,覆盖政务、金融、能源等重点行业,同时建立风险评估制度,配套国家标准,结合AI治理防范新型数据安全风险,构建法律—规章—标准的治理体系。
5.数据要素流通
2025 年数据要素流通立法核心实现公共数据运营规范与产权制度探索,以公共数据授权运营为重点,完善政务数据共享机制,开展数据知识产权地方立法实践,为数据要素市场化配置奠定制度基础。
二、2025年立法核心特征与影响
1.分类施策
(1)按规模与行业属性区分不同主体的合规义务
对大型平台设定较高要求,如《大型网络平台个人信息保护规定(征求意见稿)》针对超大型平台要求设立专属保护机构,并对平台内经营者的个人信息处理行为进行监督。
(2)数据维度细化分级分类保护标准
按重要性区分设定管控要求,敏感个人信息、核心数据的保护要求最严格,如《银行业务领域数据安全管理办法》划定金融数据分级标准并要求核心数据境内存储,并且明确要求在一般数据中进一步识别敏感级数据并采取相关保护措施。《个人信息保护合规审计管理办法》将达到一定规模个人信息处理主体的审计设定为至少每两年一次。
(3)针对高风险、新兴场景制定专项规制
针对AI场景,出台《人工智能生成合成内容标识办法》等专项文件;针对直播、支付等场景发布 GA 1277 系列标准制定专属安全要求。
(4)相关影响
①对企业的影响
各类企业需根据自身规模、所属行业、处理数据类型及业务场景精准匹配合规义务,避免合规成本浪费。其中大型平台、AI 企业及金融、能源等重点行业企业,需落实设立专门合规机构、完善数据分级保护、开展定期合规评估与风险审计等专项义务。中小微企业可借助行业协会、第三方机构的轻量化合规工具和标准化模板,低成本搭建基础合规体系,降低合规门槛与运营成本。
②对个人的影响
针对敏感个人信息的从严专属保护规则,让个人核心信息权益得到更具针对性、精准化的保障,避免不同类型数据混同保护带来的权益漏洞。同时针对直播、支付、AI等个人信息高频流转的高风险场景,专项规制从源头防范个人信息被过度收集、滥用、泄露的风险。
2.多元联动
(1)市场主体联动
引入市场化认证、审计机制,第三方专业机构深度参与合规工作,形成企业自律、市场约束、政府监管的协同模式,如《个人信息保护合规审计管理办法》要求外部合规审计委托具备资质的第三方机构,《个人信息出境认证办法》确立第三方参与的市场化认证路径并凭证书简化出境手续。
(2)规则体系联动
推动法律、规章、国家标准及行业标准深度衔接,形成层级化治理体系,提升合规要求可操作性,如数据安全风险评估领域的《网络数据安全风险评估办法(征求意见稿)》与 GB/T 45577-2025 国标衔接,个人信息审计领域的《个人信息保护合规审计管理办法》与 GB/T 46903-2025 国标配套落地。
(3)相关影响
①对企业的影响
企业合规有了明确、细化的多层级规则依据,合规体系搭建更具方向性和规范性。同时企业合规不再仅依赖内部自律,还需配合第三方机构的审计、认证结果开展合规整改与优化,要求企业从被动合规转向主动合规,进一步提升内部合规管理的专业性与严谨性。
②对个人的影响
个人信息权益保护形成多层级、多主体的共治保障体系,从市场层面形成有效约束。同时清晰具体的层级化规则体系,为个人行使信息查询、更正、异议、维权等权利提供明确法律依据,让个人维权渠道更畅通、行权更便捷,此外个人还可通过参与维权、提出立法建议等方式主动参与数据合规共治,进一步推动自身信息权益保护。
三、当前立法存在的问题与2026年数据合规立法展望
结合2025年数据合规立法实践、国务院及全国人大已发布的立法工作计划中对数据相关领域的布局要求,以及当前数据合规治理的现实需求,我们认为,2026年数据合规立法领域需要关注的重点内容可能包括:
(1)征求意见稿密集落地推动数据治理实操性全面提升
2025年,《网络数据安全风险评估办法》《人工智能拟人化互动服务管理暂行办法》《大型网络平台个人信息保护规定》等一批核心规则以征求意见稿形式发布。我们认为,2026年上述征求意见稿将完成意见征集与修订并正式出台的可能性较大。此类正式文件的落地,将进一步明确数据风险评估、AI 场景合规、大型平台监管等领域的实操标准,填补此前规则模糊、边界不清的治理漏洞,推动企业合规工作向精细化落地转变,同时也为监管部门执法提供更具体、明确的法律依据,提升数据合规监管的精准性与有效性。
(2)重点行业如医疗、交通运输领域等将成为新一轮行业立法重点
2025年,金融、能源、AI、直播支付等领域已完成专项立法布局,形成行业化数据安全治理规则,但医疗、交通运输等与国计民生密切相关的数据密集型重点领域,尚未出台系统性数据安全保护规则。其中医疗领域涉及个人健康敏感数据,数据类型复杂、流转场景多元,且当前缺乏统一的分级分类保护与合规利用标准;交通运输领域汇聚车辆轨迹、乘客信息、路网运行等海量数据,兼具个人信息与重要数据属性,相关跨境流转、全生命周期管控等方面立法需求迫切。
结合国务院2025年立法工作计划中对生物医学新技术、交通运输等相关领域的立法部署,我们预计,2026年立法将聚焦上述空白领域,出台医疗、交通运输行业数据安全管理专项办法,明确行业数据分级分类标准、安全管控要求、主体合规义务,推动重点行业数据安全治理实现全覆盖,筑牢各领域数据安全防线。
(3)加快数据要素流通确权顶层立法,完善数据要素市场化配置制度
数据要素流通确权相关制度目前停留在政策层面,在立法方面长期缺失,是当前制约数据要素市场化高效发展的核心痛点。产权界定、权利归属、流转规则等核心问题尚未形成统一的法律规范,导致数据要素在流通、交易、收益分配等环节缺乏明确依据,严重影响数据要素从资源向资产的转化进程,对数据要素市场的规模化、规范化发展形成显著制约。
尽管数据确权因涉及多方主体权益、法律关系复杂等问题存在较大立法难度,但作为数据要素流通的基础前提,亟需加快推进数据要素流通确权顶层立法的制定工作。我们希望,2026年立法层面能够尽快明确公共数据、企业数据、个人数据的分类确权规则,探索数据资源持有权、加工使用权、产品经营权的分置运行机制,厘清不同主体在数据要素流通中的权利与义务边界,为数据要素的合规流通、公平交易、价值实现奠定坚实的制度基础,激活数据要素市场的核心活力。
结语
纵观全年立法实践,重点领域规制、法规与标准协同、多部门联动构建治理格局,成为我国数据合规立法的趋势。2025年,我国数据合规领域立法出台多项法律法规、规章及国家标准,多项法律法规公开征求意见,围绕个人信息保护、网络安全、数据安全三大基础领域,及AI治理、跨境数据流通等新兴场景,搭建起多层级、全生命周期的治理框架,形成了“法律定原则、规章定规则、标准定细节”的规制体系。
立法的完善是数据合规治理坚实的根基。2026 年,我们也期待数据合规立法持续深化,推动已征求意见的法律文件落地实施,补齐数据产权立法短板,完善新兴领域规则,让数据合规治理体系更趋完善、实操性持续提升。
同时,立法的落地成效也依托于监管执法实践来检验与支撑。关于 2025 年数据合规领域的执法总结与回顾,我们将在本系列第二篇文章《温故知新 继往开来——数据合规年度回顾与展望系列:监管执法篇》中详细解读,敬请关注。
