作者|姚李英 李垚

在全球数字化和信息化的浪潮中, 数字经济正以前所未有的速度崛起, 已成为推动新质生产力发展的重要支撑和关键引擎。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有。从 5G 网络的普及到工业互联网的广泛应用, 从算力网络的建设到物联网的应用场景日渐丰富, 中国数字经济的基础设施建设呈现出盎然生机,截至 2024年5月底,5G基站规模达到383.7万个, 千兆宽带用户1.83亿户,实现市市通千兆、县县通5G,村村通宽带。与此同时, 人工智能、TMT技术、云计算、大数据、量子计算机、脑机接口等关键技术的突破与前沿技术的创新, 不仅提升了中国在全球数字经济领域的竞争力, 也为中国数字经济的高质量发展奠定了坚实的基础。

图1:《数据安全与合规季报(2025Q1)-法规标准精要与案例启示》封面

回顾我国数字经济发展,“三法一条”共同构建了中国网络空间治理的顶层设计,引领着我国网络法治建设迈上新台阶,并在“总体国家安全观”指引下日臻完善。我国已经全面进入拥抱和步入网络安全与数据合规2.0时代,网络安全与数据合规不断激活,数据价值不断开发利用,带动了新一轮以生成式人工智能服务为代表的人工智能技术蓬勃发展。然而,伴随而来的数据泄露、隐私侵犯等风险也显著增加,迫使各国政府和行业监管机构需要不断完善数据保护法律法规。企业在全球范围内运营时,面临着不同法律体系下的合规挑战,需要有效应对复杂多变的法规要求。本法报告旨在通过检索并简要分析我国2025年第一季度新出台的与数据安全与合规领域相关法律法规、标准和案例,为数字经济下我国企业的数据安全与合规提供支持与帮助。

1.数据安全与合规相关新规一览表(2025Q1)

2.数据安全与合规相关新增国家标准一览表(2025Q1)

备注:以上第9-14项国家标准为2025年第6号国家标准公告中最新发布,目前尚无法查看全文,我们将在下个季度合规报告中具体呈现。

3.数据安全与合规新增国家标准动态总结

总结:从上述国家标准来看,当前数据安全立法趋势主要体现在以下两个方面:一方面,数据分类分级管理的标准化。如《数据安全技术 数据分类分级规则》(GB/T 43697-2024)的发布,明确了数据分类分级的原则、框架、方法和流程,为数据安全管理提供了清晰的操作指引,推动数据安全管理。另一方面,数据安全审计的规范化。《科学数据安全审计要求》(GB/T 43710-2025)的实施,从人员行为和数据生命周期两个维度,对科学数据安全审计提出具体要求,强调了审计在数据安全管理中的重要性,促使企业建立健全数据安全审计机制,加强对数据处理活动的监督和审查,确保数据安全管理制度的有效落实。最后,《网络安全技术 信息安全管理体系审核和认证机构要求》《网络安全技术 网络安全事件管理》公开征求意见,规定了网络安全事件发生的原因、应对管理流程,进一步细化了网络安全责任,提升了应对网络安全事态和事件的能力。

4.数据安全与合规新增法规政策动态总结

近年来,中国数据立法呈现快速迭代与体系化特征,围绕数据要素市场化、安全治理、技术应用规范等核心议题,逐步形成“政策引导+标准支撑+技术落地”的立体化治理框架。下面结合最新法律法规及相关标准,从四大维度总结当前立法动态。

4.1 数据要素市场化:从制度创新到价值释放

通过制度设计打破“数据孤岛”,为数据交易、融资、跨境流通提供合法性依据,呼应“数字经济强国”战略目标。

a) 流通规则构建:《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》明确数据分类分级、定价机制等基础制度,加强数据流通安全技术应用和产业培育。《公共数据资源授权运营价格形成机制》明确公共数据运营服务费实行政府指导价管理,建立公共数据资源授权运营价格形成机制,推动公共数据从“沉睡资产”向“经济资源”转化。

b) 权属登记探索:《公共数据资源登记管理暂行办法》构建全国一体化公共数据资源登记体系,促进公共数据资源合规高效开发利用。《全国数据资源统计调查制度》首次将数据纳入国民经济统计体系,摸清全国数据资源底数,准确、及时、全面反映我国数据资源全貌,量化数据资产规模,助力数据要素价值评估。

4.2 安全治理升级:从全链条管控到技术驱动防御

从单纯依赖行政监管转向“制度+技术”双轮驱动,应对数据泄露、AI滥用等新型风险,筑牢国家安全与个人隐私防线,重点构建覆盖数据全生命周期的安全防线,强化技术手段在治理中的应用。

a) 全流程合规约束:《个人信息出境认证办法》要求个人信息出境应当由具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境保护认证活动。结合《数据安全审计要求》形成“事前认证+事后审计”闭环。《科学数据安全分类分级指南》针对科研领域细化数据保护等级,要求高风险数据隔离存储、限制境外共享。

b) 技术赋能安全升级:《机密计算通用框架》明确机密计算的特征和概念,并且确定了机密计算的框架和业务活动的主要角色构成。《网络安全技术 网络安全事件管理》统一网络安全事件处置流程,提升应急响应效率。

4.3 技术应用规范:从红线划定到伦理治理

通过预防性立法设定技术伦理边界,避免重蹈“先发展后治理”覆辙,为元宇宙、自动驾驶等未来技术预留治理空间,防范新型技术滥用,同时平衡创新激励与社会风险。

a) 人工智能治理:《人工智能生成内容标识办法》强制标注AI生成内容,结合《编码规则》要求嵌入可溯源的标识,遏制虚假信息传播。《人脸识别技术管理办法》划定“非必要不采集”原则,要求物业、商业场景等提供替代方案,防止生物特征数据过度收集。

b) 信息规范化:《网络信息内容多渠道分发服务机构相关业务活动管理规定》要求平台加强本平台入驻网络信息内容多渠道分发服务机构(MCN机构)的日常管理,建立分级管理制度,并采取相应管理措施防范信息内容风险,应当强化对虚假信息、谣言、恶意蹭炒社会热点事件、宣扬不良价值观、虚构关注度等的监督和管控。

4.4 行业场景深耕:从通用规则到精准施策

a) 垂直领域专项治理:在金融领域,通过《金融“五篇大文章”实施意见》推动绿色金融、普惠金融数据共享,强化反欺诈风控模型合规性。在科研领域,发布《科学数据安全要求通则》规范科学数据安全的通用要求,包括科学数据安全基本框架、生命周期安全要求、实体安全要求和安全管理要求。

b) 区域试点先行:《关于开展物流数据开放互联试点工作的通知》探索供应链数据跨企业流通,多式联运数据开放互联。推进单证可信流转、货物全程追溯和物流数据标准化,助力中小企业降本增效。《工业企业和园区数字化能碳管理中心建设指南》推动工业企业建立能源与碳排放数据管理平台,服务“双碳”目标实现。

5.数据安全与合规领域刑事典型案例

5.1 非法爬取“小红书”数据牟利650余万元,3人被判刑

案件背景:

2021年12月初,某信息公司安全部门发现,有3300余个账号向其旗下的“小红书”App发送引流私信,但App前端登录接口并无记录。经调查发现,这些私信是由某网络公司开发的AI智能互动平台发出的。该平台未经授权,突破了“小红书”App的前端验证防护机制,爬取用户昵称、笔记评论等数据,并向用户发送私信和广告。

案件细节:该网络公司技术部主管周某于2019年4月编制了一个DEMO小程序,结合爬虫软件可以爬取“小红书”App的用户信息并发送私信。测试效果良好后,公司管理层决定将其开发成AI智能互动平台,用于服务需要投放营销广告的商户,并收取费用。该平台界面设计为商户友好型,旅游商户只需输入关键词,即可将营销广告以私信形式发送给“小红书”上的潜在用户。

案件判决:

2021年12月中旬,犯罪嫌疑人陈某(公司实际控制人)、钱某(总经理)和周某(技术部主管)被公安机关抓获。法院经审理认为,三人的行为构成非法获取计算机信息系统数据罪。最终,该公司被判处20万元罚金,陈某被判处有期徒刑四年,钱某和周某分别被判处有期徒刑三年,缓刑五年,并处罚金20万元至10万元不等,违法所得653万元予以没收并上缴国库。

案件意义与影响:

本案凸显了数据安全和用户隐私保护的重要性。网络公司未经授权非法获取和使用用户数据,不仅侵犯了用户的合法权益,也对平台的正常运营造成干扰。案件的判决体现了法律对数据安全和用户隐私的严格保护,同时也警示了企业和技术从业者,技术的应用必须在法律框架内进行,即使技术本身具有合法用途,但未经授权滥用仍然会受到法律的制裁。

企业必须建立健全数据安全管理制度,确保数据处理活动的合法合规,加强技术防护措施,防止数据泄露和非法使用。同时,企业管理层和技术人员应增强法律意识,避免因追求经济利益而忽视数据安全和用户权益引发严重法律后果。只有在合法合规的前提下,技术才能真正发挥其创新和推动作用。

5.2 二人非法获取公民个人信息,构成侵犯公民个人信息罪

案件背景:

2021年3月19日,被告人王某和张某以免费为居民激活医保电子凭证为由,以巴州丰联数据处理有限公司名义与库车市医保局签订了一份业务委托协议。然而,在2021年4月至2022年7月期间,二人利用激活医保电子凭证的机会,在居民不知情的情况下,私自下载并注册京东APP,非法获取5940人的手机号码等信息,并从中获取新用户推广费用20,790元。案发后,张某自动投案自首,王某和张某如实供述犯罪事实并自愿认罪认罚。

案件细节:

行为手段:王某和张某聘请业务经理和业务员,组织团队到库车市多个乡镇,利用居民前来激活医保电子凭证的机会,未经居民同意私自注册京东APP。

非法获利:通过注册京东APP获取新用户推广费用,共计非法获利20,790元。自首与认罪:张某在案发后自动投案自首,王某和张某到案后如实供述犯罪事实并自愿认罪认罚。

案件判决:

被告人王某、张某违反国家有关规定,利用为居民提供激活医保电子凭证的便利,非法获取公民的个人信息用于APP实名注册认证,从中获利,情节严重,其行为构成侵犯公民个人信息罪。公诉机关指控的犯罪事实清楚,证据确实、充分,指控罪名成立,本院予以支持。本案共同犯罪形式、实施过程、实施环节是一个相互衔接的有机整体,结合二被告人在共同犯罪中所处地位、所起作用,两被告人均系侵犯公民个人信息罪的共犯,不区分主从犯。被告人王某到案后如实供述犯罪事实,系坦白,且认罪认罚,依法从轻处罚,被告人张某主动到案后如实供述犯罪事实构成自首,且认罪认罚,依法从轻处罚。

案件意义与影响:

本案旨在引导从业者充分认识到个人信息保护的重要性,提醒企业和个人在处理公民个人信息时必须严格遵守法律法规,未经授权不得非法获取、使用或出售公民个人信息,否则该等未经授权的个人信息收集和使用行为都将受到法律的严厉制裁。

5.3 赵某非法控制他人设备获取数据案

案件背景:

2020年7月,赵某在上网时看到高某(江苏省靖江市公安局已打击处理)开发的某某软件弹窗广告,了解到该软件可以侵入他人手机并获取摄像头拍摄的画面和声音。赵某下载该软件并充值100元,获得积分用于控制他人设备。2020年7月至2022年1月期间,赵某非法控制他人计算机及手机设备达381次,涉及26个设备。

案件细节:

软件功能:某某软件具有侵入他人设备并获取摄像头画面和声音的功能,用户需充值积分才能使用。

赵某行为:赵某通过该软件在未经设备授权的情况下,多次控制他人设备,获取摄像头画面和声音。每次连接受控端设备花费100积分,赵某共非法控制他人设备381次,涉及26个设备。

违法次数:赵某非法控制他人设备的行为持续了18个月,频率较高,涉及多个设备。

案件判决:

根据《刑法》第二百八十五条第二款的规定,赵某的行为构成非法控制计算机信息系统罪。赵某非法控制他人设备381次,涉及26个设备,情节特别严重,应当判处三年以上七年以下有期徒刑,并处罚金。

案件意义与影响:

法律警示:本案提醒公众,利用技术手段非法侵入他人设备获取数据是严重的违法犯罪行为,将受到法律的严厉制裁。任何未经授权的侵入和数据获取行为都是违法的,将受到法律的制裁。

技术监管:软件开发者和平台运营者应加强对软件功能的审核和监管,防止其被用于非法目的。对于具有潜在侵权风险的软件,应设置必要的权限验证和使用限制。

用户保护:用户应增强个人信息保护意识,避免下载和使用来源不明的软件,防止个人信息泄露。同时,用户应定期检查设备安全设置,及时发现并阻止非法侵入。本案凸显了数据安全和隐私保护的重要性。任何未经授权的侵入和数据获取行为都是违法的,将受到法律的制裁。企业和个人应加强数据受保护的意识,避免因技术滥用导致的法律风险。