作者｜姚李英 李垚

在全球數字化和信息化的浪潮中, 數字經濟正以前所未有的速度崛起, 已成為推動新質生產力發展的重要支撐和關鍵引擎。數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有。從 5G 網絡的普及到工業互聯網的廣泛應用, 從算力網絡的建設到物聯網的應用場景日漸豐富, 中國數字經濟的基礎設施建設呈現出盎然生機，截至 2024年5月底，5G基站規模達到383.7萬個, 千兆寬帶用戶1.83億戶,實現市市通千兆、縣縣通5G，村村通寬帶。與此同時, 人工智能、TMT技術、云計算、大數據、量子計算機、腦機接口等關鍵技術的突破與前沿技術的創新, 不僅提升了中國在全球數字經濟領域的競爭力, 也為中國數字經濟的高質量發展奠定了堅實的基礎。

圖1：《數據安全與合規季報（2025Q1)-法規標準精要與案例啟示》封面

回顧我國數字經濟發展，“三法一條”共同構建了中國網絡空間治理的頂層設計，引領著我國網絡法治建設邁上新臺階，并在“總體國家安全觀”指引下日臻完善。我國已經全面進入擁抱和步入網絡安全與數據合規2.0時代，網絡安全與數據合規不斷激活，數據價值不斷開發利用，帶動了新一輪以生成式人工智能服務為代表的人工智能技術蓬勃發展。然而，伴隨而來的數據泄露、隱私侵犯等風險也顯著增加，迫使各國政府和行業監管機構需要不斷完善數據保護法律法規。企業在全球范圍內運營時，面臨著不同法律體系下的合規挑戰，需要有效應對復雜多變的法規要求。本法報告旨在通過檢索并簡要分析我國2025年第一季度新出臺的與數據安全與合規領域相關法律法規、標準和案例，為數字經濟下我國企業的數據安全與合規提供支持與幫助。

1.數據安全與合規相關新規一覽表（2025Q1)

2.數據安全與合規相關新增國家標準一覽表（2025Q1)

備注：以上第9-14項國家標準為2025年第6號國家標準公告中最新發布，目前尚無法查看全文，我們將在下個季度合規報告中具體呈現。

3.數據安全與合規新增國家標準動態總結

總結：從上述國家標準來看，當前數據安全立法趨勢主要體現在以下兩個方面：一方面，數據分類分級管理的標準化。如《數據安全技術 數據分類分級規則》（GB/T 43697-2024）的發布，明確了數據分類分級的原則、框架、方法和流程，為數據安全管理提供了清晰的操作指引，推動數據安全管理。另一方面，數據安全審計的規范化。《科學數據安全審計要求》（GB/T 43710-2025）的實施，從人員行為和數據生命周期兩個維度，對科學數據安全審計提出具體要求，強調了審計在數據安全管理中的重要性，促使企業建立健全數據安全審計機制，加強對數據處理活動的監督和審查，確保數據安全管理制度的有效落實。最后，《網絡安全技術　信息安全管理體系審核和認證機構要求》《網絡安全技術 網絡安全事件管理》公開征求意見，規定了網絡安全事件發生的原因、應對管理流程，進一步細化了網絡安全責任，提升了應對網絡安全事態和事件的能力。

4.數據安全與合規新增法規政策動態總結

近年來，中國數據立法呈現快速迭代與體系化特征，圍繞數據要素市場化、安全治理、技術應用規范等核心議題，逐步形成“政策引導+標準支撐+技術落地”的立體化治理框架。下面結合最新法律法規及相關標準，從四大維度總結當前立法動態。

4.1 數據要素市場化：從制度創新到價值釋放

通過制度設計打破“數據孤島”，為數據交易、融資、跨境流通提供合法性依據，呼應“數字經濟強國”戰略目標。

a) 流通規則構建：《關于完善數據流通安全治理 更好促進數據要素市場化價值化的實施方案》明確數據分類分級、定價機制等基礎制度，加強數據流通安全技術應用和產業培育。《公共數據資源授權運營價格形成機制》明確公共數據運營服務費實行政府指導價管理，建立公共數據資源授權運營價格形成機制，推動公共數據從“沉睡資產”向“經濟資源”轉化。

b) 權屬登記探索：《公共數據資源登記管理暫行辦法》構建全國一體化公共數據資源登記體系，促進公共數據資源合規高效開發利用。《全國數據資源統計調查制度》首次將數據納入國民經濟統計體系，摸清全國數據資源底數，準確、及時、全面反映我國數據資源全貌，量化數據資產規模，助力數據要素價值評估。

4.2 安全治理升級：從全鏈條管控到技術驅動防御

從單純依賴行政監管轉向“制度+技術”雙輪驅動，應對數據泄露、AI濫用等新型風險，筑牢國家安全與個人隱私防線，重點構建覆蓋數據全生命周期的安全防線，強化技術手段在治理中的應用。

a) 全流程合規約束：《個人信息出境認證辦法》要求個人信息出境應當由具備資質的專業認證機構按照統一標準、統一規則、統一標識開展個人信息出境保護認證活動。結合《數據安全審計要求》形成“事前認證+事后審計”閉環。《科學數據安全分類分級指南》針對科研領域細化數據保護等級，要求高風險數據隔離存儲、限制境外共享。

b) 技術賦能安全升級：《機密計算通用框架》明確機密計算的特征和概念，并且確定了機密計算的框架和業務活動的主要角色構成。《網絡安全技術 網絡安全事件管理》統一網絡安全事件處置流程，提升應急響應效率。

4.3 技術應用規范：從紅線劃定到倫理治理

通過預防性立法設定技術倫理邊界，避免重蹈“先發展后治理”覆轍，為元宇宙、自動駕駛等未來技術預留治理空間，防范新型技術濫用，同時平衡創新激勵與社會風險。

a) 人工智能治理：《人工智能生成內容標識辦法》強制標注AI生成內容，結合《編碼規則》要求嵌入可溯源的標識，遏制虛假信息傳播。《人臉識別技術管理辦法》劃定“非必要不采集”原則，要求物業、商業場景等提供替代方案，防止生物特征數據過度收集。

b) 信息規范化：《網絡信息內容多渠道分發服務機構相關業務活動管理規定》要求平臺加強本平臺入駐網絡信息內容多渠道分發服務機構（MCN機構）的日常管理，建立分級管理制度，并采取相應管理措施防范信息內容風險，應當強化對虛假信息、謠言、惡意蹭炒社會熱點事件、宣揚不良價值觀、虛構關注度等的監督和管控。

4.4 行業場景深耕：從通用規則到精準施策

a) 垂直領域專項治理：在金融領域，通過《金融“五篇大文章”實施意見》推動綠色金融、普惠金融數據共享，強化反欺詐風控模型合規性。在科研領域，發布《科學數據安全要求通則》規范科學數據安全的通用要求，包括科學數據安全基本框架、生命周期安全要求、實體安全要求和安全管理要求。

b) 區域試點先行：《關于開展物流數據開放互聯試點工作的通知》探索供應鏈數據跨企業流通，多式聯運數據開放互聯。推進單證可信流轉、貨物全程追溯和物流數據標準化，助力中小企業降本增效。《工業企業和園區數字化能碳管理中心建設指南》推動工業企業建立能源與碳排放數據管理平臺，服務“雙碳”目標實現。

5.數據安全與合規領域刑事典型案例

5.1 非法爬取“小紅書”數據牟利650余萬元，3人被判刑

案件背景：

2021年12月初，某信息公司安全部門發現，有3300余個賬號向其旗下的“小紅書”App發送引流私信，但App前端登錄接口并無記錄。經調查發現，這些私信是由某網絡公司開發的AI智能互動平臺發出的。該平臺未經授權，突破了“小紅書”App的前端驗證防護機制，爬取用戶昵稱、筆記評論等數據，并向用戶發送私信和廣告。

案件細節：該網絡公司技術部主管周某于2019年4月編制了一個DEMO小程序，結合爬蟲軟件可以爬取“小紅書”App的用戶信息并發送私信。測試效果良好后，公司管理層決定將其開發成AI智能互動平臺，用于服務需要投放營銷廣告的商戶，并收取費用。該平臺界面設計為商戶友好型，旅游商戶只需輸入關鍵詞，即可將營銷廣告以私信形式發送給“小紅書”上的潛在用戶。

案件判決：

2021年12月中旬，犯罪嫌疑人陳某（公司實際控制人）、錢某（總經理）和周某（技術部主管）被公安機關抓獲。法院經審理認為，三人的行為構成非法獲取計算機信息系統數據罪。最終，該公司被判處20萬元罰金，陳某被判處有期徒刑四年，錢某和周某分別被判處有期徒刑三年，緩刑五年，并處罰金20萬元至10萬元不等，違法所得653萬元予以沒收并上繳國庫。

案件意義與影響：

本案凸顯了數據安全和用戶隱私保護的重要性。網絡公司未經授權非法獲取和使用用戶數據，不僅侵犯了用戶的合法權益，也對平臺的正常運營造成干擾。案件的判決體現了法律對數據安全和用戶隱私的嚴格保護，同時也警示了企業和技術從業者，技術的應用必須在法律框架內進行，即使技術本身具有合法用途,但未經授權濫用仍然會受到法律的制裁。

企業必須建立健全數據安全管理制度，確保數據處理活動的合法合規,加強技術防護措施，防止數據泄露和非法使用。同時，企業管理層和技術人員應增強法律意識，避免因追求經濟利益而忽視數據安全和用戶權益引發嚴重法律后果。只有在合法合規的前提下，技術才能真正發揮其創新和推動作用。

5.2 二人非法獲取公民個人信息，構成侵犯公民個人信息罪

案件背景：

2021年3月19日，被告人王某和張某以免費為居民激活醫保電子憑證為由，以巴州豐聯數據處理有限公司名義與庫車市醫保局簽訂了一份業務委托協議。然而，在2021年4月至2022年7月期間，二人利用激活醫保電子憑證的機會，在居民不知情的情況下，私自下載并注冊京東APP，非法獲取5940人的手機號碼等信息，并從中獲取新用戶推廣費用20,790元。案發后，張某自動投案自首，王某和張某如實供述犯罪事實并自愿認罪認罰。

案件細節：

行為手段：王某和張某聘請業務經理和業務員，組織團隊到庫車市多個鄉鎮，利用居民前來激活醫保電子憑證的機會，未經居民同意私自注冊京東APP。

非法獲利：通過注冊京東APP獲取新用戶推廣費用，共計非法獲利20,790元。自首與認罪：張某在案發后自動投案自首，王某和張某到案后如實供述犯罪事實并自愿認罪認罰。

案件判決：

被告人王某、張某違反國家有關規定，利用為居民提供激活醫保電子憑證的便利，非法獲取公民的個人信息用于APP實名注冊認證，從中獲利，情節嚴重，其行為構成侵犯公民個人信息罪。公訴機關指控的犯罪事實清楚，證據確實、充分，指控罪名成立，本院予以支持。本案共同犯罪形式、實施過程、實施環節是一個相互銜接的有機整體，結合二被告人在共同犯罪中所處地位、所起作用，兩被告人均系侵犯公民個人信息罪的共犯，不區分主從犯。被告人王某到案后如實供述犯罪事實，系坦白，且認罪認罰，依法從輕處罰，被告人張某主動到案后如實供述犯罪事實構成自首，且認罪認罰，依法從輕處罰。

案件意義與影響：

本案旨在引導從業者充分認識到個人信息保護的重要性，提醒企業和個人在處理公民個人信息時必須嚴格遵守法律法規，未經授權不得非法獲取、使用或出售公民個人信息，否則該等未經授權的個人信息收集和使用行為都將受到法律的嚴厲制裁。

5.3 趙某非法控制他人設備獲取數據案

案件背景：

2020年7月，趙某在上網時看到高某（江蘇省靖江市公安局已打擊處理）開發的某某軟件彈窗廣告，了解到該軟件可以侵入他人手機并獲取攝像頭拍攝的畫面和聲音。趙某下載該軟件并充值100元，獲得積分用于控制他人設備。2020年7月至2022年1月期間，趙某非法控制他人計算機及手機設備達381次，涉及26個設備。

案件細節：

軟件功能：某某軟件具有侵入他人設備并獲取攝像頭畫面和聲音的功能，用戶需充值積分才能使用。

趙某行為：趙某通過該軟件在未經設備授權的情況下，多次控制他人設備，獲取攝像頭畫面和聲音。每次連接受控端設備花費100積分，趙某共非法控制他人設備381次，涉及26個設備。

違法次數：趙某非法控制他人設備的行為持續了18個月，頻率較高，涉及多個設備。

案件判決：

根據《刑法》第二百八十五條第二款的規定，趙某的行為構成非法控制計算機信息系統罪。趙某非法控制他人設備381次，涉及26個設備，情節特別嚴重，應當判處三年以上七年以下有期徒刑，并處罰金。

案件意義與影響：

法律警示：本案提醒公眾，利用技術手段非法侵入他人設備獲取數據是嚴重的違法犯罪行為，將受到法律的嚴厲制裁。任何未經授權的侵入和數據獲取行為都是違法的，將受到法律的制裁。

技術監管：軟件開發者和平臺運營者應加強對軟件功能的審核和監管，防止其被用于非法目的。對于具有潛在侵權風險的軟件，應設置必要的權限驗證和使用限制。

用戶保護：用戶應增強個人信息保護意識，避免下載和使用來源不明的軟件，防止個人信息泄露。同時，用戶應定期檢查設備安全設置，及時發現并阻止非法侵入。本案凸顯了數據安全和隱私保護的重要性。任何未經授權的侵入和數據獲取行為都是違法的，將受到法律的制裁。企業和個人應加強數據受保護的意識，避免因技術濫用導致的法律風險。