中国数据保护与网络安全：2024年回顾与2025年展望（下）

数据安全、网络安全、数据交易

作者：James Gong, Fengming Jin

2024年，中国在数据安全领域继续加强法规及标准制度体系建设，旨在全面提升治理监管能力，深化数据安全治理实践。

1）      《网络数据安全管理条例》（“《网数条例》”）公布

2024年9月30日，《网数条例》正式公布（点击此处阅读我们对于《网数条例》的评论文章），并自 2025 年 1 月 1 日起施行。在法律体系定位上，《网数条例》是《个人信息保护法》（“《个保法》”）、《数据安全法》（“《数安法》”）以及《网络安全法》（“《网安法》”）三大上位法的配套行政法规，其立足于我国网络数据安全风险变化，在总结近年监管与产业互动的实践经验基础上对上述立法的原则性规则进行了细化，明确了未来相当长时期的监管思路。

值得注意的是，《网数条例》强调了《数安法》第二十一条要求有关部门制定重要数据目录的原则性规定，指出对确认为重要数据的，相关地区、部门应当及时向网络数据处理者告知或者公开发布——这一要求进一步为向各部委和地方政府下放重要数据界定任务奠定了基础。同时，《网数条例》以专章对重要数据处理者的义务进行了规定，包括明确网络数据安全负责人和网络数据安全管理机构，以及每年度对网络数据处理活动开展风险评估等，有利于进一步促使企业落实重要数据安全保护责任。

此外，《网数条例》下，网络数据处理者的义务横跨个人信息保护、数据安全、网络安全三个领域，其针对不同的义务主体还设定了程度不同的合规义务要求。除了一般网络数据处理者应当承担的合规义务外，《网数条例》还针对处理1000万人以上个人信息的企业、网络平台服务提供者、提供生成式人工智能服务的企业等多类主体设定了额外的合规要求。例如，《网数条例》要求提供生成式人工智能服务的企业应当加强对训练数据和训练数据处理活动的安全管理，并采取有效防范措施，处置网络数据安全风险。

2）      数据分类分级监管及重要数据识别

2024年，全国网络安全标准化技术委员会（“网安标委”）、工业和信息化部（“工信部”）、上海市场监督管理局（“市监局”），以及天津自由贸易试验区（“自贸试验区”）等部门均出台相关标准及规范性文件，进一步落实数据分类分级监管治理要求以及开展各行业领域重要数据识别工作。

在国家层面，网安标委于2024 年3月发布国家标准《数据安全技术 数据分类分级规则》（“《数据分类分级规则》”），以期为行业领域主管部门制定数据分类分级标准规范以及为企业进行数据分类分级提供参考。《数据分类分级规则》将数据级别分为核心数据、重要数据、一般数据三个等级，并明确了各类数据的含义。就重要数据而言，《数据分类分级规则》以附录形式发布了“重要数据识别指南（规范性）”，从而指导各行业领域主管部门与数据处理者开展重要数据识别工作。

在地方及各行业领域层面，2024年2月，天津自贸试验区发布《中国（天津）自由贸易试验区企业数据分类分级标准规范》，明确了数据分类分级制度的实施要求。9月，上海市监局发布《车联网数据分类分级指南》，对车联网数据的分类分级要求进行了细化，以确保数据在不同应用场景下的安全性和合规性。此外，工信部于11月就行业标准《工业领域重要数据识别指南》第二次面向社会公开征求意见，明确了工业领域重要数据识别的基本原则和识别流程等内容，拟为行业监管部门制定工业领域重要数据目录提供参考。

3）      行业立法日益活跃

2024年，各行业领域于数据安全方面的立法活动依然十分活跃。除了工信、汽车、金融等法律规范发展持续走在监管前言的行业，人工智能领域也加快了数据安全规范制定的步伐：

• 工信行业：工信部于2024年2月发布《工业领域数据安全能力提升实施方案（2024 - 2026 年）》，为工业领域数据安全保障体系的建立制定了详细的规划和目标。譬如5月，《工业和信息化领域数据安全风险评估实施细则（试行）》（“《实施细则》”）（点击此处阅读我们对《实施细则》的评论文章）发布，引导企业规范开展数据安全风险评估工作，提出重要数据和核心数据处理者每年至少开展一次数据安全风险评估。此外，工信部还于10月末发布《工业和信息化领域数据安全事件应急预案（试行）》，要求企业积极预防数据安全风险，定期进行演练，以便在面对数据安全事件时能够快速响应和处置。这些措施增强了工业和信息化领域的数据安全防护能力，为企业在应对日益复杂的数据安全风险方面提供了更为明确的指导和保障。

• 汽车行业：2024年，中国进一步加强对智能网联汽车的数据合规相关监管，涉及时空数据处理、停止收集车外数据、汽车数据共享等多个具体的应用场景。具体而言，5月，自然资源部发布《智能网联汽车时空数据安全处理基本要求》《智能网联汽车时空数据传感系统安全基本要求》两项征求意见稿，规定了智能网联汽车对时空数据进行处理时的一系列安全要求。之后，网安标委于6月24日就国家标准《网络安全标准实践指南——一键停止收集车外数据指引》公开征求意见，拟指导企业通过设置便捷按键的方式，确保汽车进入敏感区域时能够快速停止数据收集，提高数据安全管理。此外，上海市于7月就地方标准《智能网联汽车数据共享系统指南》公开征求意见，拟为智能网联汽车数据共享系统提供指导建议，促进智能网联汽车数据共享的安全与规范。

• 金融行业：国家金融监督管理总局持续强化金融行业数据监管，针对不同类型的金融机构提出了数据安全管理要求。一方面，2024年3月发布的《消费金融公司管理办法》针对消费金融公司数据安全义务提出了诸多要求，例如应当建立催收管理系统，对催收过程进行管理和记录，并对相关数据资料至少保存5年等；另一方面，12月发布的《银行保险机构数据安全管理办法》构建了银行保险机构金融数据安全治理框架，明确了金融数据分级分类标准，要求相关组织对界定为敏感数据及以上级别的数据采取更严格的保护措施。此外，该办法还细化了金融领域数据安全事件响应要求，要求企业应在发生特别重大事件的2小时内上报有关主管部门并持续跟进处置进展。

• 人工智能领域：与2023年相比，人工智能领域的数据安全标准建设在2024年日臻完善，网安标委分别于4月和5月发布《网络安全技术 生成式人工智能数据标注安全规范》《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》《网络安全技术 生成式人工智能服务安全基本按要求》三项国家标准的征求意见稿，拟从数据标注安全、训练数据安全、数据来源安全等方面对人工智能领域的数据处理提供全面保护。

在政策东风助推下，2024年，中国数据安全治理驶入快车道，从夯基垒台到立柱架梁，逐步构建起覆盖多维度的防护体系。展望2025，我们预计中国将在以下几个领域迎来新的发展：

• 数据分类分级深入推进，重要数据识别工作加速：2024虽是数据分类分级制度重点发展的一年，但总体而言，许多地区、行业或领域主管部门仍未制定或公布相关重要数据目录，规范制定进程较为缓慢。随着《网数条例》的生效实施，各行业领域主管部门的相关责任将进一步明确。此外《数据分类分级规则》也将为各行业领域主管部门制定重要数据目录提供具体指引。2025年，或将有更多行业参与到重要数据的识别工作当中，通过发布行业清单帮助企业开展数据分类分级活动，推动数据安全治理向精细化、精准化方向发展。

• 《网数条例》生效，企业合规义务加重：《网数条例》于2025年1月1日正式生效，这标志着中国网络数据安全治理进入一个新阶段。《网数条例》为不同类型的企业设置了相应的合规义务，企业需调整当前合规实践以适应《网数条例》的新要求，各个责任主体之间需要相互配合，形成更加完善的网络数据安全保护体系。

• 行业数据安全保障体系逐步完善，更多行业参与其中：2024年，工信、金融、汽车、人工智能等行业在数据安全标准规范制定方面取得了积极进展，相关征求意见稿有望在2025年正式生效落地。同时，我们预计2025年将会有更多行业参与到数据安全治理工作中来，进一步落实企业对于数据安全保护的责任。

• 数据安全执法力度持续加大，覆盖范围更加广泛：2024年，中国数据安全执法活动继续保持高压态势，并呈现出执法主体更加多元、执法对象更加广泛、执法重点更加突出的特点。我们预计，2025年数据安全执法力度将持续加大，在网信办、公安机关等主体的发力下，执法活动将覆盖更多行业和领域的中小企业。

1）      《网数条例》深化企业网络安全保护责任

《网数条例》对《网安法》的多项规定进行了细化，并加强了网络安全领域不同法律规范之间的衔接适用。具体而言，《网数条例》从网络安全等级保护、安全漏洞告知和报告、安全事件应急响应等方面对企业提出了严格的网络运行安全要求：

• 网络安全等级保护：《网数条例》重申了《网安法》第二十一条关于要求企业落实网络安全等级保护制度的规定，要求企业在网络安全等级保护的基础上，采取加密、备份、访问控制等技术措施和其他必要措施，保护网络数据安全。

• 安全漏洞告知和报告义务：《网安法》第二十二条要求企业在发现网络产品、服务存在安全缺陷或漏洞等风险时，需要按照规定及时告知用户并向有关部门报告。对此，工信部曾于2021年9月发布的《网络安全漏洞管理规定》对上述规定进行了细化，明确了企业报送安全漏洞的时间期限、报送平台、以及报送内容。《网数条例》在此基础上新增了当相关安全缺陷或漏洞涉嫌危害国家安全、公共利益时，企业应当在24小时内向主管部门报告的要求。

• 网络数据安全事件应急响应：《网数条例》承接《网安法》《数安法》《个保法》关于发生有关安全事件时的处置、报告和告知等要求，明确了发生网络数据安全事件时企业应当及时采取的措施。就处置要求而言，企业应当及时启动应急预案，采取补救措施，防止危害扩大；就报告义务而言，企业需要按照规定向有关主管部门进行报告。此外，网络数据安全事件若对个人、组织合法权益造成危害，企业还必须依照《网数条例》等规定的要求及时告知利害关系人有关信息。

2）      各地方及行业领域持续发布规范性要求落实企业网络安全主体责任

2024年，各地方及行业领域的相关部门或监管机构相继发布了多项规范性法律要求，严格落实企业网络安全主体责任。例如：

• 网安标委：网安标委陆续发布《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》《网络安全技术 网络安全运维实施指南（征求意见稿）》《网络安全标准实践指南——大型互联网平台网络安全评估指南》一系列指南，旨在针对不同主体和不同场景，帮助企业提升网络安全治理水平，有效管控网络安全风险。

• 工信部：工信部于1月发布《工业控制系统网络安全防护指南》，聚焦工业企业网络安全防护当中的薄弱环节以及易发网络安全风险，强化技术应对策略，提升工业企业风控安全防护与运营能力。

• 国家能源局： 5月发布的《电力网络安全事件应急预案》，从电力网络安全事件监测预警、应急响应以及后期处置等方面对电力企业完善该领域网络安全事件应对工作机制提出了具体要求。

• 上海网信办：《网安法》第十三条提出研发有利于未成年人健康成长的网络产品和服务，为未成年人提供安全、健康的网络环境。对此，上海网信办于11月发布《上海属地网络平台履行未成年人网络保护义务合规指引（试行）》，通过要求企业实行提供未成年人模式、开展未成年人网络保护影响评估，以及建立健全合规制度体系等措施，强化未成年人网络保护。

《网数条例》于2025年的生效实施意味着企业需要对现有的网络安全合规治理模式和内容作出调整。例如，企业在制定网络安全管理制度或网络安全事件应急预案时，需要考虑将《网数条例》新增的时间线，即当相关安全缺陷或漏洞涉嫌危害国家安全、公共利益时，企业应当在24小时内向主管部门报告的要求加入到相应的制度规范或应急预案当中。此外，我们认为《网数条例》关于网络安全事件报告义务的生效可能会促进《网络安全事件报告管理办法》（“《管理办法》”）（点击此处阅读我们对《管理办法》的评论文章）的正式发布与实施，为企业开展网络安全事件报告工作提供更为明确的指引。

在执法活动的开展上， 2025年有关执法部门或将继续维持2024年呈现的常态化执法和下沉式执法的趋势，并逐渐扩大执法重点，保证《网安法》的各项规定得到良好遵守和落实，切实维护企业网络安全。

最后，既2023年全国人大会议期间提出审议修改后的《网安法》立法计划后，全国人大常委会于2024年5月公布年度立法工作计划，明确《网安法》的修订计划已提上初次审议日程。我们将继续期待新修后《网安法》的落地，以更新后的面貌为中国网络安全监管提供合规治理框架。

2024年，中国数据要素市场化进程显著加快，数据基础制度“井喷式”出台。在国家数据局的统筹和《关于构建数据基础制度更好发挥数据要素作用的意见》等关键顶层设计的指引下，地方先行先试，在数据知识产权登记、公共数据授权运营、数据资产入表等方面积极布局，有力促进数据资源的开发利用。

1）      顶层设计：加强数据基础制度建设，激发数据要素市场价值

国家数据局充分发挥其在数据要素市场化改革工作当中的统筹能力，于2024年制定了一系列总体规划及实施方案，以期指引地方积极探索，加大数据资源的开发利用。

总体规划层面，国家数据局等部门于2024年初联合印发《“数据要素×”三年行动计划（2024 - 2026年）》（“《行动计划》”），鼓励地方先行先试，及时总结可复制推广的实践经验，并推动企业按照国家统一的会计制度对数据资源进行会计处理。《行动计划》要求在工业制造、现代农业、金融服务、医疗健康等12个重点行业开展行动，提高数据供给，优化数据流通环境，加强安全治理，以激发数据要素的市场价值。

实施方案层面，国家数据局及有关部门发布了多个实施方案，旨在促进数据资源开发利用。例如，中共中央办公厅、国务院办公厅于10月发布《关于加快公共数据资源开发利用的意见》，要求深化数据要素配置改革，通过政务数据共享、公共数据开放及授权运营，扩大公共数据资源供给。国家数据局则于12月发布《关于促进企业数据资源开发利用的意见》，指出要完善企业数据权益形成机制，保护机制，以及收益分配机制，提高企业数据治理能力。

2）      地方先试先行：落实数据资产管理与数据资源开发利用要求

2024年，各地政府积极落实中央层面的战略部署，在细化政策要求的基础上，围绕数据知识产权管理、公共数据授权运营，以及数据资产入表等领域进行了深入探索，并取得了初步成效：

• 数据知识产权管理：上海、江苏、湖南、广东、长春等省市于2024年相继发布了各自地区的数据产权登记管理办法，对各地数据知识产权登记流程等内容作出了详细规定。数据知识产权的确立对于增强权利人权益保护，促进数据要素有序流通，以及确保数据价值充分实现具有重要意义。

• 公共数据授权运营：公共数据具有体量庞大，经济价值潜力高的特点。因此，有效开展公共数据授权运营对于我国数字经济发展具有重要意义。目前，天津、南京、上海、山东等省市已于2024年陆续发布了公共数据授权运营试行办法或征求意见稿，拟推动公共数据合规管理，激发公共数据的经济价值。

• 数据资产入表：随着《企业数据资源相关会计处理暂行规定》于2024年1月1日正式施行，2024年成为“数据资源入表元年”，越来越多市场主体参与到数据要素市场化配置中，涌现了一批又一批数据资产入表典型案例。例如，2024年2月，全国首单车联网数据资产入表案例在苏州完成，超30亿条智慧交通路测感知数据资源实现了资产化并表；青岛通过探索形成“数据梳理—合规审查—资产登记—价值评价—资源入表”的可行路径，推动多家企业完成了入表工作；贵州省则于年内完成了首单环保数据资产入表案例，将“供水厂仿真 AI 模型运行数据集”作为数据资产入表。

公共数据及政务数据如何合规促成价值实现的问题于2024年受到了社会的广泛关注。

2024年12月，重庆市涪陵区首批数字资产公开招标转让项目日前被紧急叫停。究其根源，该批资产涉及“公共数据”交易，而当前法律体系尚存数重梗阻，主要为如下三种：一则公共数据转让缺乏明确法律指引，二则公共数据面临数据权属规则模糊、价值评估体系缺失、隐私保护红线不清等系统性困局，三则政务数据交易暗藏合规风险——关于第三项风险，此类探索早有前车之鉴——2023年11月湖南省衡阳市便因拍卖政务数据和智慧城市特许经营权而被叫停，2024年12月，审计署又通报了一批“利用政务数据牟利”的违规案例。地方政府应当从上述案例中吸取经验，在明确打通公共数据及政务数据交易路径之前，确保安全有序地探索公共数据授权运营等工作。

此外，全国首个涉《数据知识产权登记证》效力认定案于2024年二审宣判维持一审判决。北京互联网法院认定数据知识产权登记可以作为原告享有数据财产权益的初步证据，也可以作为其数据收集行为或数据合法性来源的初步证据。此案的判决结果对于当前各地正在试点的数据知识产权登记事宜具有重要意义，即从司法视角明确了数据知识产权登记的效力，为我国数据知识产权登记实践提供了积极的司法支撑，也为数据产品转化为数据资产提供了有益探索。

1）加强公共数据的规范运营

2024年，多地已经发布试行办法，探索公共数据授权运营的有效模式。当前，公共数据授权运营主要面临着数据权属不明、资产价值难以界定、数据开放与隐私保护难以平衡等多方面的挑战。我们相信，随着各地积极深入探索公共数据授权运营的有效模式，于2025年，公共数据授权运营的制度体系或将更加完善，实际运营模式也将更加规范化。在新的一年里，我们期待更多省市将发布公共数据授权运营的试行办法或征求意见稿，进一步推动公共数据的合规运营，促进公共数据资源的合理流动，提升数据的经济和社会价值。

2）地方经验反哺上层法律制度建设

2024年，我们观察到地方已经从数据知识产权登记、公共数据授权运营、数据资产入表等多个方面开展了制度构建与有益实践。2025年，我们期待各地方层面在这些领域继续深入探索，力争通过实践总结经验，尝试更优的操作模式和解决方案。随着各地经验的不断积累与交流，我们期待这些宝贵的地方经验能够反哺上层法律制度建设，早日形成统一的数据要素流通交易制度体系，充分发挥数据要素的市场价值。

3）推进企业数据资源开发利用和企业数据资产入表工作

根据于2024年12月举办的数据要素暨第二届数据资产价值大会上发布的报告显示，企业目前数据资产入表需求持续爆发，但数据资产入表仍处于起步阶段，存在入表企业数量低，入表金额占总资产比例低等突出问题。随着各类入表方式的摸索，我们十分期待数据资产入表能于2025年形成行之有效的入表方式，帮助更多企业盘活企业数据资源，提高入表企业数量及入表金额。