中国数据合规2025年观察：深化、协同与激活

2025年，中国数据治理在《网络安全法》、《数据安全法》、《个人信息保护法》三大基础性法律框架已然稳固的背景下，迈入了以深化细化规则、强化协同治理、激活要素价值为特征的纵深推进阶段。本年度的核心动态，可概括为从宏观立法转向微观实操的“深化”、从单一监管转向多元共治的“协同”，以及从合规成本转向发展引擎的“激活”。

2025年，监管的核心任务之一是将上位法的原则性规定，通过配套细则、国家标准和专项治理，深化为可执行、可操作、可审计的具体规则，并深入特定技术场景与产业环节。

1、关键制度配套细则的完善与补全

年内多项重磅配套规章的出台，标志着数据合规核心领域的操作路径已基本绘制完成。

2、监管执法的深化：从线上应用到全域场景

2025年的执法行动呈现出范围深化、力度强化、案例指导性突出的特点。

（1）专项行动的全域覆盖。年初启动的“2025年个人信息保护系列专项行动”，由多部门联合开展，其整治范围从过往聚焦的App，深化至SDK、智能终端、线下消费（如扫码点餐、停车缴费）、公共场所人脸识别等线上线下融合的全场景。这表明监管已穿透至数据采集的每一个末梢。

（2）典型案例的规则释明。9月，国家网信办集中发布的10起网络安全与数据安全执法典型案例，具有极强的指导意义。案例不仅涵盖传统的数据泄露、网页篡改，更包括“AI换脸”服务未履行安全评估、超范围收集个人信息等新型、复杂情形。这些案例以案释法，生动诠释了“最小必要”、“安全评估”等原则在具体情境下的认定标准。

（3）供应链安全的风险预警。7月，监管部门就潜在安全风险约谈跨国科技企业英伟达。这一事件超越了对数据直接处理活动的监管，将关切点深化至算力芯片等数字基础设施的供应链安全层面，体现了对国家安全与产业安全风险的深远考量。

2025年，数据治理不再是网信部门的“独角戏”，而是呈现出立法、执法、司法、标准制定及国际对话多方协同，硬性监管与柔性服务并举的共治格局。

1、立法与标准的协同

法律法规与国家标准、行业标准形成配套输出。例如，《人脸识别技术应用安全管理办法》作为部门规章，与相关个人信息去标识化、安全测评等国家标准共同构成对该技术领域的规制组合拳，实现了管理要求与技术规范的协同。

2、行政、司法与企业的协同

（1）部门协同，联合监管。2025年底，中央网信办、工信部、公安部和市场监管总局开展2025年个人信息保护系列专项行动，经公安部计算机信息系统安全产品质量监督检验中心检测，通报54款移动应用违法违规收集使用个人信息。但没有进一步的处罚措施，处罚力度略显薄弱。

（2）行政处罚，树立典型。2025年5月，多家媒体报道迪奥发生数据泄露事件，中国大陆地区用户也陆续收到该公司警示短信。上海公安机关网安部门查明，迪奥中国公司未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向境外总部传输用户个人信息，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”，未对收集的个人信息采取加密、去标识化等安全技术措施。上海公安机关已依法对该公司予以行政处罚并责令限期改正。但具体的处罚措施并未公布。

（3）司法指引，规则供给。2025年8月28日，最高人民法院公布指导案例，其中两个案例对《个人信息保护法》关于“为订立、履行个人作为一方当事人的合同所必需”处理个人信息的合法性基础进行了司法解读。在罗某诉某科技有限公司隐私权、个人信息保护纠纷案确立了两个裁判规则：判断处理个人信息是否属于“为订立、履行个人作为一方当事人的合同所必需”，可以结合有关法律法规及规章、规范性文件等对必要个人信息范围的规定，并考量合同的类型、内容等作出认定；在收集用户画像信息并非提供网络服务所必需的情况下，网站或者软件登录注册界面收集该信息时，未向用户提供不同意提交相关信息情况下的其他登录方式的，属于用户非自愿同意提供个人信息。黄某欢诉某信用管理有限公司个人信息保护纠纷案确认的裁判规则是，“先享后付”功能以开通信用服务为必要条件，相关信用服务商收集反映用户个人信用或者风险状况的个人信息，属于“为订立、履行个人作为一方当事人的合同所必需”。

（4）监管对话，服务协同。10月，国家网信办专门为在华外资企业召开数据跨境流动政策座谈会。此举超越了单纯的监管，体现了主动宣贯政策、回应关切、稳定外资信心的“监管服务”意识，是优化营商环境的协同举措。

3、国内治理与国际关切的协同

在严格守护数据安全底线的前提下，通过制定清晰的跨境规则（如认证办法）、举办外资企业座谈会、探索粤港澳大湾区跨境流动便利机制等，展现了中国在数据治理领域兼顾安全与发展、平衡监管与开放的协同思路，积极回应全球化企业的合规需求。

2025年，数据治理的叙事在“规范”之外，浓墨重彩地加入了“发展”篇章。政策重心从“管得住”向“用得好”倾斜，系统性激活数据要素价值。

1、顶层设计：构建流通基础制度

1月，国家发改委、国家数据局等七部门联合印发《关于完善数据流通安全治理的实施方案》，明确提出构建数据流通安全治理的规则、技术、市场、环境“四大体系”。该方案旨在从顶层设计上破解“不愿流、不敢流、不会流”的难题，为数据要素市场化配置奠定制度基础。

2、市场实践：培育多层次交易生态

地方数据交易所的创新实践不断涌现。例如，4月揭牌的广州数据交易所（顺德）服务专区，是省级数据交易体系向县域特色产业（制造业）的深化下沉。它探索的是贴近产业需求、激活本地数据资源的具体路径，是数据要素市场激活微观经济活力的体现。

3、企业焦点：从合规成本到核心资产

随着《企业数据资源相关会计处理暂行规定》的实施，数据资源“入表”从理论走向实践。合规、可计量、可交易的数据，正从企业的成本中心和风险源，转变为能够在财务报表中显性化、并可能进行融资或交易的核心资产。这一根本性转变，正在激活企业从战略层面重视数据治理与合规的内在动力。

回顾2025年，中国数据治理之路清晰呈现出三大转向：

1、 从“立规”向“精治”深化：规则日益精密，直指技术内核与业务细节。

2、 从“单管”向“共治”协同：多元主体参与，工具箱不断丰富，治理韧性增强。

3、 从“防御”向“赋能”激活：在筑牢安全底板的同时，全力构建数据价值化的基础设施和市场生态。

展望2026年，已步入“深水区”的数据治理将面临更复杂的挑战：人工智能（特别是AIGC）的治理规则需进一步细化；数据跨境流动的便利化与安全如何更好平衡；数据要素市场的规模化运行机制亟待突破。对企业而言，数据合规已绝非应付检查的“成本项目”，而是关乎竞争优势、资产价值乃至生存空间的战略必修课。唯有主动将合规内化为发展基因，方能在这场“规范与发展”的辩证航行中行稳致远。