一、三法三條例：四梁八柱成型

2024年9月30日，《網(wǎng)絡數(shù)據(jù)安全管理條例》（簡稱“《網(wǎng)數(shù)條例》”）正式發(fā)布，自2025年1月1日起施行。相較于2021年發(fā)布的征求意見稿，《網(wǎng)數(shù)條例》整體更加“溫和”，體現(xiàn)了網(wǎng)絡數(shù)據(jù)利用與網(wǎng)絡數(shù)據(jù)安全的平衡，例如網(wǎng)絡安全審查觸發(fā)情形刪除赴港IPO等情形，個人信息處理者履行部分重要數(shù)據(jù)處理者義務數(shù)量門檻提升至1000萬，刪除重要數(shù)據(jù)的提供、委托處理應征得主管部門同意等要求。同時，就部分高風險監(jiān)管項，則在征求意見稿基礎上進一步“收緊”，例如新增要求涉及危害國家安全、公共利益的網(wǎng)絡產(chǎn)品/服務的安全缺陷、漏洞等風險，應在24小時內報告。

具體而言，《網(wǎng)數(shù)條例》從一般性合規(guī)要求、個人信息保護、重要數(shù)據(jù)安全、數(shù)據(jù)跨境、網(wǎng)絡平臺等方面細化了監(jiān)管要求：

• 一般性合規(guī)要求。《網(wǎng)數(shù)條例》細化了網(wǎng)絡數(shù)據(jù)安全事件的應對要求，并進一步將簽署數(shù)據(jù)處理協(xié)議的義務在《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）的“委托處理”基礎上拓展至“對外提供”關系，數(shù)據(jù)類型拓展至重要數(shù)據(jù)。此外，《網(wǎng)數(shù)條例》強調使用自動化工具訪問、收集網(wǎng)絡數(shù)據(jù)，不得非法侵入他人網(wǎng)絡，不得干擾網(wǎng)絡服務正常運行，旨規(guī)制違法爬蟲等亂象。

• 個人信息保護。《網(wǎng)數(shù)條例》將App“雙清單”治理實踐正式入法，明確了個人信息轉移權[1]的適用條件和方式。同時，繼2023年網(wǎng)信辦發(fā)布《個人信息保護合規(guī)審計管理辦法（征求意見稿）》后，《網(wǎng)數(shù)條例》重申定期開展個人信息保護合規(guī)審計的義務要求，全國網(wǎng)安標委亦于2024年7月發(fā)布《數(shù)據(jù)安全技術 個人信息保護合規(guī)審計要求（征求意見稿）》，并于2024年11月在金融、互聯(lián)網(wǎng)等重點行業(yè)和領域啟動試點[2]。

• 重要數(shù)據(jù)安全。《網(wǎng)數(shù)條例》重申網(wǎng)絡數(shù)據(jù)處理者應當按照國家有關規(guī)定識別、申報重要數(shù)據(jù)，并為重要數(shù)據(jù)處理者設定一系列義務，包括組織人員設置、與重要數(shù)據(jù)接收方合作的合規(guī)要求（如風險評估、簽署合同、監(jiān)督合作方、保存處理記錄至少三年）、重要數(shù)據(jù)處理者變更后的報告義務以及重要數(shù)據(jù)處理者的年度風險評估義務等。值得注意，全國網(wǎng)安標委于2024年3月發(fā)布《GB/T 43697-2024 數(shù)據(jù)安全技術 數(shù)據(jù)分類分級規(guī)則》，并提供“重要數(shù)據(jù)識別指南”；監(jiān)管層面，電信、互聯(lián)網(wǎng)、工信（含汽車）等領域持續(xù)深化重要數(shù)據(jù)識別、備案的試點工作。

• 數(shù)據(jù)跨境。《網(wǎng)數(shù)條例》整合了《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》在內的既有規(guī)定，新增“為履行法定職責或者法定義務，確需向境外提供個人信息”的個人信息跨境合法機制。

• 網(wǎng)絡平臺監(jiān)管。《網(wǎng)數(shù)條例》要求網(wǎng)絡平臺服務提供者通過平臺規(guī)則或合同明確平臺內產(chǎn)品和主體的數(shù)據(jù)安全保護義務，明確了利用自動化決策開展信息推送的相關義務，并要求應用程序分發(fā)平臺應開展核驗、大型網(wǎng)絡平臺服務提供者應發(fā)布年度個人信息保護社會責任報告等。

《網(wǎng)數(shù)條例》與《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《個人信息保護法》三部基本法，及《關鍵信息基礎設施安全保護條例》和加快制定中的《網(wǎng)絡安全等級保護條例（征求意見稿）》，共同構建了我國網(wǎng)安和數(shù)據(jù)保護領域“三法三條例”的框架。至此，我國網(wǎng)絡空間監(jiān)管和數(shù)據(jù)保護的法律框架基本成型。

二、人工智能：繼續(xù)夯實治理規(guī)則

人工智能已經(jīng)成為大國競爭的高地，伴隨產(chǎn)業(yè)應用快速落地，規(guī)范治理也成為重要議題。2023年、2024年立法工作計劃均提及《人工智能法》，借此構建法律層面的統(tǒng)一框架和規(guī)則。與此同時，繼《生成式人工智能服務管理暫行辦法》作為首部人工智能專門性立法于2023年生效實施后，相關配套規(guī)則于2024年持續(xù)落地，為我國人工智能監(jiān)管提供規(guī)范支撐。

• 基本制度層面，全國網(wǎng)絡安全標準化技術委員會發(fā)布的《人工智能安全治理框架》1.0版明確了人工智能安全治理的框架和基本原則，在有效防范化解人工智能風險的前提下，鼓勵產(chǎn)業(yè)創(chuàng)新發(fā)展。《生成式人工智能服務安全基本要求》明確了生成式人工智能服務提供者所需遵循的安全基本要求，對提供者開展安全評估具有實質的指導意義。

• 訓練數(shù)據(jù)層面，《信息安全技術 生成式人工智能預訓練和優(yōu)化訓練數(shù)據(jù)安全規(guī)范》進入征求意見階段，規(guī)定了生成式人工智能預訓練和優(yōu)化訓練數(shù)據(jù)及其處理活動的安全要求，以期細化訓練數(shù)據(jù)的合規(guī)邊界。

• 數(shù)據(jù)標注層面，《網(wǎng)絡安全技術 生成式人工智能數(shù)據(jù)標注安全規(guī)范（征求意見稿）》發(fā)布，規(guī)范數(shù)據(jù)標注行為，構建數(shù)據(jù)標注合規(guī)基準。

• 生成內容標識方面，《人工智能生成合成內容標識辦法（征求意見稿）》及《網(wǎng)絡安全技術 人工智能生成合成內容標識方法（征求意見稿）》發(fā)布，明確企業(yè)和用戶應用生成式人工智能過程中的標識要求，旨在平衡產(chǎn)業(yè)發(fā)展與安全。

• 專利申請層面，《人工智能相關發(fā)明專利申請指引（征求意見稿）》發(fā)布，從保護創(chuàng)造的基本目的出發(fā)，明確在現(xiàn)行法律框架下，人工智能不能被認定為專利的發(fā)明人。

實踐層面，監(jiān)管側密切關注生成式人工智能應用風險，以大模型評估及備案作為抓手實現(xiàn)事前監(jiān)管；地方網(wǎng)信部門則對未經(jīng)安全測評備案、違規(guī)提供生成式人工智能服務，未經(jīng)安全評估上線提供Chat-GPT生成式人工智能信息服務，違規(guī)生成法律法規(guī)禁止的信息等問題開展行政處罰，確保事后持續(xù)監(jiān)管。

司法實踐則聚焦人工智能與版權制度的沖突，主要包括“大模型訓練語料未獲得授權能不能構成合理使用”“人工智能生成物的可版權性”及“人工智能生成物侵權的責任承擔”。例如，廣州互聯(lián)網(wǎng)法院今年針對生成式人工智能服務提供者的侵權責任作出一審判決（（2024）粵0192民初113號），由于服務提供者所生成的圖片與第三方作品構成實質性相似，進而構成侵權；北京互聯(lián)網(wǎng)法院作出的人工智能生成圖片著作權侵權糾紛一審判決（（2023）京0491民初11279號）認為，涉案圖片體現(xiàn)了原告的智力投入，故涉案圖片具備了“智力成果”要件；圖片的調整修正過程亦體現(xiàn)了原告的審美選擇和個性判斷，故涉案圖片具備“獨創(chuàng)性”要件，應當被認定為作品；北京互聯(lián)網(wǎng)法院受理的四位繪畫創(chuàng)作者訴某社交平臺的案件中，則聚焦于未經(jīng)授權使用原告的原創(chuàng)作品作為訓練數(shù)據(jù)是否構成侵權。

三、數(shù)據(jù)要素化：促進數(shù)據(jù)資源流動與價值釋放的政策頻出

2022年12月發(fā)布的“數(shù)據(jù)二十條”為數(shù)據(jù)要素市場的發(fā)展提供了堅實的政策基礎。在此背景下，數(shù)字經(jīng)濟快速發(fā)展，數(shù)據(jù)基礎制度不斷完善，數(shù)據(jù)資源開發(fā)利用、公共數(shù)據(jù)利用等細則落地。

• 數(shù)據(jù)基礎制度層面，2024年9月25日，《國家數(shù)據(jù)標準體系建設指南》正式發(fā)布，到2026年底，基本建成國家數(shù)據(jù)標準體系，圍繞數(shù)據(jù)流通利用基礎設施、數(shù)據(jù)管理、數(shù)據(jù)服務、訓練數(shù)據(jù)集、公共數(shù)據(jù)授權運營、數(shù)據(jù)確權、數(shù)據(jù)資源定價、企業(yè)數(shù)據(jù)范式交易等方面修訂30項以上數(shù)據(jù)領域基礎通用國家標準，將為推動數(shù)據(jù)要素價值釋放提供有力的制度支撐。同時《關于促進數(shù)據(jù)產(chǎn)業(yè)高質量發(fā)展的指導意見（征求意見稿）》《數(shù)據(jù)領域名詞解釋》《關于完善數(shù)據(jù)流通安全治理 更好促進數(shù)據(jù)要素市場化價值化的實施方案（征求意見稿）》《國家數(shù)據(jù)基礎設施建設指引》等文件面向社會公開征求意見，進一步統(tǒng)一數(shù)據(jù)要素開發(fā)和利用的基本思路和方向。

• 數(shù)據(jù)資源開發(fā)利用方面，繼財政部發(fā)布《企業(yè)數(shù)據(jù)資源相關會計處理暫行規(guī)定》《關于加強數(shù)據(jù)資產(chǎn)管理的指導意見》后，數(shù)據(jù)資源入表典型案例不斷涌現(xiàn)；數(shù)據(jù)交易市場開始活躍，各地數(shù)據(jù)交易政策相繼落地，數(shù)據(jù)交易規(guī)則逐漸清晰；《關于促進企業(yè)數(shù)據(jù)資源開發(fā)利用的意見》面向社會公開征求意見，從數(shù)據(jù)權益形成機制、保護機制、收益機制三個方面健全企業(yè)數(shù)據(jù)權益實現(xiàn)機制。

• 公共數(shù)據(jù)利用層面，《中共中央辦公廳、國務院辦公廳關于加快公共數(shù)據(jù)資源開發(fā)利用的意見》是中央層面首次對公共數(shù)據(jù)資源開發(fā)利用工作進行系統(tǒng)部署，明確了統(tǒng)籌推進政務數(shù)據(jù)共享、有序推動公共數(shù)據(jù)開放、鼓勵探索公共數(shù)據(jù)授權運營的三條路徑，以擴大公共數(shù)據(jù)資源供給。配套《公共數(shù)據(jù)資源登記管理暫行辦法》《公共數(shù)據(jù)資源授權運營實施規(guī)范（試行）》均已進入公開征求意見階段，如后續(xù)落地，將為公共數(shù)據(jù)利用提供切實指引。目前，各地結合地方情況已經(jīng)相應開展了公共數(shù)據(jù)開發(fā)利用的實踐試點。

我們認為，數(shù)據(jù)要素化行動的關鍵在于數(shù)據(jù)要素的高效流動，并在實際應用場景中與實體經(jīng)濟結合，從而釋放真正價值。基于此，《“數(shù)據(jù)要素×”三年行動計劃（2024—2026年）》的落地實施，是形成數(shù)據(jù)市場藍海的核心。

四、數(shù)據(jù)跨境：新規(guī)與便利化措施相繼落地

2024年9月，《中共中央關于進一步全面深化改革 推進中國式現(xiàn)代化的決定》通過，與之前的《扎實推進高水平對外開放更大力度吸引和利用外資行動方案》及《國務院關于進一步優(yōu)化外商投資環(huán)境加大吸引外商投資力度的意見》共同奠定了2024年數(shù)據(jù)跨境領域“建立高效便利安全的數(shù)據(jù)跨境流動機制”的總方向。

* 完善數(shù)據(jù)跨境管理體系，高效開展數(shù)據(jù)出境安全評估

2024年3月22日，《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》（以下簡稱“《數(shù)據(jù)跨境規(guī)定》”）正式發(fā)布實施，調整了各項數(shù)據(jù)跨境機制適用條件，收窄了數(shù)據(jù)出境安全評估的范圍，豁免了部分出境場景的申報。根據(jù)網(wǎng)信辦消息，當前安全評估申報、標準合同備案數(shù)量顯著下降，數(shù)據(jù)出境安全評估平均用時已降至不到30個工作日。[3]

* 自貿區(qū)數(shù)據(jù)跨境流動負面/正面清單

2024年5月、8月，天津、北京兩地相繼落地《數(shù)據(jù)跨境規(guī)定》第六條[4]明確的自貿區(qū)負面清單機制。天津自貿區(qū)負面清單適用于天津自貿區(qū)企業(yè)，覆蓋行業(yè)范圍較廣；北京自貿區(qū)負面清單適用于北京自貿區(qū)內登記注冊、開展數(shù)據(jù)跨境流動等相關活動的數(shù)據(jù)處理者，覆蓋5個行業(yè)（汽車、民航、零售與現(xiàn)代服務、醫(yī)藥、人工智能訓練），為首個場景化、字段級的負面清單。

上海、福建另分別于2024年5月、9月發(fā)布可自由流動的一般數(shù)據(jù)清單（以下簡稱“正面清單”）。上海自貿區(qū)正面清單適用于在臨港新片區(qū)范圍內登記注冊的，或在臨港新片區(qū)開展數(shù)據(jù)跨境流動相關活動的數(shù)據(jù)處理者，覆蓋生物醫(yī)藥、智能網(wǎng)聯(lián)汽車、公募基金、再保險、航運、證券六個領域；福建自貿區(qū)正面清單適用于在平潭自貿片區(qū)范圍內登記注冊的，且在平潭自貿片區(qū)內開展數(shù)據(jù)跨境流動活動的數(shù)據(jù)處理者（關鍵信息基礎設施運營者除外），覆蓋跨境旅游、跨境電商、跨境直播、國際航運4個行業(yè)。

據(jù)網(wǎng)信辦消息，上海、海南、廣東等多地自貿區(qū)數(shù)據(jù)出境負面清單亦正在制定中，后續(xù)將陸續(xù)出臺。[5]

* 粵港澳大灣區(qū)內數(shù)據(jù)便利流動措施

2024年9月，《粵港澳大灣區(qū)（內地、澳門）個人信息跨境流動標準合同實施指引》發(fā)布，與2023年12月發(fā)布的《粵港澳大灣區(qū)（內地、香港）個人信息跨境流動標準合同實施指引》（以下簡稱“《標準合同實施指引（香港）》”）共同為粵港澳大灣區(qū)企業(yè)提供了更加便捷的數(shù)據(jù)流動機制，包括簡化個人信息保護影響評估要點等。前述規(guī)范分別適用于廣東九市與澳門/香港地區(qū)的數(shù)據(jù)跨境流動，數(shù)據(jù)處理者需分別向屬地監(jiān)管機構備案。其中，《標準合同實施指引（香港）》率先在信貸資料、銀行及醫(yī)療業(yè)界試行，并于2024年11月擴展至全港各行各業(yè)。

* 全球數(shù)據(jù)跨境流動合作機制加快建立

2024年11月，國家網(wǎng)信辦發(fā)布《全球數(shù)據(jù)跨境流動合作倡議》，提出秉持“開放、包容、安全、合作、非歧視的原則”，通過國際社會各主體間的共商共建與共享，攜手構建高效便利安全的數(shù)據(jù)跨境流動機制。2024年6月，《關于中德數(shù)據(jù)跨境流動合作的諒解備忘錄》簽署；2024年8月，中歐數(shù)據(jù)跨境流動交流機制正式建立，或將為所涉企業(yè)開展數(shù)據(jù)跨境傳輸提供便利。

我們認為，逆全球化的潮流及地緣政治關系的變化會映射到全球數(shù)據(jù)流動的監(jiān)管上，使得數(shù)據(jù)在全球范圍內的流動會面臨日益嚴峻的挑戰(zhàn)。但是，考慮到中國的開放國策及穩(wěn)定外資的政策，我國數(shù)據(jù)跨境流動監(jiān)管仍然會在安全與發(fā)展中找到一個合適的平衡點。

五、行業(yè)治理：逐漸向縱深發(fā)展

*?汽車行業(yè)作為合規(guī)治理深水區(qū)持續(xù)發(fā)力

汽車數(shù)據(jù)跨境的自貿區(qū)治理路徑探索。北京、天津兩地自貿區(qū)對數(shù)據(jù)出境負面清單的探索為汽車行業(yè)的重要數(shù)據(jù)認定提供了更多參考，上海自貿區(qū)亦針對智能網(wǎng)聯(lián)汽車領域出臺數(shù)據(jù)跨境的一般清單及傳輸要求，涵蓋跨國生產(chǎn)制造、全球研發(fā)測試、全球售后服務、二手車全球貿易四個常見場景。

OTA、智能駕駛等高風險技術場景持續(xù)引發(fā)關注。工信部于2024年8月發(fā)布《關于進一步加強智能網(wǎng)聯(lián)汽車準入、召回及軟件在線升級管理的通知（征求意見稿）》，北京市則于6月發(fā)布《北京市自動駕駛汽車條例（征求意見稿）》，OTA、自動駕駛（車聯(lián)網(wǎng)）相關的汽車數(shù)據(jù)治理持續(xù)引發(fā)監(jiān)管關注。北京、天津自貿區(qū)數(shù)據(jù)出境負面清單亦將OTA、車聯(lián)網(wǎng)相關數(shù)據(jù)的出境納入需申報安全評估的范圍。

標準建設成果顯著，數(shù)據(jù)安全治理邁向精細化。2024年，全國汽車標準化技術委員會發(fā)布GB/T 44464-2024《汽車數(shù)據(jù)通用要求》；由工信部組織制定的三項強制性國標[6]、自然資源部組織制定的兩項智能網(wǎng)聯(lián)汽車時空數(shù)據(jù)強標征求意見稿[7]亦接連發(fā)布。標準內容（尤其是強標）通常反映了監(jiān)管開展執(zhí)法檢查和技術監(jiān)測的合規(guī)水位，標志著汽車行業(yè)的數(shù)據(jù)安全治理正逐漸邁向精細化。

測繪合規(guī)仍為智能網(wǎng)聯(lián)汽車合規(guī)治理重點。近年來，智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的爆發(fā)式增長，也帶來了研發(fā)與量產(chǎn)階段所涉及的測繪安全乃至國家安全問題。2024年7月26日，自然資源部發(fā)布《關于加強智能網(wǎng)聯(lián)汽車有關測繪地理信息安全管理的通知》，強調了智能網(wǎng)聯(lián)汽車測繪數(shù)據(jù)處理的閉環(huán)要求。此外，《對外提供涉密測繪成果管理辦法》亦于2024年7月底發(fā)布。

*?增值電信業(yè)務試點取消外資限制

2024年，工信部全面啟動增值電信業(yè)務的擴大對外開放試點工作，為外資企業(yè)在華業(yè)務發(fā)展帶來了新機遇。依據(jù)4月10日發(fā)布的《關于開展增值電信業(yè)務擴大對外開放試點工作的通告》（工信部通信函〔2024〕107號，即“107號文”），在北京、上海、海南、深圳四個試點地區(qū)開展增值電信業(yè)務擴大對外開放試點工作，取消互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）、內容分發(fā)網(wǎng)絡（CDN）、互聯(lián)網(wǎng)接入服務（ISP）、在線數(shù)據(jù)處理與交易處理，以及信息服務中信息發(fā)布平臺和遞送服務（互聯(lián)網(wǎng)新聞信息、網(wǎng)絡出版、網(wǎng)絡視聽、互聯(lián)網(wǎng)文化經(jīng)營除外）、信息保護和處理服務業(yè)務的外資股比限制。10月，北京、上海、海南、深圳四個試點地區(qū)陸續(xù)正式啟動增值電信業(yè)務擴大對外開放試點工作，鼓勵外商投資企業(yè)積極參與試點經(jīng)營。

此外，在工信、會計、金融、民航等行業(yè)，亦紛紛浮現(xiàn)具有行業(yè)特色的數(shù)據(jù)安全治理路徑。例如，工信部發(fā)布《工業(yè)和信息化領域數(shù)據(jù)安全事件應急預案（試行）》明確工信數(shù)據(jù)安全事件應急處理及報告的具體要求；財政部等正式出臺《會計師事務所數(shù)據(jù)安全管理暫行辦法》；金融監(jiān)管總局發(fā)布《銀行保險機構數(shù)據(jù)安全管理辦法（公開征求意見稿）》《金融機構合規(guī)管理辦法（征求意見稿）》；民航局發(fā)布《民航數(shù)據(jù)管理辦法》《民航數(shù)據(jù)共享管理辦法》等。

六、中企出海：數(shù)據(jù)合規(guī)是核心挑戰(zhàn)

*?政治環(huán)境和法律環(huán)境變化增大了“數(shù)據(jù)脫鉤”風險

2024年，美國政府相繼發(fā)布“防止受關注國家訪問美國人的大量敏感個人數(shù)據(jù)和美國政府相關數(shù)據(jù)的行政命令”“保護美國人免受外國對手控制的應用程序的傷害法案”“2024保護美國人數(shù)據(jù)免受外國對手傷害法案”“保護智能網(wǎng)聯(lián)車輛供應鏈免受外國對手威脅的擬議規(guī)則”及“應對美國敏感數(shù)據(jù)面臨的國家安全風險擬議規(guī)則”等文件，相關“受關注國家”“外國對手”均考慮包括中國、中國實體，對中國實體在美開展業(yè)務，特別是涉及數(shù)據(jù)交易、敏感個人數(shù)據(jù)、應用程序運營、車聯(lián)網(wǎng)等相關業(yè)務施加了諸多限制或禁令。數(shù)字主權的強化與政治環(huán)境的變動對中企海外業(yè)務的挑戰(zhàn)已非個例，加拿大政府亦基于《加拿大投資法》，于2024年11月宣布關閉某中國實體的加拿大關聯(lián)實體，因其被認定為“損害加拿大國家安全的外國投資”。

*?長臂管轄普遍存在，數(shù)據(jù)監(jiān)管細致高頻

中國出海企業(yè)在域外設立的實體需要遵循當?shù)氐姆?，除此之外，各國?shù)據(jù)立法多具有域外適用效力，位于中國的出海企業(yè)或亦需遵循適用的域外法律要求。2024年，多國就當?shù)財?shù)據(jù)保護法律的域外適用問題頒布實施指南，如韓國針對域外適用主體發(fā)布了海外企業(yè)指南；巴西、沙特、尼日利亞等地明確了數(shù)據(jù)控制者/處理者注冊、DPO任命的細化要求；據(jù)消息，歐盟委員會也將發(fā)布新的SCCs條款模板，或將涵蓋接收方為域外適用實體的情形。涉及相關地區(qū)業(yè)務的出海企業(yè)需密切關注最新監(jiān)管要求，及時調整合規(guī)實踐。

2024年，全球數(shù)據(jù)領域執(zhí)法依舊頻繁。截至2024年11月，2024年基于GDPR作出的處罰已有2000余例，處罰金額累計高達67億人民幣，違規(guī)行為集中于數(shù)據(jù)處理合法性欠缺、違反數(shù)據(jù)處理基本原則、保障數(shù)據(jù)安全的措施不足及未充分保障數(shù)據(jù)主體權利等，電信、科技、工商業(yè)是最受關注的行業(yè)。[8]從全球范圍看，多起高額罰單涉及出海企業(yè)最為關注的數(shù)據(jù)跨境傳輸合規(guī)問題。如2024年7月，某中國實體在韓平臺因違規(guī)將消費者的個人信息跨境傳輸給發(fā)貨工廠，被罰約20億韓元；2024年8月，Uber因歐盟運營實體違規(guī)跨境傳輸個人數(shù)據(jù)至美國總部，被愛爾蘭處以約2.9億歐元罰款。

*?新技術應用與大型平臺監(jiān)管不斷強化

2024年，全球在物聯(lián)網(wǎng)與人工智能等新技術應用領域監(jiān)管動作頻發(fā)。以歐盟為例，《數(shù)據(jù)法》于2024年1月生效，相關義務于2025年9月12日起適用，對出海歐盟的物聯(lián)網(wǎng)、云服務等相關產(chǎn)業(yè)實體施加系列合規(guī)義務，部分云服務提供商已基于該要求計劃終止收取云服務切換費用；《人工智能法》于2024年8月1日正式生效，要求在歐盟市場開展業(yè)務的人工智能系統(tǒng)提供者、部署者基于人工智能技術風險類型履行相應義務。

全球范圍內大型平臺監(jiān)管也在不斷深入。2024年2月，歐盟《數(shù)字服務法》正式全面適用，同2023年5月起實施的《數(shù)字市場法》一同加強了對數(shù)字行業(yè)、特別是對大型平臺的監(jiān)管。歐盟委員會已指定了包括速賣通、TikTok、Shein、Temu等中國實體相關平臺在內的多個《數(shù)字服務法》下的超大型在線平臺（VLOPs）、搜索引擎（VLOSEs），及包括字節(jié)跳動在內的多家《數(shù)字市場法》下的“守門人”。此類大型平臺及其運營主體均需履行市場公平競爭及用戶權益保障等方面的強化義務。歐盟在2024年對中國實體相關平臺的調查范圍集中在廣告和推薦系統(tǒng)透明度及設置、交易商及交易商品管理、內容審核和內部投訴處理、成癮性設計風險控制、未成年人保護、研究人員數(shù)據(jù)訪問權限等問題。此外，從全球范圍看，廣告合規(guī)是2024年大型平臺監(jiān)管的焦點之一[9]。

中企出海是大勢所趨，與此同時，出海的法律合規(guī)挑戰(zhàn)亦與日俱增，其中數(shù)據(jù)合規(guī)和隱私保護是日益凸顯的核心挑戰(zhàn)之一，可以說，解決不好數(shù)據(jù)合規(guī)問題，中企出海便難以行穩(wěn)致遠。

展望2025年

重要立法進展，依然平凡的2025年

如去年的展望一致，我們覺得2025年大概也會是平凡的一年?！叭ㄈ龡l例”之四梁八柱已成，重要的制度構架型立法近期不會發(fā)生?！秱€人信息保護合規(guī)審計管理辦法（征求意見稿）》經(jīng)過充分征求意見和試點實踐，有水到渠成之勢，2025年落地實施是大概率事件?！毒W(wǎng)絡安全等級保護條例(征求意見稿)》已經(jīng)發(fā)布多年，近期主管部門也透露，將加快推進制定，進一步嚴格規(guī)范等級保護全鏈條工作?？紤]到等級保護是中國網(wǎng)絡安全監(jiān)管的基礎制度，《網(wǎng)絡安全等級保護條例》在2025年正式發(fā)布亦有可能。至于熱議中的《人工智能法》，大概率不會有實質進展，對于人工智能的監(jiān)管，我國立法和監(jiān)管還是采取了比較務實的小切口、敏捷治理的策略，快速制定聚焦特定問題的部門規(guī)章和國家標準是目前主要的響應手段。

執(zhí)法焦點

目前的經(jīng)濟環(huán)境下，創(chuàng)建良好的營商環(huán)境、為企業(yè)減負和穩(wěn)定外資成為政策的主旋律，基于此，政策預計以“暖風”為主。但是，我們應當注意到，當前的國際關系和地緣政治現(xiàn)狀，立法和執(zhí)法中對國家安全因素的考慮變得更加重視。作為國家安全審查制度的重要部分，網(wǎng)絡安全審查工具的適用可能會變得頻繁；雖然數(shù)據(jù)跨境監(jiān)管新規(guī)放松了部分申報的要求，但涉及地理信息數(shù)據(jù)、人類遺傳資源信息、應對境外執(zhí)法和司法案件相關數(shù)據(jù)、OTA數(shù)據(jù)、敏感個人信息等敏感數(shù)據(jù)的出境，或將置于更強的監(jiān)管之下。隨著網(wǎng)絡產(chǎn)品漏洞申報和網(wǎng)絡安全事件處理的規(guī)則逐漸清晰，基于網(wǎng)絡安全事件觸發(fā)的風險值得更加關注。

重要數(shù)據(jù)認定工作

目前在數(shù)據(jù)出境的申報中，把重要數(shù)據(jù)識別的“球”踢到了主管部門的半場，即：未被相關部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。鑒于重要數(shù)據(jù)本質上的重要性，伴隨《網(wǎng)數(shù)條例》《重要數(shù)據(jù)識別指南》的發(fā)布，各個主管部門如何開展和推進行業(yè)重要數(shù)據(jù)的清單制定以及重要數(shù)據(jù)識別試點工作，也值得密切關注。

出海不易，且行且珍惜

中企出海是大潮也是長潮，但是，所遇到的法律挑戰(zhàn)也與日俱增。相比于貿易脫鉤，科技企業(yè)更應當關注“數(shù)據(jù)脫鉤”。在應對全球數(shù)據(jù)合規(guī)風險方面，出海企業(yè)一方面要構建企業(yè)內部的團隊能力，更應該尋求建立一個全球性的法律資源網(wǎng)絡，為出海項目保駕護航。

其他需持續(xù)關注的合規(guī)事項

在前述重要立法及執(zhí)法的大基調下，今年發(fā)布的《人工智能生成合成內容標識辦法（征求意見稿）》《數(shù)據(jù)安全技術 基于個人請求的個人信息轉移要求（征求意見稿）》等規(guī)定，可能會在2025年正式落地。與此同時，增值電信業(yè)務取消外資限制的試點工作成效或將顯現(xiàn)，自貿區(qū)數(shù)據(jù)跨境治理機制也將逐漸趨于成熟，數(shù)據(jù)資源開發(fā)利用、公共數(shù)據(jù)利用預計將進一步從建章立制、試點階段邁入全面實施階段。

[注]?

[1] 全國網(wǎng)安標委已于2024年4月發(fā)布《數(shù)據(jù)安全技術 基于個人請求的個人信息轉移要求（征求意見稿）》。

[2] 參見：“國家標準《數(shù)據(jù)安全技術 個人信息保護合規(guī)審計要求》試點啟動會在京召開”，載“全國網(wǎng)安標委”微信公眾號，最后訪問日期：2024年12月10日。

[3] 中證網(wǎng)：《國家網(wǎng)信辦：促進數(shù)據(jù)跨境流動的預期目標基本實現(xiàn)》，http://jnzstatic.cs.com.cn/zzb/htmlInfo/df02b49b901a46ce9689c0809ed002e8.html，2024年11月21日發(fā)布，最后訪問日期：2024年12月·10日。

[4] 第六條 自由貿易試驗區(qū)在國家數(shù)據(jù)分類分級保護制度框架下，可以自行制定區(qū)內需要納入數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數(shù)據(jù)清單（以下簡稱負面清單），經(jīng)省級網(wǎng)絡安全和信息化委員會批準后，報國家網(wǎng)信部門、國家數(shù)據(jù)管理部門備案。

自由貿易試驗區(qū)內數(shù)據(jù)處理者向境外提供負面清單外的數(shù)據(jù)，可以免予申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

[5] 中證網(wǎng)：《國家網(wǎng)信辦：促進數(shù)據(jù)跨境流動的預期目標基本實現(xiàn)》，http://jnzstatic.cs.com.cn/zzb/htmlInfo/df02b49b901a46ce9689c0809ed002e8.html，2024年11月21日發(fā)布，最后訪問日期：2024年12月·10日。

[6] 具體為GB 44495-2024《汽車整車信息安全技術要求》、GB 44496-2024《汽車軟件升級通用技術要求》以及GB 44497-2024《智能網(wǎng)聯(lián)汽車 自動駕駛數(shù)據(jù)記錄系統(tǒng)》。

[7] 具體為《智能網(wǎng)聯(lián)汽車時空數(shù)據(jù)傳感系統(tǒng)安全基本要求（征求意見稿）》《智能網(wǎng)聯(lián)汽車時空數(shù)據(jù)安全處理基本要求（征求意見稿）》。

[8] 數(shù)據(jù)來源：https://www.enforcementtracker.com/?Insights，最后訪問日期：2024年12月14日。

[9] 以Meta為例，其于7月被歐盟委員會認定“付費或同意”模式違反《數(shù)字市場法》；于11月被印度基于反壟斷法要求，禁止5年內共享用戶數(shù)據(jù)用于廣告目的；于11月，因擅自收集、共享敏感信息用于廣告活動，被韓國處以216億韓元罰款。2024年11月，Meta表示將在歐洲調整廣告模式，包括降低無廣告訂閱模式的價格，為歐盟用戶提供使用最小范圍內的數(shù)據(jù)類型（如瀏覽內容情境、年齡、位置、性別、與廣告的互動方式）推送個性化廣告的選擇。該調整是否會開啟新的受監(jiān)管認可的、可借鑒的廣告商業(yè)模式值得關注。