我们于2023年对中国数据治理制度进行了总结并展望了2024年,本文将从中央、行业、国家标准、部分地方规定角度,总结2024年中国数据治理制度的发展并对2025年进行展望。数据领域综合性规定《》生效,数据要素利用、数据资产化、公共数据开放、授权运营等制度密集发布。数据出境、重要数据分类分级为近年治理重点,个人隐私信息保护制度在具体领域和事项上得以细化,仅对AI行业进行原则性监管,各行业与数据有关的规定明显增多。
2024年8月30日,《》(“《条例》”)经国务院第40次常务会议通过,自2025年1月1日起施行。《条例》对网络数据的定义为“网络数据是指利用互联网处理和产生的各种电子数据”,是涵盖了网络安全、个人隐私信息保护、重要数据安全、网络数据跨境安全管理、网络站点平台服务提供者义务、网络设施、硬件、App等软件产品、AI应用等的综合性行政法规。
《》(《条例》第2章)、《》(《条例》第4章)、《》(《条例》第3章)《》(《条例》第16条)与《条例》共同构成“三法两条例”。同时,《条例》还与《国家安全法》(《条例》第2条)《》(《条例》第6章)《》(《条例》第18条)《》(《条例》第8条)协调适用,为中国网络数据保护总纲。
《条例》涉及的责任主体具体包括:网络数据处理者(第62条等)、硬件与软件产品与服务提供者(App)(第10条等)、国家机关政务数据处理者(第15条等)、关键信息基础设施运营者(第16条)、生成式人工智能服务提供者(第19条)、境外个人信息处理者的境内代表(第26条)、网络运营者(第2章)、个人信息处理者(第3章和第5章)、重要数据处理者(第4章和第5章)、(大型)网络站点平台服务提供者(第6章)、预装应用程序的智能终端等设备生产者(第40条)、提供网络数据保险的公司(第40条)。
《条例》还规定或者细化了网络数据保护的各项制度。具体包括:网络数据分类分级(第5条)、网络数据安全管理制度(等级保护、强制性国标、加密、备份、访问控制、安全认证等)(第9条)、网络产品、服务认证和采购制度(第10条)、应急预案与网络数据安全事件(第11条)、对外数据交易制度(第12条)、国家安全审查(第13条)、重要数据管理制度和风险评估(第4章)、个人隐私信息合规审计(第27条)、网络数据跨境安全评估(第5章)。
人工智能是对数据更高效利用的一种技术。中国目前并没明确的全国人大或者国务院层面的立法计划。2023年国家网信办等七部门发布的《》仍然是AI领域目前最系统的规定,且仅针对生成式人工智能。在此基础上,针对目前一些具体技术或者细节问题,主要从国家标准层面开始探索,内容集中在标识和备案要求,处于原则性的监管阶段。
《》已于2023年8月25日发布,内容比较简洁。在此基础上,2024年6月25日,国家标准化委员会将《网络安全技术 人工智能生成合成内容标识方法》列为强制性国家标准制定计划中。2024年9月14日,国家互联网信息办公室发布《人工智能生成合成内容标识办法(征求意见稿)》,拟适用于网络信息服务提供者开展人工智能生成合成内容标识,分别规定了网络信息服务提供者、提供网络内容信息传播平台服务的服务提供者、互联网应用程序分发平台和用户的责任。2024年9月14日,全国网安标委发布《网络安全技术 人工智能生成合成内容标识方法(征求意见稿)》,为AI生成合成内容标识提供技术指引和具体标注方法,生效后将成为个人隐私信息保护领域首个强制性国家标准。此外,《网络安全技术 人工智能代码生成服务安全要求》《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则(征求意见稿)》等也在征集参编单位或征求意见中。
2025年1月8日,国家互联网信息办公室发布“2024年生成式人工智能服务已备案信息的公告”。根据《生成式人工智能服务管理暂行办法》第17条的规定,截至2024年12月31日,共302款生成式人工智能服务在国家网信办完成备案,其中2024年新增238款备案;对于通过API接口或其他方式直接调用已备案模型能力的生成式AI应用或功能,2024年共105款生成式AI应用或功能在地方网信办完成登记。明确了大模型以及基于大模型的应用或者功能均需备案和登记。同时,截至2024年12月20日,根据《》和《》,进行了备案的具有舆论属性或者社会动员能力的深度合成服务提供者一共达到九批。
2024年3月1日,全国网络安全标准化技术委员会发布TC260-003《生成式人工智能服务安全基础要求》,在此基础之上将形成国家标准《网络安全技术 生成式人工智能服务安全基础要求》。2025年1月26日,全国网络安全标准化技术委员会秘书处发布《人工智能安全标准体系(V1.0)(征求意见稿)》,主要由基础共性、安全管理、关键技术、测试评估、产品与应用等5个部分所组成,将构成AI领域网络安全标准的基础框架,在此基础上逐步起草各项具体标准。工信部等四部门2024年7月2日联合印发《》,到2026年将新制定国家标准和行业标准50项以上,引领AI产业高水平发展的标准体系加快形成。
数据出境整体趋向于宽松,安全评估、标准合同、认证制度和区域规则进一步明确。
2024年3月22日,国家网信办通过《》,列举了7项免予申报数据出境安全评估、订立个人隐私信息出境标准合同、通过个人隐私信息保护认证的数据出境情形。包括:(1)非重要数据处理者不需要作为重要数据申报数据出境安全评估;(2)国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据;(3)在境外收集和产生的个人隐私信息传输至境内处理后向境外提供;(4)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等;(5)实施跨境人力资源管理向境外提供的员工个人隐私信息;(6)紧急状况下为保护自然人的生命健康和财产安全向境外提供的个人隐私信息;(7)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人的个人隐私信息(不含敏感个人隐私信息)。
自由贸易试验区能自行制定区内需要纳入数据出境安全评估、个人隐私信息出境标准合同、个人隐私信息保护认证管理范围的数据清单(“负面清单”)。北京、天津、上海、海南发布了自贸区“负面清单”。
2024年5月8日,天津市公布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》,列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人隐私信息出境标准合同、通过个人隐私信息保护认证的13大类和46子类情形,负面清单外的数据免予申报数据出境安全评估、订立个人隐私信息出境标准合同、通过个人隐私信息保护认证。同时明确涉及国家秘密的数据、核心数据、政务数据不纳入负面清单管理。
2024年8月26日,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局制定了《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》并附“中国(北京)自由贸易试验区数据分类分级参考规则”。目前规定了汽车行业、医药行业、民航业、零售与现代服务业、人工智能训练数据5个行业或者领域的重要数据与个人隐私信息负面清单,清单内的数据分别通过数据出境安全评估、个人隐私信息出境标准合同备案、个人隐私信息保护认证出境,清单外的数据自由出境。
2025年2月8日,上海市网信办等五部门印发《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》,将再保险领域、国际航运领域、商贸领域(零售与餐饮业、住宿业)3个领域的数据分为“一定要通过数据出境安全评估的数据清单”和“一定要通过个人隐私信息出境标准合同备案、个人隐私信息保护认证出境的数据清单”。
2025年2月20日,海南省印发《海南自由贸易港数据出境管理清单(负面清单)(2024版)》,将深海、航天、种业、旅游、免税商品零售业务6个具有地方特色的行业或者领域数据,按照“一定要通过数据出境安全评估的数据清单”和“一定要通过个人隐私信息出境标准合同备案、个人隐私信息保护认证出境的数据清单”,在该行业或者领域内分成两类。
除自贸区外,中国内地分别和香港、澳门通过制定个人隐私信息跨境流动标准合同实施指引,建立了区域数据跨境流动规则。早在2023年12月10日,国家互联网信息办公室和香港特区政府创新科技及工业局已经发布《》,国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局于2024年9月10日公布《》。中国内地与香港和澳门的个人隐私信息跨境流动标准合同实施指引的内容和要求基本相同,通过订立标准合同的方式来进行粤港澳大湾区内内地和澳门之间的个人隐私信息跨境流动,不得向粤港澳大湾区以外的组织、个人提供。
2025年1月3日,国家互联网信息办公室发布《关于个人隐私信息出境个人隐私信息保护认证办法(征求意见稿)公开征求意见的通知》。这是在2022年7月7日《数据出境安全评估办法》、2022年11月4日《》和2025年2月12日《》基础上,对《个人隐私信息保护法》下评估、审计、认证制度再次细化。
个人隐私信息出境个人隐私信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人隐私信息保护认证资质的专业认证机构,对个人隐私信息处理者个人信息出境活动开展的个人信息保护认证。属于非强制性、自愿申请的认证。拟规定应当同时符合以下情形:(1)非关键信息基础设施运营者;(2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人隐私信息(不含敏感个人隐私信息)或者不满1万人敏感个人隐私信息。不包括重要数据。
结合《数据出境安全评估办法》《促进和规范数据跨境流动规定》《个人隐私信息出境标准合同办法》《关于个人隐私信息出境个人隐私信息保护认证办法(征求意见稿)公开征求意见的通知》《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》《海南自由贸易港数据出境管理清单(负面清单)(2024版)》《粤港澳大湾区(内地、香港)个人隐私信息跨境流动标准合同实施指引》《粤港澳大湾区(内地、澳门)个人隐私信息跨境流动标准合同实施指引》的规定,目前中国数据出境的整体要求和路径图示如下:
《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》原则性规定,按照数据分类分级要求,将“国家行业主管部门或本市认定的重要数据纳入本清单管理”。在公布的清单目录中,并未使用重要数据概念,但其13类45项需要通过数据出境安全评估的数据显然是按照构成重要数据思路来列举的,涉及国家安全、重点行业等。
2024年2月3日,上海市印发了《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》,规定上海自贸试验区管委会、临港新片区管委会按照数据分类分级保护制度,根据区内实际的需求率先制定重要数据目录。2024年2月8日,中国(上海)自由贸易试验区临港新片区管理委员会(“临港管委会”)印发《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(有效期至2025年2月7日),规定跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。2024年5月16日,临港管委会印发《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单(试行)》三份数据清单,涉及智能网联汽车、生物医药、公募基金领域数据。2025年2月8日的《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》列举的重要数据场景包括再保险领域中的人身险再保险场景、财产险再保险场景,水路运输服务和港口作业生产相关场景,一共两个。
北京和天津自贸区的负面清单说明不在清单中的数据不属于重要数据,不需要通过安全评估方式出境,重要数据清单外的数据要么经过认证或者签署标准合同出境,要么“什么也不需要”自由出境,但重要数据之外的数据包含什么、如何分类不进行规定,由数据处理者自行进行判断。上海的一般数据清单包含核心数据、重要数据外的其他数据,“数据处理者对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。” 上海不仅列举重要数据,还将重要数据外的一般数据也按照一定分级分类标准做列举。我们理解,一般数据清单的作用其实就是为数据处理者自行进行重要数据之外的数据分类分级提供了指引。北京和天津的更自由,而上海的可操作行更强。
水利部信息中心2025年1月13日发布行业标准《水利数据分类分级规则(征求意见稿)》,水利数据分类思路为,按照数据基本属性及所属水利业务进行分类。水利数据一级分类分别为水利基础数据、水利业务数据、地理空间数据、管理数据、个人隐私信息和其他数据六个类别。水利数据分级思路为,基于水利行业数据处理、管理、共享流通和安全保护,将数据分级细化为5个级别,一般数据对应数据等级1-3级,重要数据为4级,核心数据为5级。
上述规制对象均不包括国家秘密层级的数据,国家秘密适用《》和2024年9月1日施行的《》;此外,既有民事用途、又有军事用途的两用物项数据,还应遵守2024年12月1日施行的《》。
数据要素市场政策文件密集发布,既有宏观政策的规定,也有可操作行强的规则,整体体现出促进数据流通和发展的思路。国家数据局下增设全国数据标准化技术委员会(“TC609”);网信部门下的全国网络安全标准化技术委员会(“TC260”)新成立数据安全标准工作组(WG8)、新技术安全标准特别工作组(SWG-ETS)。
国家数据局2024年6月发布了《》,从征求意见到正式成文,2024年间还发布了多项数字化的经济促进政策文件,最重要的包含《数字社会2024年工作要点》《数字化的经济2024年工作要点》《数字中国建设2024年工作要点清单》《》《》《》《》。此外,还分两批对《数据领域常用名词解释》征求意见,有助于形成共识。
继2023年印发《》《》后,财政部2024年2月5日发布《关于加强行政事业单位数据资产管理的通知》。2024年12月29日,财政部发布《》,以通过在中央部门、中央企业和地方财政部门的试点,形成有效的数据资产管理模式。试点主要内容有编制数据资产台账、开展数据资产登记、完善授权运营机制、健全收益分配机制、规范推进交易流通。能够准确的看出,各个行业主管部门与数据治理有关的“发力点”还是建立在本行业职责及专长基础之上。
2024年,全国数据标准化技术委员会(“TC609”)正式成立,包括数据治理标准工作组(WG2) 、数据流通利用标准工作组(WG3)、全域数字化转型标准工作组(WG4)、数据技术标准工作组(WG5)、数据基础设施标准工作组(WG6),一共6个工作组。是经国家标准化管理委员会批准设立的,从事数据领域国家标准化工作的专业方面技术组织。全国数标委的筹建单位和业务指导单位为国家数据局,秘书处承担单位为中国电子技术标准化研究院。
2024年4月15日,全国信息安全标准化技术委员会更名为全国网络安全标准化技术委员会(“TC260”)。“关于印发全国网络安全标准化技术委员会工作组设置的通知”显示一共有9个工作组,“关于征集全国网络安全标准化技术委员会数据安全标准工作组、新技术安全标准特别工作组成员单位的通知”宣布成立数据安全标准工作组(WG8)、新技术安全标准特别工作组(SWG-ETS)。
全国网络安全标准化技术委员会和全国数据标准化技术委员会均为根据《》成立的标准化委员会,均由国家标准委领导。全国网络安全标准化技术委员会业务上受中央网络安全和信息化委员会办公室指导,全国数据标准化技术委员会业务上受国家数据局指导。秘书处承担单位均为中国电子技术标准化研究院。
2024年10月8日,国家发展改革委、国家数据局等部门联合印发《》,“到2026年底,基本建成国家数据标准体系,围绕数据流通利用基础设施、数据管理、数据服务、训练数据集、公共数据授权运营、数据确权、数据资源定价、企业数据范式交易等方面,制修订30多项数据领域基础通用国家标准”。
《》规定,公共数据为“各级党政机关、企业和事业单位依法履职或提供公共服务过程中产生的公共数据”;《数据安全法》实际上并没有专门设定公共数据的概念,对政务数据也没有明确定义。《数据安全法》第5章详细规定了国家机关政务数据的开放利用,要求国家机关履行法定职责过程中应“及时、准确地公开政务数据”和“国家制定政务数据开放目录”,同时规定“法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动”产生的数据也属于政务数据。公共数据强调的是“提供”服务;而政务数据强调的是“管理”公共事务。
各级地方政府出台了很多关于公共数据开放利用的规定,我们以部分省级政府和特区为例进行了总结(非完全统计),如下:
自2024年10月9日推出《》后,国家数据局推出公共数据资源授权运营三份政策文件,以统筹推进政务数据共享、有序推动公共数据开放、鼓励探索公共数据授权运营。2025年1月,国家发展改革委、国家数据局公布了《》、《》,以及《》。该三份政策文件是针对公共数据授权运营的顶层设计。“至此,公共数据资源开发利用”1+3“政策体系初步构建完成”。也落地了《》中“建立公共数据、企业数据、个人数据的分类分级确权授权制度”的部分内容。
公共数据资源开发利用“1+3”政策体系的目标为,形成全国统一的登记管理体系, 在全国范围内实现登记结果统一赋码,支撑登记信息的查询和共享。县级以上地方各级人民政府、国家行业主管部门应编制公共数据资源授权运营实施方案,以公开对外招标、邀请招标、谈判等公平竞争方式选择运营机构运营公共数据资源,制定最高准许收入和上限收费标准。
除上述公共数据外,国家数据局还于2024年12月20日发布了《》,强调“企业在生产经营过程中形成或合法获取、持有的数据,是公司发展的重要资源”,规定了完善企业数据权益形成机制、完善企业数据权益保护机制、健全企业数据收益分配机制等制度。
《网络数据安全管理条例》第16条规定,网络数据处理者为国家机关等提供服务,应履行网络数据安全保护义务,强调服务的安全性、稳定性和持续性。未经国家机关等同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据来进行关联分析。
2024年5月15日,中央网络安全与信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定并发布《》,于2024年7月1日起施行。主体内容有总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置。2024年6月21日,国家网信办发布《互联网政务应用安全管理规定解读》,做补充说明和解释。之前已经制定的党内法规《》《党政机关网站开办审核、资质复核和网站标识管理办法》《》仍然在党内有效适用。
(一)与《个人隐私信息保护法》相比,《网络数据安全管理条例》中有关个人隐私信息保护不同或者细化的规定
告知规则中,《个人隐私信息保护法》对告知的要求为“处理规则应当公开,并且便于查阅和保存”“应当以显著方式、清晰易懂的语言真实、准确、完整”的告知,而《条例》的表述为“应当集中公开展示、易于访问并置于醒目位置”“内容明确具体、清晰易懂”;同意规则中,《条例》增加规定不得“频繁征求同意”,但实际上也是对《个人隐私信息保护法》取得同意应当建立在自愿基础上的解释。
《条例》不统一要求告知个人隐私信息存储和删除的具体时间。而是规定“个人隐私信息保存期限和到期后的解决方法,保存期限难以确定的,应当明确保存期限的确定方法”。当然,关于个人隐私信息存储和删除时间,还需要遵守其他法律和法规关于最长或者最短存储时间的要求,一般6个月到5年不等。
对于使用自动化采集技术等没办法避免采集到非必要个人隐私信息或者未依法取得个人同意的个人隐私信息,网络数据处理者应当删除个人隐私信息或进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人隐私信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护的方法之外的处理。
与《个人隐私信息保护法》相比,《条例》还明确了个人注销账号不可以设置不合理条件限制,这是将执法实践中较为突出的问题在《条例》进行规定。
使用“爬虫”类工具收集数据是不是违法一直是实践中的难点问题。根据《条例》的规定,数据处理者使用自动化工具访问、收集网络数据并不会违反法律,但是应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
2024年7月26日,《国家网络身份认证公共服务管理办法(征求意见稿)》发布,拟规定国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务。网号是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人线日,国家标准《数据安全技术 个人隐私信息保护合规审计要求(征求意见稿)》开始公开征求意见。2025年2月14日,《》公布,将于2025年5月1日起施行。
截至2024年年12月27日,工业与信息化部按照常例,在2024年间一共开展了10批次“关于侵害用户权益行为的APP(SDK)通报”,违法事项集中在违规收集、使用个人隐私信息,超范围收集个人隐私信息,收集个人隐私信息频率过高,关联启动,对“摇一摇”功能监管加强。网安标委也于2025年1月23日发布《网络安全标准实践指南——摇一摇广告个人权益规范指引(征求意见稿)》,规定“触发用户跳转的交互动作可参照如设备加速度不小于15m/s2,转动角度不小于35°,操作时间不少于3s。”
修订后的《消费者权益保护法实施条例》自2024年7月1日起施行,“是《消费者权益保护法》施行30年来首次出台的配套行政法规。” 与个人隐私信息保护直接相关的规定包括第23条(收集个人隐私信息)和第24条(广告营销)。要求经营者在提供商品或者服务时,不得过度收集消费者个人隐私信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无必然的联系的个人隐私信息;强调收集敏感个人隐私信息符合相关规定符合有关法律、行政法规的规定。未经消费者同意,经营者不得向消费者发送商业性信息或者拨打商业性电话,经营者应当提供明确、便捷的取消同意方式。消费者选择取消的,经营者应当立马停止发送商业性信息或者拨打商业性电线日,国家邮政局发布《寄递服务用户个人隐私信息安全管理办法(征求意见稿)》,根据行业特点重申和细化了一些寄递行业个人隐私信息保护要求,包括:(1)明确“为订立、履行寄递服务合同所必需”是寄递公司能够合法处理个人隐私信息的情形;(2)除征得用户个人同意外,寄递企业保存用户个人隐私信息的期限不允许超出收集之日起三年;(3)寄递企业向信息汇聚平台等其他个人隐私信息处理者提供用户个人隐私信息的应当获得个人单独同意;(4)寄递企业应当在内部安全管理制度中加强对一线业务人员使用个人信息的管理,包括离岗审计和删除岗位账号。
2024年5月10日,工业与信息化部发布《》,自2024年6月1日起施行,细化了《工业与信息化领域数据安全管理办法(试行)》第31条的规定。适用于境内工业与信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估,鼓励熟悉工业和信息化领域数据安全工作,满足资质要求的认证机构开展第三方评估机构的能力认证。2024年4月30日,工业和信息化部发布《工业和信息化部2024年规章制定工作规划》,将修订2015年的《》,涉及发送广告等商业性短信息的规制。由于骚扰、广告、诈骗类信息的增多,建议关注是否将从严修改。
2024年7月26日,自然资源部发布《》,明确了“空间坐标、实景影像(视频和影像等环境感知数据)、点云及其属性信息等地理信息数据(含道路拓扑数据)进行采集、存储、传输和处理”均属于测绘活动,对智能网联汽车回传的地理信息数据来进行收集、存储、传输、处理以及地图制作等活动应由具有导航电子地图制作等测绘资质的单位承担。强化涉密、敏感地理信息数据的使用和出境。地理信息数据必须存储于境内安全和保密设备中,向境外提供需符合自然资源部审核程序和网信部门数据出境安全评估要求。向境外或者外商投资公司可以提供涉密测绘成果需符合2024年7月26日发布的《》关于分级审批的要求。
2024年4月28日,中国汽车工业协会和国家计算机网络应急技术处理协调中心发布《关于汽车数据处理4项安全要求检验测试情况的通报》,比亚迪、理想、路特斯、合众新能源、特斯拉、蔚来6家企业的76款车型符合汽车数据安全4项合规要求。检测依据包括:《汽车数据安全管理若干规定(试行)》、《信息安全技术 汽车数据处理安全要求(GB/T 41871-2022)》和《汽车传输视频及图像脱敏技术方面的要求与方法(T/CAAMTB 77-2022)》有关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。本次检测为非强制性检测,以后是否还会公布检测通知及名单,由企业自愿报上自己的姓名去参加,形成长期惯例,有待观察。
2024年9月,工业与信息化部组织制定的GB 44495—2024《汽车整车信息安全技术方面的要求》、GB 44496—2024《汽车软件升级通用技术方面的要求》和GB 44497—2024《智能网联汽车 无人驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布,2026年1月1日起开始实施。
2024年12月19日,全国网络安全标准化技术委员会关于发布《网络安全标准实践指南——一键停止收集车外数据指引》的通知。适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断,还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。
2024年12月27日,国家金融监督管理总局发布《》。整体分为总则(第1章)、数据安全治理(第2章)、数据分类分级(第3章)、数据安全管理(第4章)、数据安全技术保护(第5章)、个人隐私信息保护(第6章)、数据安全风险监测与处置(第7章)、监督管理(第8章)。“政策性银行、商业银行、农村合作银行、农村信用合作社、金融实物资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司”均属于银行保险机构。除重申数据领域常规概念外,还对大数据平台做了定义,指以处理海量数据存储、计算、分析等为目的的基础设施,包括数据统计分析类的平台和大数据处理类平台(如数据湖、数据仓库等)。
《银行保险机构数据安全管理办法》适用的主体和数据治理、合规、安全事项非常全面,体现了国家金融监督管理总局对银行保险领域数据统一监管的特点。2025年1月24日,中国人民银行对《中国人民银行业务领域网络安全事件报告管理办法(征求意见稿)》公开征求意见,网络安全事项仍然由中国人民银行按照之前的权限进行监管。
自然资源领域数据,是指在开展自然资源活动中收集和产生的数据,最重要的包含基础地理信息、遥感影像等地理信息数据,土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据,总体设计、详细规划、专项规划等国土空间规划数据,用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据(第3条第1款)。
数据安全纳入党委(党组)国家安全责任制(第4条第4款),在国家数据安全工作协调机制统筹协调下,自然资源部承担自然资源行业、领域数据安全监管职责,负责督促指导各省、自治区、直辖市自然资源主管部门、海洋主管部门开展数据安全监管。国家林业和草原局具体承担森林草原、湿地荒漠等数据安全监管职责(第4条第1款)。自然资源部、国家林业和草原局及地方行业监管部门统称为行业监管部门。(第4条第3款)。地方行业监管部门分别负责对本地区自然资源领域数据处理活动和安全保护做监督管理。(第4条第2款)
2024年4月26日,《生物安全法(2024修正)》发布,规定国家建立生物安全信息共享制度、生物安全信息发布制度、生物安全名录和清单制度等,加强对我国人类遗传资源和生物资源采集、保藏、利用、对外提供等活动的管理和监督,保障人类遗传资源和生物资源安全。从事特定人类遗传资源活动,应当经国务院卫生健康主管部门批准。
继2023年施行的《人类遗传资源管理条例实施细则》后,国务院修订的《人类遗传资源管理条例》已于2024年5月1日施行,人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料(第2条第2款)。人类遗传资源包括人类遗传资源材料和人类遗传资源信息,对于其采集和保藏(第2章)、利用和对外提供(第3章)均有特殊规定。
根据《国家安全法》的规定,国家安全包括生物安全。《生物安全法》明确规定“人类遗传资源与生物资源安全管理”适用本法。人类遗传资源信息可能构成《数据安全法》规定的核心数据或者重要数据。涉及到处理人类遗传资源信息的数据处理活动,应结合《科技伦理审查办法(试行)》,考虑科技伦理审查问题。涉及人类遗传资源材料和人类遗传资源信息出口的,需要结合《出口管制法》的规定,例如对于细胞、组织、血清等生物两用品的出口管制。
2024年6月4日,中国民航局发布《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》,规定民航数据包括公共数据、企业数据和个人隐私信息数据三类,依据数据全生命周期处理活动场景,民航数据处理主体大致上可以分为数据提供方、数据使用方、数据管理方和数据平台方四类,将统筹编制并发布《民航数据资源目录》。
业政策到可落地法律和法规,从个人隐私信息保护到数据流通促进,从个性化推送和算法到人工智能,2024年间,中国系统化地完善了网络数据制度,细化了数据出境、重要数据、公共数据、政务数据、认证和审计等个人隐私信息保护各项制度,电商等工业和信息化领域、汽车、金融、自然资源、医疗健康、民航、寄递等行业数据治理制度得以增强。
根据《全国人大常委会2024年度立法工作规划》和《国务院2024年度立法工作规划》,2025年着重关注的与数据治理的立法包括《反不正当竞争法(修改)》《网络安全法(修改)》等电信法、网络治理和人工智能健康发展等方面的立法。各自贸区等区域数据出境、各行业重要数据规则、国家数据局更多促进数据流通开放的具体措施将更多。本文非法律意见,作者联系方式为:joan.
15.《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》
16.《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则(征求意见稿)》
24.《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》,
26.《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》
27.《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》
28.《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》
29.《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》
33.《关于个人隐私信息出境个人隐私信息保护认证办法(征求意见稿)公开征求意见的通知》
37.《关于个人隐私信息出境个人隐私信息保护认证办法(征求意见稿)公开征求意见的通知》
38.《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》
39.《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》
40.《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》
41.《中国(上海)自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单(试行)》
42.《中国(上海)自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单(试行)》
53.《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》《国家数据基础设施建设指引》
60.“关于征集全国网络安全标准化技术委员会数据安全标准工作组、新技术安全标准特别工作组成员单位的通知”
62.《中央 国务院关于构建数据基础制度更好地发挥数据要素作用的意见》
64.中国(上海)自由贸易试验区临港新片区公共数据管理办法2024年3月5日
74.《中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》《公共数据资源登记管理暂行办法》
77.《中央 国务院关于构建数据基础制度更好地发挥数据要素作用的意见》
96.《信息安全技术 汽车数据处理安全要求(GB/T 41871-2022)》
97.《汽车传输视频及图像脱敏技术方面的要求与方法(T/CAAMTB 77-2022)》
101.GB 44497—2024《智能网联汽车 无人驾驶数据记录系统》
116.《信息安全技术 生成式人工智能数据标注安全准则规范(征求意见稿)(2024年)》
117.《信息安全技术 生成式人工智能预训练和优化训练数据安全准则规范(征求意见稿)(2024年)》
118.山西省区域标准《人工智能 数据标注总体框架(DB14/T 2463—2022)(2022)》黑龙江区域标准《人工智能数据标注人员培训服务规范(DB23/T 3479—2023)(2023)》
120.《国务院2024年度立法工作规划》《反不正当竞争法(修改)》《网络安全法(修改)》
