网络安全与数据合规法律观察-2025年半年汇总编

（一）公共数据授权机制加速落地，行业主管部门主导垂类数据管理规则密集出台

公共数据作为数据要素市场化的重要基础，系近期立法与数据治理的核心领域。在全国层面，《网络数据安全管理条例》（2025年1月1日施行）明确要求建立公共数据授权使用制度，规范公共数据向社会开放及向企业授权的范围、条件和程序。在地方层面，浙江、广东等地陆续出台有关公共数据授权运营的管理规定，以推进公共数据资源开发利用，规范公共数据资源授权运营，释放数据要素价值。同时，针对公共数据 “可用不可见” 的特性，相关规则强化了全流程监管并形成闭环管理，包括授权前的安全审查、使用中的行为监控（如禁止用于无关领域）、使用后的效果评估。

各行业主管部门结合自身行业领域产出数据的特点，加快制定专门性的数据管理规定，推动数据治理从 “通用框架”维度向“行业适配”维度深化。例如：

上述行业垂类数据治理规则的特点是场景化及实操性，能够为相关行业企业提供具体可行的合规指引。

（二）个人信息保护合规审计全面落地

2025年2月14日，国家互联网信息办公室公布了《个人信息保护合规审计管理办法》（以下简称"《办法》"）以及配套的《个人信息保护合规审计指引》（以下简称"《指引》"）。该《办法》与《指引》是对《中华人民共和国个人信息保护法》第五十四条、《网络数据安全管理条例》第二十七条等规定中对于个人信息保护合规审计要求的落实，标志着个人信息保护合规审计的具体落地。

《办法》规定个人信息保护合规审计的对象为个人信息处理者的个人信息处理活动遵守法律、行政法规的情况，并就“定期审计”和“特别审计”的适用条件予以明确。《指南》则具体细致规定了个人信息保护合规审计的要点，包括但不限于对个人信息处理的合法性基础的审查要点（《指南》第2条）、个人信息处理规则的落实（《指南》第3、4条）、委托处理情况下的合规义务审查（《指南》第6条）、对外提供个人信息情况下的合规义务审查（《指南》第8条）等，有力确保了审计标准的统一性和可操作性。

个人信息保护合规审计的核心意义在于通过系统性监督机制以推动《中华人民共和国个人信息保护法》及相关法规的有效执行。《办法》将有效加强对个人信息处理者的监管，推动企业建立全生命周期个人信息保护合规体系，降低因违规收集、泄露个人信息引发的风险，并增强公众对个人信息处理活动的信任。

（三）人工智能治理呈现多维度管控及标准先行的态势

我国在人工智能治理领域采取审慎包容和敏捷治理的策略，在《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等法规的基础上，通过一系列推荐性国家标准应对人工智能发展不断产生的新问题。

首先，在训练数据合规方面，生成式人工智能依赖海量训练数据，数据质量与安全性直接影响模型的性能与输出内容。《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》（GB/T 45652-2025）、《网络安全技术 生成式人工智能数据标注安全规范》（GB/T 45674-2025）等规范强调训练数据来源的合法性与合规性，对特定数据来源实施采集前风险评估、采集后内容核验、使用后流向追溯，严格控制违法不良信息在数据中的占比，从多维度对训练数据提出合规要求，

其次，在基础模型安全性方面，《网络安全技术 生成式人工智能服务安全基本要求》（GB/T 45654-2025）规定服务提供者若使用第三方基础模型，必须选用已通过主管部门审核备案的产品，从源头上保障底层技术资源安全；同时，要求在模型训练环节将生成内容安全性纳入关键评价指标体系，建立常态化监测机制，及时发现并处置安全隐患，引导模型生成内容符合主流价值观与法律法规要求。该等要求对于大量依托于基础模型进行人工智能产品开发的企业具有重要的指导意义。

再次，为适配人工智能在不同场景应用产生的风险，《网络安全技术 生成式人工智能服务安全基本要求》（GB/T 45654-2025）提出，服务提供者需审慎评估在各领域应用人工智能的必要性、适用性与安全性；指出在关键信息基础设施及重要民生领域，要求采取与风险等级相匹配的保护措施，并提出对涉及未成年人的应用场景，制定专门保护条款，防止人工智能技术不当应用对特定群体造成伤害。又如，《人工智能气象应用服务办法》等行业专门性规范，亦根据相关行业特点制定了风险适配的规则，力图在风险与发展中取得更精准的平衡。

我们准备了2025年上半年人工智能与数据治理领域的主要法律法规汇总，方便读者更新查阅。部分汇总内容示例如下：

若您希望获得该汇总，请扫描下图二维码并填写邮箱地址，我们会尽快将汇总发送给您。