数据合规领域2024年度观察——“发展”与“监管”的二重奏

回顾2024年数字经济发展及数据治理领域，数据出境机制优化、人工智能大模型井喷、TMT领域外资投资放开、中企出海如火如荼等多个关键词映入眼帘。在千头万绪之中， 其中最值得关注的趋势是，伴随着前几年数据监管体系夯实基础、立法和监管体系基本成型，2024年数据合规领域的动态和趋势发生了明显转向，不同于前几年以“监管”为主要工作重点，2024年官方以及业界明显将主基调切换成了促进数据产业和数字经济发展，当然，执法机关在重点领域仍然保持了监管压力。伴随着这一基调变化，很多企业在建立健全数据合规体系的基础上，也越来越重视数据在企业发展过程中的驱动作用和价值潜力。与此同时，在中国之外，伴随着 2024年中国企业如火如荼的出海步伐，海外发达国家和地区（以美国和欧盟为代表）也出台了一系列与数据安全有关的规定，值得出海企业关注。

有鉴于此，在数据治理2024年度观察中，我们立足“监管与执法”和“商业发展”两个维度，并着眼日益严峻的海外合规挑战，分别提炼重点与要点，以期不仅提供数据治理监管及合规要求方面的参考，更从法律与政策角度提供数字经济时代下战略部署的前瞻性观察。

讲到数字经济及数据要素的治理，已不可不提数据在激发商业价值维度的前沿发展。如开篇所说，“发展”甚至已是本年度数据治理领域更强的一重奏。这不仅体现在，数据本身作为资产，不仅体现在数据通过入表机制搭建、数据交易路径跑通等方式，为数字经济浪潮中的企业带来了额外的收益与价值；更体现在数据作为人工智能（AI）、智能网联汽车、低空经济、云计算等新兴高科技企业技术发展赖以生存的驱动力。数据治理这一议题已嵌入前述高科技企业业务模式可行性与前景论证的齿轮中。我们将本年度观察到的数据在商业价值激发方面的重要动态归纳为以下4个维度：

1、 数据跨境监管主旋律转向，多层次促进数据跨境流动

数据跨境传输合规一直是近年来监管机构关注的重点，也是诸多跨国企业的数据合规工作重点。随着《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》《中共中央关于进一步全面深化改革 推进中国式现代化的决定》等政策的支持，数据跨境合规不断优化，旨在进一步平衡安全红线及商业发展的需要。

(1)国家层面

2024年3月22日，《促进和规范数据跨境流动规定》（下称“ 《跨境新规》 ”）正式发布并施行。《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》《个人信息出境个人信息保护认证办法（征求意见稿）》等法规及配套文件也陆续出台。《跨境新规》及配套规定奠定了新监管框架的基础，在严守敏感个人信息保护、关键信息基础设施运营者等问题监管尺度的基础之上，从多个维度减少了企业需承担的数据跨境传输合规义务，包括对于存在较强出境必要性且安全风险较弱的场景，明确豁免其履行数据出境安全评估、个人信息出境标准合同订立和/或通过个人信息保护认证机制（统称“三大数据出境合规专项机制”）；调整了三大数据出境合规专项机制的触发阈值等。 整体而言，数据跨境合规机制在2024年的进一步明确和优化，使得有较强数据跨境传输需求的企业面临更大的监管确定性及更小的合规成本，从监管角度为跨境业务的发展注入强心剂。

(2)地方层面

除了前述重要的法律法规及配套文件外，如《跨境新规》中所涉及的自贸区清单机制，天津、北京、上海和福建自贸区也在2024年陆续出台了自贸区数据跨境传输的特别机制，重点聚焦生命科技、跨境电商、智能网联汽车等存在活跃跨境业务和跨境研发等需求的行业，为自贸区内企业提供了更多便利性。

除自贸区外，地方层面另一个值得关注的亮点为粤港澳大湾区于2024年9月发布的《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》。该指引与去年发布的大湾区内地及香港间的实施指引共同搭建了完整的大湾区数据流动便捷机制，通过简化部分合规义务等为大湾区内的数字经济发展提供更强的机制保障。

(3)国际合作层面

国家网信办于2024年11月发布《全球数据跨境流动合作倡议》，并也正在逐步推进和境外重要市场的数据流通协同机制，例如2024年6月，中国与德国签署《关于中德数据跨境流动合作的谅解备忘录》。在全球数据主权竞争加剧，数据跨境流动机制进一步收紧的大背景下，中国在跨境传输监管领域的动态充分响应了数据发展与安全并重的号召，释放了较强的促进正常商贸活动中数据流动的信号。

(4)产业政策层面

在数据跨境机制灵活调整及优化的背景下，工信部于2024年4月10日发布《关于开展增值电信业务扩大对外开放试点工作的通告》，明确在在北京、上海、海南、深圳四个试点地区开展增值电信业务扩大对外开放试点工作，同时提出将依据试点情况适时扩大试点地区范围。增值电信业务涉及互联网数据中心（IDC）、互联网接入服务（ISP）等数字经济基础设施建设层面非常重要的产业，这一重要的产业举措也彰显了进一步促进数字经济对外开放的坚定决心。

扩大增值电信业务对外开放推进迅速。2024年10月，工信部组织召开增值电信业务扩大对外开放试点工作座谈会，正式启动北京、上海、海南、深圳四地增值电信业务扩大对外开放试点工作。依据日前发布的《国务院关于同意在北京市暂时调整实施有关行政法规和经国务院批准的部门规章的批复》，取消北京市有关信息服务、互联网接入业务等增值电信业务外资股比限制的新政策也进一步得到明确。

2、数据基础设施的设计和建设大踏步推进

数据基础设施的设计与建设是数据要素市场发展的基石，党的二十届三种全会明确提出“建设和运营国家基础设施，促进数据共享”的方针。在过去一年中，国家数据局出台了多项举措，旨在大力加强对数据基础设施的设计和建设，在进一步推动数据交易制度及实践发展的基础上，又确立了公共数据授权运营、政务数据共享等多项开拓性制度，以期进一步激发和实现数据价值，助力数字经济发展。

可以说，中国的数据合规领域立法最早受到了欧盟GDPR的影响；但是，伴随着国家数据局的成立以及一系列设计和建设数据基础设施的举措出台，中国的数字经济发展和监管越来越形成了“中国特色”。数据基础设施的总体架构可以划分为 网络设施、算力设施及数据流通利用设施三个层次 ，伴随着该架构的逐步落地，预计将深度助推中国数字经济及数字产业的高质量发展：

点击可查看大图

2024年下半年开始，多项与数据基础设施建设有关的重要文件出台。2024年9月发布的《国家数据标准体系建设指南》指出，数据基础设施标准以现有相关标准为主，强化基础设施互联互通、算力保障和流通利用标准建设，为数据资源、数据技术、数据流通、融合应用提供支撑。2025年1月，国家发改委、国家数据局及工信部联合印发《国家数据基础设施建设指引》，提出了统筹算力资源一体化布局、深化算力与行业融合应用等系列计划。预计在数据基础设施建设发展的基础上，数据交易、公共数据授权运营、政务数据共享等机制也将获得进一步赋能发展。

3、数据资产入表与数据交易实践如火如荼

财政部在2023年发布的《企业数据资源相关会计处理暂行规定》已于2024年1月1日起正式施行，国家数据局、中央网信办等部门还于2024年12月底出台《关于促进企业数据资源开发利用的意见》，进一步拓宽和夯实了数据交易市场的基石。

（1）数据资产入表动态

从实践来看，与2023年呈现探索为主的态势不同，2024年度数据资产入表案例涌现，数据交易所及相关数据产品挂牌均如火如荼开展。以数据入表为例，涉及城投、车联网、水务、金融等多个行业的企业均纷纷发布数据资产入表典型案例，涉及交通运输数据、绿色低碳数据、工业制造数据等多种数据类型。根据A股上市公司披露的2024年半年度报告，截至8月31日，在A股上市的5000多家企业中，数据资源入表数量从一季度的17家增加至41家，入表总额由0.79亿元增加至13.64亿元 [1] 。

（2）数据交易观察

在数据交易领域，2024年各地数据交易所的数据交易持续活跃，除此以外，更多新型的数据产品开发、数据交易模式探索也在2024年落地。具有代表性的包括：

•武汉某科技公司的图书数据产品基于《上海市数据产品知识产权登记存证暂行办法》完成上海市首单数据产品知识产权质押融资落地，获得1亿元授信 [2] 。

•江西省日前出台了《数据资源公证登记规范》和《数据资产质押公证登记规范》两个地方标准，从公证角度探索数据资源价值激发的可能性。前述颁布的江西省地方标准将于2025年6月1日期正式实施，由此，可以预期2025年数据资源公证路径的实践也将进一步铺开发展。

4、数据成为企业重视的基础要素和诸多行业业务核心引擎

人工智能的持续爆发式增长是今年新兴技术发展中最吸引眼球的一点，除此之外，边缘计算、低空经济、工业机器人等前沿技术的发展也席卷各行各业，对经济发展及生活方式带来前所未有的变革，新兴技术行业的投融资交易非常活跃。

从技术及业务实现逻辑来看，大量的高质量数据成为这些新技术力量的不可或缺的基础要素，甚至成为关乎技术先进行的核心引擎。以人工智能发展为例，如何合法合规获得高质量的训练数据集一直是目前大模型最为关注的问题，业界也已出现了不少认为人工智能大模型训练所使用的数据侵犯版权、违反数据保护法规并有可能侵犯个人信息主体权益等问题的司法实践。

越来越多投资者和企业意识到，在高新技术行业中，数据质量和数据合规情况不仅决定着业务营收和舆情等传统问题，更关乎业务模式本身可行性与发展潜力这一根本性问题。结合实践来看，本年度越来越多的投资机构及产业龙头在布局投融资策略时会更为重视目标企业的数据资源及数据治理情况，越来越多的投融资交易将针对数据及数据合规情况的尽调作为工作流程标配乃至决策重点。

数据作为重要的生产要素，其监管架构随着《网络数据安全管理条例》等重要法规的发布得到了进一步完善。在过去的一年中，相较于前两年，数据合规执法领域并无“大案”，但执法工作呈现常态化稳步推进的态势；相较此前，执法机关更倾向于督导企业开展整改以进一步提升合规水平。

1、重要法规出台，监管框架张弛有道

随着网络安全及数据合规监管网络的逐步完善，2024年度的立法相较过去有放缓的趋势，但仍有值得瞩目的重要法规及规范性文件出台。

（1）顶层设计层面的进一步完善

其中最值得关注的顶层设计式文件则当数2024年9月30日正式发布的《网络数据安全管理条例》（下称“ 《网数条例》 ”）。《网数条例》历经约三年时间的征求意见后正式出台，正式版本宽严相济。一方面，《网数条例》在目前已生效法律法规的基础上重申了若干网络数据安全管理的总体性要求和一般性规定，并提出了对数据安全（特别是重要数据保护）与个人信息保护合规义务的细化规定。另一方面，《网数条例》相较于其征求意见稿实质上放松和缓释了不少合规要求，包括放松部分平台监管的合规义务等。张弛有道的立法思路也进一步印证了我们对于目前数据治理领域呈现“发展”与“监管”的二重奏趋势的判断与梳理。

（2）重要数据识别和保护仍有待推进

此外，尽管《网数条例》中进一步明确了重要数据保护的义务，但没有就业界所关注的重要数据识别问题提供更为详尽的参考。重要数据识别诚然是一个艰深的话题，其范围的划定及目录的出台对于能源、金融、铁路、航空等诸多重要行业的合规水位有深远影响，因此我们认为立法部门尤为谨慎。2024年3月发布的GB/T 43697-2024《数据安全技术 数据分类分级规则》中涵盖了一份重要数据识别指南，成为目前较好的参考标准。预期2025年，或有更多的行业正式出台重要数据的目录和/或深化识别、报送等工作。

2、执法稳步推进，以整改促治理

相较过去几年数据领域频繁执法及高额罚单较多的特点而言， 2024年度数据合规执法呈现稳步、低调处理，以整改促合规水位提升的趋势 。基于我们的统计和观察，尽管没有备受瞩目的公开大型案件，浙江、广东、上海、海南、宁夏、贵州、湖北等多地当地通信管理局、网信办等机关依旧针对App治理、网络安全合规义务履行等议题开展了检查和执法，重点关注SDK治理、个人信息保护等问题。

尽管如此，涉及国家安全红线的监管并未松懈。 2024年10月，国安部发布了一起某境外企业以汽车智能驾驶研究为掩护，开展非法测绘的案件，长鸣安全红线的警钟。这一案件虽然并非在本年度内发生，但结合《关于加强智能网联汽车有关测绘地理信息安全管理的通知》《对外提供涉密测绘成果管理办法》等法规在今年7月的陆续发布，可以看到监管与执法部门依旧密切关注高科技产业发展，严守国家安全的红线。

3、“出海”新局面：海外发达地区数据监管压力提升，境外数据合规风险成为企业出海重要挑战

随着地缘政治问题的加剧，对于企业而言，尤其是存在跨境组织架构和/或涉外业务的企业而言，今年面临的更大数据合规压力来自境外，如何有效应对境外重要市场的监管挑战成为越来越多企业的重要议题。以科技公司出海的必争之地为例：

（1）美国

美国在2024年度呈现出数据主权强化，针对特定国家筑起广泛高墙的特点。 2024年以来，《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》（ Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern ）及其最终规则、《保护美国人免受外国对手控制应用程序侵害法》（ Protecting Americans from Foreign Adversary Controlled Applications Act ）、《保护美国人免受外国对手侵害的数据法案》( Protecting Americans’ Data from Foreign Adversaries Act of 2024 )等法案（含草案）频频发布。

大量规则将中国作为“受关注国家（Countries of Concern）”和/或“外国对手（Foreign Adversary）”,很大程度上限制了特定数据从美国向中国的流动，从而进一步影响着互联网、汽车等中资企业涉美业务和/或合作的开展。

（2）欧盟

除了GDPR执法持续活跃外，欧盟还在2024年度进一步推进了其数据战略，通过加强平台治理将数字经济监管更广泛的议题涵盖在监管架构内，一些中国科技公司在海外投放的平台已被调查。 以2024年2月起正式全面施行的欧盟《数字服务法》（Digital Service Act）为例，截至2024年12月，欧委会已将Temu、AliExpress、Shein和TikTok 4个由中国科技公司海外实体运营的平台认定为“超大型在线平台（VLOPs）” [3] , 需接受欧委会依据《数字服务法》发起的涉及研究人员数据访问权限、产品合规性、界面“上瘾设计”等系列问题的调查。

除欧盟和美国外，沙特、巴西、越南等同样备受关注的出海目的地在网络安全及数据合规方面也有比较活跃的立法进展。由此可见，在新出海时代，中国公司所面临的数字经济合规挑战及合规压力是前所未有的，提前妥善部署和应对包括数据隐私、平台治理等在内的系列境外法律合规挑战是出海不可避免的关键议题。

未来，随着地缘政治变化、数据立法深化及新兴技术进一步蓬勃发展，在利好经济发展的大政策背景下，预期境内将持续采取较为缓和的监管力度，但针对“安全”敏感及红线议题并不会放松。与此同时，出海浪潮下，企业不得不正面应对境外监管及用户的挑战，用更为全球化的思维及方式来应对新的风险。此外，也将有更多的前沿议题得到进一步澄清和深化，例如数据资产作价入股的实践、人工智能时代下数据合规的新问题、国家数据局新规下公共数据运营的全面铺开等。整体而言，数字经济的风险与机遇并存，需要企业将政策及法规的前瞻性观察融入战略与业务规划，并以灵活的方式不断校准、调整方向，在瞬息万变的全球营商环境中稳健发展。