2024年，是习近平总书记提出网络强国战略目标与总体国家安全观的10周年，也是我国全功能接入国际互联网30周年。在世界百年变局加速演进的当下，随着数字化、网络化、智能化的深入发展，网络运行与数据处理活动愈发频繁，网络安全威胁和数据安全风险也日益突出。与此同时，国家安全的内涵和外延在时空领域不断拓展，违法处理网络数据的行为时有发生，给中国数字经济的稳步发展和国家安全保护带来了严峻挑战。

回顾2024年的网络安全与数据合规实践，我国互联网事业快速发展，网络空间治理框架的落地工作扎实推进。《促进和规范数据跨境流动规定》与《网络数据安全管理条例》等法律规范的先后出台，总结了《中华人民共和国数据安全法》（下称“《数据安全法》”）、《中华人民共和国个人信息保护法》（下称“《个人信息保护法》”）及《数据出境安全评估办法》等相关规范施行以来的监管实践经验。这些法规妥善处理了与《数据安全法》《个人信息保护法》等上位法的关系，聚焦个人信息、重要数据、数据跨境流动等突出问题，对相关制度规定进行了细化、补充和完善。它们为通过数据保护促进数字经济发展的路径提供了更为明确的指导方向，旨在保障国家安全、网络安全与数据安全的前提下，充分释放数据要素的价值，为我国数字经济的高质量发展提供制度保障和实施路径，推动我国网络法治建设迈向新台阶。

与此同时，新一轮科技革命和产业变革方兴未艾，全球互联网治理体系也在发生深刻变革。网络和信息安全关乎国家安全和社会稳定，已成为大国博弈的重要领域，这对我国网络法治建设提出了新的更高要求。正所谓“鉴往事，知来者”，本文旨在回顾2024年网络安全与数据合规领域的重大进展与变化趋势，并展望2025年网络安全与数据合规建设的蓝图，以期为网络强国、数字中国的建设保驾护航，助力其乘风破浪、行稳致远，共同开创数字经济发展的新局面。

2024年是《中华人民共和国网络安全法》（下称“《网络安全法》”）实施的第七年，也是我国网络安全合规立法和执法持续深化的一年。在全球范围内，随着欧洲和美国等国家和地区不断建立并完善网络安全立法，网络安全仍然是企业需要高度关注的关键领域。在此背景下，2024年中国围绕网络安全的立法、执法和专项治理持续发力，不仅巩固了法律框架，亦持续推动行业实践的合规化和标准化。

1. 网络安全立法持续完善

（1）《网络数据安全管理条例》的深化

《网络数据安全管理条例》作为网络安全合规的关键法规，其已在2025年1月1日起正式实施，进一步明确了企业在漏洞管理和安全事件处理中的责任，这些具体要求强化了企业的网络安全保护责任，特别是在事件响应和风险管理方面提供了法律依据。具体内容可参考《 “新火试新茶，诗酒趁年华”——新形势下的解读 》。

（2）行业领域立法的细化

2024年，不同行业结合自身行业特点，加强了专项网络安全立法工作，进一步细化了行业网络安全保护要求：

2. 网络安全执法范围及力度持续扩大

2024年，网络安全执法常态化趋势愈发明显，各级及各地区监管部门持续加大对网络安全违法行为的处罚力度，重点覆盖金融、信息通信和地方企业等领域。

在行业监管方面，以金融行业为例，国家金融监督管理总局及其地方监管局针对金融机构持续发布信息安全相关行政处罚信息，违法违规事实主要涉及以下问题：部分重要信息系统识别不全面、灾备建设和灾难恢复能力不符合监管要求；信息系统漏洞未及时修复，造成潜在风险；信息安全管理存在不足等。罚单的密集发布传递出强烈信号，金融行业作为高风险领域，需加大网络安全投入，确保合规管理。

在地方执法方面，地方网安部门同样不断加强对企业不履行网络安全义务的处罚力度。例如，内蒙古公安机关网安部门通报7起不履行网络安全保护义务的案例，切实压紧压实网络运营者的主体责任，对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚，涉及拒不履行网络安全保护义务，对外提供网络安全产品服务存在高危钓鱼漏洞等问题； [1] 上海通信管理局成立专项工作组，由网络安全管理处负责牵头，通过听取汇报、查阅台账、交流提问等方式开展2024年云服务安全专项治理工作，重点检查企业网络运行及云服务安全制度建设落实、风险隐患清单管理、平台监控及系统冗余保护能力建设、运行事故应急演练等方面工作情况，并对企业现场提交材料中发现的问题反馈改进要求，进一步夯实云服务稳定安全运行的工作基础，切实提升企业云服务安全稳定运行总体水平。 [2]

3. 未来网络安全立法展望

2024年5月，全国人大常委会公布年度立法工作计划，其中《网络安全法》的修订计划已正式提上初次审议日程。这表明中国网络安全立法将进入新一轮优化阶段，基于2022年发布的修订征求意见稿，我们理解，除了理顺违反网络运行安全等规定的法律责任外，未来修订也可能将进一步聚焦以下领域：

随着数字化技术的快速发展，数据安全与国家安全的紧密联系愈发凸显。2024年，中国数据安全领域的法律法规持续完善，监管力度全面升级。以国家安全部通报的境外企业以“汽车智驾”为名实施的非法测绘事件为例，国家安全风险再度成为社会关注焦点。该事件表明，境外企业利用高科技手段窃取数据的行为，不仅严重威胁相关产业发展，更直接危及国家安全。在这一背景下，地方通信管理局通过“浦江护航”“江淮护航”等专项行动，加强对重点行业领域的数据安全监管，并相继推动各行业数据安全立法进程。

1. 数据安全领域总体立法动态

（1）《网络数据安全管理条例》修订，聚焦重要数据保护规则

《网络数据安全管理条例》在继承数据分类分级保护制度等原则性要求的基础上，充分发挥行政法规的灵活性和创新空间，对重要数据安全管理从重要数据识别、重要数据安全管理的组织责任、重要数据处理风险评估等维度进行了细致化的规定。具体内容可参考《 “新火试新茶，诗酒趁年华”——新形势下的解读 》。

（2）国家标准《数据安全技术 数据分类分级规则》的发布

数据分类分级作为企业数据管理的核心环节，贯穿企业内部数据全生命周期管控的各个环节。它不仅是企业开展数据安全与合规工作的关键基础，更是保障数据资产安全与高效利用的重要手段。长期以来，如何实现合规且有效的数据分类分级一直是企业高度关注的热点话题。此次相关标准的发布，为企业在数据分类与分级提供了整体框架及考虑要素建议，填补了此前的空白。同时，该标准也为整个行业的数据分类分级流程提供了重要指导，有助于规范企业的数据管理流程，提升数据治理水平。此外，它还将推动跨行业数据安全管理实践的统一，促进了不同行业领域之间的数据共享与协同，为数字经济的健康发展奠定了重要基础。

2. 重点行业数据安全立法及监管动态

（1）汽车行业

随着智能网联汽车的发展，汽车行业的数据安全风险受到高度关注。2024年，围绕汽车数据的合规监管呈现以下特点：

（2）金融行业

金融数据因其高敏感度一直是数据安全监管的重点，《银行保险机构数据安全管理办法》的发布生效进一步强化银行保险机构对于数据风险的防控要求，对数据全生命周期的管理提出明确要求，关于这部分的具体内容可参考《 江春入旧年——解读 》；而中国人民银行发布《修改有关公告（征求意见稿）》，则回应了各界长期以来对于征信信息收集、使用和存储合规性要求的密切关注。

（3）工业和信息化领域

作为数字化转型的核心领域，工业与信息化行业在数据安全立法方面迈出重要步伐。工信部2024年发布了两项试行文件，以期完善工业数据的安全保护体系，数据安全风险管理逐步制度化。

（4）其他行业

除了上述行业外，自然资源、民航、会计、邮政等行业也均在数据安全方面出台如下行业立法，有效贯彻落实《数据安全法》所确立的“统筹领导+分业监管”的治理思路，建议各企业在后续的数据安全管理工作中，充分关注并重视行业立法以及场景合规指引、试点案例等行政指导活动，其将为中国境内企业数据安全自查自改提供精细化、场景化的合规指引。

3. 数据安全监管的趋势与未来展望

由此观之，在过去的一年中，我国数据安全领域的立法和监管持续升级，主要呈现以下趋势：

未来，随着技术的不断进步和数据形态的日益复杂化，数据安全立法将进一步完善，为数字经济的高质量发展提供更加坚实的法律保障。这一趋势不仅符合数字经济快速发展的需求，也是应对数据安全、数据权属、数据流动失序等新兴挑战的必然要求。

与此同时，企业在数据安全治理中也肩负着重要责任。企业需要强化合规意识，主动构建全面的数据安全管理体系，以适应日益严格的监管环境。这不仅包括完善内部数据管理流程、采用加密技术、访问控制等手段，还涉及加强员工的安全培训，提升全员的数据安全意识。通过这些措施，企业可以更好地应对数据安全风险，确保在数字经济时代的可持续发展。

2024年中国在个人信息保护立法、执法、司法领域均取得了显著进展，整体监管呈现出精细化、更具针对性的趋势，重点着眼于敏感个人信息保护、个人信息主体权利响应、个人信息处理合法性等方面，上述趋势不仅体现在立法层面，更在司法和执法实践中得到充分呈现。

1. 个人信息保护细则相继出台

（1）个人信息保护的“主体责任”

2024年，《网络数据安全管理条例》的发布成为个人信息保护领域的重要事件。《网络数据安全管理条例》首次从行政法规层级补充了法律位阶空缺，进一步细化了《数据安全法》和《个人信息保护法》的相关规定，提供了相对落地但又具备足够灵活性的网络数据安全管理框架。在一般规定的基础上，以个人信息保护和重要数据安全两方面为切入点，对网络数据处理活动提出具体要求，并为网络数据处理者处理个人信息保护提供了更具体的法律指引。

需要重点关注的是，除了一般个人信息保护义务外，《网络数据安全管理条例》特别强调了网络数据处理者在个人信息保护方面的主体责任，例如，定期就其处理个人信息合法合规情况开展合规审计，境外网络数据处理者处理境内自然人个人信息的，就其专门机构或指定代表的名称、姓名及联系方式等进行报送。此外，《网络数据安全管理条例》还明确了“大型网络平台”的定义，要求网络平台服务提供者在一般网络数据处理者基础上另行承担特殊主体责任，承接此前《未成年人网络保护条例》等法规中“网络平台服务提供者”的规制路径，其对网络平台服务提供者（特别是其中的大型网络平台服务提供者）提出了特定的网络数据安全保护义务，例如，要求大型网络平台服务提供者每年度发布个人信息保护社会责任报告，聚焦个人信息保护措施和成效、个人信息权利响应状况、个人信息保护监督机构的履职情况等。

（2）个人信息保护合规审计

2024年7月，《数据安全技术 个人信息保护合规审计要求（征求意见稿）》发布，标志着个人信息保护合规审计制度的逐步完善。该文件结合2023年8月发布的《个人信息保护合规审计管理办法（征求意见稿）》，进一步明确了个人信息保护合规审计的具体要求和流程。

其后，《数据安全技术 个人信息保护合规审计要求》的首批试点工作在全国范围内的36家单位启动，主要针对互联网、金融、交通、医疗、电信等重点行业和领域， [3] 推动企业建立完善的个人信息保护管理体系，以形成个人信息保护合规审计典型案例，为个人信息保护合规审计的推广应用积累实践经验。

（3）敏感个人信息的识别与保护

《网络安全标准实践指南——敏感个人信息识别指南》（下称“《指南》”）于2024年9月发布，旨在为识别和保护敏感个人信息提供明确指导。此前，2021年施行的《个人信息保护法》对敏感个人信息进行了定义，但未就敏感个人信息的识别给出具体的规则，亦未就敏感个人信息字段进行穷尽式举例，《指南》给出了敏感个人信息的识别规则和常见类别示例，并强调了在不同处理场景下对个人信息的分类管理。

值得注意的是，《指南》回应了实务中敏感个人信息识别的一系列争议。例如，此前敏感个人信息的识别主要参考《信息安全技术 个人信息安全规范》（GB/T 35273-2020），其中将“身份证”作为敏感个人信息举例，但此次指南中明确规定了“身份证照片”为敏感个人信息，不再笼统地将“身份证”字段作为敏感个人信息的示例。目前这一调整引发了广泛讨论，对此，我们理解，这一修改并未完全否认身份证号作为敏感个人信息的认定逻辑，但旨在将身份证上的“性别”等字段区别于“身份证照片”字段进行认定。上述示例充分彰显了敏感个人信息识别的关键在于相关字段泄露或非法使用对人格尊严、人身安全与财产安全的影响程度。

（4）个人信息权利响应机制或将逐步落地

在《个人信息保护法》原则上确立个人信息转移权的基础上，《网络数据安全管理条例》首次从立法的角度明确了“个人信息可携带权”的具体响应规则，例如在总结归纳司法裁判实践经验的基础上明确增加了“转移个人信息具备技术可行性”的适用条件，使得数据可携权在我国具有了实践可执行性。此外，《数据安全技术 基于个人请求的个人信息转移要求（征求意见稿）》发布并公开征求意见，旨在进一步标准化了个人信息主体的权利行使方式与个人信息处理者的相应要求。具体而言，该征求意见稿规定了基于个人信息主体请求转移其个人信息的适用和行使条件、可请求转移的个人信息范围，以及个人信息处理者在处理前述请求时应遵守的流程和要求。对此，我们建议企业密切关注后续《数据安全技术 基于个人请求的个人信息转移要求》的正式出台，其将为《个人信息保护法》与《网络数据安全管理条例》中个人信息转移权的实现提供更明确可行的落地标准。

2. 个人信息保护司法裁判：典型案例发布

《个人信息保护法》实施三周年之际，最高院司法案例研究院、北京互联网法院等先后发布侵犯公民个人信息犯罪典型案件、个人信息保护及数据纠纷典型案例。

就刑事案例而言，最高院司法案例研究院发布《人民法院案例库中侵犯公民个人信息罪相关案例裁判要旨汇总》，包含两件指导性案例及十六件参考案例，案例涵盖了个人信息的多种类型和处理场景，界定了非法获取、出售、利用个人信息的法律边界。裁判要点主要涉及居民身份证信息作为多种个人信息组合的认定，通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用情形的认定等。前述案例汇总文件旨在为司法实践中处理个人信息保护相关刑事案件提供明确的指导和参考，进一步明确了侵犯公民个人信息罪的认定与适用标准。

而就民事纠纷而言，案由主要包括个人信息保护纠纷、隐私权纠纷、人格权纠纷、侵权责任纠纷等，数字时代面临个人信息保护与数据合理利用的新问题、新挑战，北京互联网法院所发布的八起典型案例则旨在合理划定个人信息保护与数据合理利用的边界，促进数据要素市场良性发展。具体可参见我们此前的文章：《 北京互联网法院个人信息及数据纠纷典型案例解读 》。

3. 个人信息保护执法常态化

2024年，个人信息保护领域的执法力度持续加强，在地域层面形成了从国家到地方的常态化监管态势；此外，执法行动不仅持续覆盖APP治理等要点，还深入到金融、医疗等重点行业领域，以及停车、餐饮、商超等消费场景，呈现更全面、深入的个人信息权益保障趋势。

（1）APP执法持续开展

APP作为个人信息处理的重要载体，一直以来是我国个人信息保护监管的重点对象。过去一年内，有关部门通过日常通报、专项检查等方式，持续加强对APP的执法力度。

从全国APP执法角度来看，自2019年起，工业和信息化部持续开展APP侵害用户权益专项整治工作，2024年该专项继续推进，工信部建成全国APP检测及认证公共服务平台，累计通报了9批次侵害用户权益的APP（SDK），全年责令整改和通报下架的APP数量超过5200款，2024年在架APP抽检合格率同比提升5个百分点。 [4] 常态化开展APP检测，涉及违规收集个人信息、强制用户使用定向推送功能等现象，并着力整治弹窗关不掉、“摇一摇”乱跳转等突出问题。上述整治工作在保护用户个人信息安全、规范APP市场秩序方面取得了显著成效。而在地方监管层面，2024年7月，上海市网信办对属地21款APP的个人信息收集使用情况开展了专项检查。该检查聚焦于APP在用户注册、使用过程中的个人信息收集行为，重点检查是否存在超范围收集、强制授权等问题。通过专项检查，上海市网信办督促相关APP运营者及时整改，有效遏制了违法违规收集处理个人信息行为的发生。

除却上述国家及地方层面的监管部门外，网络安全领域的全国性社会团体也在2024年参与组织开展了APP治理工作。例如，中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务等共10类APP运营方，针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。截至2024年9月10日，共62款APP运营方已在应用商店上架合规版本，并承诺升级版本持续保持合规水平。 [5] 此外，国家计算机网络应急技术处理协调中心（CNCERT）与中国网络空间安全协会早在2021年就共同建立了APP收集使用个人信息监测平台、APP举报受理平台，并形成了关于APP收集使用个人信息情况的监测分析报告，对广大APP运营者以及应用商店、智能终端等平台积极落实主体责任、提升个人信息保护水平起到参考监督作用，对社会公众提高个人信息安全意识起到宣传促进作用。

（2）行业执法尝试取得成效

行业执法的尝试在2024年亦取得了一定成效，相关监管机构针对金融、医疗等重点行业开展了专项整治行动。

2024年3月，金融监管总局办公厅下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》（下称“《通报》”），《通报》指出，银行和保险机构在个人信息保护方面存在的突出问题，如未经授权收集个人信息、信息泄露等。此次专项整治行动以银行保险机构自查为主，监管部门适时开展抽查和督导，全面覆盖与消费者个人信息处理相关的业务环节、员工行为和管理流程，金融监管总局要求各银行保险机构对发现的问题逐一建档，确保整改和问责到位。此类专项行动不仅针对违规机构展开处理并敦促整改，且有助于推动各金融机构开展自我合规，进一步完善内部管理制度，加强个人信息保护。

2024年，作为省内消费领域个人信息权益保护专项执法的组成部分，湘潭市在湖南省网信办的指导下，针对医疗行业个人信息权益保护开展了专项执法检查行动。此次检查重点围绕医疗机构个人信息保护制度建设、告知授权、信息存储和管理等方面展开，并对医疗机构在患者信息管理中的违规行为，如未经授权使用患者信息、信息泄露等问题展开检查。在此基础上，采取责令限期整改、普法宣讲、走访约谈等措施，对检查结果与相关社会关切进行针对性回应。

此类行业执法行动充分考虑到了各行业个人信息类型及处理模式的差异，有助于统一监管标准、提高执法效率；并促进行业自律、推进主体责任落实，以充分维护市场秩序并保护行业用户的个人信息权益。

（3）重点地方执法铺开

在地方层面，2024年国内多个重点省市先后开展个人信息保护地方执法，通过因地制宜的资源配置、多部门联动及下沉式普法宣传等手段，有效提升了执法效率和精准度。

2024年5月，北京针对停车、餐饮、商超等10大领域扫码缴费过程中违规收集个人信息的行为开展了清朗行动，旨在规范相关领域的企业和个人信息收集行为，重点整治未经用户明确授权收集个人信息、超范围收集信息以及信息泄露等问题。例如，北京市交通委员会进一步明确了道路停车缴费的规范，要求停车人通过“北京交通”APP或授权银行网点等渠道缴纳停车费，并规定了缴费期限和补缴期限，以确保个人信息收集的合法性和透明度。此外，相关部门还对餐饮和商超领域的扫码支付场景进行了专项检查，要求商家在收集用户信息时必须明确告知用户信息用途，并获得用户明确授权。

2024年5月，上海市网信办针对咖啡消费场景中的个人信息保护问题召开合规指导会，旨在通过行业自律和合规指导，推动咖啡行业企业落实个人信息保护要求。会议聚焦于咖啡消费场景中常见的“刷脸支付”“扫码点单”等行为，要求相关企业严格遵守个人信息保护相关法律法规。例如，部分咖啡店在扫码点单时过度收集用户信息（如手机号、性别、生日等），且未明确告知用户信息的具体用途，可能存在个人信息安全风险。8月，上海市网信办进一步约谈地铁及自动售货机运营企业，就诱导“刷脸”支付、自动售货机违规收集个人信息等问题提出整改要求，在此次排查后，829台存在问题的设备被暂停人脸支付功能，待整改完成后方可重新启用。

2024年12月，浙江省通信管理局通报了17款侵害用户权益的APP，涉及未经用户同意收集个人信息、频繁申请权限、强制用户使用定向推送功能等问题。此次通报是浙江省通管局在APP专项整治行动中的阶段性成果，旨在通过公开曝光和责令整改，督促相关企业落实个人信息保护主体责任。浙江省通管局要求相关APP运营者限期整改，并对逾期未整改的APP采取下架处理。

类似地，2024年12月，江苏省通信管理局发布通报，下架18款侵害用户权益的APP，针对APP违规收集个人信息、诱导用户授权等行为进行打击，体现对违规APP的零容忍态度，以进一步净化APP市场环境并充分维护用户个人信息权益。

2024年，伴随着数据跨境监管与实践互动的进一步加深，中国数据跨境监管体系不断完善、发展，从而在促进和规范之间、在数据流动的便利性和数据安全的客观需求之间寻求平衡。根据国家网信办所发布的数据，截至2024年12月，国家网信办共完成安全评估项目285个，个人信息出境标准合同备案1071个，其中安全评估项目未通过评估的27个，占整体比例不到10%。 [6] 在数据跨境实践不断发展与数据跨境监管的精细化、规范化的整体监管背景下，2024年，一方面，《个人信息保护法》出台后法院公布的首个有关跨境传输个人信息纠纷的司法判决在为数据跨境提供司法治理思路的同时，亦为企业如何通过自身合规操作避免数据跨境讼争提供了启示；另一方面，我国正综合国际、国内、地方的数据跨境多重治理维度，结合数据跨境标准合同、数据跨境保护认证等不同治理工具，精细构筑体系化且具备必要灵活性的数据跨境监管政策框架。

1. 司法动态：《个人信息保护法》出台后法院公布的首个跨境传输个人信息纠纷司法判决

2024年下半年，广州互联网法院公布了一份于2023年9月审结的个人信息保护纠纷民事判决书。 [7] 原告左某于2022年通过某国际酒店集团的APP预订缅甸某酒店时，提供了姓名、国籍、银行卡号等个人信息，并勾选同意了该集团的《客户个人数据保护章程》；在该案中，原告主张，被告通过APP违法跨境处理其个人信息，超出履行合同的必要范围，而两被告无法证明其跨境传输行为的合法性，并诉请删除全部个人信息、公开道歉、并赔偿误工费、律师费、翻译费等相关经济损失。对此，法院经审理总体支持了原告的诉讼请求，裁判要点中明确指明了用户勾选APP隐私政策并不必然对隐私政策发生同意的法律效力，还需进一步考虑个人信息处理行为是否需要增强告知同意（如跨境传输）；而如以履行合同所必需作为合法性基础，仅应限于客观上的必需范围。

本案作为首例个人信息跨境纠纷，不仅为个人信息跨境纠纷中的《个人信息保护法》适用性进行了厘清，也回应了实践中对于个人信息跨境场景下的“同意”法律效力的判断要件，并就适用《个人信息保护法》第13条中的同意以外的其他合法性基础时是否需要取得单独同意进行了释明。此案的具体分析和企业合规启示，可参见我们此前的文章：《 吟一字拈数须——首例个人信息跨境纠纷解读 》。总体而言，基于本案中法院对于跨境传输与相应告知同意要求的分析，企业，尤其是依托于APP等线上形式收集、使用乃至于为业务目的需跨境传输用户个人信息的互联网企业，应当考虑进一步完善隐私政策，如企业隐私政策对信息传输事宜的告知应达到使用户阅读隐私政策后可以“清晰获知自己的个人信息将被传输到何地做何种处理”之程度，并积极关注政策动向，充分注意收集用户同意及保障用户个人信息权利的机制设计合规。

2. 立法动态：综合国际、国内等多层次治理维度，丰富数据跨境治理工具箱

（1）国际层面：推动国际数据跨境流动合作

2024年11月20日，中央网信办发布了《全球数据跨境流动合作倡议》，倡议各国尊重其他国家为保护国家安全和公共利益所采取的数据安全措施，同时鼓励建立和完善个人信息保护的法律和监管框架。这一倡议为国际合作提供了重要指导，推动了数据跨境流动的全球化进程。

此外，中国还与德国签署了《关于中德数据跨境流动合作的谅解备忘录》，通过双边合作加强数据跨境流动的管理和互信。这些国际合作举措不仅提升了中国在全球数据治理中的影响力，也为国内数据跨境监管提供了国际经验和技术支持。

（2）全国层面：持续落地优化数据跨境监管体系，并兼顾特殊领域数据跨境

2024年3月22日，在《规范和促进数据跨境流动规定（征求意见稿）》发布近半年之后，国家网信办正式发布《促进和规范数据跨境流动规定》，自发布之日起正式生效。该规定对现有数据出境监管流程提出了豁免适用于所有的数据出境监管流程和仅豁免适用于申报数据出境安全评估义务两大类豁免情形，并在构建以安全评估、标准合同备案及个人信息保护认证为核心的数据出境事前监管机制的基础上，进一步健全横跨事中和事后的监管体系。同步地，国家网信办根据《促进和规范数据跨境流动规定》的规定，发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》（以下统称“《数据出境指南（第二版）》”），在规范化数据出境申报材料的同时，公布线上数据出境申报平台，这标志着我国数据出境监管体系迈向了更加成熟和精细的方向。尽管《促进和规范数据跨境流动规定》和《数据出境指南（第二版）》澄清了数据跨境监管实践中就适用范围（如数据过境、重要数据）等的疑问，且进一步优化、简化了申报材料，但企业仍应确保审慎评估自身数据跨境流动是否已超出监管设定的豁免情形，并积极关注自贸区负面清单等的监管动态，以在发展的浪潮中把握合规与商业的平衡点。关于我们就《促进和规范数据跨境流动》的具体分析和展望，可参见我们此前的文章：《 水无形而有万形——的变化与数据跨境监管的未来 》 。

此外，2024年5月，国家监察委员会等部门联合发布了《关于实施〈中华人民共和国国际刑事司法协助法〉若干问题的规定（试行）》；这一规定明确了刑事证据数据出境的规则，为跨境刑事司法合作提供了法律依据。2024年11月，国务院公布《中华人民共和国两用物项出口管制条例》（下称“《条例》”）；基于该《条例》，企业在数据出境时，还应当进一步考虑数据所依附的业务和技术是否受到出口管制限制。

（3）特定地方层面，以自贸区为重点抓手，因地制宜提升数据跨境监管的灵活性

2023年12月和2024年9月，国家网信办分别与香港和澳门特区政府联合发布了《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》和《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》。这些指引为大湾区内的数据跨境流动提供了明确的操作指南，促进了区域内数据的自由流动和经济一体化。

此外，海南、福建等地也正陆续制定并公布其区域性跨境监管规则及相关行业规范，如《海南自由贸易港国际数据中心发展规定》《福建省个人信息出境标准合同备案实施办法》，从而形成国内地方层面以自贸区为重点，各地基于实际情况统筹安排、有序推进的数据跨境因地制宜监管态势。

对此，我们理解，无论自贸区或其他地区，其所推出的负面清单或其他主要跨境监管政策等并不使其成为数据跨境监管中的“飞地”。因此，企业应结合《促进和规范数据跨境流动规定》等法律规范对地区性的具体规则进行理解、适用，在利用地区性规则因地制宜所提供的灵活性和便捷性机制的同时，确保安全有序开展数据出境活动，防范数据出境安全风险。

2024年，数字经济的快速发展使得数据成为核心生产要素，同时也引发了竞争法与数据保护之间的相互作用。一方面，竞争法的核心目标是维护市场竞争秩序，防止企业通过数据垄断或其他反竞争的行为获取不正当竞争优势；另一方面，数据保护则侧重于保护数据权益，防止数据被滥用。此外，数字经济的发展也为竞争法的规制工具、规制思路、规制方法提出了新的挑战与启迪。

1. 数字经济发展中的反垄断法：数据反垄断首个已公布的执法案例

数字经济高速发展背景下反垄断法与数据保护之间的张力，可以在我国数据反垄断首例行政执法案件中得到体现。2024年9月6日，上海市市场监督管理局发布了一起涉及数据滥用的反垄断行政处罚决定。该案当事人是一家金融信息科技企业，提供债券声讯经纪实时交易数据代理销售、债券信息服务等业务。当事人获取数据后会对其进行加工处理，并最终形成债券声讯经纪实时交易全数据产品，向债券机构和投资者进行销售。在该案中，执法机构在相关市场界定、行为分析、竞争影响分析等方面展现了诸多亮点，对于未来数字经济领域的反垄断执法与合规工作具有很强的借鉴意义。尤其值得关注的是，一方面，在判定是否存在数据滥用行为时，执法机构并未将数据所有权作为必要条件，而是重点考察了数据的使用权益；在数据使用权的基础上，执法机构认为当事人的拒绝交易行为缺乏法律依据，也不符合独家代理的商业逻辑。另一方面，在分析当事人行为对市场竞争的影响时，执法机构特别关注了行为对于数据流通的负面影响。执法机构明确指出，当事人拒绝交易的行为“阻碍数据要素自由流动，妨碍数据资源共享共用，更好释放价值红利”。执法机构的这一分析思路与《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》政策精神相契合，强调了保障数据高效流通与资源有效利用对于维护市场竞争秩序的重要性。

基于此，值得企业重点注意的是：在数据驱动的数字经济时代，企业需要确保其数据使用和处理活动遵循《中华人民共和国反垄断法》的要求。这意味着，企业，特别是数据驱动型企业，应当就数据处理和使用活动建立和完善内部合规机制，以识别和预防可能的反垄断风险，确保企业的长期可持续发展。关于该案件的更多评析，具体请见我们此前的文章：《 我国数据反垄断第一案的启示 》。

2. 数字经济发展中的反不正当竞争法：规制新型网络不正当竞争行为

伴随着数字经济发展逐渐深化，数字经济领域的竞争行为日趋多样化和复杂化；2024年，中国在反不正当竞争领域取得了重要立法进展，尤其是在网络不正当竞争领域，利用数据、算法或平台规则等进行不正当竞争的行为也逐渐为监管所重视，并被类型化地纳入反不正当竞争的规制范围之中。对此，即便企业经合理评估在相关市场内不具有市场支配地位，但其日常经营过程中，尤其是在依托于数据、算法或平台规则等开展运营的过程中，也应当审慎评估其经营行为是否可能已落入网络不正当竞争行为的规制范围中，以合理控制竞争者间基于不正当竞争事由引发讼争的风险。

3. 数字经济与竞争法背景下的大型平台监管

随着数字经济的发展，大型互联网平台在市场竞争中占据重要地位，其行为对市场竞争和用户权益产生深远影响。2024年，中国出台了一系列针对大型平台的监管细则，明确了其特殊责任，例如：

2024年，我国通过立法、司法及执法三方面的协同并进，加深了对算法及人工智能领域的监管力度、扩宽了相应的合规监管广度。

1. 行政执法

在行政执法方面，其一，我国持续开展算法备案与大模型备案/登记工作，根据公开渠道检索情况，截至2024年12月底，我国已累计通过10批算法备案申请，深度合成服务备案总数高达2841例，其中进行算法备案的服务提供者数量高达3/4。截至2024年12月底，生成式人工智能服务已备案通过302例，登记105例，其中北京市、上海市网信部门通过的生成式人工智能备案/登记数量占领先地位。

其二，中央及地方各级网信部门加强对算法服务企业遵守《生成式人工智能服务安全管理办法》等现行法律法规的情况进行监督检查，并在职权范围内对违规企业作出行政处罚。一方面，中央网信办等四部委于2024年11月24日联合发布《关于开展“清朗·网络平台算法典型问题治理”专项行动的通知》，组织各企业自查自纠，并对各企业自查情况进行核验、深入评估治理成效。北京、上海等地方网信部门积极响应，对本辖区内的相关企业召开调研座谈与分类指导沟通会。据报道，美团、饿了么、拼多多等企业均参与了本次专项活动。另一方面，针对未经安全测评备案即对外提供生成式人工智能服务、未严格履行内容审核义务等违规情况，地方网信办也在其职权范围内对相关违规企业采取约谈、责令停止服务等行政处罚措施。例如，对于未经安全评估即上线提供ChatGPT生成式人工智能信息服务的“南川区蓉城网络科技工作室”，重庆市网信办对其依法开展执法约谈，责令立即停止相关服务；对于未尽到审核管理义务、履行主体责任不到位的“开山猴”AI写作网站运营主体，重庆市九龙坡区网信办依法对其作出行政警告、并责令限期全面整改的行政处罚。

由此观之，网信办等主管部门已逐步开展算法合规监管行动，相关企业在依法开展算法备案、变更及大模型备案等手续的基础上，还应积极开展内部算法合规工作尤其是涉及用户权益保护的相关部分，留存相关证明材料以随时应对监管检查。

2. 司法实践

在司法裁判方面，2024年，因使用生成式人工智能服务引发的侵权问题逐渐进入公众视野，包括但不限于使用受著作权保护的作品进行人工智能模型训练是否构成侵权、人工智能生成内容（如图片、音频）是否受我国著作权法保护。

（1）全国首例生成式人工智能平台侵权案

2024年初，广州互联网法院生效了一起生成式人工智能服务侵犯他人著作权的判决， [8] 这也是全球范围内首例生成式人工智能平台侵权责任判决。具体而言，原告经著作权人授权，具有奥特曼系列形象的独占授权及维权权利；被告是一家提供人工智能绘画服务的公司，在其服务内输入文字“生成一个奥特曼”即会生成与奥特曼形象类似的图片。法院判决，被告的行为侵犯了原告对案涉奥特曼作品享有的复制权、改编权，应立即停止侵权行为，并采取技术措施防止侵权行为的再次发生。

（2）全国首例“AI声音侵权案”

2024年4月23日，北京互联网法院对全国首例“AI声音侵权案”作出判决。 [9] 具体而言，被告之一利用人工智能对原告配音制作的作品进行了处理，生成了案涉文本转语音作品进行出售。原告认为被告们的行为已经侵害了其声音权益，要求被告立即停止侵权、赔礼道歉并赔偿其经济损失、精神损失。法院认为，利用人工智能合成的声音，如果能使一般社会公众或者相关领域的公众根据其音色、语调和发音风格，关联到特定自然人，可以认为具备可识别性。而案涉人工智能产品经当庭勘验，能够识别出原告的主体身份，且被告之一无权对原告配音作品通过人工智能进行处理，因此构成侵权。

从现行司法案例来看，权利人在自身权益受到AI相关的侵害时会主动选择司法救济的方式维护自身的合法权益，这也告诫AI相关企业在开展业务时，应首先关注训练数据的来源合法合规性，避免因训练数据的授权瑕疵引发后续的一系列侵权问题例如生成内容侵权；其次应重视用户包含知识产权等在内的整体权益保护，明确约定双方的权利与义务范围，避免因AI工具的使用引发新侵权问题。

3. 人工智能立法

除了推进人工智能相关行政执法与司法裁判工作，2024年，我国也积极推进算法与人工智能领域的精细化立法行动，包括但不限于起草《生成式人工智能服务安全基本要求》（TC260-003）《网络安全技术 生成式人工智能服务安全基本要求（征求意见稿）》《网络安全技术 生成式人工智能预训练和优化训练数据安全规范（征求意见稿）》《网络安全技术 生成式人工智能数据标注安全规范（征求意见稿）》《人工智能生成合成内容标识办法（征求意见稿）》以及《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》，从而通过部门规章、实践指南、国家标准等文件的制定与发布对生成式人工智能的安全评估、训练数据合规、数据标注及应急管理等方面提出细化要求，从研发、训练、开展服务等各方面对生成式人工智能技术进行管控，确保提供安全、合规的生成式人工智能服务。企业也应当及时关注相关立法的最新动态，结合最新立法情况完善、修订内部自身安全管理制度并予以落实，同时采取符合最新立法要求的技术保障措施。

此外，为贯彻落实《全球人工智能治理倡议》，2024年9月，全国网络安全标准化技术委员会在国家网络安全宣传周主论坛发布《人工智能安全治理框架》1.0版，明确了包容审慎、确保安全等在内的人工智能治理原则，梳理现阶段人工智能可能涉及的内生风险、应用风险、认知领域风险以及伦理风险类型，并进一步提出为应对各类风险可采取的技术措施，这也为新一年里统筹人工智能合规布局提供了方向。

2024年，我国不断深化数据要素市场改革，持续推出一系列数据要素市场化发展支撑及支持文件、政策，推动构建企业数据和公共数据的利用流通机制。

1. 国家数据局充分发挥统筹协调作用

国家数据局自成立以来，积极履行其职责，从而在数字经济发展中发挥数据要素的重要价值。

其一，2024年1月4日，国家数据局公开发布消息，联合多部委印发《“数据要素X”三年行动计划（2024-2026年）》的通知，除三年行动计划的指导思想及总体目标外，重点对工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市管理、绿色低碳方面的数据要素开发利用计划。在此基础上，2024年5月21日，中国气象局印发《“气象数据要素X”三年行动实施方案（2024-2026年）》，持续推动气象数据的开放与共享，充分发挥气象数据要素的乘数效应。

其二，2024年2月19日，国家数据局发布《关于开展全国数据资源调查的通知》，要求省级数据管理机构、工业和信息化部、消费互联网平台、中央企业等对象按照要求填报相关调查表，从而摸清数据资源底数，更好发挥数据要素价值。

其三，为贯彻落实《中共中央 国务院关于构建数据基础制度 更好发挥数据要素作用的意见》，《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（下称“《方案》”）正式发布，从如下四个维度提出了7项主要任务：明晰企业数据、公共数据、个人数据的流通安全规则，完善数据流通过程中的责任界定、安全技术应用要求，丰富数据流通安全服务供给，防范数据滥用风险。为更好地应对后续《方案》的落地，建议企业密切关注国家数据局后续可能会进一步发布的数据流通安全治理典型案例，提升安全治理能力，防范数据滥用风险，降低数据安全合规成本。

其四，2024年12月20日，国家数据局联合其他部门发布《关于促进企业数据资源开发利用的意见》，推进健全企业数据权益实现机制，培育企业数字化竞争力。此外，国家数据局联合国家发改委等部门于2024年12月28日还发布了《关于促进数据产业高质量发展的指导意见》，提出了“数据产业综合实力显著增强，区域聚集和协同发展格局基本形成”的总体要求，并明确了优化产业发展结构、促进产业链协同发展在内的数据产业规划布局。

由此观之，国家数据局始终坚定其下好全国数据“一盘棋”的目标，各行各业企业应积极配合相关行动，参与各项试点工作，在国家数据局的整体统筹之下，在确保数据安全与合规的前提下，挖掘自身持有数据的潜能，发挥自身数据的最大价值。

2. 数据资产管理规则相继出台

自数据资源确立了其可入表管理的地位以来，国家财政部在2024年持续推出指导规则，加强实践中各企业对于数据资产的管理。具体而言，财政部分别于2023年12月31日及2024年2月5日发布《关于加强数据资产管理的指导意见》及《关于加强行政事业单位数据资产管理的通知》，提出了依法合规管理数据资产、明晰数据资产权责关系等主要任务，并重点就事业单位的数据资产管理提出明晰权责管理责任、规范管理行为及严格防控风险等管理工作要求。2024年12月19日，财政部进一步发布《数据资产全过程管理试点方案》，围绕数据资产台账编制、登记、授权运营等重点环节开展试点工作。事实上，自数据资源入表、相关企业陆续开展数据资产管理工作以来，实践中，广东、河南、湖南等地也有一定数量的企业已将自身持有的数据资产的价值变现。例如，2024年2月，南方财经全媒体集团南财金融终端“资讯通”数据资产完成入表，并在广州数据交易所的对接服务下，获得了中国工商银行广东自由贸易试验区南沙分行授信500万元。

为充分实现数据资产价值变现，企业在新一年里可考虑开展数据资产全过程管理试点工作，建立数据资产台账、在与合作方开展数据合作时关注数据资产的权责关系，并在必要时开展数据登记工作以确保数据资产权属明晰；结合自身所在行业及持有数据的特点，探索多样化的数据应用场景，挖掘开发新模式、新类型的数据产品或数据服务，推动企业内部的数据资产的开发利用；加强与数据交易所的合作，积极开展场内交易或场外交易，促进数据的合规流通；总结数据资产管理的实践经验，积极与其他同行企业的交流，学习本行业内的优秀、先进经验。

3. 公共数据授权运营机制逐步落地

由于公共数据具有覆盖行业广泛、数据量级规模大、数据价值变现潜力强等特点，公共数据的开发与利用也是2024年的重点话题之一。

除了《关于加快公共数据资源开发利用的意见》外，国家数据局、国家发改委等部门还联合发布了《公共数据资源授权运营实施规范（试行）（公开征求意见稿）》以及《公共数据资源登记管理暂行办法（公开征求意见稿）》。目前，《公共数据资源授权运营实施规范（试行）》与《公共数据资源登记管理暂行办法》已于2025年1月8日发布，以便推动构建全国一体化公共数据资源登记体系。2025年1月16日，国家数据局、国家发改委还发布了关于建立公共数据资源授权运营价格形成机制的通知，明确定价范围、规范定价程序以及制定上限收费标准等要求，推动公共数据资源的合规高效流通使用。

实践中，江苏、南京、金华、舟山等省市也已于2024年连续发布本地区内的公共数据资源授权运营试行办法，提出了签署授权运营协议等具体授权运营实现路径以及“数据商”等新概念，在数笔公共数据交易拍卖被暂停的背景下，逐步规范公共数据授权运营的落地步骤。

由于公共数据涉及的行业领域较多，企业可结合自身的行业特点与技术优势条件，创建可信的授权运营环境，为公共数据的授权运营提供底层技术支撑；申请参与公共数据授权运营试点工作，在确保公共数据的安全与合规前提下实现政府、企业与社会的共赢。

纵观人类社会的发展历程，每一次重大技术革命，也都伴随着治理路径的革新与重构。人工智能已然成为新一轮科技革命和产业变革的重要驱动力量，而欧盟、美国、中国等均将人工智能立法提上议事日程。2024年5月21日，全球首部针对人工智能的专门性法律欧盟《人工智能法案》（Artificial Intelligence Act）由欧盟理事会正式批准通过，并已于当地时间8月1日正式生效。而我国十三届、十四届全国人大常委会立法规划均将人工智能立法列入其中，国务院2023年、2024年也连续两年将人工智能法草案列入年度立法计划。如前文所述，2024年，我国也积极推进了算法与人工智能领域的精细化立法工作，相关国家标准文件分别从生成式人工智能安全评估、训练数据合规、数据标注及应急管理等方面对人工智能监管路径提出细化要求，并公开征求意见。

对此，我们理解，我国人工智能领域的立法工作正在稳步推进，而“行业规制+通用立法”的模式或将成为人工智能治理的主流手段，“人工智能法”与人工智能行业立法或将共同构建人工智能治理的中国方案。在此背景下，建议相关企业密切关注我国人工智能立法的总体思路，深入研究既有的人工智能治理相关政策性文件、标准文件等，从风险管理组织、伦理标准、开发管理、数据安全管理、应急处理、算法纠偏与报告等维度建立一个内部逻辑自洽、行之有效的人工智能合规体系，以应对未来可能到来的各种监管举措。同时，企业应积极主动地与监管部门保持有效沟通，及时反馈在人工智能应用过程中遇到的问题与挑战，为开拓监管思路与更新监管工具提供第一手产业视角。

正如前文所述，个人信息保护执法已然步入了常态化监管阶段，逐步形成了“立法立规——企业自查——监管检查——常态化监管”的个人信息保护执法闭环。较之于此前的APP专项检查行动，上述个人信息保护执法趋势转变对于企业如何建立长效动态的内部个人信息保护合规机制提出了更高要求。对此，我们理解，个人信息保护合规审计不仅是个人信息处理者需依法履行的强制性义务，建立健全企业内部个人信息保护合规审计流程机制，也将切实地帮助企业将合规工作有机融入在日常业务经营活动，从而更好地平衡合规成本与业务稳步发展。

继《个人信息保护法》明确个人信息处理者的定期开展合规审计义务后，《网络数据安全管理条例》进一步细化了个人信息保护合规审计的开展方式，即应包括自行开展与委托专业机构开展，与2023年8月所发布的《个人信息保护合规审计管理办法（征求意见稿）》的规定一脉相承（详见前期文章： “以铜为鉴，可正衣冠”——《个人信息保护合规审计管理办法（征求意见稿）》解读 ），同时还肯定了个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估应当加强衔接。2024年，我们也迎来国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》的发布，进一步提供了个人信息合规审计的实操指引，同时个人信息保护合规审计也在互联网、金融、交通、医疗、电信等重点行业和领域进行了首批试点工作。前述《个人信息保护合规审计管理办法》后续出台，将为开展个人信息保护合规审计提供具有可落地性的参考与指引，同时也将为中国个人信息保护监管机制注入新的活力，提供切实有效的监管抓手，整体上提升我国整体的个人信息保护水平。基于此，我们建议企业持续关注个人信息保护合规审计的立法动态，积极主动地从审计频率、审计标准、审计流程、审计责任部门及职责以及专业机构选任等维度推进内部个人信息保护合规审计机制的建立完善。

《数据安全法》以重要数据为锚点，对重要数据的处理活动提出了若干延展数据安全保护义务，自《数据安全法》发布以来，汽车、金融、工业与信息化等行业领域也陆续出台特定行业的重要数据安全管理要求，同时，《网络数据安全管理条例》作为数据安全领域的重要行政法规，其修订内容进一步细化了重要数据的识别规则与重要数据处理者义务。

如“法律的生命力在于实施，法律的权威也在于实施”所言，我们理解，在2025年，重要数据治理实践（如重要数据风险评估报告报送机制等）将陆续落地，如企业在日常经营过程可能涉及处理重要数据的应当依法开展重要数据识别与申报义务，上述重要数据处理者以及或可能涉及处理超过1000万人以上个人信息的网络数据处理者，也应当依照行业相关立法及《网络数据安全管理条例》的规定有序落实所适用的重要数据处理者义务，完善企业内部重要数据的识别机制、建立重要数据处理风险评估流程，确立网络数据安全负责人和网络数据安全管理机构。

正如前文所述，2024年网信、工信、公安等部门的执法重点逐步清晰突出，重点聚焦于网络安全保护义务、数据安全保护义务、违法违规收集个人信息等问题，网络安全与数据合规执法也清晰地呈现了分行业分地区的特点，同时执法频率也整体上有所上升。由此观之，网络安全与数据合规执法正在步入常态化监管阶段，相应地，这也就对于企业的网络安全数据合规工作的动态性、流程性和系统性提出了新的要求。

不同于《数据安全法》《个人信息保护法》颁布伊始的专项检查活动，未来的网络安全与数据合规执法力度、执法频率将持续加强，而执法要点和维度也将进一步深化扩展。与此同时，2025年作为《网络数据安全管理条例》的落地元年，网络数据安全事件应对、重要数据处理合规义务、第三方数据合作中的监督义务等合规义务的切实落地，也将迎来监管部门的重点关注。

为此，企业的网络安全与数据合规工作不仅应当关注新近立法的监管要点，还应当将所适用的网络安全与数据合规义务在企业运营的每一个环节进行贯彻落实，从业务流程上防范网络安全与数据泄露风险。具体而言，公司治理架构需要在追求企业经营效益的同时，兼顾合规经营的要求。这不仅要求管理层提升对网络安全与数据合规的重视程度，更需要从全局视角出发，系统性地部署合规策略及合规机制。企业应明确将网络安全与数据合规机制建设纳入公司战略规划，通过顶层设计，确保合规目标与业务发展相协调。为了实现这一目标，企业必须打破部门之间的壁垒，打通产品、业务、技术、法务（合规）部门之间的协作通道。通过这种跨部门的紧密协作，企业能够形成一个有机的合规生态，提升整体的合规能力。此外，企业还需推动常态化的企业合规机制建设。这不仅包括定期开展合规培训，提升员工的合规意识，还应建立动态的合规评估体系，必要时引入外部专业机构，及时发现并解决潜在的合规风险。进一步来说，企业的数据合规能力决定了数字化能力，合规投入产出合规数据，唯有企业依法落实网络安全与数据合规义务，才能真正实现通过合规数据盘活创新公司业务模式，创造并把握数字经济发展新增长点。

*本文对任何提及“香港”的表述应解释为“中华人民共和国香港特别行政区”；对任何提及“澳门”的表述应解释为“中华人民共和国澳门特别行政区”。

转载声明：好文共赏，如需转载，请直接在公众号后台或下方留言区留言获取授权。

封面图源：画作·林子豪