2025中国数字监管立法回顾

作者：袁立志

2025年即将过去，有必要对全年的数字监管立法做个简单回顾。怎么回顾，我是这样考虑的：

一是广度，在多年密集立法之后，2025年数字监管立法力度依然不减，国家网信办依然是数字监管的主要推动力量，故以国家网信办发布的规范性文件为口径比较合适，足以反映全貌，又不贪大求全；

二是深度，对各项立法的介绍，只列要点，不过多展开，便于快速把握整体情况；

三是结构，如果按照时间排序，会变成流水账，故需做简单分类，分为十个专题领域：个人信息保护、数据安全、网络安全、人工智能治理、未成年人网络保护、信息内容生态治理、网络竞争法、大型平台（守门人）治理、新技术新应用安全以及执法与程序。

全文约3800字。

一、 个人信息保护

1. 《个人信息保护合规审计管理办法》（2月发布，5月施行）

o1000万以上处理者每两年开展一次内部或第三方合规审计

o未达1000万标准的处理者合规审计频率没有强制要求

o审计报告须存档至少3年，监管部门可随时调阅

o100万以上处理者应向地级市网信部门报送个保负责人

2. 《人脸识别技术应用安全管理办法》（3月发布，6月施行）

o不适用于单纯的技术研发、算法训练活动

o存在其他技术实现方式的，不得以人脸识别作为唯一验证方式

o不得捆绑授权，须单独取得用户明示同意

o事先开展安全影响评估

o存储10万人以上人脸信息者应向属地网信部门备案

二、 数据安全领域

3. 《数据出境安全评估申报指南（第三版）》（6月修订发布）

o明确了延长评估结果有效期的条件和审核流程

4. 《汽车数据出境安全指引（2025版）（征求意见稿》（6月发布）

o增加了修补安全漏洞、处置安全事件、消除产品缺陷三项豁免情形

o细化了六类场景下重要数据的具体类别和判定规则

o明确了数据出境实施流程，包括目录备案、数据识别、路径判断等

o规定了汽车数据出境的安全保护要求

5. 《个人信息出境认证办法》（10月发布，明年1月施行）

o适用于不需要安全评估但需要办理标准合同备案的情形

o由国家认监委批准的第三方认证机构实施

o认证有效期3年，期间接受年度监督审核

6. 《网络数据安全风险评估办法（征求意见稿）》（12月发布）

o类似于个保合规审计，针对的是重要数据和一般数据

o重要数据处理者每年开展一次评估并向主管部门报送

o对一般数据处理者鼓励开展评估但不强制要求

o网信部门可以要求重要数据处理者委托第三方评估

o等保测评、数安认证、个保合规审计、密评结果可复用

三、 网络安全

7. 《网络安全法》修改（10月修改，明年1月施行）

o加入人工智能安全条款

o完善了违反网络安全保护义务的法律责任

8. 《国家网络身份认证公共服务管理办法》（5月发布，7月施行）

o网号网证用于非明文登记、核验自然人真实身份信息场景

o自然人自愿申领、自愿使用

o用户选择使用网号网证的，互联网平台不得要求另行提供明文证件

o互联网平台应保证未选择使用网号网证者享有同等服务

9. 《关键信息基础设施商用密码使用管理规定》（6月发布，8月施行）

o每年1月向公安部门报告商用密码使用和安全性评估情况

o密钥管理员和操作员有任职资格要求，且需进行安全背景审查

o必须使用经检测认证合格的商用密码产品

10. 《国家网络安全事件报告管理办法》（9月发布，11月施行）

oCIIO、中央国家机关、其他网络运营者报告时限要求不同

o网络安全事件分为特别重大、重大、较大、一般四级

o较大以上级别网安事件需要报告

o网信部门通过热线电话、网站、邮箱等统一接收报告

11. 《网络安全标识管理办法（征求意见稿）》（11月发布）

o网络安全标识用于证明产品的网络安全能力水平

o标识的产品，实施目录管理，由网信办和工信部制定

o网络安全能力分为基础级、增强级和领先级三级

o基础级和增强级可自行检测或委托有资质的第三方检测

o领先级需委托第三方检测机构开展渗透性测试

o不适用于网络关键设备和网络安全专用产品

四、 人工智能治理

12. 《人工智能生成合成内容标识办法》（3月发布，9月施行）

o要求对AI生成的各种内容及虚拟场景进行标识

o生成服务提供者应添加显式标识和隐式标识

o内容传播服务者要核验标识，必要时进行提示

13. 《人工智能气象应用服务办法》（4月发布，6月施行）

o规范AI在天气预报、灾害预警、气候模拟等场景的应用

o从事气象信息服务需要向气象局备案

o对公众服务应办理算法备案和安全评估

o不得非法向社会发布公众气象预报、灾害性天气警报

14. 《人工智能安全治理框架》2.0版（9月发布）

o基本框架：风险分级、技术应对、综合治理、研发与应用安全

o安全分类：内生安全、应用安全、衍生安全

o应对措施：技术应对与综合治理结合

o安全分级：根据应用场景、智能化水平和应用规模等因素分为五级

15. 《政务领域人工智能大模型部署应用指引》（10月发布）

o大模型可用于政务服务、社会治理、机关办公和辅助决策等场景

o普通场景选择备案通用大模型，专业场景选择垂类大模型

o集约化部署，多地多部门复用，避免碎片化

（11月初我们在四姑娘山徒步）

五、 未成年人网络保护

16.《可能影响未成年人身心健康的网络信息分类办法（征求意见稿）》（6月发布）

o细化了对未成年人有害的五类信息

o服务者应为用户提供添加提示标识的功能

17. 《未成年人用户数量巨大、可对未成年人群体具有显著影响的网络平台服务提供者认定办法（征求意见稿）》（9月发布）

o适用于各类网络产品、智能终端以及新技术新应用

o专门平台的认定标准为注册1000万或月活100万

o非专门平台认定标准为未成年人注册1000万或者月活100万

o“显著影响平台”的认定综合考虑下载量、用户量、销售额、使用时长、违法违规问题突出、垂直领域排名等因素

o原则上三年认定一次，网信部门会同有关部门认定名单并公布

六、 信息内容生态治理

18. 《互联网军事信息传播管理办法》（1月发布，3月施行）

o视情况办理ICP备案、互联网新闻信息许可、互联网视听节目许可

o平台应对军事账号进行核验

o军事账号应加注专门标识，并报网信、省军区备案和国防科工委

o禁止未经授权发布军队编制、装备参数、演训细节等信息

o禁止炒作涉军舆情、诋毁军队形象

19. 《网络信息内容多渠道分发服务机构相关业务活动管理规定（征求意见稿）》（1月发布）

o平台应对入驻的MCN进行准入核验，并报送网信办登记

o平台应公示MCN管理规则，对MCN进行分级管理，并建立黑名单

o平台应要求MCN注册后台管理账号，绑定旗下网络账号

oMCN应对其旗下账号发布内容进行审核，留存审核记录

oMCN不得操纵旗下账号实施信息内容违法行为

七、 网络竞争法

20. 《互联网平台价格行为准则》（12月发布，明年4月施行）

o商户自主定价，平台不得不当干预

o平台对商户收费标准应公示，征求意见不少于七日

o平台和商户应明码标价，不得歧视消费者，不得虚假宣传

o平台对商户的竞价排名应标明为“广告”

o不得利用平台规则、数据和算法损害消费者利益

o免密支付、搭售、自动续费等应显著提示，并提供便捷取消途径

八、 大型平台（守门人）治理

21. 《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》（9月发布）

o委员会不少于7人，外部成员占比2/3，主任由外部成员担任

o委员任期3年，连任不超过两届

o委员应具备独立性，不得在平台任职、持股或受聘提供服务

o一人不得同时在三家以上平台的委员会任职

o委员报酬应在平台社会责任报告中披露并公示

o解聘委员应向省级网信办报告情况

o委员发现平台个人信息保护违法问题的，应先向委员会和平台提出

o委员会每年向省级网信办报告履职情况

22. 《大型网络平台个人信息保护规定（征求意见稿）》（11月发布）

o大型平台主要指标为注册5000万或月活1000万

o个保负责人有任职资格要求，需公布联系方式

o数据应存储在境内数据中心，其主要负责人为中国籍无境外永居权

o平台缺乏数据安全能力时，监管可强制要求托管数据

o每年发布《个人信息保护社会责任报告》

九、 新技术新应用安全

23. 《终端设备直连卫星服务管理规定》（4月发布，6月施行）

o适用于手机等终端设备直连卫星服务以及终端设备的生产销售

o直连卫星服务、终端接入公用网络以及使用无线电频率应取得许可

o应使用合法的IP地址、域名和码号

o服务提供者应遵守信息内容生态治理要求

o面向境内服务的直连卫星服务，关口站、地球站应设在境内

o境内用户数据应在境内处理，未经批准不得转发境外

o具有舆论属性和社会动员能力的直连卫星服务，应开展安全评估

24. 《促进和规范电子单证应用规定（征求意见稿）》（9月发布）

o适用于电子提单、联运单、海运单、仓单、保险单等电子单证

o可靠的电子单证应确保全程可追溯，不可篡改，能识别签发人，转换信息一致

o可转让的电子单证应确保能够识别且具有唯一性，全程处于排他控制状态且能够识别控制人，转让时对其控制随之转移

o电子单证签发人使用的电子签名的可靠性，适用《电子签名法》

十、 执法与程序

25. 《网信部门行政处罚裁量权基准适用规定》（6月发布，8月施行）

o裁量权基准分为不予处罚和减轻、从轻、一般、从重处罚五级

o违法行为轻微并及时改正，没有造成危害后果的，免于处罚

o当事人有证据证明没有主观过错的，一般免于处罚

o初次违法且后果轻微并及时改正的，可以不予处罚

o因同种行为一年内两罚或者引发严重不良社会影响的，从重处罚

简单总结

1.全年共发布17项规定，另就8项规定草案征求意见，平均每月超过两件，可谓密集；

2.25项规定分布在十个专题领域，其中数据安全（含数据出境）、网络安全和人工智能治理是重点领域，各有4-5项规定；

3.大部分规定都是为了落实网安法、数安法和个保法规定的某项制度而制定的配套规定，同时在人工智能应用、终端直连卫星等前沿领域有探索。

声明：本文来自减熵实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。