作者:周杨、张燕、梁天翔
前 言
回望刚刚过去的2025年,数字经济继续蓬勃发展,数据要素价值的加速释放以及网络攻击、数据泄露、技术滥用等复合安全风险为网络安全与数据保护治理提出了更高要求。顶层立法层面迎来了《网络安全法》的首次系统性修订,《网络数据安全管理条例》的正式施行标志着中国网络数据安全领域首次形成行政法规层级的系统性规范,数据出境监管规则也进一步成熟并趋于稳定,《个人信息出境认证办法》填补了此前个人信息出境认证机制在操作层面的法律空白,标志着个人信息出境合规体系全面落地。对于个人信息的保护则更加从细节处着眼,围绕个人信息处理活动及个人信息主体权益保护各项核心要素的配套制度和标准体系建设持续完善,《个人信息保护合规审计管理办法》构成个人信息保护内部治理和外部监管的重要制度支点。特别是针对大型网络平台的个人信息保护治理问题,监管规则明显趋于专门化和高标准化,专属合规要求体系正在逐步构建。
聚焦网络安全与数据保护,监管机构开始以数据安全事件为切入口,反向审视企业全链路数据治理能力,个人信息保护监管则呈现出“行政执法高频化与刑事打击常态化并行”的特征。
本文将围绕“网络安全”“数据安全”“个人信息保护”三个关键词,与各位读者一起回顾过去一年的重要立法及执法活动。
(一)网络安全
2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议通过《关于修改〈中华人民共和国网络安全法〉的决定》,修改后的《网络安全法》于2026年1月1日正式施行。本次《网络安全法》自2017年实施以来的首次修订无疑是过去一年网络安全领域最为重要的标志性事件,其中两方面的修订尤为值得关注:一是顺应全球人工智能技术发展与立法监管的热潮,本次新增第二十条人工智能条款,弥补了基本法律层面人工智能监管的缺位,同时表明支持人工智能发展,但强调重视伦理规范建设与风险评估、安全监管的基本立场,为人工智能相关的后续法规体系建设明确了基本价值导向。二是法律责任方面废除旧法单一的处罚模式,引入与危害后果相适应的阶梯式的处罚体系,处罚标准也迎来全面升级,造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,网络运营者最高可被处以一千万元罚款,倒逼企业管理层重视网络安全合规建设。如果说旧法最高10万元的违法成本令众多企业不惜以身试法,本次的处罚升级相信已能够产生相当程度的震慑,面对摆在眼前的合规门槛,在逾越之前企业不得不好好思量。
为规范网信部门的行政处罚行为,统一执法尺度,2025年6月26日国家互联网信息办公室发布了《网信部门行政处罚裁量权基准适用规定》(“《规定》”),《规定》自同年8月1日起施行。按照《规定》要求,网信部门行政处罚裁量权基准划分为不予处罚、减轻处罚、从轻处罚、一般处罚、从重处罚等裁量阶次,明确不予处罚、减轻处罚、从轻处罚、从重处罚等具体适用情形,规定违法行为不具有不予处罚、减轻处罚、从轻处罚或者从重处罚情形的,应当给予一般处罚。《规定》将此前散落在《网络安全法》《数据安全法》《个人信息保护法》等法规中的原则性处罚条款,转化为一套统一、透明、可预期的执法标准,一方面通过细化规则限制了执法随意性,另一方面也通过明确从重情节(如危害数据安全、侵害未成年人)和量化标准,强化了对网络空间关键领域和重点对象的监管力度,是网络执法规范化、精细化的重要一步。
针对关键信息基础设施(CII)保护,本年度也有一些新的法规和标准出现。2025年8月1日,《关键信息基础设施商用密码使用管理规定》(“《管理规定》”)正式施行,《管理规定》以《密码法》《网络安全法》《商用密码管理条例》《关键信息基础设施安全保护条例》等上位法为制定依据,进一步细化了《商用密码管理条例》《商用密码应用安全性评估管理办法》中关于合规应用密码技术的操作要求,通过强制性的“三同步一评估”要求、年度密评制度以及相应的法律责任,确保商用密码在CII中真正得到有效应用,从而提升CII的整体安全防护能力,防范重大网络安全风险。《管理规定》同时强调了与网络安全等级保护、CII安全保护以及网络安全审查等制度的衔接,要求运营者密评应与安全检测评估、等级测评加强衔接、避免重复,采购涉及商用密码的网络产品和服务,影响或可能影响国家安全的,应按照《网络安全审查办法》进行审查,实现了制度联动。《管理规定》的出台标志着我国CII商用密码使用管理进入了有细规可依、有明确责任主体、有全流程监督的新阶段,是构建坚实网络安全防线的重要一环。在标准建设层面,2025年7月14日,《网络安全技术 关键信息基础设施安全主动防御实施指南》等9项国家标准公开征求意见;公安部网络安全保卫局组织起草的《关键信息基础设施安全测评要求》(GA/T 2182-2024)行业标准自2025年5月1日起实施。上述标准都隶属于国家关键信息基础设施安全保护标准体系,并围绕《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)这一核心国家标准构建,是我国关键信息基础设施“动态防护、协同联防”能力的重要拼图。
在网络安全领域,网络安全事件的事前防范与事后处置共同构成监管的完整闭环。2025年11月1日起,国家互联网信息办公室发布的《国家网络安全事件报告管理办法》(“《办法》”)正式施行。《办法》将《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规中关于“立即报告”“及时告知”的原则性规定落地为一套清晰、统一的操作流程。《办法》附件参照推荐性国家标准《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023)将事件分为特别重大、重大、较大、一般四个等级,实际赋予了该推荐性国标实际的法律执行效力。在此基础上,《办法》按照网络运营者类别和事件级别规定了差异化的报告路径及时限要求,对发生较大以上安全事件的,关键信息基础设施网络运营者1小时内同步报送保护工作部门及公安机关,中央和国家机关及所属单位网络运营者2小时内向本部门网信工作机构报告,其他网络运营者4小时内向属地省级网信部门报告,属于重大、特别重大网络安全事件的,时限要求更加严格。此外,网信部门建立了多元化的网络安全事件报告渠道,网络运营者可通过12387网络安全事件报告热线电话和网站、邮箱、传真等方式报告,社会公众亦可通过前述渠道报告,网络安全治理从单一由上而下的政府监管模式进一步向全社会协同共治演变。
在执法层面,国家及地方网信办与公安机关依然是网络安全治理的主要执法主体,2025年官方通报的行政处罚案例主要集中在网络运营者未履行安全保护义务(技术措施缺失)、未落实网络安全等级保护制度、发生数据泄漏等数据安全事件、网页篡改与内容安全等典型违规行为,执法趋势上监管部门有意推动从技术安全、数据安全到个人信息保护、内容安全等网络运营的全链条风险覆盖,处罚对象范围呈扩大态势,除了直接运营者,供应链上的系统承建方、运维方也被追责。2025年度的网络安全专项执法活动呈现打击与治理并重的鲜明特征,既有“净网——2025”专项行动这样全国性的刑事犯罪打击,也有区域性的针对电信和互联网行业,聚焦数据分类分级、风险排查、出境安全等全生命周期安全管理的“之江数安——2025”专项行动这样锚定特定行业的深度治理。同时伴随着人工智能技术在各行业的广泛应用,其技术滥用也成为今年的打击重点。
(二)数据安全
2025年,中国数据合规监管体系迎来关键性制度落地与执行深化阶段。《网络数据安全管理条例》于2025年1月1日起正式施行,标志着中国网络数据安全领域首次形成行政法规层级的系统性规范。该条例以《网络安全法》《数据安全法》和《个人信息保护法》为上位法依据,对三部法律中相对原则性的制度安排进行了流程化、操作化细化,围绕网络数据安全管理架构、重要数据识别与保护、数据处理者责任、网络平台治理以及数据出境安全等核心问题,构建起较为完整的制度框架。该条例的实施,使数据合规从分散于不同法律条文的合规要求,转变为具有整体结构和明确责任边界的监管体系,成为2025年数据合规立法与执法实践的制度基石。
在配套规范层面,《数据安全国家标准体系(2025版)》的发布,为《网络数据安全管理条例》的实施提供了重要技术支撑和操作依据。该标准体系以数据分类分级为基础,覆盖数据全生命周期处理活动,形成由基础共性、数据安全技术与产品、数据安全管理、测评认证、产品与服务数据安全以及行业与应用数据安全六大板块构成的整体结构。与此前标准零散分布不同,2025版体系更加强调标准之间的衔接性和适用逻辑,为监管机构开展检查评估、为企业构建内部数据治理体系提供了清晰参照。2025年新增的国家标准也从不同维度系统完善了中国数据全生命周期的合规与安全治理:GB 46864—2025《数据安全技术 电子产品信息清除技术要求》明确电子产品在回收和流通环节必须对用户数据进行不可逆清除; GB/T 45396—2025《数据安全技术 政务数据处理安全要求》构建政务数据全生命周期管理框架,规范收集、使用、传输及销毁环节;GB/T 37932—2025《数据安全技术 数据交易服务安全要求》则从交易标的、主体、平台及流程四个维度建立数据交易安全规范,为企业合规操作和监管评估提供统一标准。这些国家标准共同推动了数据安全技术、制度和管理的标准化,对保障个人信息安全、数据流通安全及行业规范化发展具有重要支撑作用,无论是作为企业自身合规落地指引,还是被监管机构纳入执法依据参考,都预示着数据安全国家标准已经成为衡量数据合规水平的重要判断维度。
在行政监管机制方面,2025年多部门通过执法事项清单和检查清单的方式,进一步明确了数据合规监管的边界和重点。工业和信息化部发布的《工业和信息化部行政执法事项清单(2025年版)》在网络和数据安全、个人信息保护、算法与人工智能等领域新增和调整多项执法事项,与《网络数据安全管理条例》《工业互联网安全分类分级管理办法》等制度形成呼应。与此同时,国家互联网信息办公室发布《国家互联网信息办公室涉企行政检查事项清单》,对数据安全和个人信息保护相关检查设定年度频次上限,在规范监管行为、优化营商环境的同时,也通过清单化方式明确了企业面临的数据合规检查重点,数据合规监管由此呈现出“有边界但不放松”的制度特征。
在数据出境合规方面,2025年相关规则进一步成熟并趋于稳定。《数据出境安全评估申报指南(第三版)》通过材料简化、流程明确和有效期延展机制,显著提升了申报透明度和可预期性。与此同时,《汽车数据出境安全指引(2025版)(征求意见稿)》以行业维度细化数据出境规则,围绕研发设计、自动驾驶等业务场景明确重要数据识别口径,并区分安全评估、标准合同、认证及豁免路径,体现出数据出境监管从“统一规则”向“行业差异化治理”转型的趋势。更重要的是,国家网信办通过持续发布和更新数据出境安全管理政策问答,在数据出境监管体系中发挥了重要的制度衔接与预期管理功能。相较于法规和规范性文件,政策问答以问题导向回应企业在实际操作中普遍关注的适用边界、情形判断和程序衔接问题,有效弥补了制度实施初期的理解偏差和执行不确定性。为监管机构与企业之间形成相对稳定的合规共识提供了沟通渠道,有助于推动数据出境管理从规则宣示向稳定运行转变。
围绕数据风险防控能力建设,2025年开始,监管机构逐步系统推动数据安全风险评估制度化。《网络数据安全风险评估办法(征求意见稿)》明确要求处理重要数据的主体每年开展风险评估,并鼓励其他数据处理者定期评估,同时推动风险评估结果与等保测评等既有制度互认。这一制度设计意在将数据安全风险评估从企业自愿行为转变为重要数据处理的法定义务,使数据合规从“事后应对事件”前移至“事前识别风险”,并通过制度衔接减轻企业重复合规负担。而在行业领域监管方面,2025年多项专项制度进一步细化数据合规要求。中国人民银行发布的《中国人民银行业务领域数据安全管理办法》,以金融数据为对象构建分类分级、全流程安全管理与风险事件处置机制;《公共安全视频图像信息系统管理条例》则对公共视频图像数据的采集、存储和使用提出严格约束,强调隐私和个人信息权益保护;《能源行业数据安全管理办法》明确能源核心数据和重要数据范围,强化数据出境和全生命周期管理要求。
在司法实践层面,2025年数据权益保护的裁判规则进一步明晰。南京市中级人民法院在某案件中明确认可平台在合法授权基础上加工形成的非公开数据集合及经营数据构成受保护的数据权益和商业秘密,强调即便部分数据来源于公开展示,也不意味着其可被无限制爬取和实质性替代使用。该案对数据产品化、数据权益保护以及反不正当竞争中的数据合规边界,具有重要示范意义,进一步强化了“合法取得、合理使用、技术防护”的数据合规逻辑。
从执法趋势看,2025年数据合规监管明显进入执法期。无论是各地网信办基于技术检测而对数据异常跨境传输作出的行政处罚,还是某跨国企业数据泄露事件中对违规跨境传输开展的“一案双查”,均表明监管机构正以数据安全事件为切入口,反向审视企业全链路数据治理能力。数据跨境合规已从制度要求转变为现实执法风险,一旦企业发生数据泄露、账号入侵、系统攻击、误传输等事件,监管机构便会主动介入并启动全链路排查,不仅核查事件的直接原因,也重点审视企业在数据处理、跨境传输、权限管理、告知同意、加密脱敏等方面是否存在制度性缺陷。尤其是在跨国企业、跨境业务场景中,监管机构往往会在事件调查中反向审计数据流向,重点查找是否存在未履行手续、未备案、未加密、未评估等“隐性跨境”问题。因此,一次数据安全事件往往会触发对企业全链路数据治理能力的全面审查,使跨境传输合规成为执法关注的核心焦点。整体而言,2025年的数据合规监管已由规则构建阶段,全面迈入以执法和问责为导向的实质运行阶段。
(三)个人信息保护
在《个人信息保护法》实施数年后,2025年个人信息保护监管重点已明显从基本义务的宣示,转向对具体处理规则、组织责任与技术路径的细化约束。立法和监管实践更加聚焦个人信息处理活动对个人权益的实质影响,围绕知情同意、最小必要、风险评估、权利保障与责任追溯等核心要素,持续完善配套制度,推动个人信息保护从“合规判断”向“持续保护能力”升级。
在规范体系建设层面,《个人信息保护国家标准体系(2025版)》的发布,从标准体系展示了中国个人信息保护的系统目标。该体系以个人信息全生命周期治理为逻辑主线,围绕权益保护目标,将分散于不同领域、不同场景的标准加以结构化重组,形成覆盖基础共性、技术保护、管理与权益保障、测评认证、产品服务保护及行业应用的整体框架。该标准体系不仅为行政监管和执法提供了统一的技术参照,也在实践层面推动企业逐步以国家标准作为内部制度建设、技术选型和合规评估的重要依据。在技术规则进一步精细化的背景下,2025年密集发布的多项国家标准和实践指南,为企业数据合规提供了可操作的技术路径。其中,GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》对不同类型敏感个人信息处理提出差异化安全规范,而处在公开征求意见阶段的《个人信息保护 个人信息识别指南(征求意见稿)》《个人信息保护 个人信息去标识化指南(征求意见稿)》《个人信息保护 个人信息匿名化指南(征求意见稿)》以及《数据安全技术 个人信息匿名化处理指南及评价方法(征求意见稿)》,则从识别边界、处理方法、效果评估和对抗测试等多个维度,回应了实践中长期存在的“何为个人信息”“何为有效匿名化”的不确定问题。这一系列标准与指南的推出,意味着监管机构正通过技术标准的方式,逐步压缩企业在个人信息识别与处理边界上的自由裁量空间。
围绕个人信息处理者的内部治理责任,2025年施行的《个人信息保护合规审计管理办法》构成个人信息保护内部治理和外部监管的重要制度支点。该办法首次在部门规章层面系统界定了个人信息保护合规审计的性质、分类与触发机制,通过区分自主审计与强制审计,在强化监管威慑力的同时,也为中小规模个人信息处理者保留了一定的合规弹性空间。值得注意的是,该办法将处理100万人以上的个人信息处理者与个人信息保护负责人制度直接挂钩,推动企业从组织架构层面正视个人信息保护的长期治理要求。在此基础上,国家网信办于2025年启动的个人信息保护负责人信息报送工作,进一步强化了个人信息保护责任的可识别性和可追责性。通过统一的线上报送系统,监管机构能够对重点个人信息处理者的责任主体进行动态掌握,这一制度安排使个人信息保护负责人不再仅是企业内部的合规角色,而是直接进入监管视野的法定责任节点。个人信息保护负责人制度与合规审计(包括2025年底要求进行的未成年人个人信息保护合规审计情况报送)、执法检查之间的衔接,也预示着未来个人信息保护监管将更加注重“责任到人”和持续履职情况。
在人脸识别等高度敏感个人信息处理活动方面,2月,国务院公布了《公共安全视频图像信息系统管理条例》,强化对公共安全视频图像信息系统的规范管理,维护公共安全,保护个人隐私和个人信息权益。随后3月《人脸识别技术应用安全管理办法》的出台显著抬高了技术应用的合规门槛,首次从“必要性”角度对人脸识别技术的使用进行实质性约束,明确在存在其他非人脸识别方式可实现相同目的的情况下,不得将人脸识别作为唯一验证手段,强化了个人选择权与控制权。同时,该办法针对人脸信息的存储、备案和安全管理提出明确要求,并以10万人规模作为备案触发节点,为监管机构实施规模化风险管控提供了清晰抓手。2025年重庆市大渡口区网信办对违法采集人脸信息行为作出行政处罚,体现出监管机构对人脸识别滥用问题的执法态度已从政策宣示转向实质追责。
在个人信息跨境流动监管方面,2025年是制度体系实质成型的关键一年。《个人信息出境认证办法》填补了此前个人信息出境认证机制在操作层面的法律空白,标志着个人信息出境合规体系全面落地。该办法明确了通过认证方式开展个人信息出境的适用条件,特别是对出境数量阈值、敏感个人信息规模及规避行为作出明确限制,与此前的数据出境安全评估、标准合同机制形成互补。配套出台的GB/T 46068-2025《数据安全技术 个人信息跨境处理活动安全认证要求》,以及通过备案的个人信息出境认证专业机构名单(中国网络安全审查认证和市场监管大数据中心、中央网信办(国家网信办)数据与技术保障中心、北京赛西认证有限责任公司)的公布,标志着认证路径从制度设计进入可执行阶段。
针对大型网络平台的个人信息保护治理问题,监管规则明显趋于专门化和高标准化。2025年内,《大型网络平台设立个人信息保护监督委员会规定(征求意见稿)》与《大型网络平台个人信息保护规定(征求意见稿)》的接连发布,结合GB/T 45404—2025《大型互联网企业内设个人信息保护监督机构要求》,监管机构已从外部监督、内部治理、责任报告和权利保障等多个层面,构建起针对大型网络平台的专属合规要求体系。这一系列制度安排,体现出监管机构对大型网络平台的要求已不再满足于一般性合规义务,而是要求大型网络平台通过设立独立监督机构、定期信息披露和社会责任报告,接受更具持续性和透明度的监管审视,从而承担平台承上启下的社会责任,成为监管活动的主要抓手。
在执法实践层面,2025年个人信息保护监管呈现出“行政执法高频化与刑事打击常态化并行”的特征。其中,《关于开展2025年个人信息保护系列专项行动的公告》具有标志性意义。该专项行动由多部门联合推进,覆盖App及小程序、SDK、智能终端、人脸识别、线下消费场景以及个人信息相关违法犯罪等多个重点领域,既聚焦技术层面的违规采集问题,也直指商业模式中“强制收集、过度收集、变相同意”等风险顽疾。同时,公安机关通过“净网”专项行动持续高压打击侵犯公民个人信息犯罪,公布多起典型案例,覆盖信息非法获取、倒卖与利用的全链条。整体而言,2025年的个人信息保护执法已形成行政监管、技术核查与刑事追责相互衔接的立体化格局,个人信息权益保护在实践层面得到进一步强化。
前 言
2025年,未成年人保护由“系统治理”向“专项治理”深化,国家网信办于2025年年底发布《关于报送未成年人个人信息保护合规审计情况的公告》,正式推动未成年人个人信息保护审计制度落地。
人工智能技术的发展依然高歌猛进,产业应用进一步深化,技术进步带来了生产力革新的振奋,同时也伴随着公众对其应用风险的深切担忧。全球范围来看,欧盟继续延续风险分级监管和强化合规的治理路径,重磅法规《人工智能法案》开始分阶段生效,其系统性的规范体系预期将对各国人工智能立法产生深刻影响;美国特朗普政府上台后废除了前政府的多项政策,监管态度发生显著转向,《美国人工智能行动计划》的发布充分显示了美国保障其在全球领先地位的雄心壮志。中国的人工智能立法延续了专项规范先行,顶层设计同步推进的监管思路,有关内容标识、科技伦理、拟人化服务等细分治理领域的多项新规已发布生效或向社会征求意见,从业者越来越有法可依。
针对未成年人保护、AI技术滥用等重点议题,本年度监管部门开展了多项专项执法活动。
在上文中,我们围绕“网络安全、数据安全、个人信息保护”三个关键词,与各位读者一起回顾了过去一年的重要立法及执法活动。本篇我们将继续由“未成年人保护、人工智能技术”两个关键词展开,供各位读者参考。
一、未成年人保护
2025年,未成年人网络保护在中国网络安全与数据保护体系中的位置进一步前移,并呈现出由“系统治理”向“专项治理”深化的明显特征。在《未成年人保护法》《个人信息保护法》与《未成年人网络保护条例》构成基本法律框架的基础上,监管重心已不再停留于原则性义务的反复强调,而是围绕信息内容风险、平台结构性责任、技术产品合规与持续审计机制等关键环节,持续推动制度落地与执行深化。整体来看,2025年的未成年人保护立法与监管,更加关注数字产品和服务在设计阶段即可能对未成年人产生的系统性影响,强调通过前置规则和工程化治理手段,降低未成年人在网络空间中遭受不良影响的概率。
在信息内容治理方面,国家互联网信息办公室于2025年6月发布《可能影响未成年人身心健康的网络信息分类办法(征求意见稿)》,对《未成年人网络保护条例》第二十三条进行了实质性细化。这一制度并未简单沿用“违法内容/一般不良内容”的传统区分,而是以是否“可能影响未成年人身心健康”为核心判断标准,对信息类型、表现形式及提示方式作出更具操作性的界定,标志着未成年人内容监管开始从结果导向转向风险导向,实质上对未成年人内容监管提出了更高要求。通过引入分类与提示机制,监管机构事实上要求平台在内容分发和推荐环节承担更主动的风险识别责任,使部分尚未达到违法程度、但可能对未成年人产生持续负面影响的信息,进入可监管、可处置的制度轨道。
围绕平台责任的制度配置,2025年发布的《未成年人用户数量巨大、可对未成年人群体具有显著影响的网络平台服务提供者认定办法(征求意见稿)》,进一步凸显了“影响力即责任”的监管思路。《未成年人网络保护条例》已明确对相关重点平台提出特殊义务要求,而该办法通过细化认定标准和程序,将平台对未成年人的实际社会影响力纳入法律评价体系。一旦被认定为未成年人用户规模巨大或具有显著影响的平台,其在内容管理、算法推荐、商业化设计、防沉迷机制和组织保障等方面,将承担明显高于一般平台的合规义务。这一制度设计,反映出监管已不再假定平台风险同质,而是通过差异化责任配置,回应平台规模化发展所带来的结构性风险,并重点展示了对弱势群体的额外关注和保护。
在技术产品层面,2025年出台的强制性国家标准GB 46859-2025《儿童手表技术安全要求》,构成未成年人保护领域的重要制度突破。该标准将未成年人保护要求直接嵌入儿童智能终端的技术规范之中,从应用预置、功能设计、支付控制、内容呈现到硬件安全,均提出了明确且可检验的合规要求。这一监管路径的转变,意味着未成年人保护不再仅依赖平台内容治理和用户行为约束,而是通过硬件与系统设计实现风险前置控制,也对相关硬件制造商、系统开发方及生态合作方提出了更高的一体化合规要求。
在未成年人个人信息保护方面,国家网信办于2025年年底发布《关于报送未成年人个人信息保护合规审计情况的公告》,正式推动未成年人个人信息保护审计制度落地。根据《未成年人网络保护条例》第三十七条,处理未成年人个人信息的主体需每年开展合规审计并向属地网信部门报送审计情况。这一制度安排的核心意义在于,将未成年人个人信息保护正式纳入优先关注范畴,监管关注点也由“是否发生违法行为”前移至“是否具备持续合规能力和内控体系”,未成年人个人信息保护由此进入制度化、常态化和重点监管阶段。
在执法层面,2025年未成年人保护呈现出高频次与强协同性并存的特点。中央网信办发布的2025年“清朗”系列专项行动,将暑期未成年人网络环境、儿童智能设备、未成年人模式、直播打赏及AI生成内容等列为重点整治方向,执法关注点不仅涵盖低俗内容、诱导消费等传统问题,也明显延伸至技术滥用、虚假摆拍及利用未成年人形象牟利等新型风险。这表明,未成年人保护执法正在从单一内容违规治理,转向对平台整体内容生态和商业模式的系统性审视。地方层面执法实践亦进一步细化。以北京市网信办于2025年开展的未成年人网络保护专项举报行动为例,其重点举报范围覆盖网络欺凌、AI生成涉未成年人不良内容、防沉迷机制规避教学等多个新兴风险点,体现出地方监管机构对技术发展趋势和实际侵害场景的高度敏感。这类实践显示,未成年人保护正在通过“行政监管+社会举报”的方式,逐步构建多元参与的治理格局。
综合来看,2025年未成年人保护立法与执法的一个突出趋势在于,监管不再仅关注个别违法行为的发生,而是越来越重视平台和产品是否建立起覆盖内容、数据、技术和组织管理的整体保护体系。未成年人保护正在成为衡量数字平台治理能力和合规成熟度的重要维度,也预示着未来相关监管将持续向“事前防控、持续审计、系统问责”的方向深化。
二、人工智能
全球范围来看,本年度人工智能监管格局发生显著变化,欧盟继续延续风险分级监管和强化合规的治理路径,《人工智能法案》开始分阶段生效:2月,人工智能一般条款和禁止的人工智能实践条款开始适用;8月,GPAI(通用人工智能模型)合规框架等核心治理条款生效,欧盟人工智能办公室正式运作,成为法案执法里程碑。与此同时,配套规则和监管工具开始渐次落地,7月,《通用目的人工智能模型提供者义务范围指南》发布,进一步阐明GPAI的定义和提供者的义务范围,同月,《通用人工智能行为准则》发布,作为帮助业界遵守《人工智能法案》的自愿性指南,聚焦透明度、版权、安全三方面。2025年底,欧盟委员会提出《人工智能法案》修订提案,核心内容是延迟高风险系统合规时限、放宽对中小企业的义务、强化欧盟人工智能办公室权力,试图在人工智能发展与监管之间找到平衡点。美国的人工智能政策在特朗普政府上台后发生显著转向,2025年《美国人工智能行动计划》及配套行政令发布,废除了前政府的多项政策,核心是放松监管以加速发展、保障其在全球的领先地位,其以竞争定义安全的监管范式可能加剧全球人工智能技术、供应链和标准制定权的竞争。
视线转回国内,中国的人工智能立法延续了专项规范先行的监管思路。在顶层立法和政策导向方面,除前文提到的《网络安全法》修订新增人工智能条款外,9月15日,在国家网络安全宣传周主论坛上,《人工智能安全治理框架》2.0版(“《框架》2.0版”)正式发布,其1.0版本在2024年首次发布,是落实中国所发布的《全球人工智能治理倡议》的具体举措,代表了中国在人工智能领域的治理思路和推进计划。《框架》2.0版在国家互联网信息办公室指导下,由国家互联网应急中心牵头组织人工智能专业机构、科研院所、行业企业联合制定,旨在结合人工智能技术发展和应用实践,持续跟踪风险变化,完善优化风险分类,研究探索风险分级,动态调整更新防范治理措施,促进形成安全、可信、可控的人工智能发展生态。相较于2024年的1.0版本,2.0版本新增人工智能应用衍生安全风险,并细化综合治理措施。在人工智能安全风险分级方面,提出根据“应用场景、智能化水平、应用规模”三类主要分级要素,将风险级别划分为“低、一般、较大、重大、特别重大”五级。有关社会公众关心的《人工智能法》的立法进程,2025年国务院立法工作计划中使用了“推进人工智能健康发展立法工作”的表述,未明确提及《人工智能法》立法计划。在此之前,《国务院2023年度立法工作计划》和《国务院2024年度立法工作计划》都曾写明国务院将提请全国人大常委会审议《人工智能法》草案。措辞上的微妙变化意味着我国将放缓这部综合性法律的立法进程,继续探索对于人工智能的正确监管路径。
2025年亦有涉及人工智能生成合成内容标识、服务应急响应、科技伦理、拟人化服务等细分治理领域的多项新规发布生效或向社会征求意见,合规要求进一步完善和具体。
针对人工智能生成合成内容标识管理,2025年3月14日,国家互联网信息办公室等四部门联合发布《人工智能生成合成内容标识办法》,自2025年9月1日起施行,与其同日施行的还有国家市场监督管理总局、国家标准化管理委员会发布的配套国家标准《网络安全技术 人工智能生成合成内容标识方法》(GB 45438-2025)。其核心要求是生成合成内容(文本、音频、图片、视频等)需同时添加显式标识(如“AI生成”文本标注)和隐式标识(元数据嵌入来源、服务商编码等),构建全链条追溯体系;服务提供者、传播平台、用户分级承担标识责任,禁止篡改标识,违规将面临平台处置、行政处罚等追责。
2025年4月25日,国家市场监督管理总局、国家标准化管理委员会发布《网络安全技术 生成式人工智能服务安全基本要求》(GB/T 45654-2025),自2025年11月1日实施。该标准以服务提供者为安全责任主体,围绕生成式人工智能服务从训练数据安全、内容安全、服务安全各方面建立了覆盖模型研发、部署到运营、迭代的全生命周期安全要求,是一项值得重点关注的重要国家标准。2025年9月22日,全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》,该实践指南作为网络安全标准体系的配套技术文件,旨在为生成式人工智能服务提供者提供安全应急响应的标准化指引。该指南明确了生成式人工智能服务安全应急响应的总体框架、组织架构、响应流程(包括事件监测与预警、应急启动、风险研判、处置实施、后期恢复等环节),针对生成式AI服务常见的训练数据泄露、模型被攻击、生成违法违规内容、服务中断等安全事件类型,给出了具体的应急处置措施与操作规范,同时强调了应急响应中的信息报送、协同联动、知识总结与培训等管理要求,助力服务提供者提升安全应急响应能力,快速处置安全事件,降低事件造成的损失与影响。
在人工智能行业应用的垂直领域,2025年4月23日,中国气象局与国家互联网信息办公室联合发布《人工智能气象应用服务办法》,明确人工智能气象应用服务提供者的各项合规义务,包括从事气象信息服务活动的提供者应当按照《气象信息服务管理办法》向其营业执照注册地的气象主管机构备案,提供具有舆论属性或社会动员能力的人工智能气象应用服务的,需开展算法备案和安全评估;通过合法渠道获取标注相应气象数据身份标识的气象数据并按规定添加人工智能生成合成内容标识等。2025年10月10日,中央网信办、国家发展改革委联合发布《政务领域人工智能大模型部署应用指引》,聚焦政务领域人工智能大模型的部署应用全流程,明确了政务领域大模型部署应用的总体要求、安全规范、数据治理、权益保护、监督管理等核心内容。在应用场景上明确政务大模型可应用于政务咨询、业务办理、数据研判等领域,同时严格规范涉及个人信息、国家秘密等敏感数据的处理流程,要求建立应急响应机制以应对模型安全风险。随着人工智能技术在各行业的实际应用渐趋深入,行业主管部门正有意识地将人工智能监管的通用规则落实为本行业有针对性的实操手段。
本年度针对大模型的备案和登记工作继续有序推进,近期网信办发布了2025年生成式人工智能服务备案和登记清单,全年共完成大模型备案446例,历史累计完成大模型备案748例;全年共完成大模型登记330例,历史累计完成大模型登记437例。数量上的激增侧面反映了行业发展的迅猛,作为合规的底线要求,企业在上线大模型服务前应对照备案和登记要求判别自身是否应履行此项义务。在专项执法活动方面,2025年中央网信办在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动,第一阶段源头治理违规AI产品、强化生成内容标识;第二阶段整治AI谣言、换脸侵权、网络水军等7类乱象,专项行动期间处置违规AI产品3500余款,清理违法信息96万余条,处置账号3700余个,推动生成合成内容“显隐双标识”落地,成效显著。从各地公布的典型执法案例上看,执法重点集中在数据合规、内容安全等领域,立法要求转化为切实的执法依据,从训练数据来源、模型训练,到生成内容发布、产品运营迭代,每个环节均有执法介入,责任追溯至服务提供者与运营平台。处罚方式上宽严相济,对轻微违规以整改、约谈为主;对严重侵权、涉黑产、危害公共利益的行为,采取行政处罚、刑事追责等强硬措施,兼顾创新与安全,此外监管部门通过案例通报、法规宣贯,引导企业建立审核机制、标识规范、数据安全体系,推动行业自查自纠。
作者介绍
周律师曾任职于国内著名互联网企业法律合规部,于2014年开始聚焦于网络安全和数据保护领域,受托处理了包括金融、房地产、能源、游戏、电子商务、零售和人工智能在内诸多行业领域的数据合规专项法律服务。
在数十家企业的专项数据合规服务项目中,周律师为客户提供了高效且贴合实际的解决方案,以其专业、勤勉的工作态度,以及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评。
在钱伯斯2024、2025和2026年度的大中华区榜单中,客户对周律师的服务态度和服务质量作出了高度评价,“周杨律师非常擅长处理复杂的数据合规事务,有能力对复杂法律问题的长期、跨领域影响进行考虑和规划。”“她拥有很强的专业能力,对行业和监管动态非常敏感”“周杨律师很灵活,从意想不到的角度看待问题,这对我们解决难题非常有帮助”。
目前,周杨律师担任的社会职务包括:中国通信学会第一届网络空间安全战略与法律委员会委员、中国网络空间安全协会人工智能安全治理专业委员会委员、中国法学会会员及中国行为法学会数据要素专班成员、北京市律协数字经济与人工智能领域法律专业委员会委员、北京市朝阳区律师协会科技创新与数字经济研究会委员、中南财经政法大学硕士生校外导师和北京理工大学校外导师。
在加入竞天公诚之前,张燕律师供职于一家国内知名律师事务所的网络安全和数据合规业务团队。张律师的执业领域为互联网产品合规、网络安全、数据合规和电子商务。在执业期间为包括电子商务、游戏、银行、保险、房地产等在内的诸多行业领域客户提供了产品合规、数据合规等专项法律服务。
梁天翔在网信、数据安全和个人信息保护领域已有三年以上的实践经验,曾为多家知名互联网企业、金融机构、游戏公司、工业制造业企业以及政府部门等提供数据安全和个人信息保护方面的法律咨询、合同审查、风险评估、隐私设计、合规建设、应急处置、数据分类分级、数据跨境合规等专业服务。
声明:本文来自北京市竞天公诚律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
