（一）实施“数据要素×”：推动数据要素发挥乘数效应

2024年1月，国家数据局等17部门联合发布《“数据要素×”三年行动计划（2024-2026年）》（以下简称《计划》），充分发挥数据乘数效应，赋能经济社会发展。

《计划》指出，到2026年底，要打造300个以上示范性强、显示度高、带动性广的典型应用场景，涌现出一批成效明显的数据要素应用示范地区，培育一批创新能力强、成长性好的数据商和第三方专业服务机构。

《计划》将全面推动数据基础制度建设，促进数据资源整合与开发利用，加快数据要素与传统产业的深度融合，推动数据要素的高水平应用和数据要素市场的的高质量供给，催生新的商业模式和业态，为我国经济转型升级注入新动能。

（二）数据资产入表元年：数据资产化蓬勃发展，数据资本化不断推进

《企业数据资源相关会计处理暂行规定》（以下简称“《规定》”）于2024年1月1日起生效，数据资产入表元年到来，各行业、各类企业正积极筹备、落地实践，以数据资产价值提升竞争力。截至2024年10月30日，共有54家A股上市公司将“数据资产”计入资产负债表，涉及总金额超15亿元，列报无形资产的金额及占比最高，计算机、交通运输、通信类企业数据资产入表的态度最为积极。[1]从入表企业数量、入表总额和企业规模来看，我国企业完成数据资产入表已展现出强劲的增势与显著的增长潜力。有人预测，未来数据资产会是企业资产负债表的重要组成部分，是否会出现第四张报表，仍有待继续观察和思考。

数据资产登记、数据资产抵押融资等大量实践案例为数据资产化的确权、流通、交易和收益分配指明了现实操作路径。各地数据交易所不断探索，成为推动数据资产估值创新实践的关键动力。[2]深圳数据交易所凭借其地缘优势和创新能力，积极探索数据跨境交易，促进粤港澳大湾区的数据要素流动，2024年12月深数所合规部团队及我们、相关理论专家、业界实践专家还重点制订了深圳地方标准《数据交易合规评估规范》，2025年1月1日实施，相信对明年我国数据要素市场的合规健康发展，贡献重要力量；贵阳大数据交易所则利用其在云计算和大数据产业方面的优势，推动数据价值化和数据产品的创新。

（三）公共数据授权运营案例遍地开花，顶层设计初现

2024年，《关于加快公共数据资源开发利用的意见》《公共数据资源授权运营实施规范（试行）（公开征求意见稿）》《公共数据资源登记管理暂行办法（公开征求意见稿）》等新规亮相，对公共数据资源的开发利用进行了系统性部署。公共数据资源开发利用的制度规则蓝图初现，数据资源供给的规模和质量将进一步提升，公共数据产品和服务、数据要素型企业的发展将迎来新篇。

同时，浙江、广东等地的部分县/区[3]已出台公共数据授权运营规则，完善局域性、基础性的运营规则体系，促进公共数据运营释放价值普惠广大企业和民众。浙江省已建设起省市县三级一体化智能化公共数据平台和全省一体化数字资源系统（IRS）。成都市以成都数据集团作为数据要素市场一级开发主体，采用统一授权集约化运营模式，按“一场景一授权”方式供给公共数据，让公共数据有效赋能城市发展和产业生态。随着各地实践和政策的进一步落地，公共数据授权运营将成为建设数据要素市场、释放数据红利的关键路径。[4]深圳市福田区、南山区、光明新区都发布了地方公共数据授权运营暂行管理办法。

可以说，在各地省市区县，存在部分没有地方数据立法，部分数据地方立法具有相对体系化布局安排，相关区县也在率先推动地方立法，为公共数据授权运营提供立法支撑。未来全国各地的公共数据授权运营的推动，地方立法的完善性、前瞻性和科学性，会成为重要支撑，也会为地方数据市场的蓬勃发展提供更多活力。相信2025年，更多地方会加速在这个领域的立法布局，更好拥抱数字经济时代下的数据市场需求。

（四）建设数据流通利用基础设施——可信数据空间

2024年11月，国家数据局印发《可信数据空间发展行动计划（2024—2028年）》（以下简称《行动计划》）。可信数据空间是基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施。《行动计划》指出，要重点推进企业、行业、城市、个人、跨境等五类可信数据空间建设，到2028年，建成100个以上可信数据空间。相较于欧盟、日本、美国、韩国等区域国家的数据空间发展进度，我国可信数据空间还处于发展初期，面临着应用范围及行业影响力有限、数据空间产品和解决方案服务商数量较少、标准架和商业模式尚不成熟等挑战。在未来，将以《行动计划》为指引，聚焦企业、行业、城市等重点领域数据流通利用特点和需求痛点，激发数据流通使用，繁荣数据产业省生态。

2024年11月，国家数据局还发布了《国家数据基础设施建设指引（征求意见稿）》，其中明确指出，“数据流通利用设施是国家数据基础设施的重要组成部分，为跨层级、跨地域、跨系统、跨部门、跨业务数据流通利用提供安全可信环境，包括可信数据空间、数场、数据元件、数联网、区块链网络、隐私保护计算平台等技术设施。”可信数据空间作为我国数据基础设施的重要组成部分，未来会发出重要的数据交易流通的支撑作用，破解“数据交易的三难问题”——即不敢交易、不会交易、不想交易。

（一）《数安法》《个保法》实施三周年，典型案例凸显数据合规的价值

自《数据安全法》与《个人信息保护法》实施以来，已历经三载春秋。2024年，有关数据与个人信息保护的执法力度不断加强，相关案例层出不穷，个人信息出境第一案[5]、数据垄断第一案[6]、数据知识产权登记第一案[7]等多个第一案发布。这些典型案例逐步明确了法律条款的适用条件和界限，为后续的执法和司法实践提供了宝贵的经验。例如，在个人信息出境第一案中，法院厘清了《个保法》中有关告知同意、单独同意与其他合法性基础之间的关系，认可了企业基于履约而实施的个人信息跨境活动无需取得用户的单独同意，强调了跨境数据传输必须遵循的严格法律标准与本地化要求。数据垄断第一案和数据知识产权登记第一案的发布也显示出执法部门对企业数据竞争性权益的认可、数据知识产权登记的初步证明效力得到了司法的认可，为企业做好数据合规提供了不同视角。未来，企业在数据处理活动中，应当建立全流程数据安全管理制度，严格按照相关法律法规制定隐私政策等法律文本，并采取技术措施对个人信息、重要数据的保护，以防止数据泄露和滥用，落实《数安法》《个保法》的各项义务要求。

（二）《网数条例》千呼万唤终出台

2024年8月30日，网络数据安全领域首个行政法规级文件《网络数据安全管理条例》（简称“《网数条例》”）正式通过，2025年1月1日起实施。《网数条例》在三部上位法基础上，对我国网络数据实践情况做出适应性规定，进一步推动构建形成了“法律-行政法规-部门规章-相关标准”的全位阶法律规范体系。

在个人信息保护方面，纳入了监管部门在APP治理工作中积累的“双清单”告知、个人信息主体权利请求的响应要求等成熟规定；对个人信息可携权提出了具体落地规定；针对实践中“个人同意”的“捆绑”做法，明确了“单独同意”的定义，给予了参考操作方式；新增个人信息删除场景，细化了个人信息转移的具体条件。在大型网络平台方面，明确了其用户量标准，规定了网络平台服务提供者对接入其平台的第三方产品和服务提供者的安全管理义务，压实了网络平台主体责任，同时又相对放松了对大型网络平台的“强合规要求”，给予了在新环境下更多发展的空间。在重要数据方面，明确了重要数据的定义和相关需要履行重要数据合规特殊义务的新要求，进一步提出数据安全评估和数据备案的具体要求。此外，《网数条例》还规定了对自动化采集前的合规评估要求、生成式人工智能服务的网络数据处理者对训练数据的安全管理义务，列举了网络数据处理者可以向境外提供个人信息的八种情形，为促进数据依法有序自由流动提供具体指引。

（三）行业数据法进一步丰富

除了统一适用的数据法规则外，基于不同行业也会有相对特殊的数据法，我们称为“行业数据法”。从我们的观察来看，也可以看到不同行业对数据立法的重视程度，还是有所差异。我们注意到下面几个行业的数据法比较高频，且呈现高速立法的趋势。如人工智能、金融、医疗、地理测绘、民航等领域，例如《网络安全技术 生成式人工智能数据标注安全规范（征求意见稿）》《网络安全技术 生成式人工智能预训练和优化训练数据安全规范（征求意见稿）》《银行保险机构数据安全管理办法（公开征求意见稿）》《中华人民共和国人类遗传资源管理条例》《自然资源部关于加强智能网联汽车有关测绘地理信息安全管理的通知》《民航数据管理办法（征求意见稿）》《民航数据共享管理办法（征求意见稿）》。除此以外，相关专业中介机构也开始出现专门的数据安全规定，如《会计师事务所数据安全管理暂行办法》。相信不远，律师事务所等专业中介机构的数据安全管理暂行办法，也会在不久出台。

（四）各类标准体系稳步推进和细化

自《数据安全法》及《个人信息保护法》颁布三载以来，针对数据与个人信息保护的法律法规日益健全。2024年，各类数据标准体系的建立与细化工作稳步向前推进，因为各类标准的内容非常具体，对更好执行上位法提供了很好的参考依据。在网络与数据安全领域，国家数据局等六部门印发的《国家数据标准体系建设指南》进一步明确了数据标准体系框架；全国网络安全标准化技术委员会发布的《数据安全技术 数据分类分级规则》为数据分类分级管理工作的落地执行提供了重要指导；《网络安全标准实践指南——大型互联网平台网络安全评估指南》指导大型互联网平台评估发现和防范影响或者可能影响社会稳定、公共利益的网络安全风险，提升平台安全水平。在个人信息保护领域，《数据安全技术基于个人请求的个人信息转移要求（征求意见稿）》《数据安全技术个人信息保护合规审计要求（征求意见稿）》《网络安全标准实践指南——敏感个人信息识别指南》《国家网络身份认证公共服务管理办法（征求意见稿）》等个人信息保护要求陆续发布，聚焦于敏感个人信息、个人信息可携权、个人信息保护合规审计和网络身份认证等实务热点，落实了《个保法》中的框架性要求。除此以外，行业标准、地方标准、团体标准等，也发挥了不少的助力作用，对解决实务中数据合规的疑难问题，提供了“行业初步共识”的参考标准，值得肯定。

（一）2024年3月，国家互联网信息办公室公布了《促进和规范数据跨境流动规定》

2024年3月22日，国家网信办公布了《促进和规范数据跨境流动规定》，旨在平衡数据安全与数据流动之间的关系，在保障国家数据安全、保护个人信息权益的前提下，促进数据依法有序自由流动。《促进和规范数据跨境流动规定》明确了数据出境的豁免场景，扎根实践中的数据出境活动，数据出境的监管规则更加符合实际需求、更具有可操作性，实现适当放宽数据跨境流动的条件，降低企业合规成本，便利数据跨境流动，充分释放数据要素价值的立法目标。

（二）2024年5月，各地自贸区陆续发布数据出境管理清单

2024年5月，天津自贸区、上海临港自贸区、北京自贸区、福建自贸试验区等发布了数据出境的相关管理清单。各地自贸区通过正面、负面清单模式，明确了哪些数据出境需要履行严格的安全评估、标准合同、保护认证等合规程序，而清单外的数据则可以更加自由地跨境流动。上海临港自贸区、福建自贸试验区发布了场景化、精细化的一般数据清单。一般数据清单内的数据在满足管理要求下可自由流动，而负面清单则对重要数据进行严格管控，这既保障了数据安全，又为企业数据跨境流动提供了便利，降低了合规成本，激发了数据要素的活力，促进了自贸区的经济发展和对外开放。其中，特别值得关注的是北京自贸区对重要数据认定的参考标准，相对比较具象。对于非北京自贸区内的企业来说，具有参考价值。

（三）2024年9月，国家网信办与澳门特区政府联合公布了《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》

2024年9月9日，在2024年国家网络安全宣传周网络安全技术高峰论坛主论坛期间，国家网信办与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，以促进内地与澳门数据跨境安全有序流动，推动粤港澳大湾区高质量发展。2024年9月10日，国家网信办与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》。

（四）2024年11月，全国网络安全标准化技术委员会《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》 (全国网络安全标准化技术委员会)

2024年11月，全国网络安全标准化技术委员会发布了《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》。该指南是在落实《全球数据跨境流动合作倡议》的背景下，为促进粤港澳大湾区个人信息跨境安全有序流动而制定的其核心目的在于解决粤港澳三地在“一国两制三法系”复杂环境下，对“个人信息”的定义、划分及处理规则等方面存在的差异，降低数据合规成本，推动大湾区数据跨境共享。

随着各地对数据出境监管政策的逐步落地，以及监管规则的不断优化，未来，数据出境监管将更加注重精细化管理。一方面，数据分类分级制度将进一步完善，根据不同数据的安全等级和重要性，制定差异化的监管措施。另一方面，监管规则将更加具体和明确，为数据处理者提供更清晰的合规指引。随着数据出境活动的复杂性增加，不同部门和地区之间的监管协同将不断加强。通过建立跨部门、跨地区的数据出境监管协调机制，实现信息共享、资源整合和监管联动。同时，需要注意的是，海外相关国家的数据出境流动规则，也呈现一些新变化，对于今年大力发展出海的中国企业，需要注意出海目的国的数据出境新规则，避免因为数据双向流动（例如中国和美国），带来业务上的负面影响。例如美国等国，出台或者计划出台的相关规定，可能就释放了一些新的信号，需要中国企业做好全球业务布局、海外数据中心设立的前瞻性规划。

（一）算法备案和大模型备案稳步推进，审批效率及通过数量呈现增长趋势

我国在近几年先后出台了《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等多部规制人工智能和算法的部门规章，对大模型为代表的生成式人工智能提出了算法备案、生成式人工智能（大模型）备案“双备案”的规定。同时，网信部门对于直接调用已备案模型的API上线服务的企业，开展上线登记工作。

截至2024年12月，国家网信办已发布7批次深度合成算法备案清单，而2023年仅有2批次，累计已有2839个深度合成算法通过备案。完成大模型备案（含登记）的大模型数量也已接近300个。其中北京、上海、广东、浙江在算法备案和大模型备案（含登记）通过数量上均排名靠前，四个省市算法备案和大模型备案（登记）数量约分别占全国总数的75%、81%[8]。

由此可见，企业愈发重视有关人工智能和算法的合规工作，积极拥抱监管，监管审批效率也在逐步提高。备案作为人工智能和算法事前监管的重要抓手，已进入稳定的“轨道”。

（二）AIGC执法案例开始出现，内容合规仍然是核心关注点

除事前监管外，网信办已对AI生成内容开展监督检查工作。其中重庆、江西南昌已对有关AI平台生成政治敏感内容等违法不良信息、内容审核管理不严、未经安全测评备案违规提供服务予以处罚。处罚的措施包括：责令全面自查整改、关停相关服务、责令加强内容审核等。不难预见，随着针对算法的监督正逐步趋于常态化，相关执法案例将会越来越多，企业必须高度重视业务合规及内容审核管理。

（三）我国AIGC多个第一案发布

AIGC在生活和工作中的广泛使用，给传统版权法的适用带来了新的挑战。2024年2月，广州互联网法院“全国AIGC平台侵权第一案”[9]审结，这是我国继2023年11月北京互联网法院对“AI文生图”著作权侵权纠纷[10]作出裁判后的又一个具有代表性和创新性的司法判决。前述判决对AI生成内容的可版权性、作者认定、著作权侵权主体认定等问题予以深入分析，给出了相对明确的审理思路，为实务中开展大模型训练、大模型服务治理过程中的著作权保护提供了参考意见。

（四）人工智能监管继续呈现加强趋势

伴随着生成式人工智能的深度应用，其在安全、就业、隐私、道德伦理等方面的引发风险也面临着一系列挑战，国内外的相关监管规则也在逐步制定、完善中。国际层面，2024年5月，欧盟理事会正式批准《人工智能法案》并于8月正式生效，成为全球首个发布人工智能法案的国家。12月10日，巴西参议院通过了“第2338/2023 号人工智能法案”，下一步将提交众议院表决，即将成为第二个发布人工智能法案的国家。此外，东盟于5月发布了《东盟人工智能治理与伦理指南》，提出了人工智能治理的原则、框架，对各国应对人工智能风险形成了有益借鉴。2024年12月17日，韩国国会司法委员会通过《人工智能基本法案》。

国内的监管立法也在有条不紊的推进。顶层的《人工智能法》立法工作已被纳入立法计划。3月，已有学者发布“学者建议稿”并进行了广泛讨论。部门规章层面，网信部门发布《人工智能生成合成内容标识办法（征求意见稿）》对AI生成内容标识予以细致规定。标准和指南层面，2024年内，围绕人工智能算法设计、开发、上线服务等方面的工作，已形成《人工智能安全治理框架》《生成式人工智能服务安全基本要求》《信息安全技术 生成式人工智能预训练和优化训练数据安全规范（征求意见稿）》《信息安全技术 生成式人工智能数据标注安全规范（征求意见稿）》等多个文件，为企业开展人工智能全流程治理提供落地指引。

展望2025年，我国数据要素市场将迎来前所未有的发展机遇与挑战。在数据产权制度即将面世、数据资产入表及其资本化加速推进、公共数据授权运营成为数据要素市场开发利用新路径、《网络条例》的新要求和新挑战、个人信息保护法司法解释有望出台以及我国人工智能立法可能取得实质性进展等多重因素的共同作用下，我国数据要素市场将迎来一个全新的发展阶段。为此，我们的感受是心情澎湃的，是欣喜的。

（一）数据产权制度文件的发布，可能再次点燃数据要素市场

国家数据局在2024年即表示将陆续推出包括数据产权在内的8项制度文件，目前已出台了公共数据开发利用等制度文件，数据产权制度文件很可能在2025年发布。数据产权制度的确立将激发企业和个人在数据资源投入及创新应用方面的积极性，有助于消除数据流通与交易中的不确定性，提升数据要素市场的流通交易活跃度，促进数据要素价值的充分释放，推动数据要素市场的繁荣。

（二）数据资产入表及其资本化有望出现新的小高潮

随着数据要素市场的逐步成熟，数据资产入表及其资本化进程也在加速推进。一方面，随着政策的逐步完善和市场需求的不断增长，越来越多的企业将加入到数据资产入表的行列中来，推动数据资产入表市场的快速发展。另一方面，随着技术的不断创新和应用场景的不断拓展，数据资产的资本化模式也将更加丰富和多样，为企业提供更多元化的融资和运营选择。

（三）公共数据授权运营可能成为明年数据市场开发利用的重要力量，发挥国家数据局所要求的“公共数据引领我国数据要素市场发展”的新格局

随着国家和地方公共数据授权运营制度文件的相继出台以及公共数据授权运营的实践案例陆续落地，2025年公共数据授权运营将成为数据市场开发利用的重要力量。通过授权运营，公共数据资源的价值将得到进一步释放，为数字经济发展注入新动力。同时，这也将推动数据要素市场的形成和发展，促进数据要素潜能的充分释放。

（四）《网数条例》的落地是重点，相关新挑战需要进一步关注行业合规水位和执法重点

随着《网络数据安全管理条例》的施行，网络、数据安全与个人信息保护将得到更有效的保障，这也将是2025年执法部门的关注重点。例如个人信息可携权如何落地？个性化标签该如何响应、删除？除此以外，网信部门对算法的治理结果和下一步关注重点是什么？这些可能都是明年需要重点关注的话题。

（五）个人信息保护法司法解释有望出台

随着《个人信息保护法》的深入实施，个人信息保护纠纷司法审判中的难点争议问题亟待解决。2025年，个人信息保护法的对应司法解释有望出台，结合近三年个人信息保护纠纷的特点和疑难问题，从规范裁判标准和指导地方法院的角度，该司法解释可能回应实务中的大量疑难问题，如个人信息认定、个人信息处理者上下游的责任分担、个人信息损害赔偿纠纷的计算标准等等，这将为个人信息的保护提供更加具体的指导，为数据要素市场的健康发展提供有力保障。

（六）我国人工智能立法有望有实质性进展

人工智能作为数据应用的前沿领域，其发展离不开完善的法律框架。2025年，我国人工智能立法有望取得实质性进展。一系列关于人工智能的法律法规将相继出台，为人工智能的健康发展提供坚实的法律基础。这将进一步推动数据要素市场的发展，为数字经济的繁荣贡献力量。

除了欣喜以外，也会有一些担忧。这些担忧来自于对数据入表的“过热”带来的部分“资产”不实、对数据资本化的冲动带来隐形的金融风险、对人工智能的过度追捧带来对特殊群体权益的侵害、特别是对于数据伦理、人工智能伦理的关切，我们该如何做好准备接受挑战等等。为此，作为长期专注数据合规和人工智能合规的团队，我们希望继续作为参与者，为我国数据要素市场的健康发展，贡献绵薄之力。