1. 国家发改委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知

来源：国家数据局

1月13日，国家发改委、国家数据局、财政部、人力资源社会保障部四部门印发《关于促进数据标注产业高质量发展的实施意见》，推动人工智能创新发展。数据标注产业是对数据进行筛选、清洗、分类、注释、标记和质量检验等加工处理的新兴产业。《实施意见》围绕深化数据标注需求牵引、增强关键技术、标准创新驱动、繁荣数据标注产业生态、优化财税、人力等产业支撑四个方面展开部署，促进数据标注产业高质量发展。

1月6日，国家发改委、数据局、工信部印发《国家数据基础设施建设指引》，《指引》明确数据基础设施的概念、发展愿景和总体功能，提出数据基础设施及网络、算力设施总体架构（如下图），并专门点出包括电子商务、金融支付、跨境物流、航运贸易、气象服务等在内的多个典型应用场景和重点行业领域。同时，《指引》明确了“建设数据流通利用设施底座、建设数据高效供给体系、建设数据可信流通体系、建设数据便捷交付体系、建设行业数据应用体系”五大重点方向，着力推进构建高质量算力供给体系。

1月20日，国家发展改革委、国家数据局发布《公共数据资源授权运营实施规范（试行）》《公共数据资源登记管理暂行办法》和《关于建立公共数据资源授权运营价格形成机制的通知》，文件自2025年3月1日起施行。其中，《公共数据资源授权运营实施规范（试行）》旨在规范公共数据资源授权运营，包括总则、基本要求、实施方案编制、运营协议签订、运营事实、运营管理及附则七部分；《公共数据资源登记管理暂行办法》旨在规范公共数据资源登记工作，构建全国一体化公共数据资源登记体系，包括总则、登记要求、登记程序、登记管理、监督管理及附则六部分。

根据《国家发展改革委、国家数据局有关负责同志就公共数据资源三份政策文件答记者问》内容，本次发布的三份文件是对2024年10月9日发布的《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》的落实举措，针对授权运营相关活动进行具体规范。其中，《管理办法》明确了公共数据资源登记的基本要求，形成全国一体化的公共数据资源登记体系，为建立公共数据资源底账、提高公共数据资源可用性奠定基础。《实施规范》着眼建立国家层面统一的制度环境，明确授权运营应把握的主要原则和实施路径，是推动公共数据资源价值有序释放的重要保障，为规范化开展公共数据资源授权运营提供指引。《通知》基于公共数据资源授权运营机制的特点，旨在通过建立符合公共数据要素特性的价格形成机制，更好促进公共数据资源运营机构（以下简称运营机构）健康规范发展。至此，公共数据资源开发利用“1+3”政策体系初步构建完成，有助于进一步激发供数动力和用数活力，更好发挥公共数据资源在数据要素市场化配置改革中的先导作用，引领带动全社会数据资源融合应用，赋能经济社会高质量发展。

1月20日，国家发改委、国家数据局发布《关于建立公共数据资源授权运营价格形成机制的通知》。《通知》就公共数据产品和服务定价范围、定价管理权限、定价程序、最高准许收入（包括经营成本、准许利润和税金）和上限收费标准等事项进行指导，明确了运营机构对用于公共治理、公益事业的数据产品和服务，免费提供；用于产业发展、行业发展的，可收取公共数据运营服务费，并实行政府指导价管理。

1月14日，工信部印发《关于加强互联网数据中心客户数据安全保护的通知》,指导互联网数据中心（IDC）业务经营者加强客户数据安全保护。《通知》涉及IDC业务经营者客户数据安全保护基本要求、加强服务器托管业务场景保障能力、加强数据存储与计算业务场景保障能力、加强数据安全供给支撑等有关事项。附件《实施指引》部分介绍了IDC业务基本情况及面临的客户数据安全风险挑战，并给出了相应业务场景数据安全保障能力要求。

1月3日，国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》。根据《意见稿》，个人信息出境个人信息保护认证，是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构，对个人信息处理者个人信息出境活动开展的个人信息保护认证。个人信息保护认证是我国个人信息出境重要合规路径，《意见稿》规定了专业认证机构的备案要求、个人信息保护认证重点评定内容、监管部门对认证活动监督等。

1月10日，国家互联网信息办公室发布《网络信息内容多渠道分发服务机构相关业务活动管理规定（草案稿）》，规范MCN机构互联网信息内容相关业务活动。网络信息内容多渠道分发服务机构（MCN机构）是指在网络信息内容服务平台入驻，为网络信息内容生产者提供策划、制作、营销、经纪等相关服务的机构。草案稿对网络信息内容服务平台、MCN机构、网络信息内容生产者等的合规义务要求作出详细规定。

2025年1月26日，网安标委就《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》征求意见。人脸识别支付场景主要包括“通过用户所拥有的设备提供人脸识别支付服务，如手机银行”和“通过经营主体布放的设备提供的人脸识别支付服务，如售货机”，该实践指南给出了人脸识别支付场景数据收集、存储、传输、导出、删除等环节的安全要求，可为人脸识别支付服务提供方、人脸验证服务方、相关场所管理方、相关设备的运营方处理个人信息提供参考。

2025年1月26日，网安标委就《人工智能安全标准体系（V1.0）》（征求意见稿）公开征求意见。《标准体系》旨在积极响应《全球人工智能治理倡议》，落实《人工智能安全治理框架》（“《框架》”），促进人工智能技术及应用健康发展。《标准体系》主要内容包括体系架构、重点领域、组织实施三章。附件部分给出了《标准体系》与《框架》中各类安全风险的映射关系表、人工智能安全现行及在研标准文件，以及人工智能安全标准重点方向明细表。

1月23日，网安标委就《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》公开征求意见。摇一摇广告，是指通过移动终端内置传感器感应等方式触发跳转的广告。针对App摇一摇广告提示标识不明显、触发阈值过低、关闭功能不便捷等侵害用户个人权益的问题，该实践指南给出了摇一摇广告个人权益规范指引，旨在规范App和第三方SDK展示和触发摇一摇开屏广告的行为、保障用户个人权益。

1月23日，网安标委就《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则（征求意见稿）》公开征求意见。根据《人工智能生成合成内容标识办法》，人工智能生成合成内容标识包括显式标识和隐式标识。文件元数据是指按照特定编码格式嵌入到文件头部的描述性信息，用于记录文件来源、属性、用途、版权等信息内容。该实践指南适用于指导人工智能生成合成内容服务提供者和网络信息内容传播服务提供者，开展人工智能生成合成内容文件元数据隐式标识工作。

1月9日，中国网络空间安全协会人工智能安全治理专业委员会发布《中文互联网基础语料2.0》。在中文互联网基础语料1.0的基础上，2.0汇聚一批新的高质量可信数据，经过信源筛选、内容过滤、数据去重等一系列严格细致的数据加工处理措施后形成，规模120GB，数据3800万条。语料建设为人工智能技术创新和产业发展提供有力支撑。

1月22日，江苏省人大常委会发布《江苏省数据条例》，条例将于2025年4月1日起施行。《条例》规范江苏省内数据权益保护、资源管理、流通交易、产业发展、开发利用、安全和保障等活动，是江苏首部数据领域的基础性法规。《条例》统筹数据资源管理，注重数据安全治理和数据权益保护，统筹推进完善数据流通交易体系，强调公共数据开放共享及授权运营，培育数据相关产业，推进数据应用创新（如人工智能）。

1月1日，《上海市促进浦东新区运用区块链赋能电子单证应用若干规定》施行。《规定》适用于浦东新区行政区域内运用区块链技术赋能电子单证签发、转让、变更、转换、存储等应用及相关管理、服务等活动，旨在更好发挥区块链技术优势，促进电子单证可信便捷安全应用，推动浦东新区营造区块链创新应用生态，加快上海“五个中心”建设，对标国际高标准经贸规则。

1月9日，海南省网信办、市监局、商务厅发布《海南省商场超市消费领域个人信息保护合规指引》。《合规指引》要求省内商超经营者通过APP或小程序向消费者提供服务时，应当向消费者提供清晰易懂的隐私政策并严格遵守、处理敏感个人信息及向第三方提供个人信息时获取消费者单独同意、保障消费者个性化商业营销拒绝权、撤回权、注销权等，切实履行个人信息保护合规义务。

2025年1月19日，中央网信办启动为期一个月的“清朗·2025年春节网络环境整治”专项行动。行动聚焦春节期间网民常用的平台环节和服务类型，集中整治人民群众反映强烈的网络生态问题。重点整治6方面问题：挑起极端对立、炮制不实信息、宣扬低俗恶俗内容、鼓吹不良文化、违法活动引流以及侵害消费者权益。

2025年1月3日，中央网信办通报一批整治网络水军典型案例。包括：下架关闭网络水军网站平台、整治同质化文案引流炒作问题、打击组织招募网络水军人员行为、严管刷评刷单涨粉等推广服务、查处利用新技术新应用实施流量造假等。目前，网信部门已联合多部门建立网络水军长效治理机制，强化行政处罚与刑事打击衔接配合，严惩网络水军行为。

1月8日，国家网信办发布2024年生成式人工智能服务已备案信息公告。截至2024年12月31日，共302款生成式人工智能服务在国家网信办完成备案，其中2024年新增238款备案；对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能，2024年共105款生成式人工智能应用或功能在地方网信办完成登记。提供具有舆论属性或者社会动员能力的生成式人工智能服务的，可通过属地网信部门履行备案或登记程序。

1月7日，中国汽车工业协会、国家计算机网络应急技术处理协调中心联合发布关于汽车数据处理4项安全要求检测情况的通报。检测内容涵盖“车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知”等4项数据安全合规要求。经检测，重庆长安、上汽、比亚迪9家汽车制造商的139款车型符合规定。

近日，最高人民法院就李某某起诉滴滴出行（北京）网络平台技术有限公司、滴滴出行科技有限公司（统称“滴滴方”）滥用市场支配地位纠纷一案作出二审终审判决。法院认为，本案相关市场应界定为本地范围（北京市）由网约车和可网约巡游出租车构成的出行服务市场。原告提供的证据不足以证明滴滴方在相关市场内具有支配地位，滴滴方面临较强竞争约束。滴滴方向新用户派发首单优惠券行为属于普遍商业做法，具有正当理由。综上，判决驳回上诉，维持原判。

1月14日，北京互联网法院公布一起音频分享平台侵犯著作权案件。法院认定音频分享平台未经用户授权，以API方式向第三方提供筛选后的用户上传音频的行为，系提供作品行为，构成直接侵权，应承担侵权责任。第三方作为API接口接入者，仅提供技术服务，对涉案音频设链，未对相关内容进行主动编辑、整理或推荐，且及时作下线处理，不承担侵权责任。

2025年1月13日，国家计算机病毒应急处理中心通报16款违规移动应用。涉及的隐私不合规行为包括：隐私政策难以访问、未声明App运营者基本情况；隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等；未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，未取得个人的单独同意等；App未建立并公布个人信息安全投诉、举报渠道；个人信息处理者未提供便捷的撤回同意的方式；向用户提供撤回同意收集个人信息的途径、方式，未在隐私政策等收集使用规则中予以明确；处理敏感个人信息未取得个人的单独同意；个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则。

1月23日，公安部发布“净网2024”专项行动工作成果。2024年，全国公安机关依法严厉打击整治各类网络违法犯罪活动，全年共侦办网络违法犯罪案件11.9万余起，有效保障了网络空间安全。公安机关侦办网络谣言案件4.2万余起，侦办网络暴力案件8000余起，侦办网络黑灰产案件2.5万余起，侦办侵犯公民个人信息案件7000余起，全年开展信息安全领域监督检查20万余次。

调度决策算法常应用于购物消费、外卖配送等诸多场景领域。1月22日，上海市委网信办会同市场监管局围绕调度决策算法，召开第三场算法治理分类指导会，督促平台规范调度决策算法使用，防治算法歧视隐患。饿了么、携程、拼多多、叮咚买菜、申通快递等12家电商购物、外卖快递企业相关负责人参会。上海部分网站平台（饿了么、Soul、星野等）已对外公布一批算法专项治理举措。

2025年1月20日，特朗普废除拜登政府第14110号《关于安全、可靠、可信地开发和使用人工智能的行政命令》。1月23日，特朗普签发《消除美国在人工智能领域领导地位的障碍》行政命令，该行政令要求废除某些阻碍美国AI创新的现有人工智能政策和指令，审查联邦各机构依据第14110号行政令采取的所有政策、行动，并视情暂停、修改或撤销，维持和加强美国在全球人工智能领域的全球领导地位。

2025年1月16日，美国时任总统拜登签署第14144号《关于加强和促进国家网络安全的行政令》，旨在加强和促进国家网络安全创新。该行政令要求联邦政府及相关机构采取行动，改善联邦系统网络安全、加强联邦通信安全、解决网络犯罪和欺诈问题、提高第三方软件供应链的透明度和安全性、以及利用人工智能增强网络防御能力等，重点保护国家数字基础设施、保障数字领域最关键的服务和能力安全，提升应对关键威胁的能力。

2025年1月14日，美国商务部工业和安全局（BIS）发布了《保护信息和通信技术与服务供应链：网联汽车》的最终规则，最终规则将于3月17日生效。最终规则禁止销售或进口集成了“受外国对手（中国、俄罗斯）控制或指挥”的实体供应的特定硬件（VCS硬件设备）和软件（车辆连接系统（VCS）和自动驾驶系统（ADS）软件）的网联汽车相关交易，以及零售相关组件的交易。并且，对于受外国对手控制的整车制造商，即便其网联车辆整车中包含的VCS硬件或受限软件与中俄无关，也不得在美国销售。

2025年1月29日，美国国会参议员Josh Hawley提出《2025年美国人工智能能力与中国脱钩法案》（Decoupling America’s Artificial Intelligence Capabilities from China  Act of 2025）。法案是在近日中国人工智能企业DeepSeek推出低成本开源大语言模型DeepSeek-R1的背景下提出的，该法案要求切断中美在AI领域的所有合作，推动中美在AI领域全面脱钩。法案若获得通过，将禁止美国从中国进口或向中国出口人工智能技术，禁止美国企业及个人在中国境内或与中国公司合作开展人工智能研发，禁止美国企业和个人投资中国人工智能企业，违者将面临严厉处罚。

2025年1月15日，美国国家标准与技术研究院（NIST）美国人工智能安全研究所（US AISI）发布了《两用基础模型滥用风险管理指南（NIST AI 800-1）》第二份草案。该指南概述了在AI生命周期中识别、测量和减轻对公共安全和国家安全风险的最佳实践。主要更新包括详细说明模型风险评估的最佳实践、扩展关于网络、化学和生物安全特定领域风险的指南、强调“边际风险”框架对风险管理的重要性、解决开源模型问题以及管理整个AI供应链的风险。

2025年1月16日，欧洲数据保护委员会（EDPB）发布《关于假名化的指南 01/2025》，旨在为数据控制者和处理者提供在欧盟数据保护法律框架下有效应用假名化（Pseudonymisation）技术的指导。《指南》强调，假名化可以减轻数据主体的风险并有助于遵守数据保护原则，可作为实现“设计和默认的数据保护”的有效措施。《指南》提出假名化的技术保障措施，包括：假名化转换、防止将假名化数据未经授权地关联出个人的技术和组织措施、假名化数据的关联。

2025年1月13日，英国首相基尔·斯塔默宣布了一项名为《人工智能机遇行动计划》，旨在通过人工智能应用推动国家变革。计划包括：建立AI增长区（AIGZ），以加快AI基础设施的规划审批和建设；成立AI能源委员会，以应对AI发展的能源需求；创建新的国家数据库，以安全释放公共数据的价值；培养AI顶尖人才等。

1月28日，意大利数据保护局（Garante）宣布对DeepSeek发起信息索取请求，以了解DeepSeek收集的意大利用户个人数据类型、目的、法律依据，以及这些数据是否存储在位于中国的服务器上。1月29日，美国白宫表示正在调查DeepSeek对国家安全的影响，同日，美国参议员Josh Hawley提出《2025年美国人工智能能力与中国脱钩法案》，法案要求切断中美在AI领域的所有合作。1月30日，美国国会工作人员被禁止使用DeepSeek模型。爱尔兰数据保护委员会、法国数据保护机构国家信息与自由委员会（CNIL）、韩国个人信息保护委员会（PIPC）亦表示对DeepSeek发起安全审查调查。

1月17日，美国联邦贸易委员会（FTC）对《原神》游戏开发商处以2000万美元罚款，并禁止未经其父母同意向16岁以下未成年人提供“抽卡”销售服务。FTC指控，该款游戏在收集和使用13岁以下儿童个人信息前，未获得“可验证的家长同意”，违反了《儿童在线隐私保护法》（COPPA）；同时，不透明的抽卡机制欺骗和误导了消费者，违反了FTC法案。

1月16日，联邦贸易委员会（FTC）对通用汽车（GM）及其旗下安吉星（OnStar）采取行动，指控其在未充分通知并获取消费者明确同意情况下，收集、使用和出售数百万驾驶者的精确地理位置与驾驶行为信息——这些数据可用于设定保险费率。FTC指控，通用汽车采用误导性注册流程，诱使消费者注册安吉星服务及智能驾驶功能，却未明确披露其收集消费者精确地理位置及驾驶行为数据并售予第三方（含消费者报告机构）的情况。根据FTC拟议命令，通用汽车和安吉星将被禁止在五年内向消费者报告机构披露驾驶员数据。

1月6日，美国华盛顿州总检察长对T-Mobile（德国电信）提起消费者保护诉讼，指控其泄露大规模消费者个人信息数据，违反华盛顿州消费者保护法。2021年3月至8月期间，T-Mobile发生数据泄露事件，致使美国7900万消费者个人信息泄露，包括社会安全号码、电话号码等。指控称，T-Mobile明知其未达到网络安全标准和存在安全漏洞，欠缺系统性监督，但未采取措施解决。数据泄露发生后，T-Mobile向受影响消费者发出的通知存在诸多不足，如遗漏关键信息、淡化严重性。

1月8日，欧盟法院判令欧盟委员会向“欧洲未来会议”网站的一名德国公民访问者支付因其个人数据被传输至美国而造成的非物质损害赔偿400欧元。原告诉称，其在由欧盟委员会管理的“欧洲未来会议”网站快捷注册登录时，个人数据（IP地址、浏览器及终端信息）被传输至美国的亚马逊网络服务公司和Meta Platforms公司，其认为美国数据保护水平不足，欧盟委员会未能说明传输的适当保障措施。

原告认为，铁路企业（SNCF Connect）在客户在线购买火车票时系统地要求客户表明他们的称谓（“先生”或“夫人”）的要求违反了GDPR的数据最小化原则，因为在购买火车票时，无需提供对应性别身份的称谓信息。法院认为，基于根据客户的称谓推定的性别身份对商业通信进行个性化处理，对于铁路运输合同的适当履行客观上并非不可或缺，该收集行为违反GDPR数据最小化、必要性原则。

1月16日，欧洲数字权利非政府组织（NOYB）对六家中国头部出海企业提起投诉，指控这些公司违反了GDPR，将数据非法传输至中国。NOYB认为，这些公司无法保护欧盟用户的数据不被中国当局访问，该国不能提供GDPR第44条和46条要求的数据保护水平。NOYB要求希腊、荷兰、比利时等国数据保护机构（DPAs）立即下令暂停向中国传输数据，并对这些公司最高处以其全球收入4%的行政罚款。