引言：被压缩的2025年合规时间线

2025年，中国网络安全与数据保护治理呈现出三个结构性转向：立法从“原则框架”向“可执法接口”转化，企业从“纸面合规”向“工程合规”转化，执法从“单点合规”向“全链条合规”转化。在此环境下，一次漏洞扫描告警、一条App被通报的信息、一份客户尽调问询、一个跨境数据需求，都会把法务、合规、信息安全、产品等拉进同一个会议。企业需要回答的不是“法律要求是什么”，而是“我们能不能证明我们做对了”，合规不再停留在纸面的制度文本，而要落在可审计、可追溯、可复盘的系统事实与管理记录之上。

一、年度时间轴：法律规则正在把“治理接口”写清楚

迄今，以“三法四条例”为骨干的中国网络安全与数据合规监管的立法框架“四梁八柱”已成。回顾2025年，立法行动更像在既有立法框架下的一条条“接口落地线”：监管侧并非在增加义务，而是在不断明确原则性义务如何被实施、如何被证明、如何被追责。

《网络数据安全管理条例》于2025年1月1日起施行，从行政法规层面将《中华人民共和国网络安全法》（以下简称“《网络安全法》”）、《中华人民共和国数据安全法法》（以下简称“《数据安全法》”）、《中华人民共和国个人信息保护法法》（以下简称“《个人信息保护法》”）的核心义务织成可实施、可检查的制度网络，并强化域外适用与责任穿透。《个人信息保护合规审计管理办法》自2025年5月1日起施行，推动企业合规工作从“做过”走向“可证明”；《人脸识别技术应用安全管理办法》自2025年6月1日起施行，促使敏感场景治理前置、人脸识别的替代路径成为刚性要求。《网络安全法（2025）》完成首次修订并于2026年1月1日起施行，三法实现系统衔接，违法处罚力度加大。

（一）立法时间轴

重大制度时间表

（二）年度执法风向：工程化、场景化与链条化

执法层面，网信系列典型案例与公安“护网—2025”行政执法典型案例形成互补：前者以漏洞、配置、日志、影响评估等工程事实构建问责叙事，后者强调等保基线、技术防护措施并将数据跨境违规纳入执法范围。

2025年的执法风向可以用三个词概括：工程化、场景化、链条化。工程化体现在网信办典型案例的处罚逻辑：漏洞是否修复、端口是否暴露、云防护是否到期、日志是否留存、是否有人值守、事件后是否复盘整改——这些都是可客观验证的事实。场景化体现在专项行动与App通报中：首次运行弹窗、隐私政策可达性、权限调用、个性化推荐关闭、注销与删除闭环等，成为网信、工信、公安App合规检测的“高频检查点”。链条化则体现在护网案例中：外包运维、第三方系统、供应链合作、跨境传输等不再是“有待观察监管趋势”的问题，而成为问责叙事的一部分。

监管用通报、案例和公告把“执法会检查什么”叙述得越来越清楚，一定程度上增加了执法对企业的透明度。企业能否提前把这些点固化为内控机制，决定了风险的可控程度。

二、年度十大监管关键词：合规的“可问责清单”

监管的重点受立法和产业发展的影响，也会应时而变、适时而动。我们梳理了十个关键词作为“记忆钩子”，每个关键词都对应一组规则与一类可落地的企业合规动作，共同指向一个结论：2025年，监管更看重企业是否建立了可持续运行、可审计、可核验的治理体系。

关键词一：条例生效——数据治理从“拼图”走向“系统运行”

案例引子：广东某企业的办公协作平台被篡改，根本原因并非黑客太强，而在于漏洞修复太慢——勒索攻击利用文件上传漏洞，企业当日仅重装系统、未修复漏洞，导致页面随后被再次利用篡改为违法内容，最终受到依法处罚。[1]

《网络数据安全管理条例》生效后，网络数据处理义务从分散的合规“拼图”，系统化编排为一套可检查、可追责、可运行的治理框架。监管可沿“谁负责—怎么管—是否留痕—有没有闭环”的路径，还原企业的数据合规治理实态。这意味着集团共享、远程访问、云上存储、跨境协作与数据出境等日常业务中常见的数据处理活动，不再只是IT架构或业务效率问题，而必然被纳入统一的数据合规治理与审计范畴：企业需要能够解释此类数据处理活动“为什么这样做”“风险怎么评估”“治理措施怎么落地”“出了事怎么处置”，并提供相应的记录与证据链支撑解释。

关键词二：网安法首次修订——三法系统衔接，罚则抬高

2026年1月1日，新修订的《网络安全法》正式施行。这是该法自2017年实施以来的首次调整，构建起更具威慑力的治理体系，特别是：强化与《数据安全法》《个人信息保护法》的体系衔接，通过明确“引致适用”条款，提供了清晰的执法指引；并以扩展域外适用范围、强化个人责任、阶梯式提升违法后果等手段，大幅提升了企业的违法成本。

修订也并非一味从严，新增第七十三条与《中华人民共和国行政处罚法》衔接，明确若企业存在主动消除危害后果、轻微违法及时改正且无危害后果、无主观过错等情形，可从轻、减轻或不予处罚。这一规定本质是驱动企业从“事后救火”转向“事前合规建设”与“全程合规留痕”。合规投入虽给企业带来了一定成本，但同时也将成为企业和相关责任人员抵御高额处罚的“责任保险”。

关键词三：合规审计——个人信息保护合规进入“可核验时代”

案例引子：当“审计”硬性要求正式落地，企业面临的拷问不再仅是“有无制度”，而是进一步深入到“制度是否落地”。在一则典型案例里，某企业在系统存在SQL注入高危漏洞的情况下被发现未建立个人信息保护影响评估制度，在“合规文档”与“工程事实”的对照中，直接暴露了合规落差。[2]

《个人信息保护合规审计管理办法》的施行，推动企业下一阶段合规工作的重点从“自我声明合规”转向“可核验合规”：合规的关键不仅是有没有制度，更扩展至制度是否运行并留下证据。企业在开展个人信息处理活动的过程中，至少应为后续审计落地建立“可审计四件套”：处理活动台账、个人信息保护影响评估材料留存、第三方处理者管理记录、用户权利响应工单与日志。以“同意”为例，“处理活动台账”至少要覆盖告知文本版本、弹窗展示逻辑、拒绝路径可达性；“用户权利响应工单与日志”需涉及权利影响的处理时限、数据状态（例如撤回同意，含对第三方共享的同步处理机制）。

关键词四：人脸识别——敏感场景治理前置，替代路径成为刚性

案例引子：网信典型案例中出现刷脸场景未经同意收集人脸信息、未做个人信息保护影响评估且存在高危漏洞的组合风险。[3]

《人脸识别技术应用安全管理办法》强调必要性、可替代、可追溯：必须论证必要性，必须提供非人脸识别替代路径，必须做影响评估并留存记录。企业应当将人脸识别系统改造成“双轨制”：确保普通流程可用非人脸识别方式完成；在必要采取人脸识别技术的场景中确保数据最小化、存储分区化、访问分级设置并进行全程审计。

关键词五：专项行动“明牌化”——提前给出的监管重点清单

四部门发布的2025年个人信息保护系列专项行动公告直接、具体地点明了针对个人信息保护高频问题的具体治理方向，如：首次运行显著提示隐私政策、隐私政策具备可达性、权限最小必要设置、个性化推荐关闭选择、账号有效注销机制、第三方SDK充分透明度等[4]。企业应将公告体现的合规清单嵌入产品上线与运行合规流程，例如：版本上线前应进行权限与SDK扫描。新增高风险场景应事先进行个人信息保护影响评估，定期抽样复测账号注销与数据删除是否闭环、复盘SDK与供应链情况等。

关键词六：事件响应与报告——从危机公关走向程序义务

案例引子：新疆某企业开发运维的网站子页面被篡改为涉赌信息，管理员休假导致网站无人管理，未立即补救，并且未按规定告知用户并报告监管部门。[5]

此前应对网络安全事件时，企业因担心“一案双查”与社会声誉受损，总是希望隐蔽地私下处理；但随着《国家网络安全事件报告管理办法》的生效，事件处理进一步被规范化，事件报告走向标准化，“低调处理”将直面违法违规风险。对此，企业需建立可操作的事件分类分级及对应告知与报告机制，按程序履行义务：先补救、再分类分级、及时报告与告知、保全证据，最后复盘整改。

关键词七：等保升级——护网行动设定“基线要求”

案例引子：护网行动案例清晰表明企业落地网络安全保护义务的常见“基线要求”：等保义务落地、漏洞处置得当、日志按期留存、外包运维被有效管控……很多企业以为等保只是IT部门的事，没料到最后在处罚样本里被认定为“公司治理”的整体层面问题。[6]

网络安全等级保护是我国网络安全的一项基本制度，也是公安部门网络安全执法的最主要抓手，2025年发布的《关于进一步做好网络安全等级保护有关工作的函》进一步明确和强化了企业的等保义务。企业应把等保合规从短期甚至一次性的测评、备案项目转变为常态运行机制：例如，将测评整改纳入网络安全风险管理流程，将整改结果进入审计材料库，实现合规闭环。

关键词八：委托处理与供应链——责任链穿透

案例引子：广东某保险代理公司后台系统数据被窃取，原因包括越权遍历访问漏洞，也有云防火墙到期、日志未留存等——外包、云服务、SDK非但不能免责，更可能成为“责任放大器”。[7]

企业在数据处理活动涉及第三方（如委托外包运维、使用第三方云服务、使用第三方SDK等）的场景中，很难以处理活动由第三方操作为由完全免责，特别是在第三方为受托处理方的场景。对此，企业应建立供应链全生命周期管理，包含：供应商准入评估—合同条款约束—第三方服务/应用上线测评—第三方服务/应用运行监测—合作退出（例如数据销毁）；并重点关注对SDK的版本管理与变更评审。

关键词九：数据出境——从“路径选择”到“实质合规”

案例引子：某跨国企业因违规向境外传输个人信息被处罚，问题包括未通过数据出境的审批程序、未向用户充分告知、未取得用户“单独同意”、未对收集的个人信息采取必要安全技术措施。[8]

该案例表明数据出境监管不但将审查企业是否选择合适的出境路径，还要审查数据出境实质合规要件是否被满足。企业应当准备数据出境的“合规包”：明确传输内容、目的、接收方及后续转移安排；同时证明传输的最小化、采取的安全保障措施（如采取的加密措施、密钥访问控制、数据隔离等）的必要性与持续审计跟踪的有效性。

关键词十：AI与深度合成——合规以“下架”呈现刚性，治理必须嵌入训练管线

案例引子：浙江某App提供人工智能（AI）换脸等深度合成服务，未按规定开展安全评估、未作显著标识，被责令下架。AI合规面临的第一道处罚可能不是简单的罚款，而是“先下架，再讨论”，业务停摆成为现实风险。[9]

AI企业合规与执法监管将是未来一段时间内的焦点之一。企业需将训练数据来源合规、数据脱敏处理、个人信息保护影响评估、生成内容标识与滥用防控等措施嵌入模型训练与上线流程，形成可解释、可证明的全链路证据。

2025年度十个监管关键词背后，三条贯通的监管逻辑已然呈现：证据逻辑（审计化推动可核验）、工程逻辑（安全基本功决定事实链）、链条逻辑（供应链与跨境延伸责任）。理解这三条逻辑，企业才能将治理资源更精准配置于降低风险的有效控制点，而非仅用于编写“更厚的制度文本”。

三、合规平行线：跨境业务的双重拷问

中国企业出海大潮正兴，但伴随国际地缘政治变化，企业的跨境合规挑战日益凸显。一项跨境业务的开展往往会面临数据跨域流转带来的两重核心挑战：一重是中国侧的数据跨境合规路径规划与合规留痕管理，另一重是海外市场侧的数据回传合规问题，如欧盟在以SCCs（Standard Contractual Clauses，标准合同条款）作为跨境传输工具时必备的TIA（Transfer Impact Assessment，传输影响评估）与充分补充保障措施以及美国基于贸易制裁、技术管制、对涉及特定敏感数据与受控主体的数据交易/数据流转限制等手段施加的实质数据出境阻碍。可以说，面对多法域监管叠加，跨境数据合规已成为出海企业的战略议题。

（一）欧盟：从TT案看SCCs作为跨境传输工具的实际挑战

TT被处以5.3亿欧元罚款并被责令整改[10]无疑是2025年全球数据合规领域的标志性事件。这一事件之所以受关注，不仅因为其处罚金额巨大，更因为它直指SCCs作为跨境传输工具在中企出海欧盟场景下的可行性问题，揭示了出海中企面临的审查强度。实务中，绝大多数中企在涉及欧盟个人数据的跨境传输安排中，普遍采用SCCs作为主要保障工具，使得该案对于广大出海中企而言具有普遍的警示价值。

截至成文时，该案仍在司法复核程序中，但至少释放出几条值得企业重视的信号：

第一，远程访问被认定为跨境传输。只要境外团队能够远程访问欧洲经济区（EEA）内的个人数据，监管机构即可能将其认定为数据被第三国“可获取/可访问”，从而触发相应的跨境传输合规要求。

第二，涉华场景的TIA会被放大检视。监管机构会重点审查第三国法律环境（尤其是政府数据访问、国家安全相关机制）是否可能削弱SCCs所要求的“实质同等”保护水平。由于中欧法律体系的差异，欧盟数据流向中国的相关安排，在未来相当一段时间内均可能面临较高审视压力。

第三，仅签署SCCs但未充分评估并采取充分保障措施以应对接收国法律下的政府访问风险，很可能被认为无法满足《通用数据保护条例》（GDPR）第46条的要求。企业以往常采用的“模板化”TIA，仅用几段概括性文字简单描述接收国法律环境及相关数据访问风险的做法，难以应对当前的合规审查强度。

对出海欧盟的中企而言，与SCCs配套的TIA应当构建可复核、能自证的完整推理链，至少覆盖：数据类别与敏感度→访问路径与主体→接收国法律风险与政府访问可能性→既有控制措施→缺口与补充措施→残余风险判断与持续复评计划。如果企业所实施的具体技术与组织措施（例如密钥归属与密钥管理、访问审计、分区存储、最小权限与分级授权等）能够与这条推理链相互对应，则更能有效降低监管与客户质疑。

SCCs作为跨境传输工具有效性的实现，固然需要企业在合规叙事与证据体系上持续投入；但更关键的是，依托国内立法与执法部门在规则、实践与对外阐释上的“源清本正”，共同引导欧盟监管机构对中国数据保护法律环境形成更准确的理解。

（二）美国：EO 14117的合规风险

美国《第14117号行政命令》（EO 14117）确立了一个以国家安全为中心的“数据安全计划”（DSP），其核心是通过禁止/限制特定“数据交易”，来阻断受关注国家和涵盖主体获取美国大批量敏感个人数据与美国政府相关数据（以下统称“受保护数据”）的路径。关于受限交易的合规计划、审计、记录保存、年度报告等“积极义务”在2025年10月6日进入全面运行阶段，对中企涉美投资、并购、联合研发等业务的开展的影响已经逐步显现。

对具有涉美业务的中企而言，EO 14117的影响呈现“供应链级”的外溢效应：

一方面，对具有涉美业务的中企而言，其在美实体既有业务形态面临合规重构挑战。运行中的远程运维、共享研发、集团后台支持等业务安排，可能会被监管视为允许受关注国家或涵盖主体访问受保护数据的交易结构。

另一方面，美方为履行其自身合规义务，将可能对具有涉美业务的企业施加传导性约束，例如：

• 企业身份、控制权与人员架构成为合作审查重点：在涉美业务开展过程中，出海美国企业的涉中母公司、关联方、控制实体、外包团队，以及相关业务场景下的涉中人员安排（包括可访问敏感数据的支持团队在中国），都可能会被交易伙伴重点审视。

• 投资并购中新增尽调事项：在涉及美国公司的并购或与美方进行业务合作时，合规尽调可能会增加部分新事项，核心评估：是否涉及敏感个人数据交易、是否存在受关注国家或涵盖主体的数据获取路径、DSP合规计划是否已落地、能否出具审计及相关记录。

• 合同谈判难度上升：美国交易伙伴可能会要求把DSP相关要求（如：审计权、访问限制、数据本地化/隔离、分包限制等，以及与此相关的违约责任与终止条款）写入合同，使之转化与固定为中方的合同义务。

考虑到2025年9月在美国已有司法案件涉及EO 14117[11]，该命令可能会成为未来中企开展涉美业务过程中的合规风险集中领域。对中国企业而言，将相关合规机制嵌入流程成为应对EO 14117必须面临的要求。

除美欧之外，其他法域的数据立法与执法行动也日趋活跃。面对多法域的数据合规挑战，我们建议企业可采取“合规样板间”的思路，即先搭建一个全球数据治理基础框架作为“样板间”，再按照各个法域的特定要求适配“本地化装修”，从而实现高效、可叠加、成本可控、统一的完善全球数据合规体系。

四、人工智能：“小切口立法”与“敏捷治理”

在人工智能监管与治理领域，相较于欧盟《人工智能法案》的综合立法思路，中国显然采取了一种更加务实的推进路径：“小切口立法”与“敏捷治理”。从人大层面的相关立法工作计划表述的变化中，亦可以看到，立法机关并未把人工智能的综合立法“抬升”为近期必审的单行法项目，而是继续观察、条件成熟再上。与此同时，人工智能技术迭代迅速，对社会的影响日益凸显，中国的监管部门则是把更为敏捷的规则响应交给“小切口立法+配套治理工具”去承接。例如，在《网络安全法》修改中专门增设人工智能安全与发展的框架性条款，以原则性立法“定方向、留接口”，再通过部门规章、标准规范、行政执法与司法裁判持续迭代，直到条件成熟时上升为综合性立法。

（一）监管版图初成：三条主线与三类规则

2025年，国内人工智能监管与治理沿两条线并行推进：一条是“新规补口”，即在算法推荐、深度合成与生成式人工智能服务管理的既有框架之上，通过更具操作性的规则把关键控制点进行规制，例如《人工智能生成合成内容标识办法》及配套强制性国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》；另一条是“体系抬升”，在国家层面以《关于深入实施“人工智能+”行动的意见》为代表的“人工智能+”行动把产业促进与安全治理放在同一张政策桌面上。

从规范构成形态看，我国人工智能治理呈现出“法律—行政法规/部门规章—国家标准—执法案例”层层加码的结构。从监管逻辑看，则贯穿三条主线：一是“可识别”，让公众与监管能识别人工智能生成合成内容并追溯来源；二是“可控制”，让模型输出的风险可被约束、纠偏与处置；三是“可问责”，让责任链条能够被证明、被追究并形成持续改进。

从企业合规视角，则可把现行规则归为三类：

第一类是内容生成与传播治理规则，聚焦算法推荐、深度合成与生成式人工智能服务的内容安全、用户管理与风险处置，形成以《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》为主干的制度骨架。

第二类是数据安全治理规则，聚焦训练数据与业务数据的合法来源、最小必要、安全影响评估、跨境流动与安全保护等，把人工智能纳入目前中国网络安全与数据保护的“三法四条例”（网络安全、数据安全与个人信息保护）的整体法律框架之中。

第三类是产业与治理能力建设规则，包括《关于深入实施“人工智能+”行动的意见》在内，强调“应用牵引+安全可控”，以“人工智能+”行动推动算力、数据供给、开源生态、应用场景与治理能力协同建设。

（二）2025年制度供给：标识义务等增量义务

2025年3月四部门联合发布《人工智能生成合成内容标识办法》，并以强制性国家标准GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》对标识方法进行技术固化，于2025年9月1日起同步施行。这一“规章+强标”的组合，实质上把过去对生成式人工智能/深度合成算法规则中相对原则化的标识要求，升级为可被技术验证、可被执法引用的底线。在合规要求上，把“标识”拆解为显式标识与隐式标识：显式标识面对用户，用文字、声音、图形等可感知方式提示；隐式标识嵌入文件元数据，承载服务提供者与内容编号等要素，面向平台核验与监管追溯。

《人工智能生成合成内容标识办法》并不仅仅把合规义务压在“生成端”，而是通过责任拆分，构造了一个“源头标识—分发审核—传播核验—用户声明”的闭环；在链条更长、主体更多的场景中，规则目标是要求平台建立可复用的技术能力，以确保标识不会在转码、剪辑、二次传播中丢失或被规避。基于此，企业的标识义务已经不再是 “贴个水印”那么简单，而是一次内容可信基础设施的升级，要求企业把标识能力嵌入生成、导出、分发、存储与合规审计的全流程。

（三）执法画像：从“内容输出端”转向“全链条合规”

鉴于人工智能技术应用的持续深化及对社会的影响加深，监管规则强化之后，执法也迅速跟进。2025年与人工智能相关的监管执法呈现出明显的“抓机制、抓链条、抓可核验点”的趋势：

一方面，网信部门围绕生成合成内容标识开展集中治理，把“显式标识/元数据隐式标识/传播侧核验与提示/用户声明功能”等拆成可抽检、可取证的清单化执法要点。

另一方面，地方网信部门对提供生成式人工智能服务的网站/应用开展专项行动，强调安全评估、反滥用措施、内容风控、敏感要素提示与管理，对拒不整改者立案处理；同时，监管视角并未局限在“输出端”，而是开始把“训练与数据端”的问题纳入执法样本：涉及人脸等敏感个人信息的采集、编辑、训练与调用，如果缺少影响评估、告知同意与安全措施，容易与个人信息保护执法形成叠加风险。

（四）合规建议：AI生命周期的五个阶段

在企业落地层面，企业可以把AI系统生命周期拆为五个阶段，并为每个阶段配置适当的证据要素：

一是立项与需求阶段：明确用途边界、用户群体、是否具有舆论属性或社会动员能力、是否涉及未成年人、是否用于重大决策、是否提供拟人化互动服务、模式部署方式；形成风险分级与合规路径判断。

二是数据与训练阶段：形成训练数据清单与授权关系、数据处理活动台账与个人信息影响评估材料（如适用）、去标识化与脱敏记录、数据安全与访问控制记录，以及供应链引入（开源数据集、第三方模型/工具）尽调材料。

三是上线与发布阶段：形成模型能力与风险清单（能力边界、已知风险、适用与禁用场景）、内容安全策略与拦截规则、测试报告与整改记录、用户交互材料。形成标识实现说明：显式标识在何处呈现、隐式标识写入何处、导出与转码如何保持、平台核验如何实现、以及如何防篡改与存证。

四是运行与监测阶段：建立输入与输出的日志留存策略（兼顾必要性与数据最小化）、异常输出监测与工单处置、用户申诉与纠错渠道、以及定期复测与年度审计安排。

五是事件响应阶段：形成“应急预案—分级报告—证据保全—补救与纠偏—复盘改造”闭环材料。尤其在虚假内容、冒用身份与深度伪造高发的环境下，事件响应能力直接决定损害是否可控。

五、展望2026：三个确定性与三个不确定性

人工智能技术在快速迭代，外部环境复杂多变，国内经济也在经历转型期的阵痛，在诸多不确定性中找到确定性是一件不容易的事情。

（一）三个确定性：更强的工程化、更细的场景化、更深的链条化

第一，更强的工程化：监管对漏洞、配置、日志、值守、标识等可核验指标的依赖会持续增强，“纸面合规”会越来越难以经得起监管检查。

第二，更细的场景化：刷脸、智能终端、SDK生态、AI生成内容标识等场景监管将继续被细化，企业需要采用场景治理的路径，而不是一套规则打天下。

第三，更深的链条化：供应链与跨境将继续成为高频审查点，尤其是在外包、云服务、模型训练、数据共享与全球运营中，监管所理解的免责逻辑已经发生了变化。

（二）三个不确定性：技术迭代速度、域外规则叠加与行业监管节奏

第一，技术迭代速度的不确定性：模型能力更新、开源生态变化、算力与工具链升级、应用场景侵入性提高，会不断制造新的合规边界问题。

第二，域外规则叠加的不确定性：欧盟对跨境传输与平台责任监管的持续演进、美国数据安全规则与出口管制政策的联动，会让中企出海面临更复杂的合规组合题。

第三，行业监管节奏的不确定性：不同监管部门、不同地区与不同产业的执法节奏可能并不一致，企业需要建立“可快速适配”的内控体系。

结语：数据合规正在变成经营底座

2025年告诉我们：网络安全与数据保护正在从“法律风险管理”变成“经营底座建设”。当监管越来越依赖工程事实与证据链，当跨境规则在欧盟与美国同时收紧，中企出海要面对的不再是单一法域的合规，而是多法域叠加下的结构性摩擦。能否把数据合规做成系统——把责任链条、评估机制、安全能力、第三方治理做成日常运行的基础设施——将决定企业能否行稳致远。

[注]

[1]参见：https://www.cac.gov.cn/2025-09/16/c_1759741437315419.htm，最后访问时间：2026年1月1日。

[2]参见：https://www.cac.gov.cn/2025-09/16/c_1759741437315419.htm，最后访问时间：2026年1月1日。

[3]参见：https://www.cac.gov.cn/2025-09/16/c_1759741437315419.htm，最后访问时间：2026年1月1日。

[4]参见：https://www.cac.gov.cn/2025-03/28/c_1744867353112759.htm，最后访问时间：2026年1月1日。

[5]参见：https://www.cac.gov.cn/2025-09/16/c_1759741437315419.htm，最后访问时间：2026年1月1日。

[6]参见：https://society.people.com.cn/n1/2025/0918/c1008-40567004.html，最后访问时间：2026年1月1日。

[7]参见：https://www.cac.gov.cn/2025-09/16/c_1759741437315419.htm，最后访问时间：2026年1月1日。

[8]参见：https://society.people.com.cn/n1/2025/0918/c1008-40567004.html，最后访问时间：2026年1月1日。

[9]参见：https://www.cac.gov.cn/2025-09/16/c_1759741437315419.htm，最后访问时间：2026年1月1日。

[10]参见：https://www.dataprotection.ie/en/news-media/latest-news/irish-data-protection-commission-fines-tiktok-eu530-million-and-orders-corrective-measures-following，最后访问日期：2026年1月1日。

[11]参见Porcuna v. Xandr, Inc.与Baker v. Index Exchange, Inc.案。