本文3829字 阅读约需 10分钟

　　可信数据空间试点落地，使用AI工具致数据泄密……2025年，在数字化转型与人工智能深度融合的背景下，数据安全领域呈现“政策加速完善、风险多点爆发、治理精准落地”的鲜明特征。一方面，从金融到能源的关键行业专项规章密集出台，可信数据空间、数据集建设等标准体系逐步成型，为数据安全划定清晰合规边界；另一方面，第三方漏洞、车机系统缺陷等引发的数据泄露事件频发，凸显数据全生命周期防护的短板。

2025年数据安全领域呈现三大特征

复盘2025年全年，三条核心特征贯穿始终：

　　其一，行业化政策体系全面落地。

　　数据安全治理告别“通用型”框架，转向“领域深耕”模式，金融、、汽车、能源等关键行业专项管理办法相继出台，明确“业务与数据安全绑定”原则，将抽象合规要求转化为可操作的分级分类管理机制，推动数据安全从“被动应对”转向“主动规划”。

　　其二，第三方供应链成最大风险缺口。

　　全年超40%的数据泄露事件源于第三方合作平台漏洞，从酒店预订系统到车企外包服务，供应链环节的权限管控缺失、接口安全薄弱等问题集中爆发，倒逼企业将第三方纳入自身数据安全治理体系，构建“全链条防护”格局。

　　其三，技术标准与治理实践协同推进。

　　可信数据空间试点、高质量数据集标准等技术规范的发布，与数据安全风险评估办法形成“技术+管理”双轮驱动，既为企业提供数据安全建设的“技术标尺”，也通过风险评估机制压实主体责任，实现“合规有依据、防护有方向”。

十大数据安全事件全回顾

一、4月：国家数据局启动可信数据空间创新试点，筑牢数据流通安全底座

　　2025年4月8日，国家数据局综合司正式发布《关于组织开展2025年可信数据空间创新发展试点工作的通知》，标志着我国数据安全流通体系从“理论探索”进入“实践落地”阶段。试点工作以“安全可信、互联互通”为核心目标，聚焦政务数据共享、工业数据流通、公共数据开放三大场景，要求试点单位构建涵盖数据确权、访问控制、溯源审计的全流程安全机制，探索数据“可用不可见”的技术路径。

　　此次试点明确两大关键方向：一是技术层面要求采用隐私计算、区块链等技术，实现数据在可信环境内的安全调用；二是管理层面需建立跨主体的协同治理机制，明确数据提供方、使用方、运营方的安全责任。截至2025年底，全国已有23个省市申报试点项目，涉及金融、制造、医疗等12个重点行业，为后续全国性可信数据空间建设积累“可复制、可推广”的实践经验。

二、5月：央行发布金融数据安全专项规章，划定银行业数据防护边界

　　2025年5月1日，中国人民银行正式发布《中国人民银行业务领域数据安全管理办法》（以下简称《办法》），自6月30日起施行。作为金融领域首部针对央行业务数据的专项规章，《办法》首次确立“谁管业务，谁管业务数据，谁管数据安全”的核心原则，填补了金融数据安全“业务与安全脱节”的治理空白。

　　《办法》的核心亮点在于“分级分类+全流程管控”，同时明确金融机构主要负责人为数据安全第一责任人，对未落实安全措施导致数据泄露的，将依法追究管理层责任。《办法》实施后，国有大型银行、股份制银行陆续完成数据分级分类梳理，推动金融数据安全从“形式合规”转向“实质防护”。

　　三、5月：2025数据安全发展大会在温州召开，数据要素生态建设成核心焦点

　　2025年5月，以“瓯江论数 数安未来”为主题的2025数据安全发展大会在浙江温州瓯海区举办。大会共促成产学研合作项目53个，总投资超20亿元。

　　作为国内数据安全领域的年度盛会，本次大会由温州市人民政府主办，吸引国家部委领导、两院院士、行业领军企业代表等千余名嘉宾参会，聚焦数据安全与数据要素市场化改革深度融合，成为全年数据安全生态建设的“风向标”事件。

　　四、5月：全国连锁酒店第三方平台漏洞致86万会员数据泄露，供应链风险引警惕

　　2025年5月，某全国性连锁酒店集团因第三方预订平台数据接口存在未授权访问漏洞，导致全国120余家门店的86万条会员数据泄露，成为年内典型的“第三方供应链数据安全事件”。

　　泄露数据涵盖会员姓名、手机号、身份证号、入住记录、消费偏好等敏感信息，部分商务旅客因行程泄露遭遇商业谈判信息外泄，甚至出现“精准诈骗”——诈骗分子冒充酒店客服，以“订单异常”为由诱导旅客提供银行卡信息。经调查，漏洞源于第三方平台未对数据接口设置访问权限校验，攻击者通过简单的参数篡改即可获取会员数据，且未开启接口调用日志审计，导致漏洞长期未被发现。监管部门对酒店集团及第三方平台分别处以30万元、45万元罚款，并提出相关整改要求。

　　五、5月：2025数博会发布《高质量数据集建设指引》，填补数据质量安全标准空白

　　2025年5月，在贵阳举办的中国国际大数据产业博览会上，《高质量数据集建设指引》（以下简称《指引》）及相关配套标准文件正式发布。该指引由全国信息安全标准化技术委员会牵头制定，是我国首部针对数据集质量与安全的综合性标准，解决了此前“数据质量无标准、安全无要求”的行业痛点。

　　在这场科技盛宴中，奇安信集团以“AI引领数据安全新纪元”为核心议题，携其最新研发成果亮相数博会现场，与全球同行共谋AI时代下数据安全的发展蓝图。针对AI应用带来的数据安全挑战，奇安信创新提出了“大模型安全空间防护策略”：将大模型应用所涉及的数据资源、计算能力、平台架构、应用场景以及管理域内的终端与人员纳入“红域”进行专属防护，覆盖从训练、微调、部署到运营的各类风险场景，构建起多层次的纵深防御体系，有效降低大模型应用的数据泄露风险与业务中断风险，为基于大模型的智能业务应用提供坚实保障。

　　六、6月：头部新能源车企车机系统被入侵，53万车主数据泄露引人身安全担忧

　　2025年6月，某头部新能源车企因车机系统后台数据库存在SQL注入漏洞，被非法入侵导致53万余名车主数据泄露，成为年内影响最大的“智能汽车数据安全事件”。泄露数据不仅包含车主姓名、身份证号等个人信息，还涵盖车辆识别码（VIN）、实时定位轨迹、充电记录、驾驶习惯（如急加速、急刹车频率）等敏感数据。

　　事件曝光后，工信部立即约谈该车企，责令其限期整改，并处以120万元行政处罚。企业后续推出车机系统安全升级包，建立数据脱敏存储机制，并公开致歉承诺承担用户安全损失。此次事件推动新能源汽车行业掀起“车机数据安全专项整治”，多家车企陆续公布数据安全白皮书。

　　七、7月：某消费金融公司信贷数据暗网售卖，外包商漏洞致286万条记录泄露

　　2025年7月，某暗网交易平台出现某消费金融公司信贷数据售卖信息，卖家宣称掌握286万条完整信贷记录，包含借款人姓名、身份证号、收入证明、还款记录等核心信息，以200美元打包出售。经调查，数据泄露源于该公司外包数据处理商的安全管理漏洞——外包商未对信贷数据加密存储，且员工账号存在“一人多岗”权限滥用问题，涉事员工非法导出数据后售卖给黑灰产。

　　监管部门对该消费金融公司处以80万元罚款，吊销外包商的数据处理资质，涉事员工被依法追究刑事责任。此次事件暴露消费金融行业“外包数据管理”的短板。事件后，银保监会发布《消费金融数据外包安全指引》，要求金融机构对外包服务商实行“准入-审计-退出”全周期管理，每季度开展一次数据安全检查。

　　八、7月，科研人员违规使用AI工具致数据泄密，凸显AI带来的数据安全危机

　　7月，国家安全部对外披露了一起“违规使用AI工具，导致数据泄密”案例：某科研机构研究人员小李，在撰写一份研究报告时，为图方便，使用了某AI应用软件，擅自将核心数据及实验成果作为写作素材进行上传，导致该研究领域涉密信息泄露。事后，小李受到严肃处理。

　　国安部披露的多起AI工具泄密事件仅是冰山一角。此前一项研究显示，15%的员工经常在ChatGPT上传公司数据，其中超四分之一涉及敏感信息。这些数据泄露风险提醒我们：缺乏防护的AI，极易成为企业数字资产的“溃堤之口”，切莫因10分钟的AI提效，让十年积累的核心数据被窃取，导致竞争优势瞬间崩塌。因此，在AI驱动效率狂奔的同时，安全绝不能掉队。为此，奇安信推出了大模型卫士系统，集成了大模型卫士网关（GPT-GUARD）、安全风险AI鉴定平台、监测审计平台等核心组件，帮助企业在AI时代筑牢安全防线。

　　九、12月：国家能源局印发《能源行业数据安全管理办法（试行）》，首提“能源数据全生命周期防护”

　　2025年12月8日，国家能源局正式印发《能源行业数据安全管理办法（试行）》（以下简称《能源办法》），自2026年7月1日起施行，有效期5年。《办法》明确了国家能源主管部门、省级能源主管部门、能源数据处理者的基本职责和权利义务，对能源行业重要数据、核心数据的精准识别和安全保护提出了明确要求。

　　作为能源行业落实《数据安全法》的首部规范性文件，《能源办法》首次明确“能源数据安全与能源安全同等重要”的定位，填补了能源领域数据安全治理的空白。

　　十、12月：《数据安全风险评估管理办法》征求意见稿公布，统一数据安全评估标准

　　2025年12月底，国家网信办发布《数据安全风险评估管理办法（征求意见稿）》（以下简称《评估办法》），向社会公开征求意见。该办法旨在解决此前数据安全评估“标准不统一、流程不规范”的问题，为企业提供“可操作、可落地”的评估指南。

　　《评估办法》的核心亮点在于“标准化+常态化”。预计办法正式实施后，将进一步压实企业数据安全主体责任，推动数据安全评估从 “可选动作”变为“必选动作”。