安全库消息,2015年10月28日,十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定,自2026年1月1日起施行。新修《网络安全法》2025年10月28日修正版,重点强化网络安全法律责任,加大对违法行为处罚力度;同时新增了人工智能安全与发展的内容,加强AI风险监测评估和安全监管,促进人工智能应用和健康发展。
修改后《网络安全法》充实了网络安全工作指导原则,强化责任落实,增加促进人工智能安全与发展的框架性规定,这标志着我国AI安全治理加速迈入法治轨道。
在政策和合规要求不断加码的前提下,企业强化AI安全治理已经成为人工智能时代的“必选项”,这不仅是IT部门工作,更是企业整体战略的核心任务。
为此,安全库认为推出AI安全治理框架,围绕六大治理维度展开全面布局,通过大模型卫士、大模型安全评估服务等产品服务,构建起覆盖AI全生命周期的安全防护体系,为人工智能发展保驾护航。
新修《网络安全法》嵌入人工智能发展与安全框架
2016年制定的网络安全法是网络安全领域的基础性法律。此次网络安全法的修改,适应网络安全新形势新要求,重点强化网络安全法律责任,加强与相关法律的衔接协调。
在责任强化方面,新修网络安全法加大了对违法行为处罚力度。具体体现在:
一是增加了行政处罚类型,例如新增了对直接负责的主管人员和其他直接责任人员的罚款规定;
二是大幅提高了罚款额度,例如对造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,由有关主管部门处二百万元以上一千万元以下罚款;
三是丰富了处罚手段,引入了责令暂停相关业务、停业整顿、吊销相关业务许可证等措施。
为回应人工智能治理和促进发展的需要,新修《网络安全法》增加相关规定,具体包括:国家支持人工智能基础理论研究和算法等关键技术研发,推进人工智能训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强安全风险监测评估,创新并加强人工智能安全监管,促进人工智能健康发展。
全国人大常委会法工委发言人王翔指出,此次修法采取“小切口”方式回应实践新需求,既贯彻总体国家安全观要求,又为AI产业创新预留发展空间,体现了“安全可控前提下鼓励创新”的治理智慧。该条款的落地将填补AI安全领域的基础性法律空白,为后续专项监管政策提供上位法依据。
政策密集出台:构建AI安全治理“制度矩阵”
2025年9月以来,我国人工智能安全治理领域迎来政策密集期,从国家战略到具体规范的多层次制度体系加速成型,与《网络安全法》修订形成呼应与衔接。
9月1日,国务院印发《关于深入实施“人工智能+”行动的意见》,将“提升安全能力水平”作为核心任务之一,明确要求构建与AI技术发展相适应的安全防护体系,为产业发展划定安全底线。该这意味着从国家行动层面首次将AI安全纳入“人工智能+”落地的前置条件。
9月15日,国家网络安全宣传周期间发布了《人工智能安全治理框架》2.0版。相较于1.0版,2.0版新增“可信应用、防范失控”核心原则,构建起涵盖内生安全风险、应用安全风险、应用衍生安全风险的三维风险分类体系,首次将科技伦理治理系统纳入整体框架。同期发布的《政务大模型应用安全规范》则聚焦具体场景,从数据采集、模型训练到部署运维全流程设定安全标准,解决了政务领域AI应用的“安全操作指南”问题。
10月,中央网信办与国家发展改革委联合印发的《政务领域人工智能大模型部署应用指引》,进一步细化了“人工智能+政务”的安全要求。作为《“人工智能+”行动意见》的落地文件,该指引提出“安全评估前置、动态监测贯穿、应急响应闭环”的实施路径,要求政务部门建立AI模型安全台账,对涉及公共利益的应用开展年度安全评估,确保技术应用始终处于可控范围。
这一系列政策形成“国家战略-治理框架-场景规范-实施指引”的四级制度矩阵,既回应了全球AI安全治理的共性难题,也为我国企业AI安全建设提供了明确的合规方向。
企业须以战略思维构建AI安全治理体系
随着新修《网络安全法》将于2026年1月1日实施,政策体系的完善为企业安全建设划定了跑道,而如何将合规要求转化为实践能力,成为企业面临的核心挑战。
企业推动AI安全治理,首先要把AI安全纳入企业整体战略,而不是单点技术问题。企业应遵循“透明、可控、负责、合规、以人为本”的治理原则,明确责任,设立法务、合规、信息安全、业务等在内的跨部门治理委员会,确保治理框架顺利落地。
AI安全治理框架,围绕六大治理维度展开全面布局,构建起覆盖AI全生命周期的安全防护体系,为企业AI应用保驾护航。
第一是模型安全治理维度,主要聚焦模型内生风险缓解、攻击安全防御及决策透明与可解释性。其中包括对模型幻觉进行综合性缓解,构建AI驱动的纵深防御体系,推动模型决策过程透明显性化,同时做好模型完整性保障,在模型引入和上线前进行安全合规评估,确保模型安全可控。
第二是数据与隐私维度,重点保障模型训练阶段内外部数据安全、隐私及知识产权合规。包括严格筛选训练数据来源,加强敏感数据保护,落实个人信息合规保护要求,防范内部核心数据与知识产权泄露和失窃,为AI模型训练筑牢数据安全基石。
第三是应用与运营维度,致力于推动科学合理、安全地使用模型赋能业务应用与日常运营。建立审查机制,实施精细化访问与权限管理,并开展全链路运营监控,同时引入多源外部威胁情报,提升AI安全事件敏捷响应能力。
第四是基础安全维度,强化支撑AI稳定运行的IT系统环境安全措施。包括全面盘清AI相关资产,开展脆弱性扫描与风险评估,进行全面纳管与监控;并实行环境隔离,严格控制网络访问权限,加强身份行为安全与特权治理,保障IT系统环境稳定可靠。
第五是人员与责任维度,明确AI安全治理组织职责分工与协作机制。包括推动多部门密切配合协作,建立清晰问责机制,确保责任到人,并持续提升公司员工AI安全治理能力。
第六是持续改进维度,确保安全治理动态响应监管、安全态势与AI技术变化。包括定期开展风险评估,建立可审计的治理流程,密切追踪AI技术发展与法律法规更新,不断优化安全治理举措,适应AI领域快速变化的安全需求。