导语:
全国人大常委会法工委透露,《网络安全法》修正草案将在下一次会上二审,新增“促进人工智能安全与发展”的条文并强化对个人信息买卖的处罚。对企业而言,这是一次同步升级安全治理、AI 管理与合规流程的契机。本文从法规脉络、工程策略与组织协同三方面梳理“二审前夜”必须完成的作业。
今日速览
- 新华社、中国日报等媒体集中报道:修正草案拟在《网安法》中增加“促进人工智能安全与发展”内容,并对非法出售、提供个人信息的行为加大处罚力度(新华网、中国日报网、2025-10-24)。
- 新京报、安全内参等进一步指出,修正案将更明确算法安全、数据跨境、关键信息基础设施保护等条款,为 AI 治理提供基本法支撑(2025-10-23)。
- 央媒评论强调,该修订是回应 AI 治理、数据要素市场与个人信息安全的现实需求,预示监管将走向“常态化 + 可量化”。
法规脉络:从“边界”到“体系”
修正草案释放出三条核心信号:
- AI 被纳入基本法:算法备案、模型评测、提示审计、责任界面将有法可依;
- 个人信息保护升级:对非法买卖数据的处罚更严,企业必须加强数据供应链管理;
- 监管手段多元:安全评估、标准合同、认证、沙箱等工具会被组合使用,要求企业具备“多路径合规”能力。
工程策略:三项可执行任务
- 资产台账 + 证据链:梳理所有 AI 项目、模型、数据集、第三方服务,建立元数据、血缘、用途、生命周期台账,并保存审计日志;
- 策略即代码(GRC-as-Code):把敏感词、用途限制、输出水印、模型评测、内容安全等策略写入数据流水线与 CI/CD,形成自动化门禁;
- 一体化指挥台:构建可视化治理平台,实时展示数据访问、模型调用、跨境请求、异常事件,支持监管沟通与内部决策。
组织协同:四线合一
- 法务 & 合规:负责解释法规、制定标准、管理外部认证与报告;
- 安全 & 技术:实现策略、审计、告警、应急;
- 业务 & 产品:在项目立项阶段就纳入合规评估,避免“上线后补丁”;
- 监管沟通:建立“单一窗口”,在二审与后续实施细则期间及时反馈诉求、获取指导。
行动清单(2-4周)
- 召开高层工作坊,明确修法带来的责任划分与指标。
- 对现有 AI/数据项目进行“三个百分比”盘点:资产登记率、评测覆盖率、日志留存率。
- 启动“提示与输出审计”项目,覆盖生成式 AI 的风险点。
- 升级供应链安全程序,对外部模型、数据、插件实施准入和合同约束。
指标建议
- 合规:AI 项目备案率、数据跨境审批通过率、审计整改周期;
- 安全:异常输出告警、数据越权事件、模型攻击检测次数;
- 效率:合规评审时间、自动化策略命中次数;
- 成本:合规工具投入、外部认证费用、违规罚款减免。
案例参考
- 互联网平台:上线 Prompt & Output 审计平台,每条敏感输出都能追踪到责任人和模型版本;
- 制造企业:用 GRC-as-Code 在 Edge 侧执行数据分级与模型访问控制,满足跨国客户审计;
- 金融机构:以“AI 项目三色分级”制度管理风险,红色项目必须经过独立测试与监管报备。
结语
修法不是“监管洪水”,而是一次治理体系升级。企业越早将 AI 安全、数据合规、供应链治理写成“可执行的系统”,越能在政策落地时获得主动权,甚至把合规能力转化为竞争壁垒。
下一步
- 随着二审临近,可提前与行业协会、监管机构沟通试点需求;
- 建立“法规情报周报”,同步政策、标准、处罚案例;
- 策划年度 AI 安全演练,将提示注入、模型投毒纳入脚本;
- 将合规成果对外发布,增强客户与合作伙伴信任。
参考事件
- 新华网:《人大常委会丨我国拟修改网络安全法促进人工智能健康发展》,2025-10-24。
- 中国日报网:《网络安全法修正草案拟增加促进人工智能安全与发展的内容》,2025-10-23。
- 新京报:《回应人工智能治理需要,网络安全法修正草案将提请二审》,2025-10-23。
- 新浪财经:《网络安全法修法,明确处罚非法出售或非法向他人提供个人信息行为》,2025-10-26。
