国晋文化专业文章

【国晋研析】从新修改的《网络安全法》看AI合规安全治理体系构建

2026.01.05

2025年10月28日，全国人民代表大会常务委员会通过了《关于修改〈中华人民共和国网络安全法〉的决定》。新修改的《网络安全法》于2026年1月1日施行。

《网络安全法》在本次修改过程中，内容涉及诸多方面，包括但不限于人工智能（以下或简称“AI”）发展与治理、网络运营者以及关键基础设施运营者的网络安全保护义务、依法履行违法信息处置义务等等。本文仅从人工智能发展与合规安全治理体系构建角度，进行梳理分析。

一、法条修改及意义

1、法条修改

2026年1月1日修改后施行的《网络安全法》第二十条规定：国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。

2、修改意义

当前AI技术的发展速度，比人类任何一个时代的技术变革都要快出很多倍，特别是生成式人工智能技术的快速迭代演进和应用，在伦理规范、算法黑箱、数据训练与收集、个人信息安全等各个方面，均已使传统网络安全治理模式不再完全契合当前的发展需求，这不仅是中国的现实问题，也是世界所面临的亟待解决的问题。

一方面，相较于此前国家在部门规章层面对人工智能合规安全治理的治理体系构建，本次《网络安全法》的修改，意味着正式从法律层面有针对性的确立了AI合规安全治理体系的法源基础和方向。

另一方面，本次法条修改，对于AI发展过程中所面临的防范技术风险，落实安全可控，维护公共利益等现实治理需求，进行了正面回应，同时也向世界传达了我国对于AI发展过程中所面临的合规安全发展的治理态度和方案。

二、我国人工智能合规安全治理体系的前期构建

01 2017发展规划初建

2017年7月8日，国务院印发《新一代人工智能发展规划》（国发[2017]35号），从政府层面，首次将人工智能上升为国家战略。其中不仅提到，人工智能已成为国际竞争的新焦点，经济发展的新引擎，进而提出“三步走”战略；同时也明确提出“人工智能可能带来改变就业结构、冲击法律与社会伦理、侵犯个人隐私、挑战国际关系准则等问题，将对政府管理、经济安全和社会稳定乃至全球治理产生深远影响；在大力发展人工智能的同时，必须高度重视可能带来的安全风险挑战，加强前瞻预防与约束引导，最大限度降低风险，确保人工智能安全、可靠、可控发展。”

该规划中，还提出：加强人工智能相关法律、伦理和社会问题研究，建立保障人工智能健康发展的法律法规和伦理道德框架；开展与人工智能应用相关的民事与刑事责任确认、隐私和产权保护、信息安全利用等法律问题研究，建立追溯和问责制度，明确人工智能法律主体以及相关权利、义务和责任等。坚持安全性、可用性、互操作性、可追溯性原则，逐步建立并完善人工智能基础共性、互联互通、行业应用、网络安全、隐私保护等技术标准。

02 三法共治下多层体系形成

2021年，我国相继出台《个人信息保护法》和《数据安全法》，结合此前于2017年出台的《网络安全法》，在数字领域形成了三法共治的阶段。

在上述三法共治的框架结构下，此后至今，我国还陆续出台了《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《关于构建数据基础制度更好发挥数据要素作用的意见》、《生成式人工智能服务管理暂行办法》、《人工智能安全治理框架》1.0版及2.0版、《人工智能生成合成内容标识办法》等一系列文件、标准或部门规章。其中，关于AI合规安全发展的治理领域：

（1）《网络安全法》是基础性法律。

（2）数据是AI发展的“石油”，《数据安全法》对AI的数据收集、处理的活动，进行数据训练等过程的合法性提供了法律依据。

（3）《个人信息保护法》对个人信息权益，个人隐私保护，防止算法滥用等方面，提供了相关的法律依据。

（4）《互联网信息服务算法推荐管理规定》，明确了算法推荐服务提供者应当落实算法安全主体责任，建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施，制定并公开算法推荐服务相关规则；......有关部门建立算法分级分类安全管理制度；....算法推荐服务提供者依法进行备案等。

（5）《互联网信息服务深度合成管理规定》，明确了深度合成服务提供者应当对使用者进行真实身份信息认证，采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核，采取必要措施保障训练数据安全，深度合成服务提供者提供以下深度合成服务，可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成情况等。

（6）《关于构建数据基础制度更好发挥数据要素作用的意见》，诉称《数据二十条》，提出了“建立数据资源持有权、数据加工使用权、数据产品经营权”三权分置的产权运行机制，为数据产权制度的构建提供了逻辑起点。

（7）《生成式人工智能服务管理暂行办法》，是我国首部专门针对生成式AI的规范性文件，提出：提供者应当依法承担网络信息内容生产者责任，履行网络信息安全义务，并与注册其服务的生成式人工智能服务使用者签订服务协议等规定；......提供具有舆论属性或者社会动员能力的生成式人工智能服务的，应当开展安全评估，并依规备案。

（8）《人工智能安全治理框架》1.0以及2.0版本，提出了包括“包容审慎、确保安全；风险导向、敏捷治理；技管结合、协同应对；开放合作、共治共享；可信应用、防范失控”等治理原则，同时提出构建AI科技伦理准则，应用衍生风险治理维度等。可以说，该治理框架是本次修改《网络安全法》的逻辑基础。

（9）《人工智能生成合成内容标识办法》，一方面明确了人工智能生成合成内容标识包括显式标识和隐式标识；另一方面在技术标准与管理制度方面的融合，也进行了有效的推进。

三、新《网络安全法》修改后的AI合规安全治理体系

根据新《网络安全法》第二十条之规定，国家对AI合规安全治理体系的思路为：

1、支持人工智能基础理论研究和算法等关键技术研发

结合《新一代人工智能发展规划》，我国到2030年人工智能理论、技术与应用总体达到世界领先水平，成为世界主要人工智能创新中心，智能经济、智能社会取得明显成效，为跻身创新型国家前列和经济强国奠定重要基础。

在此背景下，持续建立和发展基础理论体系、技术体系以及创新平台，是首要之举。

2、推进训练数据资源、算力等基础设施建设

如前所述，数据和算力是AI发展的核心。没有数据和算力基础设施的建设，AI的训练和发展就是空中楼阁，无本之末。因此，加强可信数据集的建设，确保数据来源合法、权益清晰、流程合规、内容准确且可追溯，有序推进数据在分类分级基础上的开放，是推进AI合规发展的重要基础之一。此外，对于算力基础设施的建设，更应该将其立足于相当于水、电、气、公路等社会经济发展的基础要素的重要性上来对待。

3、完善人工智能伦理规范

人工智能的最终发展目的是要服务于人、服务于社会；背离了人类社会伦理的人工智能就像是脱缰的野马。

结合《新一代人工智能伦理规范》，人工智能应当遵循的基本伦理规范包括：

（1）增进人类福祉，坚持以人为本，遵循人类共同价值观；

（2）促进公平公正，坚持普惠性和包容性，促进社会公平正义和机会均等；

（3）保护隐私安全；

（4）确保可控可信，保障人类拥有充分自主决策权，确保人工智能始终处于人类控制之下；

（5）强化责任担当，坚持人类是最终责任主体，在人工智能全生命周期各环节自省自律，建立人工智能问责机制；

（6）提升伦理素养，深入推动人工智能伦理治理实践，提升应对能力。

伦理规范作为人工智能的行为准则，应当将其明确为AI全生命周期的治理依据和原则。在具体落地伦理规范的过程中，有待于技术领域的进一步探索，并完善人工伦理审查及控制等具体措施。

4、加强风险监测评估和安全监管

风险监测评估和安全监管，是AI合规安全治理的具体抓手。

具体实践中，对于风险监测评估，应当坚持“分级（低风险、一般风险、较大风险、重大风险、特别重大风险）管理”、“分类管理”“数据合规（数据来源、数据确权、数据存储、数据加工流转、数据销毁等全流程环节）管理”、“依法及时备案”等具体措施。

对于安全监管，目前我国建立了多部门（网信、公安、科技、市场监督管理、工信等）协同管理的模式。但笔者认为，结合其他领域的行业发展和行政监管模式演变来看，并考虑监管效率和效果的因素，未来对于AI及网络信息、数据领域的监管，似乎以1-2个部门的集中管理更有利于行业的发展。

此外，对于重点领域、或者争议较大领域，比如医疗AI（以及医疗数据的使用）等，仍有待于国家制度层面进一步的明确和完善。

参考资料

1、寿步，《网络安全法的修改与人工智能安全治理制度的确立》,2026.1.2；

2、申卫星、陆志鹏，《数据产权论》，商务印书馆，2024年9月第一版；

3、陈福，《数据四重性及其合规系统》，知识产权出版社，2022年11月第1版。