10月28日,十四届全国人大常委会第十八次会议表决通过关于修改网络安全法的决定,自2026年1月1日起施行。新修《网络安全法》重点强化网络安全法律责任,加大对违法行为处罚力度;同时新增了人工智能安全与发展的内容,加强AI风险监测评估和安全监管,促进人工智能应用和健康发展。
奇安信安全专家认为,修改后《网络安全法》充实了网络安全工作指导原则,强化责任落实,增加促进人工智能安全与发展的框架性规定,这标志着我国AI安全治理加速迈入法治轨道。
在政策和合规要求不断加码的前提下,企业强化AI安全治理已经成为人工智能时代的“必选项”,这不仅是IT部门工作,更是企业整体战略的核心任务。
为此,奇安信推出AI安全治理框架,围绕六大治理维度展开全面布局,通过大模型卫士、大模型安全评估服务等产品服务,构建起覆盖AI全生命周期的安全防护体系,为人工智能发展保驾护航。
新修《网络安全法》嵌入人工智能发展与安全框架
2016年制定的网络安全法是网络安全领域的基础性法律。此次网络安全法的修改,适应网络安全新形势新要求,重点强化网络安全法律责任,加强与相关法律的衔接协调。
在责任强化方面,新修网络安全法加大了对违法行为处罚力度。具体体现在:
一是增加了行政处罚类型,例如新增了对直接负责的主管人员和其他直接责任人员的罚款规定;
二是大幅提高了罚款额度,例如对造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的,由有关主管部门处二百万元以上一千万元以下罚款;
三是丰富了处罚手段,引入了责令暂停相关业务、停业整顿、吊销相关业务许可证等措施。
为回应人工智能治理和促进发展的需要,新修《网络安全法》增加相关规定,具体包括:国家支持人工智能基础理论研究和算法等关键技术研发,推进人工智能训练数据资源、算力等基础设施建设,完善人工智能伦理规范,加强安全风险监测评估,创新并加强人工智能安全监管,促进人工智能健康发展。
全国人大常委会法工委发言人王翔指出,此次修法采取“小切口”方式回应实践新需求,既贯彻总体国家安全观要求,又为AI产业创新预留发展空间,体现了“安全可控前提下鼓励创新”的治理智慧。该条款的落地将填补AI安全领域的基础性法律空白,为后续专项监管政策提供上位法依据。
政策密集出台:构建AI安全治理“制度矩阵”
2025年9月以来,我国人工智能安全治理领域迎来政策密集期,从国家战略到具体规范的多层次制度体系加速成型,与《网络安全法》修订形成呼应与衔接。
9月1日,国务院印发《关于深入实施“人工智能+”行动的意见》,将“提升安全能力水平”作为核心任务之一,明确要求构建与AI技术发展相适应的安全防护体系,为产业发展划定安全底线。该这意味着从国家行动层面首次将AI安全纳入“人工智能+”落地的前置条件。
9月15日,国家网络安全宣传周期间发布了《人工智能安全治理框架》2.0版。相较于1.0版,2.0版新增“可信应用、防范失控”核心原则,构建起涵盖内生安全风险、应用安全风险、应用衍生安全风险的三维风险分类体系,首次将科技伦理治理系统纳入整体框架。同期发布的《政务大模型应用安全规范》则聚焦具体场景,从数据采集、模型训练到部署运维全流程设定安全标准,解决了政务领域AI应用的“安全操作指南”问题。
10月,中央网信办与国家发展改革委联合印发的《政务领域人工智能大模型部署应用指引》,进一步细化了“人工智能+政务”的安全要求。作为《“人工智能+”行动意见》的落地文件,该指引提出“安全评估前置、动态监测贯穿、应急响应闭环”的实施路径,要求政务部门建立AI模型安全台账,对涉及公共利益的应用开展年度安全评估,确保技术应用始终处于可控范围。
这一系列政策形成“国家战略-治理框架-场景规范-实施指引”的四级制度矩阵,既回应了全球AI安全治理的共性难题,也为我国企业AI安全建设提供了明确的合规方向。
奇安信:企业须以战略思维构建AI安全治理体系
随着新修《网络安全法》将于2026年1月1日实施,政策体系的完善为企业安全建设划定了跑道,而如何将合规要求转化为实践能力,成为企业面临的核心挑战。奇安信集团提出的“AI安全纳入企业战略”理念及配套AI安全治理框架,为行业提供了可落地的解决方案。
奇安信认为,企业推动AI安全治理,首先要把AI安全纳入企业整体战略,而不是单点技术问题。企业应遵循“透明、可控、负责、合规、以人为本”的治理原则,明确责任,设立法务、合规、信息安全、业务等在内的跨部门治理委员会,确保治理框架顺利落地。
奇安信推出的AI安全治理框架,围绕六大治理维度展开全面布局,构建起覆盖AI全生命周期的安全防护体系,为企业AI应用保驾护航。
第一是模型安全治理维度,主要聚焦模型内生风险缓解、攻击安全防御及决策透明与可解释性。其中包括对模型幻觉进行综合性缓解,构建AI驱动的纵深防御体系,推动模型决策过程透明显性化,同时做好模型完整性保障,在模型引入和上线前进行安全合规评估,确保模型安全可控。
第二是数据与隐私维度,重点保障模型训练阶段内外部数据安全、隐私及知识产权合规。包括严格筛选训练数据来源,加强敏感数据保护,落实个人信息合规保护要求,防范内部核心数据与知识产权泄露和失窃,为AI模型训练筑牢数据安全基石。
第三是应用与运营维度,致力于推动科学合理、安全地使用模型赋能业务应用与日常运营。建立审查机制,实施精细化访问与权限管理,并开展全链路运营监控,同时引入多源外部威胁情报,提升AI安全事件敏捷响应能力。
第四是基础安全维度,强化支撑AI稳定运行的IT系统环境安全措施。包括全面盘清AI相关资产,开展脆弱性扫描与风险评估,进行全面纳管与监控;并实行环境隔离,严格控制网络访问权限,加强身份行为安全与特权治理,保障IT系统环境稳定可靠。
第五是人员与责任维度,明确AI安全治理组织职责分工与协作机制。包括推动多部门密切配合协作,建立清晰问责机制,确保责任到人,并持续提升公司员工AI安全治理能力。
第六是持续改进维度,确保安全治理动态响应监管、安全态势与AI技术变化。包括定期开展风险评估,建立可审计的治理流程,密切追踪AI技术发展与法律法规更新,不断优化安全治理举措,适应AI领域快速变化的安全需求。
AI安全产品及服务已获得多行业落地
目前,奇安信推出的AI安全治理相关产品和服务已在多行业获得成功落地。以大模型卫士为例,它实现了“管控-检测-溯源”三位一体的防护框架,支持轻量化部署,无需改造大模型,即可轻松接入企业现有AI应用,显著降低企业部署成本。
目前已通过了公安部三所权威认证,在超过20个行业的百余家客户完成了实验局验证,能有效防御提示词注入、模型对抗攻击、模型窃取、数据泄露等多种新型风险,真正实现大模型应用的“管得住、看得清、防得稳”。
其中在政府行业,多个客户的政务大模型存在多语言绕过审核机制的提示词攻击安全风险隐患,攻击者只需输入英文或其他语种提示词,就能轻松绕过安全审核机制,生成各类违规内容。通过部署大模型卫士,可支持100多种语种的实时内容检测和风险事中鉴定,从而封堵多语种绕过审核机制的漏洞,帮助客户显著提升安全和合规能力。
在某能源央企,该客户自建AI应用,并采购了公网商用大模型(如通义千问、DeepSeek)API接口服务,这意味着公司内部知识库以API形式和公用大模型进行通信,带来极大数据泄露隐患。
为此,该客户部署了大模型卫士,通过自建AI应用域名解析为大模型卫士反向代理服务地址,及用户访问企业自建AI应用的数据流量经过大模型卫士,最终实现对数据流的全面解密和内容解析,在智能问答、智能聊天、文本生成图、PPT生成等场景中,皆可进行敏感信息过滤,有效保护了客户数据安全。
同时,奇安信还于2024年推出大模型安全评估服务,它融合“实战攻防经验”与“AI安全技术创新”,打造覆盖大模型运行环境、大模型自身安全、大模型数据安全、大模型内容安全、大模型组件安全、智能体安全等全维度的安全检测与评估能力。
目前奇安信已为金融、运营商、政府、制造业等重点行业客户,构建起集风险识别、合规保障、动态防御于一体的大模型安全防护体系,助力客户实现人工智能应用的安全、合规、可信与可持续发展。
结语:
新修《网络安全法》增加人工智能发展安全条款,标志着我国AI治理进入“法治引领、政策支撑、企业实践”的新阶段。
从国家层面看,四级政策矩阵的构建为产业发展筑牢了安全屏障;
从企业视角讲,奇安信的实践证明,只有将AI安全纳入战略层面,通过跨部门协同与全生命周期防护,才能解决AI攻击威胁看不见,安全风险不能有效评估等痛点,真正实现技术创新与合规发展的平衡。
在人工智能成为新一轮科技革命核心驱动力的今天,这种“国家定规则、企业建能力”的协同治理模式,不仅将助力我国抢占AI安全治理的国际话语权,更将为数字经济高质量发展注入安全动能。
立即拨打
京公网安备11000002002064号