中国出台生成式 AI 安全新规：服务提供者须通过安全评估方可备案

一、安全评估的核心要求与实施路径

1. 数据安全治理
   服务提供者需对训练数据来源的合法性负责，确保数据不包含侵犯知识产权的内容，且涉及个人信息的部分需获得用户明示同意。例如，医疗、金融等敏感领域的数据需单独建立脱敏机制，政务数据的使用需符合《政务数据共享管理办法》的要求。
   典型案例：某 AI 企业因使用未授权的开源代码训练模型，被要求删除相关数据并重新评估，直接导致其产品上市周期推迟 6 个月。
2. 算法安全审查
   评估机构将对模型架构、训练过程和输出结果进行穿透式分析，重点检测算法偏见、对抗样本攻击脆弱性等风险。《要求》特别强调，需建立 “算法透明性日志”，记录模型迭代过程中的关键参数变化，确保可追溯性。
   技术细节：某评估机构发现，某教育类 AI 模型在模拟考试评分时存在性别偏见，导致女性用户得分普遍偏低，最终该模型被要求进行算法重构。
3. 内容安全管控
   服务提供者需构建动态更新的关键词库和测试题库，对生成内容进行实时过滤。新规要求，对于涉及国家安全、社会稳定的敏感内容，拦截率需达到 99.9% 以上，且需在 3 个月内通过模型优化防止重复生成。
   执行标准：某社交平台因未有效拦截虚假政治信息，被暂停备案资格并限期整改，期间用户投诉量激增 42%。
4. 安全措施落地
   企业需建立专门的安全团队，包括风险评估、内容审核和应急响应等岗位。《要求》明确，安全投入不得低于年度研发预算的 15%，并需定期开展攻防演练。
   行业影响：某头部企业为满足新规要求，将安全团队规模从 50 人扩大至 200 人，年度合规成本增加约 2 亿元。

二、备案制度的实施与监管协同

• 备案流程：服务提供者需通过国家网信办 “生成式人工智能服务备案系统” 提交材料，包括安全评估报告、算法说明文档和用户协议等。备案周期为 45 个工作日，逾期未通过需重新评估。
• 动态监管：已备案的服务将纳入 “白名单”，但需接受季度抽检。2024 年，302 款已备案服务中，有 12 款因安全漏洞被暂停服务，涉及金融、医疗等关键领域。
• 跨境服务：境外企业若向中国境内提供服务，需在境内设立实体机构，并接受数据本地化存储要求。某国际 AI 企业因未建立本地数据中心，被迫退出中国市场。

三、行业震荡与合规挑战

1. 技术研发转向
   企业开始将安全要求前置到模型设计阶段。例如，某企业在训练阶段引入 “安全沙盒” 机制，实时监控模型输出的敏感内容，导致训练效率下降 20%，但安全漏洞检出率提升至 98%。
2. 第三方评估市场爆发
   具备 CNAS 认证的安全评估机构数量从 2023 年的 12 家增至 2024 年的 57 家，单次评估费用在 50 万至 200 万元之间。某评估机构透露，其 2024 年订单量同比增长 300%。
3. 中小企业生存压力
   某创业公司因无力承担安全评估费用，被迫放弃生成式 AI 业务，转型提供数据标注服务。行业数据显示，2024 年生成式 AI 领域融资额同比下降 45%，资金更多流向具备合规能力的头部企业。

四、全球治理视野下的中国方案

• 标准输出：新规对 “生成式人工智能服务” 的定义、安全评估指标等内容，为欧盟《人工智能法案》和美国 NIST 的 AI 风险管理框架提供了参考。
• 技术对冲：通过 “安全评估 + 备案” 机制，中国在防范风险的同时，为本土企业争取了技术迭代的窗口期。2024 年，国产大模型在政务、教育等领域的市场份额从 38% 提升至 52%。
• 国际合作：中国正推动建立 “一带一路” AI 安全联盟，与沙特、巴西等国共享安全评估技术和标准，增强在全球治理中的话语权。

五、专家观点与未来展望