1月21日,“2026年人工智能与信息安全创新发展大会”成功举办,以“人工智能与网络安全的融合发展”为主题的圆桌对话备受关注,重庆信息安全产业技术创新联盟理事长周彦晖、重庆邮电大学教授陈龙、北京启明星辰信息安全技术有限公司西南大区技术总监朱毅、北京盈科(重庆)律师事务所高级合伙人刘智出席本次圆桌,联盟秘书长马传龙担任主持,以下是本次圆桌对话的精彩内容。
主持人:(提问周彦晖理事长)周理事长,行业联盟是政策落地与产业协同的重要纽带。请问在重庆强化AI与网络安全融合发展的政策导向下,联盟将如何搭建产学研用对接平台,助力企业精准对接政策资源?面对AI技术快速迭代带来的行业标准缺失问题,联盟是否计划牵头制定针对性的地方技术规范或自律准则,推动产业有序发展?
周彦晖:行业联盟作为政策落地与产业协同的核心纽带,已形成多层次、实体化、机制化的协同生态体系,其作用主要体现在平台构建、技术协同、人才培育与政策响应四大维度。
一在是平台搭建方面,联盟成立的初衷就是搭建“政产学研用金”的平台,也一直在向着这个方向努力,每年都会举办新技术和新应用的论坛和沙龙,为资源的“供给端”和“需求端”提供交流和合作的平台。
在技术协同方面,一直倾向于联合攻关与标准制定,计划联合开展AI安全智能体、软件供应链安全等关键技术研究,推动行业安全规范制定。
在人才培育方面,“山城杯”大学生网络安全联赛就是由重庆信息安全产业技术创新联盟联合计算机安全学会等社团、高校与企业共同主办,推动高校人才培养与企业需求精准对接,已成为西南地区最具影响力的网络安全赛事之一。
在政策响应方面,联盟一直关注国家出台的各项法律法规和政策,并及时做好宣讲工作。《重庆市推动“人工智能+”行动方案》明确提出构建“政产学研用金算云”融合创新生态,将行业联盟列为关键组织载体,明确支持其在安全能力提升、开源生态繁荣、人才队伍建设三大方向发挥枢纽作用,为联盟持续运作提供制度保障与资源倾斜。
联盟确实有计划牵头制定地方技术规范和标准。由于AI技术及应用飞速发展,这使在一些领域(如金融)等缺乏一些标准,联盟可以联合会员单位先从制定某一行业的技术规范做起,逐步完善,再形成一些团体标准和行业标准,为推动AI的应用安全提供支持。
主持人:(提问陈龙教授)陈教授您好,随着AI技术应用的飞速发展,也给我们传统的网络安全带来机遇和挑战,请问:您认为人工智能技术对目前的信息安全有哪些方面的影响?您认为从哪些地方面可以做到人工智能与信息安全融合发展?
陈龙:人工智能快速发展,解决问题的能力迅速提升,网络空间安全的攻防形成了 新博弈态势,新安全格局。
今天听了各位专家的报告分享,对人工智能与信息安全、网络安全做了准确把握、分析。总体感觉是英雄所见略同。
网络空间攻防双方都得到了显著的赋能升级,攻击方实现攻击的智能化、自主化,防御方实现智能化、体系化。有利、不利在于自己面临的特定问题和场景。对于人才培养,面临学习方法、能力训练的挑战,既有赋能下的快速学习,也有无法替代的能力成长过程。对于学术(工程)研究,需要把握智能场景、人工智能赋能下新的精准需求,针对性的、本质的科学问题。我们工作中也关心了对抗攻击、网络空间治理、审核问题,并从网络空间联系到物理空间,例如网络视频、监控视频智能分析系统场景的对抗攻击。人们就业也可能面临岗位数量变化、岗位要求变化等问题。
我们如何应对这种人工智能快速融入趋势?我们努力培养适应新趋势的高素质人才。我们建设了国家网信人才培养基地,也正在努力实现国家一流网安学院建设。对于个人则是顺应趋势把握有利的一面,关注个人特色+赋能优势+团队合作成效,快速解决问题和快速迭代更新。
主持人:(提问朱总)朱总您好,启明星辰作为网络安全领域的头部企业,在AI赋能安全防御方面有着丰富的实践经验。当前,AI既成为提升威胁检测、漏洞响应效率的“利器”,也被攻击者用于制造更隐蔽的恶意代码、深度伪造攻击等,形成“攻防双向赋能”的格局。
从西南地区企业的实际需求来看,在AI与网络安全融合应用中,最突出的痛点是什么呢?企业该如何构建“以智能对抗智能”的防御体系,平衡技术创新与安全可控?
朱毅:关键基础设施的核心在于关基系统,在AI和网络安全融合这块,目前我觉得正面临三个实实在在的痛点:一是通用AI模型完全无法适配某些关基领域的特殊协议和闭环业务逻辑,误报漏报的风险直接影响关基础设施稳定运行;二是受敏感数据合规的限制,AI训练的样本又少又不全面,模型的实际作用大打折扣;三是攻防两端的AI能力差距较大,攻击者使用较低成本,靠AI就能创造更隐蔽的威胁能力,而关基单位要建立智能网络防御体系,不仅周期长,算力门槛也不低。
要构建“以智能对抗智能”的新型网络安全防御体系,个人看法是:第一是场景定制,围绕关基单位关基系统核心场景,部署轻量化边缘AI小模型,精准识别异常;第二是强调云边协同能力,搭建行业级或企业级威胁情报库,实现云端迭代大模型、边缘小模型及时更新及时响应;第三是人机闭环,让AI处理批量常规威胁,人员还是聚焦复杂高风险攻击研判,实现提质增效。从某种意义上来说,AI时代对人的要求并未降低,反而要求更高,网络安全行业的从业人员也需要与时俱进。
主持人:刘律您好,新修改的《网络安全法》新增条款明确了人工智能伦理规范与安全监管要求,同时与《数据安全法》《个人信息保护法》形成协同治理格局。请问企业应如何搭建合规体系,防范这些法律风险?对于AI生成内容引发的网络安全责任,目前的法律框架下如何界定各方主体的责任边界?
刘智:修改后的《网络安全法》新增第20条,将人工智能纳入网络安全监管核心框架,与《数据安全法》《个人信息保护法》共同构建起AI时代网络安全协同治理体系。AI与网络安全的融合,本质是用智能技术破解智能时代的网络安全难题。一方面,AI凭借强大的数据分析、模式识别与自主决策能力,为网络安全防御、威胁溯源与风险治理提供了全新路径;另一方面,AI技术在各行业的深度渗透,也使得网络安全场景更复杂、风险传导更迅速,带来了前所未有的挑战。从法律实务视角来看,二者的融合既是提升网络安全治理效能的“利器”,也衍生出刑事追责、行政监管、民事赔偿等一系列法律风险防控难题。
一、AI时代企业网络安全合规体系的搭建路径
企业搭建网络安全合规体系本就是一项复杂且具挑战性的系统工程,AI技术的迭代进一步提升了这项工作的难度层级。我给大家分享办理的一起刑事案件:某企业研发APP平台,为药企与市场推广服务商提供对接服务:药企通过平台发包推广业务,服务商完成服务后上传相关数据,平台依托药企累计数据与行业公开数据构建销售模型及报告模板,最终实现服务商仅需提供少量数据,即可快速生成标准化推广服务报告,服务商向药企结算费用时将报告做为支撑材料提交。案件办理过程中,该平台认定为专为虚开发票设计的犯罪工具,企业被定性为犯罪集团,股东及多名高管被提起公诉,量刑建议超过10年。平台被认定为犯罪工具的主要原因是:平台基于公开数据在极短时间内生成的报告是虚假的、没有实际价值,实际是虚构交易,因此构成虚开发票类犯罪。
事实上,我感受最深刻智能时代,企业面临的刑事风险正急速攀升,也更加凸显了合规体系搭建的必要性与紧迫性。针对AI时代企业如何搭建合规体系,我分享几点初浅看法:
一是主动合规前置,筑牢风险防控第一道防线
智能时代下,企业刑事风险暴发期限极短,而刑事风险对企业和企业人员都是致命的,因此在系统研发、业务模式设计初期,就应当对潜在风险进行全面研判,同步制定针对性风控措施。这种“事前预防”模式,往往能以较低成本规避重大法律风险,实现“花小钱办大事”的合规效果,避免后期因合规缺陷陷入刑事追责困境。
二是贴合业务实际,构建场景化合规框架
合规体系并非通用模板,需紧密结合企业自身业务模式、核心场景与AI应用环节。不同行业、不同业务类型的AI应用,面临的法律风险点存在差异,唯有精准匹配业务特点,才能让合规制度落地可行,而非流于形式。
三是完善管理体系,打造复合型合规团队
AI全面介入的背景下,对合规人员的专业能力提出了更高要求。合规团队需具备跨领域素养,既要覆盖管理、技术、法律、危机处置等核心能力,从法律维度还要细分刑事、行政、民事等专业方向,确保能够预判AI的运行逻辑与潜在风险,同时具备应对突发合规事件的处置能力。
四是依托技术赋能,强化合规技术布控
关于合规体系中的技术与产品布控,各位技术领域专家更具话语权,在此我便不班门弄斧,重点从法律视角分享风险防控思路。
二、AI生成内容的法律责任边界界定
当前AI生成内容相关案件情节相对简单,尚未出现社会影响重大的典型案例,其法律责任主要体现在以下三个核心维度:
一是责任归责原则:以过错责任为核心
生成式AI本身不具备民事主体资格,其生成内容不属于法律意义上的意思表示,相关法律责任需由AI服务提供者、使用者等相关主体承担,核心遵循过错责任原则,即根据主体是否存在主观过错及过错程度划分责任。
二是多方主体责任划分:明确“谁开发、谁负责,谁使用、谁把关”
- 开发者责任:作为算法设计、模型训练与技术输出的核心主体,需对训练数据的合法性、算法的安全性与合规性承担首要责任,确保AI技术从源头符合法律规定;2. 使用者责任:企业使用第三方AI安全工具时,不能以“工具由第三方提供”为由免除自身审查义务,需在采购合同中明确双方责任划分,同时对AI生成结果、应用场景进行合规审核;3. 平台责任:为AI安全应用提供服务的平台,需履行安全管理与合规审核义务,对入驻AI工具的合法性、安全性进行严格核查,发现违法违规行为及时采取下架、阻断等处置措施,防范风险扩散。
三是关键合规提示:落实标识义务与证据留存
AI生成内容需显著标注“AI生成”字样,这是区分人机责任、明确责任主体的重要依据,也是当前监管与司法实践中界定合规性的核心要求。同时,相关主体需做好AI生成内容的过程数据、审核记录等证据留存工作,为后续责任认定、风险抗辩提供支撑。
最后,随着网安法、数安法、个保法的实施,我也看到很多中小型企业主动通过建立风控模式防范风险的情况,应该说AI与网络安全的融合在逐步从超大型、大型企业朝中小型企业扩展的趋势。