构建新型网络安全风险法律规制机制势在必行

冯雷

近年来，人工智能飞速发展，深刻改变着社会生活的方方面面，同时也带来了前所未有的网络安全风险挑战。深度伪造、人工智能驱动的精准化网络攻击、算法歧视等新兴风险，对社会稳定、经济发展和公民权益构成了潜在威胁。党的二十届三中全会提出“加强网络安全体制建设，建立人工智能安全监管制度”。四川省网络安全和信息化工作会议也多次强调，要全面加强网络安全体系和能力建设，坚决筑牢网络安全屏障。鉴于此，迫切需要构建完备的新型网络安全风险法律规制机制。

一、人工智能引发的新型网络安全风险

识别人工智能引发的新型网络安全风险，是构建完备的法律规制机制的前提。人工智能引发的新型网络安全风险主要有以下几个方面：

(1)人工智能自身的漏洞与安全风险。人工智能系统本身在算法设计和运行中存在安全风险。一方面，模型训练依赖海量数据，容易遭受“数据投毒”等攻击，导致训练结果偏离预期;另一方面，人工智能算法存在“黑箱”特征，缺乏透明性和可解释性，一旦系统出现异常将难以及时诊断与修复。

(2)人工智能驱动的网络攻击。AI已被广泛应用于增强网络攻击的自动化、智能化。黑客可利用机器学习算法快速识别系统漏洞，实现自动化渗透和攻击。自然语言处理(NLP)技术可生成高度真实的钓鱼邮件或假新闻，骗取用户信息。AI还可模拟用户行为，欺骗防火墙与入侵检测系统。未来AI系统若获得自主行动能力，可能实现高度自主、难以遏制的攻击活动，对网络空间构成严重威胁。

(3)人工智能引发的数据安全及隐私风险。AI的发展高度依赖大数据支持。数据收集过程中可能出现数据过度收集、目的不明确、未经同意处理个人信息等问题，尤其在面部识别、语音识别、位置追踪等领域，可能构成对用户隐私的系统性侵害。

(4)关键网络基础设施安全风险。随着AI技术在电力调度、轨道交通、金融交易、医疗诊断等领域的深度应用，AI系统成为相关领域正常运行的核心部分。若其受到攻击或发生系统性故障，可能导致大规模网络服务中断、人员伤亡或经济损失。关键网络基础设施对AI系统安全性的依赖程度越高，其所面临的系统性风险就越大。

(5)人工智能引发的其他网络安全风险。除以上层面外，AI还可能引发信息操控与认知安全风险，如通过深度伪造技术制造虚假音视频用于网络政治操纵、网络金融欺诈、网络舆论操控等。AI生成内容的真实性难以辨识，可能破坏公众信任与社会稳定。此外，AI的不确定性行为及自主决策也对法律责任界定、伦理边界划定提出挑战。

二、新型网络安全风险法律规制机制的构建

(1)新型网络安全风险法律规制原则。新型网络安全风险要求更新法律规制原则，核心原则有：预防优先原则，在风险发生之前介入法律规制，强调事前审查、技术评估和风险预测。风险导向原则，以识别、评估和管控风险为核心，基于AI系统的网络用途、影响范围和潜在危害制定规制策略。技术向善原则，强调AI和网络技术的发展和应用应以增进人类福祉、促进社会公平和可持续发展为目标，避免技术滥用或导致负面后果;从技术设计、开发到落地的全生命周期中嵌入伦理考量，确保科技真正服务于“善”的愿景。责任明晰原则，厘清各方在AI网络系统设计、部署与使用中的法律责任。协同治理原则，强化政府、企业、社会组织和公众多元参与，构建共治格局。

(2)新型网络安全标准及法律规范体系。建立以国家层面为主导、行业自律与国际合作为补充的多层次网络安全标准、规范体系，制定AI系统开发与运维的国家标准，如算法透明度、安全性、可解释性标准;推动形成涵盖算法审计、数据治理、模型安全等内容的行业规范;鼓励企业内部建立网络安全合规框架并引入第三方评估;积极参与全球网络安全治理规则的制定，推动跨国标准、规范互认。

(3)新型网络安全风险分级监管机制。在人工智能发展背景下，网络安全风险呈现复杂化、智能化、场景化等特征，传统“一刀切”监管模式已难以应对新型威胁，有必要构建基于风险等级评估的监管机制。该机制应以“风险等级—监管强度”相匹配为原则，实现差异化、精准化治理。风险等级应基于网络系统功能及社会影响面、网络技术敏感性与潜在漏洞、数据处理类型与范围、历史攻击记录与脆弱性、是否涉及关键网络基础设施或重要信息系统等维度进行多元量化评估。针对不同等级风险，相应匹配禁止运行，实时监控与动态预警，备案管理、定期审查，轻度监管、风险自评报告等监管措施。

(4)新型网络安全法律实施机制。强化法律实施的可行性与实效性，赋予网络安全主管部门必要监管权，包括现场检查、数据调取、强制整改等;建立“AI网络安全评估中心”统一开展算法与模型的安全审查;推动技术监管与行政监管协同，如引入AI行为日志、可追溯机制，支持智能化监管工具;建立跨境执法协作机制，以应对全球性网络安全问题。

(5)新型网络安全法律责任机制。需构建覆盖行政、民事与刑事的责任体系，明确网络系统责任主体可包括开发者、部署者、运营者;对因AI导致的损害事件，建立“过错推定”或“举证责任倒置”规则;推动建立AI事故保险机制，以补偿受害人;在刑事方面，设立新型网络安全相关罪名，针对性打击利用AI实施网络攻击等行为。

(6)新型网络安全法律保障机制。法律规制的有效性依赖于相应的保障机制，需统筹人、财、物、文化四维资源，形成完备的网络安全法律保障机制。建立国家级网络安全专家库，鼓励企业设立首席安全官;推动高校加强网络安全人才的培养。政府设立网络安全基金，对中小企业网络安全投入提供税收减免或补贴。持续加强我国自主可控的网络安全技术研发，推动网络关键基础设施的国产化替代。强化网络安全公众教育，开展全民网络安全意识培训。

作者冯雷系四川大学法学院副研究员，成都市地方立法研究中心执行主任。

基金项目：四川省科技计划项目(省社科基金委托项目)“营商环境法治化视域下天府中央法务区建设路径研究”，立项编号SCJJ25RKX162;2024年度成都市哲学社会科学研究中心资政服务能力建设专项重点项目，项目编号YJZX-2024-ZZZD-43;2024年成都市哲学社会科学规划“研究阐释‘党的二十届三中全会、省委十二届六次全会、市委十四届六次全会精神’”专项课题，项目编号2024CS240.