1. 首页
  2. 新闻资讯
  3. 这部暂行办法今日生效 | AI应用的安全边界,怎么建,明确了!

这部暂行办法今日生效 | AI应用的安全边界,怎么建,明确了!

  • 发布于 2026-07-15
  • 0 次阅读

7月15日,《人工智能拟人化互动服务管理暂行办法》正式施行。这是国内首部专门针对AI拟人化情感互动的管理规定,由五部门联合发布。

新规落地前,豆包、千问相继下架“智能体”功能。在用户自建模式下,每个虚拟角色都可能形成一项独立的拟人化互动服务,内容审核、风险识别、未成年人保护和数据管理的复杂度随之上升。

监管边界已经逐渐清晰。长期陪伴、情感交流等关系型AI将受到更严格的管理;写方案、知识问答、智能客服等工具型AI受到的影响相对有限。判断一项服务是否进入重点监管范围,主要看它是否通过拟人化方式与用户形成持续情感互动。

新规划出的红线

《办法》第八条列出的禁止性活动,集中指向内容安全和情感操纵风险。

服务不得生成危害国家安全、淫秽暴力等违法不良内容,不得鼓励或暗示自残、自杀,不得诱导用户提供个人隐私,也不得通过过度迎合、情感依赖和沉迷设计,影响用户作出明显不合理的决定。

第十四条对未成年人提出更严格的保护要求。平台不得向未成年人提供虚拟亲属、虚拟伴侣等亲密关系服务。向不满14周岁的未成年人提供其他拟人化互动服务,需要取得监护人同意。

年龄识别、监护人授权、未成年人模式和功能限制,都要进入产品流程,单靠用户协议难以满足要求。

从内容合规走向系统合规

面对新规,部分团队首先想到扩充敏感词库。条文涉及的范围更广,已经延伸到身份识别、访问控制、日志留痕和数据调用审计。

身份识别

《办法》要求平台获取用户年龄、监护人信息,并识别未成年人身份。

实名认证需要与身份认证、权限管理形成联动。统一认证管理平台、安全认证网关可以集中完成身份核验和访问授权,减少业务系统中分散的判断逻辑。移动端及高安全场景,还可以结合协同签名系统和智能密码钥匙,将身份认证延伸到设备和密钥层。

访问控制

未成年人模式、监护人查看权限、角色屏蔽和充值限制,都涉及差异化权限管理。

运营、算法和运维人员对用户数据、模型参数及核心系统的访问,同样需要受到约束。零信任安全架构可以根据身份、设备和行为进行动态授权,运维堡垒机则可以记录高权限账号进入系统后的全部操作。

日志留痕

《办法》要求依法留存网络日志。发现用户存在极端情绪或明确自残、自杀意图时,平台还需进行识别、干预并保留处置记录。

安全评估需要完整证据,企业应当能够说明系统何时发现风险、作出何种判断、采取哪些措施。日志审计系统可以集中采集用户访问、管理操作和安全事件,并通过密码技术保护记录完整性,为合规检查和风险追溯提供依据。

数据调用审计

未经明确同意,平台不得向第三方提供用户交互数据,也不得将敏感个人信息用于模型训练。

长期对话中可能包含家庭关系、情绪状态、健康信息和消费习惯。数据从产生、存储到调用,都需要加密保护、权限控制和审计记录。

数据库加密网关可以对敏感数据进行透明加密,数据库审计系统负责记录访问和操作行为,密钥管理系统则覆盖密钥生成、存储、使用、更新和销毁全过程。

小编评语

《办法》同时支持拟人化互动服务在文化传播、适老陪伴等领域发展。企业需要在产品设计阶段同步建设身份识别、访问控制、日志审计和数据保护能力。

豆包、千问提前调整相关功能,也说明安全能力临时补充的成本较高。AI越接近真实的人际互动,越需要清晰、可验证的安全边界。用密码的力量,让每一次AI互动都经得起审查,也让用户愿意长期信任。

中安云科深耕商用密码近十年,产品线覆盖身份认证、零信任、密钥管理、数据加密、日志审计,服务政务、金融等多个行业的密评整改与安全能力建设。把这几块能力提前布局进产品架构,可能是AI应用类企业应对这轮监管更现实的一条路。

FAQ

新规是不是意味着所有AI产品都要重新报备?

只有涉及长期陪伴、情感互动的关系型AI才进入强监管范围,工具型AI基本不受影响,判断标准是有没有持续性情感互动。

只有专做AI陪伴产品的企业需要关注这份新规吗?

政务、金融等行业若在客服、导诊类应用中叠加了情感陪伴功能,也可能被认定为拟人化互动服务,需要同步具备身份识别、日志留痕能力。

还没触发强制安全评估门槛,是不是可以缓一缓?

注册用户超100万或月活超10万才触发强制评估,但身份认证、日志审计等系统能力临时补齐难度较大,建议在产品架构阶段就纳入设计。