新规解读｜《公安机关网络空间安全监督检查办法（征求意见稿）》发布，AI与互联网企业需重点关注哪些合规义务？

2025年11月29日，公安部正式发布《公安机关网络空间安全监督检查办法（征求意见稿）》（以下简称《办法》），向社会公开征求意见。该《办法》将取代2018年施行的《公安机关互联网安全监督检查规定》（公安部令第151号），标志着我国网络空间安全监管进入“三位一体”新阶段——网络安全 + 数据安全 + 信息安全全面覆盖。

对于广大互联网平台、AI产品开发者、SaaS服务商、数据处理者而言，这不仅是一份执法规范，更是一份必须提前准备的合规行动指南。

本文将结合《办法》全文，提炼关键要点，并为技术团队提供落地建议。

一、《办法》核心定位：从“互联网安全”升级为“网络空间安全”

与旧规相比，《办法》最大的变化在于监管范围的扩展与概念的整合：

• 明确“网络空间安全” = 网络安全 + 信息安全 + 数据安全（第二条）；
• 监管对象不再限于“联网单位”，而是涵盖：
  • 网络运营者
  • 数据处理者
  • 个人信息处理者
  • 关键信息基础设施运营者
  • 网络产品/服务提供者（第六条）

这意味着：只要你的业务涉及用户数据、算法推荐、API服务或云部署，就可能被纳入公安监督检查范围。

二、监督检查方式：线上巡查 + 线下核查 + 技术检测

《办法》第四条、第十二条明确了公安机关可采取的多种检查手段：

⚠️ 特别注意： 渗透测试不得干扰系统正常运行（第四条），但若企业在未授权情况下被“误测”，也应保留日志证据以备申诉。

三、重点检查内容：11项必查清单（第七条）

公安机关将重点核查以下义务履行情况，AI与互联网企业尤其需关注标粗项：

1. 联网单位备案及用户信息报送
2. 网络安全/数据安全管理制度建设
3. 用户注册信息与上网日志留存
4. 网络安全等级保护（等保）落实情况
5. 关键信息基础设施安全保护义务
6. 防病毒、防攻击技术措施
7. 漏洞整改与风险消除
8. 对违法信息的防范与处置机制
9. ✅ 算法安全主体责任落实（新增重点！）
   • 是否建立算法推荐管理制度？
   • 是否有技术措施防止信息茧房、歧视推荐？
10. 数据安全与个人信息保护合规
11. 为公安侦查犯罪提供技术支持的配合义务

🔍 划重点： “算法安全主体责任”首次被明确列为公安检查内容，意味着已完成算法备案≠万事大吉，还需在日常运营中持续落实管理措施。

四、高频触发“重点检查”的情形（第六条）

以下企业将被列为重点监督检查对象：

• 开展相关服务未满一年；
• 近两年发生过网络安全/数据安全事件或违法犯罪案件；
• 曾因未履行安全义务被行政处罚。

💡 建议：新上线AI产品务必在首年加强日志审计、权限管控与应急演练，避免“新手期”踩雷。

五、企业应对建议：从“被动迎检”到“主动合规”

✅ 1. 完善制度文档

• 制定《网络安全管理制度》《数据分类分级指南》《算法安全管理办法》；
• 明确安全责任人（建议设CISO或合规官）。

✅ 2. 落实等保与日志留存

• 三级以上系统每年接受公安现场检查（第九条）；
• 用户操作日志、API调用日志至少留存6个月。

✅ 3. 算法与AIGC专项合规

• 确保算法备案材料与实际系统一致；
• AI生成内容显式标注“AI生成”（参考网信办标识标准）；
• 提供用户关闭个性化推荐的选项。

✅ 4. 建立公安协作机制

• 指定对接人，熟悉《监督检查通知书》流程；
• 配合提供必要技术支持，但有权要求查验执法证件。

六、附：《公安机关网络空间安全监督检查办法（征求意见稿）》原文（节选关键条款）

第七条 公安机关应当对被检查对象履行法定网络安全、信息安全、数据安全义务等情况进行监督检查，重点检查以下内容： …… （九）是否依法落实算法安全主体责任，建立健全算法推荐管理制度和技术措施； （十）是否依法履行数据安全、个人信息保护义务；

第九条 对网络安全等级保护三级以上的网络运营者、关键信息基础设施运营者，应当每年开展一次现场检查。

第十九条 省级以上公安机关……可以对该网络运营者的法定代表人或者主要负责人进行约谈。

第二十条 公安机关及其工作人员……应当保守监督检查中知悉的国家秘密、商业秘密以及个人信息、隐私，不得泄露、出售或者非法向他人提供。

全文详见：公安部官网征求意见公告（2025年11月29日发布）