中国 AI 立法关键：平衡发展与安全的十大维度（下）

一方面，AI 应用引发的安全隐患日益加剧。据 Netskope Threat Labs 发布的 2026 年欧洲最新威胁报告显示，在 AI 导致的数据泄露事件中，涉及受监管敏感数据（如个人身份信息 PII）的比例高达 59%，紧随其后的是源代码（15%）及企业知识产权（13%）。员工惯于将公司未公开的财报、客户隐私或核心代码直接粘贴至 ChatGPT、Claude 等个人账号进行润色或总结，致使大量敏感资产有去无回，此举直接触犯了欧盟《通用数据保护条例》（GDPR）。另一方面，AI 应用所创造的价值也愈发显著。工信部在 2025 年工作会议上披露：2024 年中国 AI 核心产业规模已突破 6500 亿元，并带动相关产业规模超 2.5 万亿元。将这两组数据并列观察，便构成了中国 AI 立法亟需面对的首要根本矛盾：这既是一个迅猛发展的产业，也是一个风险快速累积的领域。立法者必须回应：监管的步伐，究竟该追赶技术的速度，还是继续为技术开路？

结论是：天平当前仍向“促发展”一端倾斜，尽管这种倾向正承受着日益增大的压力。证据显而易见。在国际竞争日趋白热化的背景下，决策层的逻辑不难揣测：统一立法一旦落地，必将构筑企业合规的新门槛；欧盟《AI 法案》的前车之鉴，令许多人担忧过度立法反而会掣肘创新。此种担忧不无道理。从 2017 年《新一代人工智能发展规划》到 2023 年《生成式人工智能服务管理暂行办法》，中国采取的是“专项规章先行、统一立法滞后”的路径——率先出台针对算法推荐、深度合成及生成式 AI 的专项规范，旨在为统一立法积淀经验。

然而问题在于，“先发展后规范”的逻辑隐含着一个前提：风险是可控且可预期的，待立法条件成熟后再介入亦为时不晚。这一前提似乎正在失效。深度伪造诈骗、AI 生成虚假信息、自动驾驶事故责任界定、AI 辅助医疗诊断失误……这些风险的增速，已开始超越“摸着石头过河”式的调整节奏。分散立法模式的弊端亦在此显露：算法推荐规章无法覆盖生成式 AI，生成式 AI 规章又管不到自动驾驶，部门间的条块分割致使新型风险落入治理真空。更值得警惕的是一个结构性难题：中国的风险分类框架（《人工智能安全治理框架》2.0 版，2025 年 9 月）目前仍局限于技术性指南层面，缺乏对企业法律约束力。相比之下，欧盟的四级分类体系已通过《AI 法案》转化为强制性合规义务。两者的实质差距并非分级数量，而在于是否具备法律效力。

欧盟的选择代表了一种极端：以权利保护为优先目标，接受高昂的合规成本。在欧盟，被认定为“高风险”的 AI 系统，上市前需完成技术文档、注册备案、合规评估等一系列流程，耗时或超半年，费用可能高达数百万欧元。这套体系对大企业而言是壁垒，对中小企业则近乎劝退。美国则走向了另一极端。特朗普 2.0 政府废除了拜登时代的 AI 行政令，联邦层面的监管框架基本瓦解，各州各自为政。短期内，这为硅谷的 AI 军备竞赛松绑；长远看，系统性风险正在无监管的温床中滋生。中国的境遇与二者皆不同。既不能沿用欧盟的高合规成本路径——那将在竞争关键期拖慢步伐；也不应效仿美国的去监管化路线——那将使已加速累积的风险失控。立法模式比立法时机更为关键，站在研究者的视角，

一部以“安全”为核心价值取向的 AI 法，与一部以“促进创新”为首要价值取向的 AI 法，即便条文数量一致，对产业的实际影响也将大相径庭。前者倾向于将举证责任施加于企业（“你要自证安全”），后者则倾向于由政府承担监管成本（“出事我来管”）。我们究竟需要一部怎样的法律——是欧盟式的权利保护法，还是发展促进法，抑或是开辟第三条道路？这一问题的答案，将决定后续九对关系如何妥善处置。