2025年11月29日,公安部正式发布《公安机关网络空间安全监督检查办法(征求意见稿) 》(以下简称《办法》),向社会公开征求意见。该《办法》将取代2018年施行的《公安机关互联网安全监督检查规定》(公安部令第151号),标志着我国网络空间安全监管进入"三位一体"新阶段------网络安全 + 数据安全 + 信息安全全面覆盖。
对于广大互联网平台、AI产品开发者、SaaS服务商、数据处理者而言,这不仅是一份执法规范,更是一份必须提前准备的合规行动指南。
本文将结合《办法》全文,提炼关键要点,并为技术团队提供落地建议。
一、《办法》核心定位:从"互联网安全"升级为"网络空间安全"
与旧规相比,《办法》最大的变化在于监管范围的扩展与概念的整合:
- 明确"网络空间安全" = 网络安全 + 信息安全 + 数据安全(第二条);
- 监管对象不再限于"联网单位",而是涵盖:
- 网络运营者
- 数据处理者
- 个人信息处理者
- 关键信息基础设施运营者
- 网络产品/服务提供者(第六条)
这意味着:只要你的业务涉及用户数据、算法推荐、API服务或云部署,就可能被纳入公安监督检查范围。
二、监督检查方式:线上巡查 + 线下核查 + 技术检测
《办法》第四条、第十二条明确了公安机关可采取的多种检查手段:
| 检查方式 | 具体措施 | 是否需提前告知 |
|---|---|---|
| 线上巡查 | 网络信息巡查、信息审核能力测试、漏洞扫描 | 是(测试类需告知) |
| 现场检查 | 进入机房、查阅资料、问询负责人、查看技术措施 | 需出示警察证+检查通知书 |
| 技术检测 | 漏洞探测、渗透测试(仅限市级以上公安) | 必须提前告知时间与范围 |
⚠️ 特别注意:
渗透测试不得干扰系统正常运行(第四条),但若企业在未授权情况下被"误测",也应保留日志证据以备申诉。
三、重点检查内容:11项必查清单(第七条)
公安机关将重点核查以下义务履行情况,AI与互联网企业尤其需关注标粗项:
- 联网单位备案及用户信息报送
- 网络安全/数据安全管理制度建设
- 用户注册信息与上网日志留存
- 网络安全等级保护(等保)落实情况
- 关键信息基础设施安全保护义务
- 防病毒、防攻击技术措施
- 漏洞整改与风险消除
- 对违法信息的防范与处置机制
- ✅ 算法安全主体责任落实(新增重点!)
- 是否建立算法推荐管理制度?
- 是否有技术措施防止信息茧房、歧视推荐?
- 数据安全与个人信息保护合规
- 为公安侦查犯罪提供技术支持的配合义务
🔍 划重点 :
"算法安全主体责任 "首次被明确列为公安检查内容,意味着已完成算法备案≠万事大吉,还需在日常运营中持续落实管理措施。
四、高频触发"重点检查"的情形(第六条)
以下企业将被列为重点监督检查对象:
- 开展相关服务未满一年;
- 近两年发生过网络安全/数据安全事件或违法犯罪案件;
- 曾因未履行安全义务被行政处罚。
💡 建议:新上线AI产品务必在首年加强日志审计、权限管控与应急演练,避免"新手期"踩雷。
五、企业应对建议:从"被动迎检"到"主动合规"
✅ 1. 完善制度文档
- 制定《网络安全管理制度》《数据分类分级指南》《算法安全管理办法》;
- 明确安全责任人(建议设CISO或合规官)。
✅ 2. 落实等保与日志留存
- 三级以上系统每年接受公安现场检查(第九条);
- 用户操作日志、API调用日志至少留存6个月。
✅ 3. 算法与AIGC专项合规
- 确保算法备案材料与实际系统一致;
- AI生成内容显式标注"AI生成"(参考网信办标识标准);
- 提供用户关闭个性化推荐的选项。
✅ 4. 建立公安协作机制
- 指定对接人,熟悉《监督检查通知书》流程;
- 配合提供必要技术支持,但有权要求查验执法证件。
六、附:《公安机关网络空间安全监督检查办法(征求意见稿)》原文(节选关键条款)
第七条 公安机关应当对被检查对象履行法定网络安全、信息安全、数据安全义务等情况进行监督检查,重点检查以下内容:
......
(九)是否依法落实算法安全主体责任,建立健全算法推荐管理制度和技术措施;
(十)是否依法履行数据安全、个人信息保护义务;
第九条 对网络安全等级保护三级以上的网络运营者、关键信息基础设施运营者,应当每年开展一次现场检查。
第十九条 省级以上公安机关......可以对该网络运营者的法定代表人或者主要负责人进行约谈。
第二十条 公安机关及其工作人员......应当保守监督检查中知悉的国家秘密、商业秘密以及个人信息、隐私,不得泄露、出售或者非法向他人提供。
全文详见:公安部官网征求意见公告(2025年11月29日发布)