2026年1月1日，修订后的《中华人民共和国网络安全法》（以下简称《网络安全法》）正式施行。该法有一个极具象征意义的变化：新增了促进人工智能发展的相关规定。这是我国首次在法律层面规定促进人工智能发展的专条。这一举措不仅是新增一个热点词汇，更是把AI治理从部门规章和专项规定层面，向基础性法律框架“抬升”了一步。

　　一、首次入法的AI条款写了什么？

　　目前，我国并没有像欧盟那样，用一部统一法律规制AI，而是把AI置入一个更可持续的法律定位——既是新质生产力强大动能，也是需要被纳入安全治理的对象。我国大致是在走这样一条路径：基础性法律确立原则与责任边界，部门规章/专项规定覆盖具体应用场景，标准与技术规范提供可操作抓手。

　　此次修订的《网络安全法》，尽管还不是AI领域的基础性法律，但其新增条款却体现了我国AI治理的基础性思路。新增条款的表述是：“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。”虽然只是寥寥数语，却可以理解为一条发展与治理并举的框架性条款，其内部逻辑大致是“供给侧能力建设→规则侧边界设定→风险侧闭环治理→应用侧扩散落地”。

　　首先，法条以“支持基础理论研究和关键技术研发”确立源头创新导向，再以“推进训练数据资源、算力等基础设施建设”把创新从实验室拉到产业化所需的要素与底座，从而完成算法、算力、数据的AI“铁三角”的支撑体系。接着，法条转入规范与治理维度，通过“完善伦理规范”提供价值边界与社会可接受性，再用“加强风险监测评估和安全监管”构造可执行的治理闭环，最后以“促进应用和健康发展”把政策目标落到产业扩散与长期可持续上。

　　上述法条之所以具有基础性作用，在于它用要素（算法、算力、数据）—规则（伦理）—机制（监测评估/监管）—目标（应用/健康发展）的四段式，把未来多部门规章、标准体系、评测机制、产业政策与执法裁量的共同坐标系先定下来。细则可以迭代、技术可以更新，但制度框架要保持稳定，从而为政策连续性与市场预期提供锚点。

　　二、我国法律体系如何规制AI？

　　尽管此次是AI首次写入法律条文，但很多时候，法律不必在条文里明确写出“人工智能”四个字。因为法律真正关心的不是你用什么技术路线，而是数据如何被收集、如何被计算以及算完之后对个人权利和市场秩序产生什么影响。因此，它更常用“个人信息处理”“自动化决策”“画像”“个性化推送”等概念，来实现对AI的实质性规制。

　　第一层：数据合法性与最小必要，回答“数据从哪来、能用到哪一步”。

　　以《民法典》《个人信息保护法》《数据安全法》《电子商务法》等为代表的一组法律，先把“数据如何取得、如何处理、怎么留痕、出了问题谁负责”讲清楚：收集和使用数据要有明确目的、合理边界与必要性；对敏感信息、重要数据以及高风险处理活动，要有更严的管理与评估；强调全流程安全管理与风险控制，避免数据在训练、共享、调用中失控。换句话说，先把原料的合法性与可控性立起来。

　　第二层：自动化决策的透明、公平、可拒绝、可解释，回答“算法怎么对你下结论”。

　　接下来，相关法律把目光从“数据入口”移到“决策过程”。核心要求可以概括为四句话：用算法/模型做决策，不能完全黑箱；结果要公平，避免差别对待；个人应当有退出或选择空间；对个人权益影响重大时，个人应当能获得必要的救济通道。这一层的实质是：AI 不仅要“算得准”，还要“算得讲理”。它把“可解释、可选择、可纠偏”变成企业必须工程化实现的产品能力，而不是道德倡议。

　　第三层：个性化推荐与差别待遇要可对照、可退出，回答“结论怎么影响你的选择与钱包”。

　　在平台、电商与信息分发场景，AI最显著的外化形态是推荐、排序与定价。相关法律的共同逻辑是：允许个性化，但不能把它做成“唯一选项”；不能让算法成为差别待遇的遮羞布；必须给用户一种可对照的机制，让个人能够看见“非个性化”的另一种结果或路径。这一层的价值在于，把算法影响从“看不见的后台变量”变成“用户可感知的前台选择”，从而削弱信息不对称带来的不当优势。

　　这套规制方式的好处是：技术再变，法律盯住的仍是“画像→决策→影响个人权利和市场秩序”的结构性风险。换句话说，AI换皮一千次，法条只要抓住“谁拿你的信息算了你、算完怎么对你”，它就跑不掉。

　　三、法律如何促进AI新质生产力发展？

　　企业界的一个常见误解，是把合规视为“成本项”。但在AI时代，合规更像一辆车的底盘：它不直接决定你跑多快，却决定你能不能上高速、敢不敢加足马力，以及出了事故有没有安全气囊。简而言之，法律提供的是新质生产力发展所需要的“稳定预期”。

　　修订后的《网络安全法》将AI纳入基础性法律支持与治理框架，再叠加相关法律等对数据、算法、自动化决策等的系统规制，会在至少四个方面释放“促发展”的红利，值得我国AI企业认真研究。

　　1.把“数据不敢用”改造成“数据可证明地可用”：降低要素流通的交易成本。

　　笔者在AI企业调研时，一位企业家曾明确表示，“数据合规的边界不清晰，是时刻悬在我们头上的一把剑”。AI的第一生产要素是数据，但数据的流通不是技术问题，而是权责问题。法律把“敢不敢用数据”变成“怎么用、如何证明我用得对”，这会促进数据要素在更大范围内流动，从而为模型训练、行业知识库与智能应用提供稳定燃料。对企业而言，数据合作更容易谈成，数据资产也更容易被“金融化”识别。

　　2.倒逼“隐私保护工程化”：催生一整条AI合规技术与服务产业链。

　　法律对自动化决策、个性化推送、差别待遇等提出要求，企业要满足这些要求，靠“写一份制度”不够，必须工程化。于是，合规反而会带来新的供给侧机会。模型与算法治理工具会成为标配，隐私与安全增强技术（PETs）会更普及，合规咨询与第三方评测会更产业化。这相当于把“合规要求”转化为“产业需求”，而产业需求又会反过来提升全社会的AI可靠性。这就是典型的新质生产力逻辑：规则不是刹车，而是把道路铺平。

　　3.把“黑箱红利”变成“可解释红利”：推动商业模式从短期套利走向长期复利。

　　在平台与消费场景里，AI最常见的利润来源往往是“信息不对称”。法律的相关规定实质上是在压缩“黑箱套利空间”。这对行业的正向作用在于：促使企业把能力从“更会算你”转向“更好服务你”。同样是推荐算法，有的企业用来最大化点击率，有的用来减少信息噪音、提高匹配质量；前者短期收益高但信任消耗快，后者是慢变量却可复利。法律会推动企业用透明、体验与品牌去竞争，从而抬升行业平均质量门槛，减少“劣币驱逐良币”。

　　4.把“AI安全”纳入网络安全体系：让“安全能力”本身成为生产力。

　　修订后的《网络安全法》提出运用AI提升网络安全保护水平，对企业端的意义是：AI不只是业务增长工具，也会成为安全防护工具，并逐步被纳入“合规必备能力”。这会带来两个增量：一是安全运营智能化，二是关键行业的“可信AI”落地加速。当法律框架与安全治理路径更清晰，行业会更敢于投入、试点与规模化。一句话，安全不再只是“防损”，而会变成“增效”。把安全能力做成标准化、平台化，反而能提升生产系统的韧性与效率。

　　总之，AI入法，不是给技术戴紧箍，而是给产业装底盘。对企业而言，这不是一句口号式的“加强监管”，而是一张越来越清晰的路线图：数据从哪里来、怎么进模型、怎么做推荐和定价、怎么解释、怎么留痕、怎么评估风险——都在变得更可预期。而可预期，正是投资、创新与规模化应用的前提。

　　法律并不会替企业写代码，但它会决定企业写出来的代码，究竟是在松软的沙地上搭帐篷，还是在牢固的地基上起高楼。

　　（作者王翔为复旦大学数字与移动治理实验室研究员）