美国议员提出《AI事件报告法案》,强制AI安全事件上报

admin 2026-07-14 05:44:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 美国众议员Moran提出《AI事件报告法案》,旨在建立联邦统一的高风险AI强制上报制度,弥补软性监管不足。法案要求开发者知悉风险后7日内上报模型自主失控、权重泄露、赋能网络攻击等六类高危事件,并设立信息豁免与保护机制以降低企业顾虑。违规者单次最高罚款200万美元。该法案将重塑全球AI企业合规框架,推动各国加速相关立法,跨国企业需提前构建安全监测与上报机制。 综合评分: 86 文章分类: AI安全,政策法规,安全建设,解决方案,数据安全


cover_image

美国议员提出《AI事件报告法案》 ,强制AI安全事件上报

赛博研究院 赛博研究院

赛博研究院

2026年7月13日 18:18 上海

在小说阅读器读本章

去阅读

近日,美国众议员Moran向国会提交了《AI事件报告法案》(AI Incident Reporting Act,以下简称“法案”)。该法案旨在建立联邦统一的高风险AI强制上报制度,弥补以往仅依赖行政令和企业自愿承诺等软性监管手段的不足。

法案授权商务部部长在法案生效后180天内,联合安全、网络安全、学界及产业专家制定配套法规,确立量化能力阈值,并明确界定两类核心监管对象:

  • 受监管模型,即具备对美国国家安全和公共安全产生重大风险能力的AI大模型,其判定阈值重点参考模型是否具备法案列明的多高危行为能力;
  • 受监管模型开发者,包含两类负有上报义务的主体,一是完整开发、训练高风险AI模型的机构或个人,二是通过微调、权重修改等方式深度改造模型,使其达到风险阈值的机构或个人。

法案设立了刚性上报规则:开发者一旦知晓或有合理理由认定发生可上报事件,最迟须在7个自然日内向商务部提交完整书面报告;若存在即时、持续的重大安全风险,则需启动加急上报流程。法案明确列出几大类必须上报的高危事件。

  • 模型自主失控行为:指AI试图规避人类管控、欺骗评测人员、绕过安全防护、拒绝关停、未经授权获取系统权限等自主逃逸行为。但仅限实验室定向测试且未上线生产环境的诱导行为除外,以排除常规安全红队测试带来的重复上报负担。

  • 模型权重泄露与窃取风险:指模型权重(可完整复现模型运行的核心参数)被盗、外泄或被窃取,包括模型自主尝试向外传输权重、非法转移模型核心文件等行为。法案将模型权重视为核心战略技术资产予以保护。

  • 赋能大规模攻击性网络作战:指AI可批量挖掘、利用并串联系统漏洞,对关键基础设施、工业系统及通用数字软件实施高强度网络攻击,严重威胁美国网络与国土安全。

  • AI自主加速迭代:指模型在无人工触发的情况下自主研发、迭代更强人工智能系统,大幅压缩高阶AI研发周期,且该技术路径存在重大国家安全隐患。

  • 辅助生化、放射、核、爆炸武器研发:指AI显著降低大规模杀伤性武器的研发门槛,使无相关技术基础的主体也能快速获取制造和使用能力。

  • 未遂重大安全风险事件:指上述五类风险虽未实际发生,但因第三方干预、用户无实施意图或技术缺陷等外部偶然因素才得以规避,同样须上报,以实现风险前置预警。

同时,法案提出商务部可通过规则制定补充其他应上报的高危事件类型。凡涉及危害国家安全和公共安全的AI风险类别,均保留监管弹性。以上明确列明事件,叠加商务部可新增风险场景,共同构成法案要求上报的AI安全事件类型。

值得注意的是,法案明确要求开发者在知悉风险后7日内提交书面报告,内容须涵盖事件经过、发现时间、威胁溯源、安全危害评估及处置措施;若存在即时重大险情,则应加急上报。

法案在强制上报义务与企业商业秘密及法律权益之间取得平衡,设立了多重信息豁免与保护机制,以降低企业上报顾虑:其一,信息公开豁免。提交至商务部的信息,不适用于相关联邦公开披露要求,且州及地方政府不得依据信息公开法规要求披露相关报告材料,以防止企业敏感技术信息和商业秘密泄露。其二,不视为权利放弃。企业提交报告不构成放弃商业秘密、律师客户保密特权及工作成果保护等法定权利。其三,报告材料禁止反向追责企业。提交的事件报告以及仅为准备、提交报告形成的相关材料,不得在针对该受监管模型开发者的民事、刑事或行政程序中作为证据使用,联邦、州及地方政府不得依据该报告本身对企业实施监管或执法措施;但基于独立获取的信息开展调查或追责不受影响。其四,政府信息共享边界。商务部可在符合法律规定的情况下,将报告信息共享给情报机构和执法机构,但接收机构须继续遵守信息保护和使用限制要求。相关信息主要用于应对、缓解或预防国家安全和公共安全风险,而不得仅依据报告内容对受监管模型开发者实施常规监管执法。

商务部有权制定配套细则,开展现场核查,签发传票调取企业训练日志及审计材料,并可传唤企业负责人作证;同时可在境内外展开调查,要求企业落实风险整改措施。对拒不配合的企业,可移交司法部提起民事诉讼。

针对迟报、漏报、瞒报等违规情形,单次违规最高可处以200万美元民事罚款;持续拒不整改的违规行为按单日单独计罚。商务部作出处罚前需履行法定告知与申辩流程,并结合违规情节、主观意愿、企业补救整改情况综合确定最终处罚金额。

法案潜在影响分析:一是对美国AI企业,头部厂商需组建AI安全监测与上报专职团队,合规成本相应上升;但保密与证据隔离条款有效消除了企业隐瞒事故的动机,推动行业安全透明化。统一联邦规则解决了各州监管碎片化的问题。二是对美国联邦AI治理,告别企业自愿自律模式,建立全国统一的AI风险数据库,为后续AI出口管制与安全标准制定提供数据支撑。三是对全球治理格局,形成以“事后上报、安全优先”为特征的美式监管范式,与欧盟事前强审查路线并立为两大体系,抬高了跨国AI企业的全球合规成本;此外,法案允许境外调查,或将约束海外面向美国用户提供服务的AI厂商。

法案现存争议与待明确空间分析:其一,风险阈值裁量权过大。高风险模型的划分标准完全由商务部通过行政规则制定,缺乏国会法定量化指标,导致未来监管尺度存在较大的政策波动空间。其二,开源模型合规边界模糊。法案未明确开源大模型开发者及社区是否属于“受监管开发者”,使得开源AI项目在上报义务方面存在规则空白。其三,国际合作机制缺失。法案仅规定了美国境内的调查权限,未建立与他国AI监管机构的风险信息互通机制,导致跨国AI安全事件的处置存在协同短板。

最后,法案若在参众两院顺利通过并经总统签署生效,将重塑全球头部AI企业的合规框架,并推动各国加速出台AI安全事件上报相关立法。对于跨国AI企业而言,需提前构建覆盖AI全流程的安全监测、事件溯源与合规上报机制,以适配美式强制上报监管的新要求。

文章参考来源:美国众议院、互联网公开信息

关于赛博研究院

上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。

赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。

欢迎联络咨询:

邮件:[email protected];

电话:021-61432693。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:赛博研究院 赛博研究院 赛博研究院《美国议员提出《AI事件报告法案》 ,强制AI安全事件上报》

评论:0   参与:  0