最近这段时间，不少AI企业在办理算法备案时，都陆续接到了属地网信办、网安部门的实地核查通知。很多企业以为核查只聚焦算法本身，却忽略了一个关键细节——部分地区网安大队在核查中，除了核验算法备案相关材料，还会重点检查网络安全相关合规情况，其中安全评估就是高频核查项，不少企业因未提前完成安全评估，导致算法备案核查延误，甚至影响备案进度。

对于AI企业而言，安全评估不是“可选合规项”，而是保障业务合法合规、顺利通过算法备案实地核查的“必备前提”。结合近期各地核查实操经验，今天就为大家科普AI企业安全评估的核心知识，明确“什么情况下需要做”“具体要做哪些方面”，帮大家提前做好准备，顺利通过核查、规避合规风险。

一、先厘清：算法备案核查中，为什么会查安全评估？

算法备案的实地核查，核心是核验企业算法合规与网络安全防控能力，而安全评估作为网络安全合规的核心环节，直接关系到企业能否有效防范网络风险、保障用户权益和公共利益。根据《公安机关互联网安全监督检查规定》，公安机关开展互联网安全监督检查时，会重点核查互联网服务提供者履行法定网络安全义务的情况，其中就包括安全评估的落实情况。

尤其是AI企业，其算法产品多涉及用户数据收集、信息传播、智能交互等场景，部分产品还具备舆论引导、社会动员等属性，若缺乏规范的安全评估，极易出现违法有害信息传播、用户信息泄露、社会动员功能失控等风险。因此，网安部门在算法备案实地核查中，会将安全评估作为重点核查内容，确认企业已落实相关安全措施，切实履行网络安全主体责任。

简单来说，安全评估是AI企业网络安全合规的“体检报告”，也是算法备案实地核查的“必查项”，未按要求完成评估的企业，大概率会被要求补正材料，延误备案进度。

二、重点明确：AI企业什么情况下，必须做安全评估？

很多AI企业疑惑，自己的产品是否需要做安全评估？其实，根据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，结合AI企业的业务场景，以下几种情况，企业必须主动开展安全评估，且需确保评估合规、资料齐全，以备核查：

1. 核心场景：具有舆论属性或社会动员能力的产品/服务

这是最常见、最核心的适用场景，也是算法备案核查中最常抽查的类型。只要AI企业的产品或服务具备以下特征，就必须做安全评估：

• 社交互动类：如社交类APP、社区论坛、聊天小程序、通讯群组等，能够实现用户之间的信息交流、观点传播，具备一定的舆论引导能力；

• 内容传播类：如搭载AI算法的资讯APP、短视频平台、网络直播、公众号/小程序等，可向公众推送内容、传播信息，具有舆论属性；

• 公共服务类：如AI政务小程序、便民服务平台等，能够面向公众提供服务，具备一定的社会动员能力，涉及公共利益；

• 其他相关场景：如AI推荐平台、用户社群管理工具等，能够聚集用户、传递信息，可能影响公众认知或动员社会公众参与特定活动的产品/服务。

2. 特殊情形：需主动开展安全评估的其他情况

除了上述核心场景，根据监管要求，AI企业出现以下情况时，也必须开展安全评估，且需留存评估报告以备核查：

• 产品/服务升级：AI产品增设舆论传播、社交互动等功能，或使用新技术新应用，导致舆论属性、社会动员能力发生重大变化；

• 用户规模变化：产品用户量显著增加，导致信息传播范围、社会影响力大幅提升，安全风险随之增加；

• 风险预警后：发生违法有害信息传播、用户信息泄露等安全事件，表明现有安全措施难以防控风险；

• 监管要求：地市级以上网信部门或公安机关书面通知要求开展安全评估的，需按要求完成评估。

特别提醒：AI企业可自行实施安全评估，也可以委托第三方安全评估机构实施，但需对评估结果负责，确保评估内容真实、合规，评估报告可作为算法备案核查的佐证材料。

三、核心干货：安全评估具体做哪些方面？（核查重点版）

结合网安部门实地核查重点，以及《公安机关互联网安全监督检查规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》的相关要求，AI企业安全评估主要围绕6大核心方面展开，每一项都是核查重点，企业需逐一落实、留存相关证明材料：

1. 用户真实身份核验及注册信息留存措施

这是安全评估的基础项，也是网安核查的重点。核心是核查企业是否落实“实名注册”要求，具体包括：

是否建立用户真实身份核验机制，如手机号验证、身份证实名认证等，确保用户注册信息真实有效；是否留存用户注册信息（如姓名、手机号、身份证号脱敏信息等），留存期限是否符合监管要求（通常不少于6个月）；是否对虚假注册、冒用他人身份注册的行为，采取拦截、注销账号等防控措施。

2. 日志信息及用户发布信息留存措施

日志留存是追溯安全事件、排查违法违规行为的关键，评估重点包括：

是否完整留存用户相关日志信息，包括用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等；是否留存用户发布、转发、评论的信息记录；日志及信息记录的留存期限是否达标（不少于6个月），是否具备可查询、可追溯的能力，确保出现安全问题时能够快速溯源。

3. 违法有害信息防范处置及记录保存措施

AI产品易出现违法有害信息传播风险，这是评估的核心难点，重点核查：

是否建立违法有害信息防范机制，如AI内容审核模型、敏感词库、人工审核团队等，对用户账号、通讯群组名称、昵称、简介，以及信息发布、转发、评论等环节进行管控；是否对发现的违法有害信息，采取删除、屏蔽、下架等处置措施；是否留存相关处置记录（如处置时间、处置内容、处置人员等），确保处置过程可追溯。

4. 个人信息保护及风险防控技术措施

结合《网络安全法》《数据安全法》要求，重点评估AI企业的个人信息保护能力，包括：

是否遵循“合法、正当、必要”原则收集用户个人信息，是否明确告知用户信息收集的范围、用途；是否采取数据加密、脱敏、访问控制等技术措施，防范用户个人信息被窃取、泄露、篡改；是否建立个人信息安全管理制度，明确责任分工，防范因算法运行导致的个人信息泄露风险；是否落实《网络安全审查办法》中关于个人信息保护的相关要求，尤其针对掌握大量用户个人信息的企业，需符合额外的安全管控要求。

5. 投诉、举报制度建立及落实情况

这是企业履行社会责任、响应公众诉求的重要体现，评估重点包括：

是否建立完善的投诉、举报制度，明确投诉、举报的受理范围、处理流程、处理时限；是否在产品显著位置（如APP首页、小程序入口）公布投诉、举报方式（如电话、邮箱、在线客服等），确保用户能够便捷提交投诉、举报；是否及时受理用户投诉、举报，妥善处理相关问题，并留存处理记录（如处理时间、处理结果、反馈情况等）。

6. 为监管部门履职提供支持的工作机制

根据监管要求，AI企业需配合监管部门、执法部门依法履职，评估重点包括：

是否建立专门的工作机制，明确对接人员，负责配合监管部门的核查、调查工作；是否具备为监管部门提供技术支持、数据查询的能力，如协助调取日志信息、用户数据、处置记录等；是否按要求向监管部门报送安全评估报告、安全风险隐患等相关信息，落实监管部门的整改要求。

四、实操提醒：安全评估与算法备案核查的衔接要点

结合近期各地核查经验，给AI企业提3个关键提醒，避免因安全评估问题影响算法备案：

1. 提前完成评估：建议AI企业在提交算法及产品备案材料前，就完成安全评估，留存评估报告（加盖企业公章），避免实地核查时临时补做，延误备案进度；

2. 确保资料一致：安全评估报告中的内容（如产品场景、安全措施、留存期限等），需与算法备案材料、企业实际运营情况保持一致，避免出现信息矛盾，影响核查通过率；

3. 留存佐证材料：除了安全评估报告，还需留存各项安全措施的佐证材料（如日志留存截图、内容审核记录、投诉举报处理台账等），核查时需主动提供，证明评估内容真实、措施落实到位。

随着《互联网信息服务算法推荐管理规定》《生成式人工智能服务管理暂行办法》等法规的落地，网络安全合规已成为AI企业的“必修课”，而安全评估作为网络安全合规的核心环节，不仅是算法备案实地核查的必查项，更是企业规避安全风险、实现长远发展的重要保障。

最后，若你在安全评估开展、材料准备，或算法备案实地核查过程中，有具体的疑问，欢迎在评论区留言交流，一起梳理合规要点、顺利通过核查，让AI产品合法合规上线运营。