从TC260到GB45654：国家向人工智能企业传递发出了怎样的信号

我国人工智能治理框架迎来重大演进，2025-2026年期间形成完整监管体系。全国网络安全标准化技术委员会发布的TC260技术文件与GB/T45654-2025标准共同构成人工智能治理的"信号体系"，实现四大转变：从原则性指引到可量化指标，从试点领域到全面覆盖，从框架性要求到全链条治理，从行业共识到强制门槛。这一演进标志着中国AI监管进入体系化、精细化阶段，要求企业建立可验证的合规能力，同时也为行业

AIGC虎虎

576人浏览 · 2026-02-02 14:19:37

AIGC虎虎 · 2026-02-02 14:19:37 发布

当原则性指引变为具体可测的技术指标，人工智能的合规之路正从模糊走向清晰。

2025年至2026年间，我国人工智能治理框架迎来里程碑式演进。全国网络安全标准化技术委员会发布的一系列技术文件，与2026年正式实施的GB/T 45654-2025《网络安全技术生成式人工智能服务安全基本要求》，共同构成了国家在人工智能治理领域发出的完整信号体系。

这两个文件不仅标志着监管思路的成熟，更清晰地表达了国家对人工智能产业发展的期待与要求。

01 从指导原则到具体规则

TC260技术文件如《政务大模型应用安全规范》，在人工智能治理初期扮演了 "探路者"角色。这些文件通常以"宜""应"等建议性词语为主，为特定领域提供框架性指导。

例如，在模型选择上，TC260文件建议"宜选用支持检索增强生成（RAG）技术的模型"；在数据安全方面，提出"不应将人事、财务等敏感业务数据接入大模型向其他部门提供服务"。

这些指引如同行业发展的早期路标，为企业指明了大方向，但具体怎么走、走到什么程度，尚留有较大解释空间。

GB/T 45654-2025的出现，则将这条路标变成了精准的 "导航系统"。作为国家推荐性标准，它的要求直接、具体、可测量：

在数据安全上，明确规定训练数据中违法不良信息的不合格率不得超过5%
在内容生成上，要求生成内容的安全合格率需达到90%以上
在标注管理上，详细规定标注人员职责分离、数据隔离存储等具体操作要求

这一转变向企业传递了明确信号：人工智能治理已从探索期进入规则明晰期。企业不能再以"原则性遵循"为满足，而必须建立起可量化、可验证的合规体系。

02 从试点领域到全面覆盖

TC260文件的制定往往遵循 "试点先行"思路。《政务大模型应用安全规范》专门针对政府这一特定应用场景，体现了国家在关键领域先行先试的审慎态度。

这种选择具有明显战略考量：政务领域数据敏感度高、社会影响大，同时政府应用相对可控，能够为更广泛领域的治理积累经验、探索模式。

GB/T 45654-2025则将安全基线全面铺开。标准适用范围明确为"具有舆论属性或社会动员能力的生成式人工智能服务"，这几乎涵盖了当前市面上所有主流的AI服务类型。

同时，标准还针对不同应用场景提出了差异化要求：

对医疗、金融等特殊领域，要求采取更高级别的安全措施
专门规定了未成年人保护条款
明确用户权益保障要求，如提供关闭信息用于训练的选项

这种从点到面的扩展，标志着国家监管思路的重大转变：人工智能安全不再是特定领域的特殊要求，而已成为全行业必须遵守的基本门槛。无论企业服务对象是谁，只要涉及生成式AI技术，就必须达到统一的安全基线。

03 从框架指引到全链条治理

TC260技术文件侧重于关键环节的安全防护。《政务大模型应用安全规范》主要围绕数据安全、内容安全和系统安全三个维度构建防护框架，关注重点是应用部署阶段的风险防控。

这种框架性设计在技术快速迭代的初期是合理且必要的，它为不同技术路径的企业留出了灵活应对空间，鼓励在守住底线的前提下进行技术创新。

GB/T 45654-2025则构建了一个贯穿全生命周期的治理闭环。标准将安全要求系统性地嵌入人工智能服务的每一个环节：

训练数据阶段：从事前来源审核、事中内容过滤，到事后的数据标注规范，形成了从采集到使用的完整管理链条。标准特别要求"对全部训练数据进行过滤"，而不仅仅是抽样检查。
模型开发阶段：不仅关注输出结果的安全性，还增加了模型后门检测等针对模型自身潜在风险的要求。同时强调了训练环境与推理环境的隔离，防止开发过程中的数据泄露。
服务运营阶段：建立了持续监控和动态响应机制。要求服务提供者建立安全监测机制，及时发现并处置安全风险，形成了"预防-监控-响应"的完整运营安全体系。

这种全链条治理模式向企业表明：人工智能安全不再是某个部门或某个阶段的任务，而必须成为贯穿企业技术研发和运营管理的系统性工程。