2025 年海內外網路安全法規趨勢：數據、AI 與基礎設施保護

2025 年，全球網路安全法規將持續演進，重點聚焦於數據安全、人工智慧 (AI) 的治理，以及關鍵基礎設施的保護。數位化轉型加速、地緣政治緊張，以及新興技術的快速發展，共同推動了這些趨勢。本文將針對這些趨勢進行深入探討，並提供 IT / 資訊工程師 / 程式設計人員 / 資安工程師與 IT 技術主管的參考。

數據安全：強化動態保障，拓展生態治理

數據作為數位經濟的核心，其安全流通與利用已成為常態。各國數據安全法規將更加注重動態安全保障能力，以適應數據產業的發展需求。從中國大陸的《數據安全法》、《個人信息保護法》到歐盟的《通用數據保護條例》(GDPR)，以及美國各州的數據隱私法規，都體現了對數據保護的日益重視。2025 年，數據法治將從單一的安全治理擴展到對整個數據產業鏈、生態鏈的治理，確保數據在整個生命週期中的安全性。(安全客, 2024)

數據跨境傳輸規則仍然是數據安全法治的重要變數。美國《關鍵基礎設施網路事件報告法案》(CIRCIA)預計於2025年10月生效，將要求關鍵基礎設施領域的公司在 72 小時內向美國網路安全和基礎設施安全局 (CISA) 報告重大網路事件，並在 24 小時內報告勒索軟體支付情況。(攬阁信息科技, 2025)

此外，加密技術的使用也將受到更嚴格的監管。美國《健康保險流通與責任法案》(HIPAA) 的安全規則預計於 2025 年更新，將使受保護的電子健康信息加密成為強制性要求。歐盟的《國家信息安全指令》(NIS2) 也將“密碼和加密使用政策”列為基本服務的安全措施。(攬阁信息科技, 2025)

AI 安全與合規：新挑戰與應對

人工智慧 (AI) 的快速發展帶來了巨大的機遇，但也伴隨著新的安全風險和合規挑戰。AI 模型訓練需要大量的數據，這些數據可能涉及個人隱私或商業機密。AI 算法的偏見可能導致歧視性結果。AI 系統也可能成為網路攻擊的目標，例如通過對抗性樣本來欺騙 AI 模型。(安全客, 2024)

針對 AI 的合規風險，各國正在制定相關的法律法規。例如，歐盟的《人工智慧法案》(AI Act) 旨在規範 AI 系統的開發和使用，確保 AI 系統的安全、可靠和符合倫理道德。中國大陸也正在制定相關的 AI 法規，加強對 AI 技術的監管。(乘风破浪，合规先行, 2024)

對於 AI 企業出海，需要特別關注目標市場的知識產權保護、數據合規、算法倫理和網路安全要求。例如，在歐盟，AI 企業需要遵守 GDPR 的數據保護規定，並確保其 AI 系統符合 AI Act 的要求。(乘风破浪，合规先行, 2024)

關鍵基礎設施保護：融入新型風險，聚焦供應鏈安全

關鍵基礎設施 (Critical Infrastructure) 的安全保護始終是各國網路安全的首要任務。隨著網路攻擊的日益複雜和頻繁，關鍵基礎設施面臨的風險也越來越大。特別是隨著 AI 等新技術的引入，供應鏈安全、數據安全等風險日益凸顯。(安全客, 2024)

2025 年，關鍵基礎設施的安全保護工作將呈現新的特點。首先，需要基於新技術的發展潛能，預判並提前布局關鍵基礎設施的安全防禦能力，確保關鍵基礎設施能夠適應信息技術的快速變化。其次，供應鏈安全將成為關鍵基礎設施安全保護工作的切入點。政企單位需要充分利用網路安全審查、網路安全專用產品、關鍵設備檢測認證、國產化以及網路產品和服務提供者管理等制度工具，提升關鍵基礎設施運營者和網路產品服務提供者的安全管理能力，識別並消除供應鏈中的新“盲點”。(安全客, 2024)

其他值得關注的趨勢

量子計算的威脅： 量子計算的發展將對現有的加密算法構成威脅。各國正在積極研究抗量子加密算法，以應對潛在的風險。(NISP官网, 2025)
雲端安全： 隨著越來越多的企業將業務遷移到雲端，雲端安全的重要性日益凸顯。雲端安全將成為網路安全的重要組成部分。(NISP官网, 2025)
零信任安全： 零信任安全模型正在逐漸成為主流。零信任安全模型的核心思想是“永不信任，始終驗證”，通過對用戶、設備和應用程序進行持續驗證，以降低網路安全風險。(NISP官网, 2025)