法规正面临临界点。法规数量太多，管理起来太复杂，而且情况越来越糟。

背景

网络法规的目的是保护机密性和实物资产。机密性可能涉及个人信息、商业知识产权或国家安全。机密性和实物资产的滥用者可能是本地企业或外国侵略者。因此，法规主要涉及两个领域：防止本地滥用或误用计算机系统及其内容，以及更好地保护免受外国侵略者的侵害。这意味着限制公司使用数据的方式并坚持最低限度的网络安全。

遵守这些规定即为合规。

法规和合规性是必要之恶。它们对安全团队提出了额外要求，但力求确保最低程度的数据保护。随着网络世界的范围和复杂性不断增长，法规的数量和复杂性也在增加。 

但始终存在一个难题：政治家必须保护人民（选民），同时又不能损害创新（经济）。主流人工智能的出现就是一个很好的例子。这是一项新技术，当局正在努力监管其滥用，同时又不损害其进步。

如今，又出现了一个复杂的问题：全球保守派政治势力的增长，其哲学倾向是小政府。其结果就像两个天气系统，一个温暖，一个寒冷，交汇在一起。这种碰撞的结果通常是动荡。所有这些都因技术全球化而加剧：全球技术在一个仍然主要是部落的世界里发展。 

自由世界的两个主要监管机构是美国和欧盟。欧盟倾向于单一监管——基本上每个主体都制定一个单一的法规来管理所有人的一切。这不可避免地会导致一个漫长的过程，其中存在漏洞和矛盾，这些漏洞和矛盾旨在安抚不同的国家观点和能力以及不同的商业游说者。

美国各州的立法自主权比欧盟各国家更大，而美国的党派性质确保各州坚持自己的自主权。对整个美国实行一刀切的监管几乎是不可能的，不同州的监管各不相同，有时还受到党派政治的影响。

这些不同的监管压力导致了合规环境的复杂化，而且未来几年这种情况只会更加恶化。

概述

2025 年，监管要求将大幅变化，无论是组织对近期法规的响应，还是新法规的制定。我们将重点关注两个主要领域：人工智能和美国政治舞台；然后研究网络安全的更广泛监管问题。

人工智能使用规定

人工智能是一项新技术，显然需要某种形式的监管控制来防止其被滥用。欧盟已经通过《人工智能法案》展示了其整体性方法。美国继续采用自己的监管方法：联邦采用行政命令和机构要求相结合的方式，并辅以单独的州级法律。

《欧盟人工智能法案》于 2024 年 8 月 1 日生效，但其中大部分条款尚未实施。预计（但不保证）透明度和数据治理义务以及高风险系统的具体要求将在 2025 年实施，2026 年将实施更多规定。然而，人们已经开始担心这项法规过于复杂且难以理解。

Beyond Blue 董事总经理、前英国国防部网络主管戴维·费布拉什 (David Ferbrache) 评论道：“美国似乎正转向对人工智能的伦理、安全和隐私采取宽松的监管制度，并将更多精力放在开放式创新上，而欧盟则对其 2025 年生效的欧盟人工智能法案采取了更为规范和谨慎的态度。”

他补充道：“另一个挑战是不同国家网络监管制度的激增，许多国家都制定了监管制度来保护其在网络空间的国家主权，尤其是在处理敏感信息或对海外技术提供商的依赖方面。”

欧盟面临的主要问题之一是，人们普遍认为人工智能与现有法规（如 GDPR（数据隐私）和数字单一市场指令（版权保护））根本不相容。人们认为他们自己的数据应该是私密的，他们自己的创作应该受到保护。虽然这从来都不是完全正确的（一直存在基于业务的例外情况），但人工智能模型训练的规模（整个互联网上的一切）将这一点提升到了不同的水平。

其结果就是典型的监管含糊其辞。人工智能过去的任何不当行为实际上都被原谅了，而未来的不当行为将受到监控。引入的一个关键要素是透明度。人工智能模型开发人员必须对其训练数据和用于生成输出的过程保持透明。然而，一旦使用训练数据，数据就会变得无法识别。很难看出如何确保和执行透明度。

尽管如此，大多数安全专家认为欧盟人工智能法案是一股积极的力量。AvePoint 首席风险、隐私和信息安全官 Dana Simberkoff 表示：“我们看到了一种深思熟虑的监管模式，可以激发全球标准。关键是找到一个最佳点，即监管提供足够的结构来建立信任和安全，同时保持持续创新所需的灵活性。”

与此同时，美国继续采取零敲碎打、更有针对性的监管方式。目前还没有与欧盟整体式人工智能法案相当的法案。取而代之的是总统行政命令（例如拜登的“人工智能权利法案蓝图”）、针对不同行业部门的机构特定建议和法规以及州一级的举措。

这一演变将在 2025 年及以后继续加速——监管机构的主要困境将保持不变且倍增：安全与创新。“虽然这些法规旨在提高信任度和安全性，但它们也可能带来合规负担，从而阻碍小型企业大规模创新，” Kiteworks总监 John Lynch 警告称。

埃里克·施密特 15 年前的先见之明在人工智能的新世界中始终回响并被放大：“互联网是人类创造的第一个人类无法理解的东西，是我们有史以来最大的无政府实验。政府将无法跟上创新的速度。” 2010 年互联网的现状在 2015 年人工智能的现状中更加如此。

保守政治和雪佛龙效应

2024 年 6 月 28 日，最高法院推翻了一项名为“雪佛龙原则”的法律原则，该原则 40 年来一直让联邦机构在如何解释与其自身职责相关的法律方面享有尊重。推翻雪佛龙原则将优势从机构转移到了他们所起诉的对象，最坏的情况是允许被告组织四处寻找更有利的法院，最好的情况是将机构行动减少为法庭抽签。 

我们根本不知道，在2025年小政府主导的政府治理下，这一切将会如何发展。

然而，鉴于人们普遍认为新政府将试图控制联邦机构监管过度，我们可以预料到会出现意想不到的情况。特朗普在当选总统期间就明确表达了自己的想法——暗示联邦监管即将放松。“我们可能会看到美国证券交易委员会、卫生和公共服务部、联邦贸易委员会和其他联邦机构在联邦层面上传统上活跃于隐私和数据保护领域的行政规则制定减少，”Ilia Kolochenko（ImmuniWeb 首席执行官、Platt Law LLP 合伙人、网络法和网络安全兼职教授）表示。

“雪佛龙原则的终结可能会导致联邦贸易委员会、联邦通信委员会和卫生与公众服务部所采用的数据隐私法规面临挑战，”Dykema 律师事务所的但丁·斯特拉 (Dante Stella) 表示同意。“如果这些挑战成功，他们将对华盛顿施加更大压力，要求其颁布新的行业法律——或者一部全面的数据隐私法来统治它们。”

Kolochenko 认为，压力更有可能在州一级找到发泄渠道。“在宪法允许的范围内，美国各州将保留广泛的自由度，就任何事项制定州法律。因此，”他说，“我们应该期待更多有关隐私、数据保护和人工智能的州法律——这使得全美范围内的合规工作变得相当繁重且成本高昂。”

当然，这只是现阶段的猜测，但我们可以肯定，雪佛龙效应和保守政治将对 2025 年及以后的监管格局产生巨大影响。

关键基础设施网络事件报告法案 (CIRCIA)

CIRCIA 是美国联邦法律，于 2022 年颁布，要求关键基础设施机构向 CISA 报告重大网络事件。CISA 于 2024 年 4 月 4 日发布了拟议规则制定通知 (NPRM)，最终规则预计将在 18 个月后出台。因此，CIRCIA 目前预计将于 2025 年底生效。

然而，值得注意的是，CIRCIA 可能是保守党政府削减的目标。Axio 联合创始人兼总裁 David White 评论道：“为了简化和减少监管，我预测特朗普政府将削弱或废除 SEC 的网络披露规则、CIRCIA（2022 年关键基础设施网络事件报告法案），或两者兼而有之。”

欧盟数字运营弹性法案（DORA）

DORA 旨在加强欧盟金融部门的运营韧性。该法案预计将于 2025 年 1 月 17 日生效，与其他欧盟主要法规一样，它将影响与欧盟有业务往来的非欧盟组织。

BlueVoyant 网络咨询总监 Leigh Glasper 评论道：“尽管 DORA 专门针对金融机构，但由于针对供应链的攻击类型具有共性，它要求金融公司只能与能够证明其合规的第三方合作。”

如果历史重演，我们将看到其他国家效仿欧盟，制定更严格的金融行业法规，就像欧盟《通用数据保护条例》出台后隐私法规的出台一样。然而，广泛的小政府政治运动也可能发挥作用。

“由于法律法规不明确且不断扩大，我们可能会看到某些美国科技公司退出欧洲市场，”科洛琴科警告说。“如果欧盟继续其在几乎所有科技领域实施过度监管的当前策略，欧洲可能迟早会发现自己与世界其他国家隔绝。” 

情况越来越糟。“过度监管是一种全球现象，可能会促使大多数公司故意忽视和违反法律，因为支付罚款的成本远低于确保合规的成本。”他警告说，值得称赞的监管与扼杀创新之间的冲突是真实存在的；“最终会给外国公司带来不适当的竞争优势——更不用说那些对任何法律都漠不关心的网络犯罪集团了。法律法规是保护社会和维护人权的重要手段，但必须谨慎制定，并仔细分析其在全球范围内的附带影响。”

英国网络安全和弹性法案 (CSRA)

《网络安全法》预计将于 2025 年提交给英国议会。该法旨在加强英国境内的网络安全，但也适用于在英国境内运营的外国公司。在某些方面，它可以被视为欧盟《网络安全法》的英国版。该法是在 NHS 和关键基础设施遭受攻击等重大事件发生后推出的，而且人们普遍认为，英国脱欧前从欧盟继承下来的法规已不再适用于英国。

它将把监管监督范围扩大到更广泛的服务领域，赋予监管机构更强的执法权力，并引入更严格的事件报告要求。

美国州级网络安全法的影响

美国联邦政府经常在保守派和自由派之间摇摆不定，因为传统上两者之间的数字差异只有几个百分点。结果就是总有相当一部分州不同意国家政府的基本政策。仅仅因为这个原因，宪法赋予各州的主权就受到严密的保护。结果是，不同的州制定自己的法规，这些法规不可避免地受到当地政治观点的影响，而不管现有联邦政府的政治观点如何。

反过来，这意味着美国的网络安全受到多个州级单独法规的约束。Dykema 律师事务所的 Matthew Hays 举了一个例子。“政治意识形态往往会影响法规的重点：例如，加州 CCPA 采取了全面、家长式和手把手的监管方式，而佛罗里达州的数字权利法案则以大型科技公司为目标。”

一概而论总是很危险的，但自由主义者倾向于相信监管控制，而保守主义者则倾向于将政府干预降到最低。“政治意识形态也会带来挑战，共和党州通常倾向于减少监管，而民主党州则更倾向于消费者保护、数据隐私和网络安全监管，”MetricStream 联合首席执行官 Gaurav Kapoor 表示。“对于在多个州开展业务的组织来说，这可能导致需要在同一系统中适应截然不同的合规要求——例如，如果一个州要求不同的数据泄露通知时间。”

当前的美国政治为多个不协调的州级网络安全法规提供了温床。“新政府已表示将大幅削减联邦监督和执法预算，”Hays 继续说道。“蓝州的州立法者和司法部长将联邦政府的新面貌视为挑战，并将通过更具约束力的消费者保护法规或严格执行现有法规做出强烈反应。”

Clark Hill Law 的 Melissa Ventrone 对此表示赞同。“我们预计，2025 年将有更多州提出并颁布全面的隐私法，作为确保公司保护消费者数据的努力的一部分。我们还将看到更多州更仔细地审查公司何时使用自动决策 (ADM) 技术以及何时需要通知此类使用。”

Concordium 首席执行官 Boris Bohrer-Bilowitzki 指出：“美国有几个州正在制定自己的网络安全法，包括特拉华州、内布拉斯加州、新罕布什尔州、新泽西州、爱荷华州、马里兰州和田纳西州。很明显，到 2025 年，美国企业将需要采取更积极主动的方式来保护网络安全和隐私，否则他们可能会面临巨额罚款。” 

保守派和自由派态度之间的这种微妙冲突（我们说“微妙”是因为网络安全本身并不是一个党派话题）也将适用于新兴的人工智能法规。Blank Rome, LLP 合伙人 Philip N Yannella 表示：“我们确实希望看到联邦对人工智能发展的监管力度有所放松——也许包括撤销或部分撤销拜登总统关于人工智能的行政命令。”他补充道：“在下一届国会期间，我们预计任何新的联邦人工智能法律都将再次采取宽松的监管措施。”

联邦层面的任何迟缓都将与州层面的同样匆忙相媲美。Elastic 全球政府事务主管 Bill Wright 评论道：“仅在 2024 年，州立法者就在 45 个州提出了近 700 项与 AI 相关的法案。其中，113 项已经颁布。每个州的做法都反映了其独特的优先事项，但由此产生的分裂可能会扼杀创新，同时留下安全和监督方面的漏洞。”

美国网络安全法规零散且不完整，州法律和联邦法律之间存在分歧，人工智能等新兴且不太为人所知的技术加剧了这一问题，而欧盟传统的过度监管也使这一问题更加复杂，这将在2025年及以后给整个企业，尤其是安全团队带来沉重的负担。

Anomali 安全策略师丹·奥尔特加 (Dan Ortega) 表示：“情况一直很混乱，而且会变得更加混乱。” 

对网络安全领导者和团队的影响

人们越来越觉得，监管正在走向自己的极限：一个复杂的黑洞，理性无法逃脱，商业无法继续。保守派政治可能开始在美国国内遏制这种趋势，但欧盟几乎没有任何克制的迹象。

赖特与科洛琴科先前的评论如出一辙，他表示：“有些公司可能会限制或撤出整个州或监管壁垒过高的市场，尤其是当这些市场施加合规成本或需要的资源超过回报时。这意味着特定地区在网络安全准备和发展方面落后。”

唯一的选择是限制维持法规合规性的努力，或增加内部资源以遵守法规。对于前者，Wright 继续说道：“组织可以选择遵守最严格的法规作为基准，因为他们认为这将满足所有其他要求。虽然这可能被视为务实的做法，但这种方法可能会显著增加运营成本，并造成限制，从而扼杀他们所服务的所有市场的创新。”

除了规模较大、资源更丰富的组织外，后一种方法可能对所有组织来说都遥不可及。过度监管对小公司创新引擎的威胁可能会在 2025 年爆发。