About
为AI系统或模型生成风险定级和合规概要评估——涵盖数据、公平性、 透明度、安全性和监管注册表。在用例分类为"附条件-高"后使用, 产品或工程团队提出"我们需要做AI影响评估"时使用,或定期重新 认证已部署系统时使用。采用快速/全面双轨制。
/aia-generation
- 读取
~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md→ 监管注册表(适用法规、阈值、义务)、AI系统清单、科技伦理审查配置。 - 运行以下工作流。
- 判定走快速轨还是全面轨。提取系统描述 → 确定监管角色和风险等级 → 生成评估。
- 输出:定级 + 评估文件,包含具体行动项、负责人和截止日期。
/ai-governance-legal:aia-generation "客户信用评分模型 v2"
AI系统评估生成
事务上下文
事务上下文。 检查实践级 CLAUDE.md 中的 ## 事务工作区。如果 已启用 为 ✗(法务内部用户的默认值),跳过本段其余部分——技能使用实践级上下文,事务机制不可见。如果已启用且无活跃事务,询问:"此事务属于哪个事务?运行 /ai-governance-legal:matter-workspace switch <slug> 或回答 实践级。" 加载活跃事务的 matter.md 获取事务特定上下文和覆盖项。将输出写入事务文件夹 ~/.claude/plugins/config/claude-for-legal/ai-governance-legal/matters/<matter-slug>/。除非 跨事务上下文 为 开,否则绝不读取其他事务的文件。
目的
有些AI法规要求进行正式评估——在部署高风险系统之前、在商业模式变更之前、在训练数据或决策逻辑发生实质性变更时。此技能生成评估,并按法规要求保留记录。
适用法规
中国的AI治理框架由多个法规和规范性文件构成,根据系统类型和风险等级适用不同的评估要求:
- 《生成式人工智能服务管理办法》:面向公众提供生成式AI服务的,需进行安全评估和算法备案(第17条
[法条原文]) - 《科技伦理审查办法(试行)》:涉及生命健康、个人信息、社会公共利益等的科技活动需进行伦理审查
[法条原文] - 《互联网信息服务算法推荐管理规定》:使用算法推荐技术的,需进行算法备案(第24条
[法条原文])和安全评估(第27条[法条原文]) - 《互联网信息服务深度合成管理规定》:提供深度合成服务的,需进行安全评估(第15条
[法条原文]) - 《个人信息保护法》:涉及个人信息处理的AI系统,需进行个人信息保护影响评估(第55-56条
[法条原文])
加载当前状态
读取 ~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md:
## AI系统清单— 系统中每个AI系统的角色和等级## 监管注册表— 适用的法规及阈值## 科技伦理审查配置— 伦理审查委员会设置和审查触发条件
工作流
第1步:轨道判定
| 特征 | 快速轨 | 全面轨 | |------|--------|--------| | 系统类型 | 低风险内部工具(非面向公众) | 高风险系统或面向公众的系统 | | 数据处理 | 不涉及个人信息或仅涉及内部员工数据 | 涉及用户个人信息、敏感个人信息或大规模数据处理 | | 算法备案 | 无需备案 | 需要或可能需要进行算法备案 | | 深度合成/生成式 | 不涉及 | 涉及生成合成内容或深度合成 | | 评估历史 | 已有近期全面评估记录,仅作小幅更新 | 首次评估或实质性变更 |
如果系统明确匹配左列所有特征 → 快速轨。否则 → 全面轨。
第2步:监管角色判定
根据系统性质确定监管角色:
| 角色 | 定义 | 典型场景 | |------|------|----------| | AI服务提供者 | 自主研发并向公众提供AI服务的主体 | 自研模型/SaaS AI产品 | | AI服务使用者 | 使用第三方AI服务进行内部业务活动的主体 | 采购第三方AI能力嵌入自有业务流程 | | 双重角色 | 同时具备提供者和使用者属性 | 基于第三方模型微调后对外提供服务 |
角色判定影响后续义务范围:
- 提供者:需进行算法备案、安全评估、内容标识,承担更重的合规义务(《生成式人工智能服务管理办法》第7-17条
[法条原文]) - 使用者:需确保合规使用、进行供应商尽职调查,但备案义务较轻
第3步:风险等级判定
| 等级 | 典型系统特征 | 评估要求 |
|------|-------------|----------|
| 高风险 | 用于信贷审核、保险定价、招聘筛选、教育评估;涉及敏感个人信息;面向未成年人;安全关键场景 | 全面轨,算法安全评估 + 科技伦理审查 + 个人信息保护影响评估(《个人信息保护法》第55条 [法条原文]) |
| 中风险 | 面向公众的内容推荐、客户服务AI;涉及个人信息但非敏感 | 全面轨,算法备案(如适用)+ 个人信息保护影响评估 |
| 低风险 | 内部生产力工具、仅处理非个人信息、不面向公众 | 快速轨,内部记录即可 |
第4步:快速轨评估
[工作成果头 — 按照插件配置 ## 输出]
# AI系统快速评估:[系统名称]
**日期:** [日期]
**轨道:** 快速
**监管等级:** 低风险
**适用法规:** [列出]
---
## 系统描述
[一段话:系统做什么、用什么数据、谁使用、部署在哪]
## 非高风险自证
- [勾选快速轨的每项标准,附简要说明]
## 合规检查清单
| 检查项 | 状态 | 说明 |
|--------|------|------|
| 数据合法来源 | ✅/⚠️/❌ | [说明] |
| 不涉及敏感个人信息 | ✅/⚠️/❌ | [说明] |
| 不面向未成年人 | ✅/⚠️/❌ | [说明] |
| 不涉及自动化重大决策 | ✅/⚠️/❌ | [说明] |
| 不使用深度合成/生成式 | ✅/⚠️/❌ | [说明] |
| 有内部使用限制 | ✅/⚠️/❌ | [说明] |
| 科技伦理不触发 | ✅/⚠️/❌ | [说明] |
## 结论
[状态:通过 / 附条件通过(列出条件)]
## 审查者
[评估人] | [日期]
第5步:全面轨评估
全面轨评估包含以下部分:
5A:系统画像
- 系统名称、版本、部署日期
- 功能描述和数据流图(输入数据、处理逻辑、输出数据)
- 所涉数据的类别(是否包含个人信息、敏感个人信息、生物识别信息等)
- 受影响人群(规模、特征、是否有未成年人或弱势群体)
- 部署环境(内部/外部、是否通过API开放)
- 模型类型和来源(自主研发/第三方微调/直接采购)
5B:监管义务映射
| 法规 | 适用? | 触发条件 | 核心义务 | |------|--------|----------|----------| | 《生成式人工智能服务管理办法》 | ✅/❌ | 向公众提供生成式AI服务 | 安全评估、算法备案、内容标识、训练数据合法性、投诉机制 | | 《互联网信息服务算法推荐管理规定》 | ✅/❌ | 使用算法推荐技术 | 算法备案、安全评估、用户标签管理、未成年人保护 | | 《互联网信息服务深度合成管理规定》 | ✅/❌ | 提供深度合成服务 | 安全评估、内容标识、日志留存 | | 《个人信息保护法》 | ✅/❌ | 处理个人信息 | 个人信息保护影响评估、告知同意、数据最小化、安全措施 | | 《科技伦理审查办法(试行)》 | ✅/❌ | 涉及生命健康、社会公共利益等 | 伦理审查、知情同意、风险管控 |
5C:逐项评估
对每个适用的法规,逐项评估合规状态:
### 《生成式人工智能服务管理办法》合规评估
| 条款 | 要求 | 合规状态 | 证据/差距 | 整改措施 |
|------|------|----------|-----------|----------|
| 第4条 | 遵守法律、尊重社会公德、不得生成违法和不良信息 | ✅/⚠️/❌ | [说明] | [行动] |
| 第7条 | 训练数据合法来源,不侵害知识产权 | ✅/⚠️/❌ | [说明] | [行动] |
| 第9条 | 生成内容标识 | ✅/⚠️/❌ | [说明] | [行动] |
| 第11条 | 用户信息保护义务 | ✅/⚠️/❌ | [说明] | [行动] |
| 第15条 | 投诉举报机制 | ✅/⚠️/❌ | [说明] | [行动] |
5D:科技伦理审查
如果触发《科技伦理审查办法(试行)》[法条原文]:
## 科技伦理审查
**是否触发:** ✅/❌
**触发依据:** [所涉及的生命健康/社会公共利益/个人信息等具体情形]
### 伦理风险清单
| 风险类别 | 具体风险 | 严重度 | 缓解措施 |
|----------|----------|--------|----------|
| 算法歧视 | [描述] | 🔴/🟠/🟡 | [措施] |
| 隐私侵害 | [描述] | 🔴/🟠/🟡 | [措施] |
| 信息茧房 | [描述] | 🔴/🟠/🟡 | [措施] |
| 算法滥用 | [描述] | 🔴/🟠/🟡 | [措施] |
### 伦理审查结论
[通过 / 附条件通过 / 不予通过 — 附理由]
5E:整改计划
| # | 差距 | 法规依据 | 整改措施 | 负责人 | 截止日期 | 状态 | |---|------|----------|----------|--------|----------|------| | 1 | [描述] | [法条引用] | [具体行动] | [姓名] | [日期] | [ ] |
第6步:输出和归档
将评估文件保存到 ~/.claude/plugins/config/claude-for-legal/ai-governance-legal/outputs/aia-[系统简称]-[日期].md。同时更新 ## AI系统清单 中的相应条目——添加评估日期和结论。
重新评估触发条件
已评估的系统在以下情况下应重新评估:
- 训练数据来源发生实质性变化
- 模型架构或算法发生实质性变化
- 使用场景从内部扩展到面向公众
- 开始处理敏感个人信息
- 法规更新:相关法规修订或新法规生效
- 自上次评估起已超过12个月(建议的重新认证周期)
收尾
以 CLAUDE.md ## 输出 规定的下一步决策树收尾。定制选项以覆盖此评估的具体产出——批准/拒绝差距整改、设定整改截止日期、升级法律顾问。
来源引用层级
评估中引用的每个法条必须附加来源溯源标签:
[法条原文]— 直接引用法规条文原文[模型知识 — 需验证]— 来源于模型训练数据,未独立核实[yuandian检索]— 通过 yuandian MCP 获取[联网检索 — 需复核]— 联网搜索获取,未经二次验证
本技能不做的事
- 不替代正式的科技伦理审查委员会决议。如果触发《科技伦理审查办法(试行)》,此评估为内部准备材料,正式审查意见以伦理审查委员会决议为准。
- 不执行技术测试——不评估模型准确性、鲁棒性或偏见的技术度量。
- 不完成算法备案提交——此技能识别备案义务,但不填写备案表格。
- 不替代网信办/国家数据局的官方审查——这是内部评估,不是监管批准。
