About
根据监管注册表和公司已有的实践位置,起草AI使用政策。 适用于团队从未有过AI使用政策、需要快速生成初稿供法律审阅、 或现有政策需要根据新法规全面重写时。
/policy-starter
- 读取
~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md→ 监管注册表(适用法规)、AI系统清单(已在使用的AI)、公司的实践位置(风险偏好、透明度承诺)。 - 运行以下工作流。
- 确定受众 → 选择模板 → 填充公司的具体内容 → 输出草案。
- 附一份"仍需决定"清单——政策初稿解决不了的问题,需要由人来拍板。
/ai-governance-legal:policy-starter "内部员工AI使用政策"
/ai-governance-legal:policy-starter "面向用户"
/ai-governance-legal:policy-starter
[省略参数以获取受众选择提示]
AI使用政策起草
目的
没有AI使用政策的AI实践是在裸奔。监管机构、客户和用户都想知道:你用AI吗?用在哪里?怎么用?哪些数据被用于训练?这项技能基于你的实际实践和监管义务起草一份AI使用政策初稿。
加载当前状态
读取 ~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md:
## 监管注册表— 适用的法规,决定了政策的合规底线## AI系统清单— 已经在使用或计划使用的AI——政策不能比实际做得多或做得少## 红线— 绝对不做的——政策应反映这些红线## 实践位置— 公司的风险偏好、透明度立场、AI使用原则
工作流
第1步:确定受众和范围
| 受众 | 目的 | 典型内容 | |------|------|----------| | 面向用户/公众 | 告知用户公司如何使用AI处理其数据或提供服务 | AI系统的存在、AI决策的性质、用户如何获取人工介入、数据如何使用 | | 内部员工 | 规范员工对公司AI工具的使用行为 | 可用的工具、禁止的行为、数据安全要求、审批流程 | | 合作伙伴/客户(B2B) | 告知商业客户AI在其服务中的应用 | AI功能的可用性、数据保护、责任承诺 |
如果用户未指定,询问:"这项政策是面向谁的?(1) 面向用户/公众,(2) 内部员工,(3) 二者兼有。"
第2步:从清单和注册表中提取内容
必须纳入政策的具体内容来源于已存在的配置:
- 从
## AI系统清单中提取:- 已部署AI系统列表(按风险等级和功能分类)
- 哪些涉及个人信息处理
- 哪些面向公众,哪些是内部的
- 从
## 监管注册表中提取:- 法规要求的披露义务(例如《生成式人工智能服务管理办法》第15条要求标识AI生成内容
[法条原文]) - 法规要求的用户权利(投诉举报机制、拒绝自动化决策的权利等)
- 行业特定要求
- 法规要求的披露义务(例如《生成式人工智能服务管理办法》第15条要求标识AI生成内容
- 从
## 红线中提取:- 绝对禁止的AI用例类型
- 需要在政策中公开声明的底线原则
第3步:起草政策
面向用户/公众的AI使用政策模板
# AI使用说明
最后更新:[日期]
## 我们使用的AI技术
[公司名称]在以下服务和功能中使用了人工智能(AI)技术:
| AI功能 | 用途 | 涉及的个人信息 | 是否有自动化决策 |
|--------|------|---------------|-----------------|
| [功能] | [用途] | [数据类别] | 是/否 |
| [功能] | [用途] | [数据类别] | 是/否 |
## AI如何影响你
### 内容推荐
[如果使用算法推荐:说明推荐逻辑的基本原则,如何关闭个性化推荐]
### AI生成内容
[如果提供生成式AI服务:说明生成内容的标识方式,不构成专业建议的声明]
### 自动化决策
[如果使用自动化决策:说明决策的逻辑,用户获得人工介入和拒绝仅通过自动化决策的方式]
## 我们不会用AI做的事
[基于红线清单列出底线原则,例如:]
- 我们不使用AI进行社会信用评分
- 我们不基于种族、民族、性别等因素在交易条件上实行差别待遇
- 我们不会在未取得你同意的情况下,将你的个人信息用于AI模型训练
## 你的权利
[根据适用的法规(《个人信息保护法》《生成式人工智能服务管理办法》等),你享有以下权利:]
- [权利及行使方式]
- 如果你对我们的AI使用有任何问题或投诉,请通过[联系方式]联系我们。我们会在[时间]内回复。
## 我们如何管理AI风险
- 我们在部署新的AI功能前进行安全评估
- 我们对AI生成内容进行内容管理和人工审核
- [其他措施]
内部员工AI使用政策模板
# 内部AI使用政策
最后更新:[日期]
适用范围:全体员工、外包人员、实习生
## 可使用AI的场景
[列出允许使用AI的工作场景——可参考方案:正面清单方式(明确列出允许的场景)或负面清单方式(列出禁止的场景,其余默许)]
## 必须遵守的规则
### 数据安全(红线)
1. **禁止向公共AI工具输入敏感信息**:严禁将通过公共网络访问的AI工具(包括但不限于公共版本的大语言模型对话界面)输入以下信息:
- 客户个人信息
- 公司商业秘密或未公开的商业信息
- 涉及国家秘密和安全的信息
- 未公开发布的产品或财务数据
2. **API集成需审批**:通过API将AI工具集成到公司系统的,必须事先获得技术部门和法务部门的审批。
3. **输出审核**:AI生成的内容在对外使用(发送给客户、发布到网上、用于合同或法律文件)之前,必须经过人工审核。
### 知识产权
- 使用公共AI工具生成的代码、文本、设计等,可能涉及知识产权侵权风险——不得直接用于对外交付物,除非经过充分的权属和原创性审核。
- 员工使用AI工具辅助完成的智力成果,权利归属按照公司知识产权管理制度执行。
### 准确性
- AI工具可能产生不准确、过时或有偏见的信息。不得将AI输出作为唯一决策依据。
- 涉及法律、财务、医疗等专业判断时,AI输出仅供参考,最终判断应由具备相应资质的专业人员作出。
### 透明度
- 在适当情况下,向同事或客户披露你使用了AI工具辅助工作。不得假装AI生成的内容完全是人写的。
## 审批的AI工具清单
| 工具名称 | 用途 | 批准日期 | 使用条件 |
|----------|------|----------|----------|
| [工具] | [用途] | [日期] | [条件] |
使用不在清单上的AI工具前,必须得到[审批人/部门]的批准。
## 违规后果
违反本政策的,将按照公司《员工手册》及信息安全管理制度处理,情节严重者可能面临纪律处分直至解除劳动合同。
第4步:补充"仍需决定"清单
政策初稿解决不了所有问题。随着政策一起输出一份仍需决定的清单:
## 随政策初稿附:仍需人工决定的事项
以下事项需要公司决策层拍板,不应由AI代为决定:
| # | 问题 | 为什么需要人决定 | 建议 |
|---|------|-----------------|------|
| 1 | [例如:是否允许员工使用公共免费的AI工具处理非敏感业务数据?] | [涉及效率与安全的权衡] | [倾向建议] |
| 2 | [例如:AI使用政策是单独成文还是融入现有隐私政策?] | [涉及法律文书结构和受众] | [倾向建议] |
第5步:监管合规对标检查
在交付政策草案前,对照适用法规的关键要求进行自查:
| 法规要求 | 政策是否覆盖? | 条款位置 | |----------|---------------|----------| | 《生成式人工智能服务管理办法》第15条:生成内容标识 | ✅/⚠️/❌ | [章节] | | 《生成式人工智能服务管理办法》第11条:用户信息保护 | ✅/⚠️/❌ | [章节] | | 《生成式人工智能服务管理办法》第15条:投诉举报机制 | ✅/⚠️/❌ | [章节] | | 《互联网信息服务算法推荐管理规定》第16条:算法推荐告知+关闭选项 | ✅/⚠️/❌ | [章节] | | 《个人信息保护法》第17条:个人信息处理告知 | ✅/⚠️/❌ | [章节] | | 《个人信息保护法》第24条:自动化决策透明度+拒绝权 | ✅/⚠️/❌ | [章节] |
第6步:输出
将草案保存为注明日期的markdown文档。附合规对标检查和仍需决定清单。
[工作成果头 — 按照插件配置 ## 输出]
# AI使用政策草案 — [内部/面向用户/两者兼有]
**日期:** [日期]
**状态:** 初稿,待法律审阅
**基于:** [AI系统清单中的N个系统] | [N项适用法规]
---
[以上政策正文]
---
## 监管合规对标检查
[以上表格]
---
## 仍需人工决定的事项
[以上表格]
收尾
以 CLAUDE.md ## 输出 规定的下一步决策树收尾。定制选项:审阅和批准政策语言、处理"仍需决定"清单中的开放事项、与隐私政策协调一致性、升级法律顾问审阅。
本技能不做的事
- 不做出法律判断——政策草案中存在模糊地带时,标记"仍需决定"而不是代为拍板。
- 不替代外部法律意见——如果是高风险场景或政策面向公众发布,应由律师最终审定。
- 不覆盖非AI相关的隐私政策内容——仅覆盖AI部分。如果需要完整的隐私政策,参见 privacy-legal 插件中的
policy-starter。
