这年头,AI技术如同军备竞赛一般,日新月异的技术迭代让各行各业的竞争格局爆炸开来。军备竞赛这四个字可不仅仅是比喻(figure of speech),而是实打实(literally)的说法。Open-AI和Anthropic都宣传其新一代的大模型能力强到如同军事武器(military grade),以至于美国政府信以为真,害怕被敌对方染指使用,做出了出口管制的通知。这种紧张气氛下,谁知道AI技术的革新会革谁的命?这种无法避免但有方向未知的变革会让人觉得压抑,紧张,急促。换言之,任何一个公司不得不用AI,怕被时代甩在身后,但是用了呢短期也看不到如何一招制胜。对于出海欧洲的中国企业,即使不自己开发AI大模型,在使用AI系统的时候也需要考虑在如何管控使用相应的外部工具的合规风险。
一、使用AI工具的合规风险。
欧盟的《人工智能法案》(“法案”)在2024年8月生效后。该法案是以风险为基础来管控如人工智能的技术与应用的。具体以您的使用场景来评估风险级别,对于不同级别风险提出了不同的合规要求。具体分化为四个风险级别:划分为不可接受风险、高风险、有限风险和低风险。如果你的具体使用场景被评定入有限风险即以上就会相应的合规风险。该法案对于不同风险级别提出了明确的合规时限要求。2026 五月7号通过的AI Omnibus provisional political agreement将合规时限做了一定的修正。具体时限如下
风险类别 | 解释与示例 | 合规时限要求 |
不可接受的风险 | 对安全、生计和基本权利造成严重威胁。比如:政府机构实施社会信用评分机制;产生危害的潜意识操控技术;公共场所实时生物特征身份识别(仅限极特殊例外情形);职场及教育场景下的情绪识别技术 | 2025年2月,但是对于裸照(NCII)、儿童色情(CSAM)的禁止延迟到2026年12月2日生效。 |
高风险 | 对“安全和权利有重大影响”的情形:简历筛选与候选人分级排序;信用评分;学业测评 / 教育考核;生物特征分类(非身份核验,仅按生物特征划分人群标签);执法风险评估;边境管控;关键基础设施管理;司法决策辅助系统;特殊行业产品下作为产品组件和安全组件的AI系统。 | 1.独立的AI工具延伸至2027年12月2日 2.内嵌的AI组件延伸至2028年08月2日(有待于进一步批准生效) |
有限风险 | 与AI交互的透明度风险”。聊天机器人、深度合成的内容(图片、音频、视频等)都需要告示AI技术使用的存在。 | 1.透明度义务到2028年08月2日; 2.水印义务延长至2026年12月2日。 |
低风险 | 其他可忽略的风险 | 没有具体的合规要求。 |
尽管很多合规时限看起来还很遥远,但是千万不要以为现在还不急等明年再做合规。你得想想为什么要立法修改并延期呢?恰恰是需要做的事情很多耗时很长以至于来不及,所以立法才会给与延期的便利。现在出海欧洲的中企只要你使用AI工具,请在未来的3到4个月内做到以下事项:1.识别AI系统的清单;2.对每个AI系统做风险顶级;3.处理不可接受风险;4.做AI素养培训;5.建立AI管理框架和指定AI合规负责人;6.执行透明度义务;7.执行可以机器识别的水印义务。之后的5-7个月内应该完成:8.AI供应商尽职调查;9.执行风险管控机制;10.准备技术档案;11建立人类监督机制;12 法规一致性评估和官方备案;12 高风险系统的自动记录;13与美国NIST AI RMF的机制协调;14.上市后的监控和事件汇报。以上部分合规动作可能因为使用场景和风险定级不同而得到豁免。
二、AI使用者的合规义务
如果仅仅是部署使用AI工具,尽管并非AI工具或系统的开发者,在法案下依然有相应的合规义务。欧盟《人工智能法案》第 3 条第 4 款规定,部署者指任何自然人、法人、公共机构、机关或其他主体,在自行承担责任的前提下使用人工智能系统;但出于个人非职业活动使用人工智能系统的情形除外。核心表述为 “自行承担责任”。只要机构出于经营、工作等职业用途部署人工智能系统,无论该系统是否由自身开发,该机构即属于部署者。比如银行使用金融科技服务商开发的 AI 信用评分模型,该金融科技服务商为提供者,银行则为部署者。医院采用医疗软件企业研发的诊断类人工智能系统,该软件企业为提供者,医院则为部署者。人力资源部门使用求职者筛选工具,工具供应商为提供者,所属机构则为部署者。
法案的第26条罗列了部署者在使用高风险AI系统的主要合规义务:
1. 遵循使用说明(第 26 条第 1 款)
部署者必须依据提供者提供的使用说明使用高风险人工智能系统。
人力资源场景举例:若招聘人工智能系统仅获批用于特定岗位类别的简历筛选,将其用于限定范围之外的岗位即构成违规。使用说明划定了合法使用的边界。
2. 指派具备资质人员实施人工监督(第 26 条第 2 款)
部署者必须将人工监督职责交由自然人承担,该人员需具备履职所需专业能力、培训背景与相应权限,能够开展监督工作,并在必要时介入干预。
例如金融机构使用 AI 欺诈识别系统,监督人员需清楚模型识别的风险标记、模型遗漏的风险情形,以及何种情况下人工判断应当取代自动化判定。将该职责交由无实质处置权限的初级分析师,无法满足第 26 条第 2 款规定。
3. 其他法定义务持续有效(第 26 条第 3 款)
本条第 1、2 款规定的义务,不影响部署者依据欧盟法或成员国国内法承担的其他法定义务(《通用数据保护条例》义务、各行业专项监管规则及劳动法规),亦不限制部署者自主调配内部资源、制定工作流程以落实提供者载明的人工监督措施。
4. 自身管控输入数据时保障数据质量(第 26 条第 4 款)
若由部署者掌控输入人工智能系统的数据,部署者须确保数据与使用目的相关,且具备充分代表性。本义务仅适用于部署者对输入系统的数据负有管理责任的情形。若使用软件即服务类产品、由服务商全权管理数据链路,则本条款一般不适用;但如果部署者自行导入自有数据集至授权模型,需自行承担数据质量责任。存在偏见、不具备代表性的数据会产生歧视性结果,依据第 26 条第 4 款,相关责任由部署者承担。
5. 持续监测、上报风险并按需停用系统(第 26 条第 5 款)
部署者须依据使用说明持续监测高风险人工智能系统运行状态。若部署者有合理理由认为,按说明使用系统仍可能产生法案第 79 条第 1 款定义的风险,应当毫不迟延地告知提供者、经销商及对应市场监管机构,并暂停系统使用。若发现重大安全事件,部署者须第一时间通知提供者,随后告知进口商 / 经销商与相关市场监管部门。
6. 日志留存不少于六个月(第 26 条第 6 款)
部署者应当留存高风险人工智能系统自动生成的日志,留存期限至少六个月;若欧盟法或成员国国内法规定了其他留存期限,或日志包含个人数据且《通用数据保护条例》对其设定更短留存期限的,从其规定。
7. 告知劳动者及其代表(第 26 条第 7 款)
雇主身份的部署者在上线用于职场的高风险人工智能系统前,必须告知劳动者代表及受影响员工。本义务仅适用于身为雇主的部署者,并非所有类型部署者均需履行。
制造业场景举例:上线用于监控员工工作表现的 AI 质检系统前,必须通知全体员工与企业职工委员会;办公场景中,部署员工绩效评估类 AI 工具同样适用该告知要求。职工委员会、工会及员工代表应尽早参与沟通,不得将告知流程作为决策落地后的形式工作。
8. 依托第13 条配套文件落实数据保护影响评估合规(第 26 条第 9 款)
部署者须利用依据第 13 条提供的透明度与技术资料,履行《通用数据保护条例》第 35 条、《执法数据指令》第 27 条规定的数据保护影响评估(DPIA)义务。法案第 13 条要求提供者提供人工智能系统完整技术文件,包含系统功能、局限性、潜在风险等内容;部署者开展数据保护影响评估时,必须以该文件作为核心依据。
三、外部供应商的尽调工作
既然部署者本身就有不可避免的合规义务,那就不能只是靠合同安排来转嫁风险给AI工具提供者。为了管控好外部供应商的AI工具的内部使用带来的风险,这必然需要在源头上也就是采购前管控好提供AI 工具的外部第三方。当然有时候一个公司也会存在在正规采购渠道之外的公司内部员工私自部署AI 工具的情形,我们称之为“影子AI风险/shadow AI risks”,这个我们以后有机会的话,会在单独讨论如何处理此类风险。
在将第三方供应商引入内部之前,需要对该供应商及其AI工具做必要的尽职调查工作。此类尽调工作与传统的供应商风险管理并不一样。传统供应商风险管理主要聚焦三大维度:财务稳定性(该供应商三年后是否仍存续?)、业务服务可用性(我方需要时其服务能否正常运行?)、基础安全管控(其是否具备 SOC 2 合规认证?)。对于常规软件即服务(SaaS)采购而言,这三项维度足以覆盖绝大多数风险敞口。但针对 AI 供应商采购,三者仅能覆盖不足三分之一的风险 —— 因为人工智能存在传统软件不存在的失效模式,而常规采购风控体系从设计之初就无法识别这类风险。
人工智能模型在不同输入数据分布下的表现不具备可预测性。一款在评估阶段全部测试用例均达标的聊天机器人,上线投入实际运营后,若用户输入超出评估数据集范围的提问,就可能输出带有偏见、有害或与事实不符的内容。一款测试准确率达 94% 的分类模型,面对合规部门重点关注的特定人群细分样本时,性能可能出现断崖式下滑。AI使用成本不会随调用量线性增长:当Token消耗量、模型迭代更新、基础设施需求叠加作用时,成本会急剧飙升,而仅基于试点用量测算的成本模型无法预判该类情况。最为关键的一点是:AI 发生失效往往难以察觉,直至已经造成损害才会暴露。普通软件崩溃会直观显现故障,与之不同,输出笃定错误结果的 AI 系统仍会持续运转,处理交易、生成推荐、撰写文书,损害不断累积却无人发现。
AI 供应商风险中的供应链风险维度尤其容易被忽视。若第三方主体能够影响 AI 系统运行表现,最终后果责任仍由采购方承担。管理体系与产品安全法规遵循同一底层逻辑—— 责任依附于系统本身,而非双方签订的合同。供应商依赖底层大模型厂商(如 OpenAI、Anthropic、谷歌,或开源权重模型服务商),由此产生超出供应商自身管控范围的风险敞口;供应商训练数据的获取渠道会带来版权与个人隐私合规风险;供应商的数据次级处理方决定企业数据的实际流转路径。如今开展供应商尽职调查,不仅要核查供应商本身,还需摸清其上游模型服务商及完整上下游依赖链路。未开展全链路深度尽调的企业终将为此疏漏付出代价,或是爆发合规事故、或是线上业务故障,亦或是出现影子 AI 安全泄露事件 —— 此类事件造成的平均损失,比常规安全事件高出更多。
四、第三方尽调的维度与重点
我们在做第三方的尽调工作时,需要考虑以下维度,并重点考虑以下合规要点:
1.安全与数据保护
企业开展 AI 供应商评估最先想到的额是安全与数据保护。但在AI工具使用场景下,服务商持有 SOC 2 二类审计认证还远远不够,我们需要考虑 AI 特有风险,例如模型偏见、幻觉发生率、提示注入漏洞、模型输出引发的数据泄露等。为此,我们需要专门针对 AI 系统独有的、传统安全手段无法覆盖的新型安全风险展开类似如下的问询:
问询问题(⚠️代表签约否决项) | 核心重要性 | 🚨风险警示答复 | ✅合规优质答复 |
⚠️我方数据是否会被用于训练或微调贵司 AI 模型? | 若企业专属数据被用于公共共享模型训练,竞争对手可能间接利用己方数据获益 | “我们可能使用客户数据优化模型”,且未提供明确退出授权机制 | “贵方数据绝不会用于模型训练;未经书面许可,该行为在合同中明令禁止。” |
⚠️我方数据的处理、存储地点为哪些国家、具体数据中心? | 《通用数据保护条例》GDPR、美国健康保险隐私及责任法案 HIPAA、数据主权法规均对个人信息跨境流转作出严格限制 | “我方基础设施全球部署”,未作出明确数据属地承诺 | 列明具体数据中心地址;欧盟数据仅留存于欧盟境内;合同写入数据属地保障条款 |
⚠️贵司系统依赖哪些第三方模型服务商、数据处理分包商? | 客户数据可能流转至 OpenAI、Anthropic、谷歌等第三方主体,而服务商的数据处理协议(DPA)未必覆盖该类主体 | 拒绝披露分包商名单,或仅提供模糊笼统清单 | 完整披露全部分包商清单,且与每家分包商签署数据处理协议;新增分包商将提前告知 |
⚠️贵司是否持有 SOC 2 Type II 二类鉴证报告?能否提供报告查阅? | Type II 证明安全管控长期持续落地,而非仅纸面设计(Type I 仅为时点设计评估) | 仅持有 SOC 2 Type I 一类鉴证、证书过期,或拒绝提供报告 | 在保密协议 NDA 约束下提供有效期内 SOC 2 Type II 完整报告,并配合解答报告问题 |
合同终止后,我方数据留存时长为多久? | 合约到期后数据未清理将持续产生合规风险与信息泄露隐患 | “数据无限期留存”,或仅模糊提及 “基于法定义务留存” | 明确约定固定留存期限;合同约定合约终止 30 日内出具数据删除完成证明 |
⚠️系统是否完成提示注入漏洞专项安全测试? | 提示注入是 OWASP 大模型应用榜首高危风险,漏洞未做防护将导致企业数据、内部系统遭到入侵 | “依托底层模型自带安全过滤机制”,服务商自身未开展专项测试 | 可提供红蓝对抗测试报告;书面载明针对性注入防御方案、渗透测试佐证材料 |
数据传输中和静态存储分别采用何种加密标准? | 加密是数据安全基础,老旧弱加密存在被破解风险 | 无加密标准说明,或仅使用 TLS 1.1 及以下过时协议 | 传输加密采用 TLS 1.3;静态存储采用 AES-256 加密;配套完整密钥管理文档 |
⚠️若发生我方数据泄露、AI 异常行为事件,贵司事件通知服务等级协议 SLA 是什么? | GDPR 要求泄露 72 小时内上报,《欧盟人工智能法案》强制 AI 风险事件上报,服务商必须配合履约 | “我们会在合理可行的第一时间通知贵方”,无明确时限约定 | 合同约定 24–48 小时内完成事件通知,同步覆盖 AI 异常行为类专项事件上报 |
2.合规与监管要求(欧盟《人工智能法案》、美国国家标准与技术研究院框架、ISO 42001)
对于跨国企业,在总部建立的合规工具就不得不同时考虑欧盟《人工智能法案》、美国国家标准与技术研究院框架、ISO 42001不同维度的要求。ISO 42001 标准与欧盟《人工智能法案》七大核心条款有着一一对应的关系:风险管理(第 9 条)、数据治理(第 10 条)、技术文档(第 11 条)、记录留存(第 12 条)、透明度(第 13 条)、人工监督(第 14 条)以及质量管理体系(第 17 条)。 ISO 42001 认证视作并不代表完全符合其他两个的要求。美国国家标准与技术研究院(NIST)的《人工智能风险管理框架》(AI RMF 1.0)是美国自愿性治理标准,其风险分级结构与欧盟《人工智能法案》(EU AI Act)最为接近。同时遵循这两项框架的组织会发现,NIST AI RMF 的四大核心功能(映射、测量、管理、治理)与欧盟《人工智能法案》的实质性义务具有相当好的对应关系,但仍然有相应的区别。我们需要重点关注以下问题:
问询问题 | 核心重要性 | 🚨高危负面答复 | ✅合规优质答复 |
⚠️贵司系统是否属于《欧盟人工智能法案》附录三规定的高风险 AI 系统?如属于,当前符合性评估进展如何? | 即便系统由服务商开发,采购部署方仍需承担合规主体责任,无法通过合同转嫁《欧盟人工智能法案》项下法定责任 | “暂无法确定”;无书面风险分类分析便声称 “该法规不适用于我方” | 提供书面法律风险分类分析;若属于高风险系统,出具完整符合性评估文件 |
贵司是否持有 ISO/IEC 42001 认证?能否提供证书及认证范围文件? | ISO 42001 标准可证明企业 AI 治理体系匹配欧盟 AI 法案七大核心条款要求 | 仅口头声称符合标准、无有效证书;证书已过期;认证范围不含本次待采购产品 | 提供在有效期内的 ISO 42001 证书,认证范围明确覆盖本次评估产品 |
⚠️贵司系统如何配合我方履行《科罗拉多州人工智能法案》(2026 年 2 月生效)规定的偏见影响评估义务? | 该法案要求就业、住房、信贷、医疗领域高风险 AI 必须完成偏见影响评估 | “不了解该法规”;无法提供任何偏见测试记录 | 可提供细分维度模型性能数据;按需出具偏见审计报告;留存完整测试方案文件 |
贵司系统是否遵循美国 NIST 人工智能风险管理框架(AI RMF)?覆盖治理、识别、测算、处置哪几大模块? | NIST 人工智能风险管理框架是美国企业主流 AI 治理标准;遵循该框架代表服务商具备标准化风险管控流程 | 仅笼统声称 “完全符合 NIST 标准”,无对应管控措施落地证明 | 提供书面 NIST 框架对标文件;列明已落地的治理 / 识别 / 测算 / 处置模块管控措施 |
⚠️贵司依据《欧盟人工智能法案》第 13 条编制的技术文件,是否完整覆盖系统功能、局限性、人类监督要求等全部法定必备内容? | 法案第 13 条强制要求服务商,在高风险 AI 系统交付部署前,向使用方提供全套完整技术文档 | 无法提供第 13 条要求的技术文件;仅承诺 “签约后可提供”,签约前不予交付 | 签约前交付全套完整第 13 条技术文档,涵盖法规要求的十类必备信息 |
针对经 AI 系统处理的个人数据,贵司如何保障通用数据保护条例(GDPR)规定的数据主体权利(查阅、删除、数据携带)? | 若 AI 处理个人信息,必须配套机制保障数据主体行使 GDPR 项下全部权利 | 仅告知 “联系客服处理”,无标准化流程文件,亦无合同履约承诺 | 书面列明数据主体申请(DSAR)处理流程及法定答复时限;留存数据最小化设计文档 |
如适用,贵司是否已在欧盟高风险 AI 系统官方数据库完成注册? | 高风险 AI 服务商投放到欧盟市场前,必须完成欧盟官方数据库注册 | 系统已在欧盟落地使用,但答复 “正在办理注册” | 提供官方注册编号;可查询、信息实时更新的欧盟数据库注册备案记录 |
3.模型透明度与文档留存
服务商提供的材料在模型透明度这一维度时常偏离监管机构与企业内部治理团队要求的举证标准。宣传物料动辄宣称 “可解释的人工智能”“负责任的AI 实践”“无偏见输出”,这些很多时候都是过多宣传的。企业需要让这些供应商提供可核验的技术文件包括:模型卡、数据集说明表、按人群细分拆解的性能基准、红蓝对抗测试报告。
企业 AI 审查中反复发现的隐性风险主要有三类:模型黑箱(无法追溯决策生成逻辑)、外部模型依赖(服务商 AI 底层依托自身无控制权的第三方模型)、训练数据来源信息不透明。这与企业未能严谨技术审查的服务商交付文档息息相关。
问询问题 | 核心重要性 | 🚨风险警示答复 | ✅合规优质答复 |
⚠️贵司是否为本系统提供模型卡?卡片是否包含按不同人群拆分的细分性能指标? | 模型卡载明模型适用场景、局限性、偏见评估结果,是满足《欧盟人工智能法案》第 13 条与《科罗拉多州人工智能法案》的必备材料 | 无模型卡;模型卡仅提供整体准确率(如 “整体精度 94%”),无细分人群数据 | 出具正式模型卡,性能指标按年龄、性别、地域及相关人群维度分项列明 |
模型采用何种训练数据?数据来源是什么、授权资质如何? | 训练数据来源直接决定版权侵权风险、个人信息合规风险,以及数据集自带的固有偏见 | 仅模糊表述 “自有专属数据集” 无任何补充说明;称 “网络爬取数据” 但无法提供授权同意文件 | 提供完整数据集说明表,列明各类授权数据源,可出示用户授权与隐私合规佐证材料 |
针对我方业务场景对应的任务,模型实测幻觉率为多少? | 幻觉率随行业场景差异极大;若未做管控,法律、医疗、金融类企业场景幻觉率常高达 10%–50% 以上 | 仅笼统声称 “模型精度极高”,无标准化测算方法、无对应行业基准数据 | 采用标准化测算方式得出场景专属幻觉率,配套幻觉风险管控措施文档 |
⚠️模型输出结果采用何种可解释机制?系统能否对重大影响性决策给出推导依据? | 《欧盟人工智能法案》第 13 条要求高风险 AI 输出具备可解读性;英美监管也逐步要求高利害决策提供解释依据 | 直言 “模型为黑箱” 或 “该架构不支持可解释功能” | 提供特征归因、置信度分值或审计追踪日志;文档载明结果解释的呈现形式 |
开展了哪些偏见测试?覆盖哪些人群分组,测试结果如何? | 招聘、信贷、医疗类 AI 若隐瞒偏见问题,会产生法定赔偿责任并造成实际权益损害 | 仅口头说明 “我们会做偏见检测”,无测试方案、覆盖人群、量化结果 | 出具偏见审计报告,列明测试人群分组、公平性均衡指标、问题结论及整改方案 |
模型更新 / 重训练周期为多久?服务商如何向部署方同步更新通知? | 模型迭代会改变系统行为,可能导致企业现有合规文件、治理规则全部失效 | 仅表述 “定期迭代优化性能”,无标准化更新通知流程 | 重大模型变更提前告知,同步系统行为变动记录,支持必要时版本回滚 |
4.性能与可靠性
外部供应商在受控演示环境中展现出AI工具优越的测试性能,可是在真实生产环境的应用中效果发生巨大的变差,落地实际业务后却频发故障。AI 故障大多出现在极端边缘场景、模糊输入以及高并发大规模运行场景。这些都需要提前去考虑或者验证。
问询问题 | 核心重要性 | 🚨风险警示答复 | ✅合规优质答复 |
贵司书面承诺的正常运行时长 SLA 是多少?过去 12 个月实际历史可用率为多少? | AI 系统嵌入业务流程后,中断将直接造成经营损失,违约补偿机制需具备实际价值 | 仅宣称 “99.9% 可用率”,无历史运行数据佐证,且违约补偿仅局限于服务积分 | 提供公开服务状态监控页面;可出示近 12 个月完整可用率统计;SLA 配套贴合实际业务损失的赔付方案 |
⚠️能否基于我方特有数据分布开展性能实测,而非仅使用通用标准测试集? | 通用数据集跑出的性能指标,无法代表模型在企业自有业务数据、专属场景下的真实表现 | 拒绝使用客户自有数据测试,仅提供预录演示视频,不开放专业测评环境 | 搭建标准化测评环境,可在保密协议约束下使用我方真实业务样本开展实测 |
访问量扩大至当前 10 倍、100 倍时,系统性能会出现何种变化?有无扩容能力佐证材料? | AI 扩容成本呈非线性上涨,高并发下响应延迟会显著恶化;试点规模运行稳定的系统,投产放量后极易崩溃 | 仅口头称 “架构可自动扩容”,无压力测试报告、无同等规模落地客户案例 | 提供目标并发量级下的压力测试报告;可对接同等业务体量的存量客户作为参考 |
采用何种模型漂移检测机制?模型上线后性能衰减时如何向我方预警? | 模型基于固定数据集训练,现实数据分布持续变化会导致效果下滑;若无主动监控,漂移问题难以察觉 | 仅笼统表述 “会监控模型状态”,无标准化漂移检测方案,也无客户预警流程 | 搭载自动化漂移检测并设置明确告警阈值;建立客户通知机制;出具模型重训、迭代更新时效协议 |
AI 服务配套何种容灾恢复与业务连续性方案?恢复时间目标(RTO)、恢复点目标(RPO)分别为多少? | AI 服务中断会直接冲击生产运营,恢复时效与数据恢复标准必须匹配企业业务需求 | 无成文业务连续性计划(BCP),未明确 RTO/RPO 指标,或表示 “未开展该场景演练” | 提供完整成文业务连续性方案,列明具体 RTO、RPO;可出示年度容灾演练报告,确认多地域冗余部署 |
5.定价与合同条款
供应商在AI 小规模试点阶段展现的成本亲民也容易接受,但是放量投产之后费用却会蹭蹭网上涨,根源在于 AI 计费与使用行为强绑定(token消耗量、API 调用次数、模型版本选型),仅靠有限试点数据无法精准测算。
产品定价极易出现试点成本与量产落地成本严重脱节的问题,使得有的企业遭遇预算超支的问题。 实际落地中常会出现token用量暴涨、API 调用链路持续增多、业务能力受限后被迫升级高阶模型等情况,账单越叠越高。财务部门随之提出各类成本疑问,技术团队却无法给出清晰答复。严谨的定价尽职调查需要在签约前完成多套量产场景成本测算。
问询问题 | 核心重要性 | 🚨风险警示答复 | ✅合规优质答复 |
⚠️在我方当前用量、5 倍用量、10 倍用量三种场景下,完整综合成本构成分别是多少?能否结合我方专属业务参数出具测算模型? | AI 成本呈非线性叠加增长,提前掌握成本增长曲线,可避免业务放量后突发预算危机 | 拒绝测算扩量成本;仅模糊表述 “费用随使用量浮动”,无标准化成本测算工具 | 出具三种用量场景书面成本测算表;提供成本计算器或定价测算模板 |
合同有效期内是否设置涨价约束条款?年度最高涨价比例上限为多少? | 系统已嵌入核心生产流程时,服务商锁定客户且无涨价上限,将构成致命经营风险 | “价格我方有权自主调整”,未约定涨价提前告知期、无涨幅上限 | 合同约定年度涨价上限(如消费者物价指数 CPI+2%);调价需提前 90 日通知;大幅调价赋予我方重新议价权利 |
是否设置使用量上限?若超出限额,系统层面与费用层面分别会产生何种后果? | 调用限流导致系统中断将扰乱生产;超额用量高额计费会产生未纳入预算的额外支出 | 无预警直接切断服务;超额单价超基础定价 2 倍;合同无超额用量保障条款 | 用量临近阈值提前预警;合同约定协商后的超额单价;提供瞬时扩容峰值能力选项 |
除服务积分外,合同是否具备实质有效的 SLA 违约赔付机制?责任赔偿上限如何约定? | 仅赔付服务积分无法弥补 AI 故障造成的经营损失,责任划分条款需匹配实际业务损失风险 | 仅支持服务积分赔付;赔偿上限仅等同于 1 个月服务费;通用软件免责条款,未覆盖 AI 特有损害场景 | 持续严重违反 SLA 时我方有权解约;赔偿上限匹配涉险业务价值;增设 AI 专项损害责任约定 |
通过云厂商平台(亚马逊 AWS、微软 Azure、谷歌 GCP)采购是否可享受折扣或更优条款? | 云市场采购可叠加承诺消费抵扣额度,简化采购流程,直签合同前应优先评估该渠道 | 并非所有服务商均入驻云平台,无该渠道不代表风险;仅在企业有固定云预算时具备参考价值 | 服务商已入驻对应云市场;可确认享受承诺消费抵扣权益;平台合同条款与直签合同权益对等 |
6.集成对接与技术要求
AI工具的实际部署过程中也需要考虑与企业现有系统平台的兼容对接的问题。数据部署需要满足数据安全的通用要求。数据访问也做做到严格管控,做到可回溯,可审计。
问询问题 | 核心重要性 | 🚨风险警示答复 | ✅合规优质答复 |
⚠️系统集成存在哪些依赖项?该 AI 工具需要调取哪些具体系统、接口及身份凭证? | 每一项系统集成都新增安全攻击面,过度宽泛的权限申请将带来治理隐患 | 要求管理员最高权限;无法明确最小必要权限;仅说明 “连接器需要完整读写权限” | 书面落实最小权限原则,列明接口专属访问范围,提供集成架构拓扑图 |
系统是否支持通过我方身份服务商实现单点登录(SSO)与多因素认证(MFA)? | 多套独立账号体系会形成安全漏洞,提升越权访问风险 | 不支持单点登录,需单独设立密码账号;多因素认证仅可选、不强制开启 | 兼容 SAML 2.0、OIDC 标准单点登录,强制启用多因素认证,适配 Okta、Azure AD 或企业自有身份平台 |
贵司接口版本管理规范是什么?若发布不兼容破坏性接口变更,会提前多久通知客户? | 破坏性接口变更将产生大量额外开发工作量,通知周期不足会造成突发研发成本 | 无标准化版本管理规则;仅口头 “尽量保持向下兼容”,无书面保障 | 采用语义化版本管理;接口下线最低提前 6 个月通知,旧版本按承诺周期持续维护 |
⚠️是否提供本地部署或私有云部署方案,满足物理隔离、数据属地合规需求? | 受强监管行业、政务场景通常要求数据不得流出企业可控环境 | 仅支持公有云部署、无替代方案;若企业存在数据属地硬性要求,该缺陷为签约否决项 | 支持专属私有子网(VPC)或本地私有化部署;数据全程留存客户环境,许可协议适配自建部署模式 |
系统可生成哪些审计日志?所有 AI 操作、数据访问行为是否全部留痕且支持导出? | 《欧盟人工智能法案》第 12 条强制高风险 AI 自动留存日志;监管调查需完整审计追踪链路 | 日志仅能在服务商后台查看、无法导出;日志留存时长低于法规要求 | 完整审计日志支持 JSON、CSV 等通用格式导出;留存周期可自定义,兼容安全信息与事件管理平台(SIEM)对接 |
7.技术支持与服务等级协议承诺
与传统的SaaS服务一样,企业也需要考核供应商的技术支持与服务的承诺与保证。
问询问题 | 核心重要性 | 🚨风险警示答复 | ✅合规优质答复 |
生产级重大故障的技术响应时效 SLA 是多少?7×24 小时全天候支持为标配服务还是增值付费项? | AI 线上故障可发生于任意时段,响应时效需匹配系统中断带来的业务损失等级 | 生产系统仅提供工作日服务;全天候支持仅高端企业套餐提供,费用上浮 5 倍 | 标配 7×24 小时生产故障支持;一级故障(P1)1 小时内响应;配备专属技术客户经理 |
⚠️针对 AI 特有事件如何处置?例如模型输出存在偏见、产生有害内容、输出虚假信息并已造成实际不良影响的场景 | AI 失效场景和传统软件停机故障存在本质区别,服务商需建立 AI 专项应急处置流程 | 仅告知 “提交工单处理”,将 AI 行为异常与普通程序 bug 等同处理 | 设有独立的 AI 专项事件处置流程;承诺出具根因分析报告;针对模型输出异常约定整改时效 SLA |
项目上线配套哪些落地支持?是否配备专属实施团队,还是仅提供文档自助服务? | AI 落地故障大多出现在上线阶段,集成方案规划不足是首要诱因 | 复杂企业级部署仅提供文档,全程自助上线 | 配备专属实施项目经理;明确分阶段上线里程碑;签约前共同约定项目验收标准 |
是否为我方团队提供培训,覆盖合规使用、提示词编写、输出结果核验相关内容? | 《欧盟人工智能法案》第 4 条(AI 素养)及负责任 AI 落地要求操作人员掌握安全使用规范 | 仅文档平台上传培训材料,强监管场景无专人授课培训 | 提供分岗位定制化培训;AI 素养课程满足欧盟 AI 法案第 4 条要求;模型重大迭代后配套复训 |
8.退出方案与数据可迁移性
退出方案是采购方最容易忽视的板块,直到急需更换服务商时才意识到这个问题,但此时已完全失去协商有利条款的议价筹码。AI 系统带来的服务商锁定效应包含两大维度是普通软件即服务(SaaS)合同无法完整覆盖的:一是数据可迁移性(能否以可复用格式导出自有数据);二是模型可迁移性(系统是否依赖服务商专有模型接口、提示词规范、微调权重文件,导致替换成本高到难以承受)。
企业若搭建了定制业务流程、开展过模型微调,或是深度对接服务商专属接口体系,却未在合同中约定退出相关保障条款,将面临极高的锁定风险。务必在合作初期协商好退出机制以及相关权责,而非等到需要更换服务商时再临时协商补救。为了避免这种被动情形,可以考虑一些问题:
问询问题 | 核心重要性 | 🚨风险警示答复 | ✅合规优质答复 |
⚠️合同终止后 30 日内,我方能否以通用、非专有格式导出全部自有数据,包括输入数据、模型输出、系统配置、审计日志? | 合约到期后数据被锁定在服务商私有格式中等同于无法取用,会引发合规风险与业务停滞 | 数据导出需额外付费;仅支持私有格式;导出流程需 90 天以上 | 30 日内完成 CSV、JSON、Parquet 等通用格式全量导出,无额外费用;书面承诺导出数据完整无缺失 |
若我方基于自有专属数据完成模型微调,微调权重文件知识产权归属是否为我方?能否完整导出? | 依托企业自有数据微调生成的模型具备知识产权价值,若权属归服务商,更换厂商时无法带走 | “微调模型仅留存于我方平台,不支持导出”;客户微调成果所有权归服务商 | 合同明确约定:基于客户数据生成的微调权重所有权归属客户,保障以通用格式导出 |
若我方计划切换至其他服务商,贵司可提供哪些迁移配套支持? | 服务商可能刻意抬高迁移难度阻碍客户更换,合同约定迁移支持可降低该风险 | 不提供任何迁移协助、无迁移文档;将客户退出迁移视作普通工单,不纳入正式服务承诺 | 合同约定过渡期协助服务(例如 90 天);提供完整迁移技术文档,同步配套数据导出技术支持 |
⚠️若服务商被收购、破产清算或关停对应产品服务,我方数据将如何处置? | 2026 年 AI 行业并购整合加速,企业被收购后数据处理规则、定价、产品规划均可能大幅变更 | 仅承诺发生重大变更时通知客户;收购场景不赋予客户解约权;未明确破产情形下的数据取回规则 | 约定服务商被收购时客户可无责提前解约;设立第三方数据托管机制;书面载明破产场景下的数据取回流程 |
是否兼容通用开放标准或标准化接口,降低后续迁移至其他服务商的替换成本? | 全私有接口、私有数据格式会大幅抬高迁移成本;兼容开放标准(兼容 OpenAI 接口、支持 LangChain 框架)可弱化锁定效应 | 全套接口、数据格式均为厂商私有,无任何通用兼容方案 | 支持兼容 OpenAI 标准接口;合作全周期内数据均采用可迁移通用格式,不限于退出阶段导出 |
五、合规红线与评估
1.合规红线
以下提到的十种情形,是过往真实出现的问题。多家企业因尽调阶段未能识别相关问题就落地上线,最终引发线上生产故障、合规处罚以及合同纠纷。如果在前述评定的过程中出现这些问题,不代表直接淘汰服务商。服务商仍然可以提供补充性的答复。只要服务商能坦诚承认自身局限,并配套完整风险缓释方案,仍然可以继续采购流程。如果服务商回避问题、态度抵触,或是给出模棱两可、看似回应实则未解决核心问题的安抚话术,则应当果断淘汰。
风险信号 1:仅宣称 “企业级安全”,无有效认证
服务商仅用 “企业级安全”“银行级防护”“军工级安全” 等宣传话术描述安全能力,却无法提供在有效期内的 SOC 2 二类鉴证报告、ISO 27001 证书或其他第三方等效审计证明,属于用营销宣传替代合规佐证。
“企业级安全” 本身并非合规认证。需向服务商索要 SOC 2 报告;若对方无法提供,只要业务涉及敏感数据,该问题即为签约否决项。
风险信号 2:服务协议中数据使用条款模糊宽泛
服务协议出现类似 “我方可使用数据优化产品服务”“匿名化数据可用于模型迭代”“采集使用数据以完善平台功能” 等表述,条款刻意预留宽泛解释空间。
在 AI 业务场景下,“优化服务” 可指代使用你的提示词、模型输出内容、企业原始数据训练通用模型,间接向竞品开放数据价值。
需要求在合同中明文禁止将客户数据用于模型训练;若服务商拒绝写入,协议中的模糊条款将具备完整法律效力,可能引发隐私、商业秘密泄露的风险,甚至可能导致你的竞争者在利用泄露的数据获益。之前以及发生过大模型将他人的简历信息泄露给不同的使用者的实际案例。
风险信号 3:未提供模型卡及任何透明度相关文档
若待评估 AI 服务商无法出具模型卡、偏见审计报告,或是任何可证明模型性能的技术文件,代表其模型透明度管控水平完全达不到企业内部治理要求,同时也不符合各国监管规定。
缺少模型相关文档不再只是材料缺失,而是服务商未落实负责任 AI 落地所必备的透明度管控工作的严重失误。
风险信号 4:将模型幻觉轻描淡写为 “AI 普遍固有问题”
当问及幻觉相关风险时,服务商仅答复 “所有 AI 都存在该缺陷”,无法提供量化实测数据、分行业错误率指标或配套风险管控方案,本质是将生产级重大风险正常化,而非针对性解决。
幻觉发生率会随行业、业务类型、防控方案差异产生巨大波动;未开展量化测试的服务商,根本无法管控幻觉风险。
该问题对法律、医疗、金融、合规审查类 AI 产品尤为关键 —— 模型输出看似笃定实则错误,将造成巨额实质损失。
风险信号 5:拒绝测算规模化投产成本
服务商仅允许联系销售询价,不提供定价计算器、成本测算工具,也拒绝按试点用量的 5 倍、10 倍规模预估成本,说明服务商清楚放量后成本经不起核验。
2026 年遭遇严重预算超支的企业,无一例外仅依据试点阶段报价签约,未提前测算大规模投产的真实费用。
风险信号 6:合规认证与适用法规错配
仅面向美国市场部署却拿《通用数据保护条例》(GDPR)合规作为佐证、用 SOC 2 报告证明符合《欧盟人工智能法案》、以 HIPAA 医疗隐私认证充当偏见测试依据,均属于滥用有效认证证明其覆盖范围之外的合规义务。
该问题在销售宣传材料中十分常见:合规板块罗列服务商全部所持证书,完全不区分是否匹配客户业务场景、管辖地区。
看到认证文件后,必须核验认证覆盖范围,不能仅凭证书直接答复专项合规问询。
风险信号 7:退出相关条款缺失、隐藏或模糊
合同中未写明数据导出权限、迁移配套支持、解约相关细则,或相关内容放在附属附件,需要客户主动谈判才能解锁完整条款,这类合同设计本质是刻意抬高客户更换服务商的迁移成本。
协商退出相关机制与权责的唯一合适时机是签约前,切勿等到更换服务商时再补救。
若服务商抗拒写入明确的数据可迁移、迁移协助条款,可直接询问背后原因,对方的答复远比销售话术更能体现长期合作立场。
风险信号 8:声称符合 NIST/ISO 42001 框架,但无佐证材料
口头宣称适配相关治理框架,却无法提供书面对标映射文件、有效认证或第三方审计报告,仅属于营销话术。
2026 年各大 AI 服务商材料中大量堆砌 “适配 XX 框架” 类表述,若无实质佐证,该宣传已完全失去区分企业治理能力的参考意义。
务必向服务商索要具体管控措施对标表或审计报告。
风险信号 9:无专门处置 AI 模型异常行为的标准化流程
服务商故障响应机制将模型输出异常(带偏见结果、虚假幻觉内容、有害文本生成)与传统软件停机故障同等处理,仅通过通用工单流程受理,说明服务商未搭建生产级 AI 专属治理体系。
AI 行为异常和程序崩溃存在本质区别:这类隐患具备隐蔽性、持续性,大规模扩散造成损失后才可能被察觉,服务商必须配套独立、标准化的专项处置流程。
风险信号 10:近 12 个月单方面修改服务协议,变更内容涉及数据处理规则
若服务商过去一年内,未单独通知客户并取得同意,就单方面修改数据相关条款(包括数据是否用于训练、留存周期、数据分包商名单等),该历史行为预示未来仍会出现同类变更。
尽调前务必核查服务商协议修订记录;有些供应商2024 年通过尽职调查的核查清单的 AI 厂商,可能在 2026 年悄悄修改数据留存规则。
所有 AI 服务商合同均需新增条款:要求服务商至少每年复核一次协议;若发生任何重大条款变更,需立即触发双方重新尽调复核。
2.评估机制
下文评分表提供一套结构化、客观的评估框架,可基于统一标准横向对比多家 AI 服务商。各评估维度按商业风险与合规风险设置不同权重;其中安全与数据保护维度权重最高,原因是该领域一旦发生数据泄露或监管违规,所造成的后果无法依靠产品功能优势弥补。
在向管理层开展采购评审沟通前,需为每家待评估的外部服务商填写完整的评分表并直观的展示给管理层。量化得分能够强制评估人基于统一标准开展直观对比,用相对客观的标准和评分行为合理化内部的采购决策。
我们建议各维度按照给定分值区间打分。总体的评估逻辑如下:
1)总分低于 60 分直接淘汰相应的供应商,无论产品功能多完善、报价多优惠均不予推进;
2)60–74 分:存在重大短板,必须通过合同条款补全风险保障后方可落地使用;
3)75–84 分:可接受,适用于低风险内部场景,同时配套完善内部治理管控措施;
4)85–100 分:服务商治理体系完善,可用于高风险行业或强监管业务场景。
评估维度 | 满分 | 满分判定标准(得分 = 满分) | 零分判定标准(得分 = 0) |
1. 安全与数据保护 | 20 分 | 全部 8 项问询答复达标;可提供有效 SOC 2 二类鉴证报告;合同明确禁止使用客户数据训练模型;完整披露所有数据处理分包商 | 任意标注⚠️的签约否决项给出风险警示类答复 |
2. 合规与监管适配 | 20 分 | 出具《欧盟人工智能法案》风险分级书面分析;持有在有效期内且覆盖对应业务的 ISO 42001 认证;可支撑《科罗拉多州 AI 法案》偏见评估要求;提供 NIST 框架对标文件 | 无法判定系统在欧盟 AI 法案下的风险等级;无适用法规对应的合规证明材料 |
3. 模型透明度与文档材料 | 15 分 | 提供带人群细分性能指标的模型卡、数据集说明文件、偏见审计报告、实测幻觉率数据;模型更新提前通知 | 无模型卡、无性能证明材料;未开展或未披露偏见测试 |
4. 性能与可靠性 | 10 分 | 提供历史系统可用率数据;允许使用我方自有数据开展测评;目标并发量级扩容佐证齐全;具备成文模型漂移检测机制 | 拒绝使用客户数据测评;无历史可用率证明;无扩容压力测试数据 |
5. 定价与合同条款 | 10 分 | 出具 10 倍用量下完整成本测算模型;合同约定涨价上限;超额用量保障条款;除服务积分外具备实质 SLA 违约赔付方案 | 拒绝测算扩量成本;无价格保护机制;故障仅赔付服务积分 |
6. 集成对接与技术要求 | 10 分 | 书面落实最小权限集成架构;支持单点登录 SSO 与多因素认证 MFA;接口版本管理规则清晰;完整审计日志支持导出 | 要求管理员最高权限;不支持单点登录;审计日志无法导出 |
7. 技术支持与 SLA 履约承诺 | 8 分 | 标配 7×24 小时生产故障支持;具备 AI 专项事件处置流程;配备专属落地实施支持;提供 AI 素养合规培训 | 仅工作日提供技术支持;无 AI 专属异常处置流程;强监管场景仅提供自助式上线文档 |
8. 退出方案与数据可迁移性 | 7 分 | 30 日内通用格式全量导出数据;合同明确微调权重归属客户;承诺提供迁移过渡期协助;服务商被收购时客户拥有解约权 | 不支持数据迁移;微调模型所有权归服务商;无迁移配套支持;收购场景无退出保障权利 |
六、结语
针对服务商的尽调只是AI治理合作的起点和AI治理的根基,而非采购流程里阻碍AI 技术落地的障碍。AI系统的部署者无法依靠合同将《欧盟人工智能法案》项下法定责任转嫁给服务商,那就把好守门关,将引进外部供应商的伴生风险控制到最低范围。
做好尽调工作,至少可以夯实AI治理的三条基柱:1)具备可信、可规模化运行的底层能力;2)安全合规,可经受监管常态化核查;3)商业条款设计合理,规避后期突发预算超支、厂商长期锁定等问题,保障企业长期战略灵活度。
如果您对我们展示的尽调工具有兴趣,并想获取完整版本,欢迎你私信沟通。
夜雨聆风