WeChat

WeChat

AI Governance(AI治理)是什么?为什么企业必须立即建立AI管理制度?

AI Governance(AI治理)是什么?为什么企业必须立即建立AI管理制度?

作者:CACC 东盟法律顾问集团
法律|投资|AI时代的商业解决方案

人工智能已经从实验工具,逐步进入企业经营的核心。

企业开始利用AI进行客户服务、资料分析、合同审查、内容生成、产品开发、人才招聘、风险评估、内部管理及商业决策。

然而,许多企业目前仍处于“先使用、后管理”的阶段。

员工自行注册生成式AI工具、将客户资料上传到第三方平台、使用未经审核的AI模型制作报告,甚至以AI输出作为重要商业决策依据,却没有明确的责任人、审核机制与风险处理流程。

这正是企业需要建立AI Governance的原因。

什么是AI Governance?

AI Governance,中文通常称为“AI治理”或“人工智能治理”,是指企业为了确保人工智能能够被合法、安全、透明、可控及负责任地使用,而建立的一套管理制度。

AI治理并不是单一政策文件,也不只是资讯部门的技术工作。

完整的AI Governance应涵盖:

  • 董事会与高级管理层监督
  • AI工具及模型管理
  • 数据与隐私保护
  • 法律与监管合规
  • 使用权限与责任分工
  • 风险评估与分级
  • 人工审核与决策监督
  • 供应商及第三方管理
  • 事故通报与应对
  • 员工教育训练
  • 文件保存与审计记录

简单来说,AI治理要回答五个问题:

  1. 企业正在使用哪些AI?
  2. 哪些人员可以使用?
  3. 可以将哪些资料输入AI?
  4. AI输出由谁审核并承担责任?
  5. 出现错误、泄密或歧视问题时,企业如何处理?

AI治理为什么已经成为董事会的新议题?

过去,企业治理主要围绕财务、税务、内部控制、资讯安全、人力资源及法律合规。

如今,AI开始参与企业决策、客户沟通、产品开发、员工管理及市场分析,因此AI风险不再只是资讯部门的问题。

它可能直接影响:

  • 企业战略
  • 客户权益
  • 商业秘密
  • 个人资料
  • 合同责任
  • 劳动关系
  • 产品安全
  • 品牌声誉
  • 董事及高级管理层责任

当AI被用于信用评估、招聘筛选、医疗判断、法律分析、投资决策或客户服务时,错误结果可能造成真实的法律与商业损失。

因此,企业董事会与高级管理层至少需要了解:

  • 企业正在使用哪些AI系统
  • 哪些用途属于高风险用途
  • 谁负责批准与监督
  • 是否保留完整操作记录
  • 是否有人工复核机制
  • 是否建立事故应对程序

AI Governance不是限制AI

部分企业担心,建立AI制度会降低创新速度。

实际上,良好的AI治理不是禁止员工使用AI,而是建立可以安全使用AI的边界。

一套有效的AI Governance制度,应当让企业做到:

合法使用

AI工具及数据处理方式应符合企业所在地与业务市场的法律、合同及监管要求。

安全运行

避免员工将客户资料、商业秘密、源代码、案件资料或未公开信息上传到未经批准的平台。

可追溯决策

企业应保留重要AI使用记录,包括所使用的系统、输入资料类别、输出结果、审核人员及最终决定。

保留人工监督

AI可以辅助决策,但在重大法律、投资、人事、医疗、金融及客户权益事项中,不应完全取代适当的人工判断。

明确责任

企业必须明确AI使用人、审核人、管理人及最终决策人的职责,不能在发生问题后简单声称“这是AI做的”。

企业若没有AI治理,可能面临哪些风险?

一、机密资料外泄

员工可能将客户资料、合同、财务数据、法律文件、源代码或未公开项目资料输入公共AI平台。

这些行为可能违反:

  • 保密义务
  • 客户合同
  • 雇佣规定
  • 数据保护要求
  • 商业秘密管理制度

二、错误信息与决策风险

AI可能产生不准确、过时或虚构的内容。

若企业未经审核直接将AI输出用于合同、法律意见、财务预测、客户通知或投资决策,可能造成重大损失。

三、知识产权风险

AI生成内容可能涉及:

  • 第三方版权
  • 商标使用
  • 授权范围
  • 员工创造物归属
  • 训练资料合法性
  • 企业自身内容的权利归属

四、歧视与不公平处理

招聘、信贷、保险、定价或客户分类系统,可能因训练数据或模型设计产生偏差。

企业不能因为决策由AI产生,就免除自身责任。

五、供应商风险

企业使用的AI系统可能来自外部供应商,但供应商的服务条款、数据使用方式、模型更新、信息安全与责任限制,未必符合企业需求。

六、品牌与声誉风险

一旦AI产生错误内容、歧视结果、资料泄露或不当客户回复,事件可能迅速通过社交媒体扩大。

企业应建立哪些AI制度?

建议企业至少建立以下八项核心机制。

一、AI使用政策

企业应明确规定:

  • 可以使用哪些AI工具
  • 哪些用途需要事前批准
  • 哪些资料不得输入
  • 哪些结果必须人工审核
  • 员工不得从事哪些行为
  • 违规后如何处理

AI使用政策不应只是资讯部门内部文件,而应适用于董事、管理层、员工、承包商及外部顾问。

二、AI系统与工具清单

企业应建立AI Inventory,即AI系统清单,记录:

  • 系统或工具名称
  • 使用部门
  • 使用目的
  • 资料来源
  • 供应商
  • 使用人员
  • 风险等级
  • 审核负责人
  • 是否涉及客户或个人资料

企业无法治理自己不知道正在使用的AI。

三、AI风险分级制度

不同AI用途不应采用同一标准。

企业可以将AI应用分为:

低风险

例如内部文字润饰、一般资料整理及非敏感内容草拟。

中风险

例如客户沟通、市场分析、内部报告、合同初步整理及员工辅助工具。

高风险

例如招聘筛选、信用判断、医疗建议、投资决策、法律结论、生物识别及影响个人权利的重要决定。

风险越高,审批、测试、文件记录与人工监督要求应越严格。

四、数据管理制度

企业应规定:

  • 哪些资料可以输入AI
  • 哪些资料需要去识别化
  • 哪些资料不得离开企业系统
  • 如何保存及删除资料
  • 第三方平台是否可以使用企业资料训练模型
  • 跨境传输资料时如何处理

五、模型及供应商审核机制

在采购或使用外部AI服务前,应审查:

  • 供应商背景
  • 服务条款
  • 数据保留方式
  • 信息安全措施
  • 模型限制
  • 系统可用性
  • 事故通报
  • 责任限制
  • 终止服务后的资料处理
  • 是否可以接受审计

六、权限管理与人工监督

不是每一名员工都应该拥有相同的AI使用权限。

企业应根据部门、职位、资料敏感程度及使用目的,设定不同权限。

对于高风险使用,应保留:

  • 人工复核
  • 双重审批
  • 重大决定升级机制
  • 异议与更正渠道

七、AI事故应对流程

企业应事先规划AI事件发生后的处理方式,包括:

  • 停止相关系统
  • 保存操作记录
  • 调查资料来源
  • 评估影响范围
  • 通知管理层
  • 通知客户或相关单位
  • 修正错误结果
  • 追踪供应商责任
  • 防止类似事件再次发生

八、员工教育训练

AI制度如果只有文件,没有训练,通常无法有效执行。

员工至少应了解:

  • 哪些AI工具可以使用
  • 哪些资料不能上传
  • 如何辨识AI错误
  • 何时必须人工审核
  • 如何保存必要记录
  • 发现问题时向谁报告

AI治理应由哪个部门负责?

AI Governance不应完全交给单一部门。

建议建立跨部门AI治理工作小组,包括:

  • 董事会或高级管理层代表
  • 法务及合规
  • 资讯技术
  • 资讯安全
  • 数据管理
  • 人力资源
  • 风险管理
  • 业务部门
  • 内部审计

大型企业可进一步设立:

  • AI Governance Committee
  • Chief AI Officer
  • AI Risk Officer
  • Responsible AI Lead

中小企业则可以指定一名管理层负责人,搭配法务、资讯与业务代表,建立较精简的治理架构。

哪些产业特别需要AI Governance?

AI治理原则上适用于所有使用AI的企业,但以下产业风险尤其明显:

金融机构

涉及信用判断、客户风险、投资分析、反洗钱与自动化决策。

律师事务所及专业服务机构

涉及客户机密、法律文件、专业责任、利益冲突及意见准确性。

医疗机构

涉及患者资料、医疗判断、诊断辅助及生命健康风险。

制造业

涉及产品设计、自动化生产、品质管理、供应链及机器安全。

科技公司

涉及模型开发、训练数据、知识产权、平台责任及产品合规。

政府机关

涉及公共决策、个人权益、行政透明与公平原则。

家族办公室

涉及投资资料、家族资产、隐私、继承安排及投资决策。

人力资源与招聘平台

涉及求职者资料、筛选偏差及就业公平。

东盟企业为什么需要统一的AI治理基础?

东盟各国的法律、监管环境、数据保护制度与产业政策并不完全相同。

跨国企业不宜每进入一个国家,就从零开始建立一套完全不同的AI制度。

比较可行的方式是:

  1. 建立集团统一的AI治理基本政策;
  2. 对不同国家进行当地法律与监管调整;
  3. 根据不同产业及使用场景进行风险分级;
  4. 对高风险项目进行专项法律及技术审查;
  5. 定期更新政策与员工训练。

这种“集团标准+当地调整”的模式,有助于企业降低跨境管理成本。

企业建立AI治理制度的实施步骤

企业可以依照以下顺序推进:

第一阶段:盘点

确认企业目前使用的AI工具、部门、资料及使用情境。

第二阶段:风险分类

辨识低风险、中风险及高风险用途。

第三阶段:制定制度

建立AI使用政策、数据规则、审批流程与责任架构。

第四阶段:供应商审查

审查AI供应商、合同条款、数据处理及安全措施。

第五阶段:员工训练

让员工了解可使用范围与禁止事项。

第六阶段:监控与审计

定期检查AI使用、异常事件、模型表现及政策执行情况。

第七阶段:持续更新

AI技术与法律环境变化快速,企业应定期更新制度,不能“一次制定,永久不改”。

CACC观点

未来企业竞争的不只是AI能力,更是AI治理能力。

企业可以购买相同的AI工具,但未必拥有相同的制度、数据品质、风险控制与执行能力。

建立完整AI Governance制度的企业,更有机会:

  • 获得客户信任
  • 通过合作伙伴审查
  • 吸引投资人
  • 降低法律风险
  • 保护商业秘密
  • 提升内部效率
  • 支持跨境扩张
  • 建立长期品牌价值

AI治理不是企业数字化之后才处理的附加事项,而应成为企业采用AI之前及使用AI过程中的基础工程。

与CACC讨论您的AI治理制度

您的企业是否正在使用生成式AI、AI Agent、自动化决策系统或第三方AI平台?

CACC可协助企业进行:

  • AI使用现况盘点
  • AI法律与合规风险评估
  • AI Governance制度规划
  • 企业AI使用政策制定
  • 数据与保密制度审查
  • AI供应商合同审核
  • 高风险AI项目评估
  • 董事会及员工AI合规培训
  • 东盟跨境AI项目合规规划

请通过官网 www.cacclaw.com 加微信、WhatsApp、Telegram、LINE或Messenger为好友,联系我CACC,并简单说明:

企业所在国家|所属产业|目前使用的AI工具|主要资料类型|希望解决的问题

CACC团队将根据企业情况进行初步了解,并建议合适的下一步处理方式。

立即联系CACC,建立清晰、可执行并适合企业长期发展的AI治理制度。


服务城市:
台北|金边|新加坡|吉隆坡|曼谷|胡志明市|迪拜
您值得信赖的东南亚合作伙伴

CACC东盟法律顾问集团
法律|投资|AI时代的商业解决方案
官方网站:www.cacclaw.com



CACC 东盟法律顾问集团
法律•投资•
面向 AI 时代的商业解决方案