合规与监管
全球 AI 监管格局
AI 监管正在全球范围内快速推进,PM 需要了解主要法规对产品设计的影响。
EU AI Act(欧盟人工智能法案)
全球第一个全面的 AI 监管法规,按风险等级分类管理。
风险分级
| 风险等级 | 说明 | 要求 | 典型场景 |
|---|---|---|---|
| 不可接受风险 | 完全禁止 | 不得部署 | 社会信用评分、操纵行为的 AI |
| 高风险 | 严格监管 | 合规评估、文档、监控 | 招聘筛选、信用评估、医疗诊断 |
| 有限风险 | 透明度义务 | 告知用户正在与 AI 互动 | 聊天机器人、深度伪造 |
| 最低风险 | 基本不限制 | 自律 | 垃圾邮件过滤、游戏 AI |
对产品设计的影响
- 高风险场景:需要详细的技术文档、人工监督机制、定期审计
- 透明度要求:AI 生成内容必须标识
- 数据治理:训练数据需要满足质量和代表性要求
- 用户权利:用户有权获得 AI 决策的解释
NIST AI 风险管理框架
美国国家标准与技术研究院发布的 AI 风险管理指南。
四大功能
治理(Govern)→ 建立 AI 治理结构和流程
↓
映射(Map)→ 识别和分类 AI 风险
↓
测量(Measure)→ 评估和量化风险
↓
管理(Manage)→ 缓解和监控风险数据隐私法规
GDPR 对 AI 产品的影响
| 要求 | AI 产品影响 |
|---|---|
| 数据最小化 | 只收集 AI 必需的数据 |
| 目的限定 | 数据不能未经授权用于训练 |
| 用户同意 | AI 功能需要明确的用户授权 |
| 可解释性 | 自动化决策需要提供解释 |
| 被遗忘权 | 支持用户数据的删除 |
中国相关法规
- 《生成式人工智能服务管理暂行办法》:对生成式 AI 服务的内容、数据、标识等提出要求
- 《个人信息保护法》:对 AI 产品的数据收集和处理有严格规定
- 算法推荐管理规定:推荐系统需要提供关闭选项
PM 的合规清单
- [ ] 确认产品在目标市场的 AI 风险等级
- [ ] AI 生成内容是否有明确标识
- [ ] 用户是否知晓正在与 AI 交互
- [ ] 数据收集是否满足最小必要原则
- [ ] 是否提供 AI 决策的解释机制
- [ ] 是否支持用户的数据权利(访问、修正、删除)
- [ ] 高风险场景是否有人工监督机制
- [ ] 是否有定期的合规审计计划