責任邊界(Responsibility Boundary)
本頁定義 AIMO Standard 提供與不提供的內容、所做假設以及採用者的責任。
證據與確信邊界(Proof vs assurance boundary)
| 邊界 | AIMO 提供的內容 | 決定方 |
|---|---|---|
| 證據 | Evidence Bundle 結構、驗證器、schema、範本、覆蓋對應(參考)。AIMO 產製證據包與驗證器,用於檢查結構符合性。 | 採用方產製證據;AIMO 定義格式與規則。 |
| 確信/符合/認證 | AIMO 不頒發認證、確信意見或符合性決定。 | 外部:客戶、稽核方或認可認證機構決定符合與認證。 |
符合性與聲明用語統一於 符合性 與 ISO 42001 認證就緒工具包。AIMO 支援證據準備與稽核交接;不進行認證亦不保證符合。
AIMO Standard 提供的內容
- 結構化證據格式:AI 治理證據的 schema、範本與分類法。
- 可追溯性架構:基於生命週期的證據連結(申請 → 審查 → 例外 → 更新)。
- 可解釋性支援:供審計討論用的外部架構 Coverage Map。
- 驗證工具:參考驗證器與結構一致性檢查規則。
- 文件:規範性規格、範例與指南。
AIMO Standard 不提供的內容
| 範圍外 | 說明 |
|---|---|
| 法律建議 | AIMO 不解釋法規。合規事宜請諮詢具備資格的律師。 |
| 合規認證 | 使用 AIMO 不構成對任何法規或架構(ISO 42001、EU AI Act、NIST AI RMF 等)的合規認證。 |
| 「由 AIMO 進行 ISO 認證」 | AIMO 不核發認證。認證由認可認證機構執行。 |
| 「因 AIMO 而 EU AI Act 合規」 | AIMO 僅對證據進行結構化,不保證或認證法規合規。 |
| 風險評估 | AIMO 對證據進行結構化,但不執行或驗證 AI 風險評估。 |
| 技術控制 | AIMO 不實作存取控制、加密等安全控制,僅文件化預期。 |
| 審計執行 | AIMO 向審計方提供材料,但不實施審計。 |
| AI 模型評估 | AIMO 不評估模型效能、偏差或安全性。 |
假設
AIMO Standard 假設:
- 採用者具備治理流程:存在申請、審查、核准與例外工作流程。
- 採用者維護證據:證據由採用者系統建立、儲存與保留。
- 採用者對照權威文本驗證:使用 Coverage Map 時,採用者核對原始架構或法規。
- 工具為選用:參考驗證器為便利工具;採用者可自行驗證。
採用者責任
| 責任 | 說明 |
|---|---|
| 證據建立 | 依 EV schema 產生正確、即時的證據記錄。 |
| 證據儲存與保留 | 以適當存取控制與保留期限安全儲存證據。 |
| 完整性與存取控制 | 實作控制(雜湊、WORM、審計日誌)以維持證據完整性。 |
| 法律驗證 | 對照權威法律文本驗證合規主張,並依需要取得法律建議。 |
| 持續對齊 | 隨 AIMO Standard 版本與外部架構演進更新證據與對應。 |
| 審計準備 | 在提交審計方前打包證據包並執行驗證。 |
RACI 矩陣
以下 RACI 矩陣說明 AIMO Standard、採用者與審計方之間的責任。
| 活動 | AIMO Standard | 採用者 | 審計方 |
|---|---|---|---|
| 定義證據 schema 與範本 | R/A | I | I |
| 建立證據記錄 | — | R/A | I |
| 儲存與保留證據 | — | R/A | I |
| 實作存取控制 | — | R/A | I |
| 實作完整性控制(雜湊、WORM) | — | R/A | I |
| 對套件執行驗證器 | C | R/A | C |
| 打包提交物(zip、校驗和) | C | R/A | I |
| 驗證校驗和(sha256) | — | C | R/A |
| 驗證套件結構(驗證器) | — | C | R/A |
| 解釋法規要求 | — | R/A | C |
| 出具審計結論 | — | — | R/A |
| 提供法律建議 | — | — | — |
圖例:R = 執行,A = 問責,C = 徵詢,I = 知會,— = 不適用
!!! note "要點" AIMO Standard 負責定義格式。採用者負責建立、儲存與驗證證據。審計方負責驗證提交物並出具審計結論。
!!! warning "非認證聲明" AIMO Standard 為參考性資料,不進行合規認證或提供法律建議。審計結論與符合性評估由具備資格的審計與法律專業人士全權負責。
主張政策
| 可接受 | 不可接受 |
|---|---|
| 「證據包依 AIMO Standard v0.1.2 製作,並經 AIMO Validator 進行結構驗證。」 | 「EU AI Act 合規」「ISO 42001 認證」「政府核准」等 |
| 「我們使用 AIMO 製品支援 ISO/IEC 42001 準備;認證決定由認可認證機構做出。」 | 聲稱 AIMO 對合規進行認證或提供法律建議。 |
禁止過度聲稱
!!! warning "重要" AIMO Standard 支援可解釋性與證據就緒。不提供法律建議、不保證合規、也不對任何法規或架構進行符合性認證。採用者須對照權威文本驗證主張,並視需要取得專業建議。
本聲明適用於 AIMO Standard 全部文件,包含 Trust Package、Evidence Bundle、Minimum Evidence Requirements、Coverage Map 與 Releases。
相關頁面
- Trust Package — 審計就緒材料樞紐
- Human Oversight Protocol — 機器與人工審查邊界
- Minimum Evidence Requirements — 生命週期 MUST 檢查清單
- Coverage Map Methodology — 對應的含義與侷限