责任边界(Responsibility Boundary)
本页定义 AIMO Standard 提供与不提供的内容、所做假设以及采用者的责任。
证据与鉴证边界(Proof vs assurance boundary)
| 边界 | AIMO 提供的内容 | 决定方 |
|---|---|---|
| 证据 | Evidence Bundle 结构、验证器、schema、模板、覆盖映射(参考)。AIMO 产制证据包与验证器,用于检查结构符合性。 | 采用方产制证据;AIMO 定义格式与规则。 |
| 鉴证/符合/认证 | AIMO 不颁发认证、鉴证意见或符合性决定。 | 外部:客户、审计方或认可认证机构决定符合与认证。 |
符合性与声明用语统一于 符合性 与 ISO 42001 认证就绪工具包。AIMO 支持证据准备与审计交接;不进行认证亦不保证符合。
AIMO Standard 提供的内容
- 结构化证据格式:AI 治理证据的 schema、模板与分类法。
- 可追溯性框架:基于生命周期的证据链接(申请 → 审查 → 例外 → 更新)。
- 可解释性支持:面向审计讨论的外部框架 Coverage Map。
- 验证工具:参考验证器与结构一致性检查规则。
- 文档:规范性规范、示例与指南。
AIMO Standard 不提供的内容
| 范围外 | 说明 |
|---|---|
| 法律建议 | AIMO 不解释法律法规。合规事宜请咨询具备资质的法律顾问。 |
| 合规认证 | 使用 AIMO 不构成对任何法规或框架(ISO 42001、EU AI Act、NIST AI RMF 等)的合规认证。 |
| 「由 AIMO 进行 ISO 认证」 | AIMO 不颁发认证。认证由认可认证机构执行。 |
| 「因 AIMO 而 EU AI Act 合规」 | AIMO 仅对证据进行结构化,不保证或认证法规合规。 |
| 风险评估 | AIMO 对证据进行结构化,但不执行或验证 AI 风险评估。 |
| 技术控制 | AIMO 不实现访问控制、加密等安全控制,仅文档化预期。 |
| 审计执行 | AIMO 向审计方提供材料,但不实施审计。 |
| AI 模型评估 | AIMO 不评估模型性能、偏差或安全性。 |
假设
AIMO Standard 假设:
- 采用者具备治理流程:存在申请、审查、批准与例外工作流。
- 采用者维护证据:证据由采用者系统创建、存储与保留。
- 采用者对照权威文本验证:使用 Coverage Map 时,采用者核对原始框架或法规。
- 工具为可选:参考验证器为便利工具;采用者可自行验证。
采用者责任
| 责任 | 说明 |
|---|---|
| 证据创建 | 按 EV schema 生成准确、及时的证据记录。 |
| 证据存储与保留 | 以适当访问控制与保留期限安全存储证据。 |
| 完整性与访问控制 | 实施控制(哈希、WORM、审计日志)以保持证据完整性。 |
| 法律验证 | 对照权威法律文本验证合规主张,并按需获取法律建议。 |
| 持续对齐 | 随 AIMO Standard 版本与外部框架演进更新证据与映射。 |
| 审计准备 | 在提交审计方前打包证据包并运行验证。 |
RACI 矩阵
以下 RACI 矩阵说明 AIMO Standard、采用者与审计方之间的责任。
| 活动 | AIMO Standard | 采用者 | 审计方 |
|---|---|---|---|
| 定义证据 schema 与模板 | R/A | I | I |
| 创建证据记录 | — | R/A | I |
| 存储与保留证据 | — | R/A | I |
| 实施访问控制 | — | R/A | I |
| 实施完整性控制(哈希、WORM) | — | R/A | I |
| 对包运行验证器 | C | R/A | C |
| 打包提交物(zip、校验和) | C | R/A | I |
| 验证校验和(sha256) | — | C | R/A |
| 验证包结构(验证器) | — | C | R/A |
| 解释法规要求 | — | R/A | C |
| 出具审计结论 | — | — | R/A |
| 提供法律建议 | — | — | — |
图例:R = 执行,A = 问责,C = 征询,I = 知会,— = 不适用
!!! note "要点" AIMO Standard 负责定义格式。采用者负责创建、存储与验证证据。审计方负责验证提交物并出具审计结论。
!!! warning "非认证声明" AIMO Standard 为参考性资料,不进行合规认证或提供法律建议。审计结论与符合性评估由具备资质的审计与法律专业人士全权负责。
主张政策
| 可接受 | 不可接受 |
|---|---|
| 「证据包按 AIMO Standard v0.1.2 制作,并经 AIMO Validator 进行结构验证。」 | 「EU AI Act 合规」「ISO 42001 认证」「政府批准」等 |
| 「我们使用 AIMO 制品支持 ISO/IEC 42001 准备;认证决定由认可认证机构做出。」 | 声称 AIMO 对合规进行认证或提供法律建议。 |
禁止过度声称
!!! warning "重要" AIMO Standard 支持可解释性与证据就绪。不提供法律建议、不保证合规、也不对任何法规或框架进行符合性认证。采用者须对照权威文本验证主张,并酌情获取专业建议。
本声明适用于 AIMO Standard 全部文档,包括 Trust Package、Evidence Bundle、Minimum Evidence Requirements、Coverage Map 与 Releases。
相关页面
- Trust Package — 审计就绪材料枢纽
- Human Oversight Protocol — 机器与人工审查边界
- Minimum Evidence Requirements — 生命周期 MUST 检查清单
- Coverage Map Methodology — 映射的含义与局限