在工信部等十部门联合印发《人工智能科技伦理审查与服务办法(试行)》(工信部联科〔2026〕75号)之际,我找到了这份《AI治理与控制框架白皮书》(Whitepaper: AI Governance & Control Framework)。
它由欧洲AI治理平台Deeploy联合多家咨询机构共同编写,作者包括Maarten Stolk、Tim Kleinloog等,2026年2月更新至第2.0版。白皮书不空谈原则,直接给出7大控制域、32项具体控制措施,以及EU AI Act的合规时间线和成熟度评估。文末附白皮书全文下载方式。
我读完最大的感受是:AI治理不是数据治理的“补丁”,而是一套独立的控制体系。下面是我整理的八点学习体会。
做了这么多年数据治理,我越来越觉得,老办法快兜不住了。
以前管数据,目标是把它变成资产——定标准、控质量、理血缘。这套跑通了,数据就能放心用。
但AI来了以后,事情变了。数据不再直接出报表,而是被模型“吃掉”,再吐出决策。问题就出在这儿:模型是黑盒。
数据治理管不到黑盒里面。你数据质量再好,模型自己学歪了,或者上线半年后漂移了,谁来管?
这就是AI治理要回答的问题。
2.两种AI,两套管法
白皮书开篇先帮你分清:预测性AI和生成式AI,是两种不同的物种。
①预测性AI(比如信贷评分、库存预测)吃进去历史数据,吐出来一个分数。它的风险在于偏差和准确率——训练数据如果自带歧视,模型就会复刻歧视。治理重点是测公平性、跟踪准确率下降。
②生成式AI(比如ChatGPT)完全不同。你问同一个问题两次,可能得到两个答案,一个很对、一个很扯。它还会幻觉、会撒谎(白皮书举了Anthropic发现Claude学会骗人的例子)。治理重点变成了筛输出、防提示词注入、监控行为漂移。
很多企业把两种AI混在一起管,结果两头都管不好。白皮书说得很清楚:手段不能通用。
AI治理不是写几页《伦理原则》挂墙上。原则是愿望,治理是手段。
白皮书定义了7个控制域,我归纳成4个核心板块,方便理解。
第一,决策与风险治理。 哪些事让AI自己干,哪些必须人拍板。电商推荐AI随便推,错了没事。信贷审批AI只能说“建议”,最终签字还得是人。关键是给每个AI应用定风险等级,高风险的上审批流、设熔断。
第二,数据与模型治理。这是地基。数据这边,血缘、质量、标准,老本行不能丢。模型这边,版本管理、性能监控、漂移检测,得跟上。没有数据治理,AI治理就是空中楼阁。
第三,透明与人工监督。把黑盒打开一点。高风险场景必须让模型输出“为什么这么判”。同时设人工干预点——不只是“打断”,还要允许用户质疑AI决定,走人工复核流程。
第四,合规与运营控制。让治理跑起来。别等出事了再审计,要实时监控、自动记日志。谁训的模型、谁批的上线、用的哪批数据,系统自动生成链条,审计时一键导出。
怎么算做到?白皮书给了检验标准:你能在5分钟内说清楚公司有哪些AI模型、分别什么风险等级、谁负责。说不出来的,治理还没上路。
传统治理是“框架”,像一本手册,靠人推动。AI治理要进化成“控制系统”。
区别在哪?
全生命周期:从训练第一行代码就注入治理,不是事后补。
实时性:检测到偏差超阈值,系统自动告警、降级,不等人工。
证据化:日志自动生成,不是人工填Excel。
系统嵌入:治理能力长在MLOps平台里,不是挂在墙上。
这是很多企业忽略的问题。白皮书专门拿出一节来讲。
开源模型你拿到全部代码,透明度高,可以自己改、自己部署。但你得自己修bug、自己过合规、自己应对审计。如果被认定为“提供者”,还要做合规评估、贴CE标志。
闭源模型供应商管技术,你发请求、收结果,省事。但你没法看训练数据,出了偏差只能依赖对方的解释。而且你大概率是“部署者”,责任轻一些,但不是说没责任。
还有一个关键点:你以为你只是用AI,法律可能把你当卖AI的。 如果你微调了开源模型,或者用API封装成自己的产品卖给客户,你就从“部署者”变成了“提供者”。白皮书说得很直白:角色不同,义务差很远。别等审计来了才搞清楚。
有人说AI治理就是数据治理的升级版。不准确。
我的理解:AI治理以数据治理为基础,把能力向上挪了一层——从管“原材料”到管“加工厂”和“出厂产品”。
打个比方:数据治理管的是食材新不新鲜;AI治理管的是菜咸不咸、客人会不会拉肚子、厨师要不要换。
两者不是替代,是接力。
如果企业现在想建AI治理,怎么走?
白皮书给出了从组织级到用例级的路径。我简化成四步:
第一步,清点家底。拉个清单:公司有哪些模型?用在哪儿?风险高低?先画出AI资产地图(白皮书叫模型注册表)。
第二步,定谁说了算。成立AI治理委员会,高层挂帅。明确数据、IT、业务、风控各自的职责。谁审批、谁监控、谁执行,画清楚。
第三步,设关卡、定规矩。模型上线前必须过审批门禁;训练数据要过合规检查;每个高风险场景配风险评估模板。
第四步,工具落地。把上面这些规则塞进MLOps平台或风控系统里,让机器自动跑,别指望人记着。
最后说两句实在话。
第一,如果你公司连数据资产都还没理清楚——数据血缘断了、质量没人管、标准各说各话——先别碰AI治理。因为AI会以极高的效率,把你数据里的老毛病放大一百倍。先治数据,再谈AI。这是前提,不是建议。
第二,白皮书引用了研究数据:有成熟AI治理的企业,增长快2-3倍,项目失败率降低40-60%。这不是合规成本,是竞争力。
AI治理不是给AI戴紧箍咒。它是一套独立的控制体系,确保AI在可控范围内,持续、稳定、可信地创造价值。治理的目的不是限制速度,是保证你不翻车。
详细内容,可查阅《AI治理与控制框架白皮书》全文:white-paper-ai-governance-control-framework-2.0.pdf
更进一步,您可以阅读机械工业出版社2026年1月份出版的译作《数据治理:可信数据实战手册》,原作者是国际大咖Wendy S. Batchelder,她曾领导4家财富500强公司的全球数据和分析团队。
欢迎关注【数知数见】,欢迎留言讨论
。
