CIO需在AI问责落地前掌握系统管控权

某业务部门签署了一份支持AI功能的分析平台合同，采购部门完成了供应商资质审查，法务部门起草了数据处理附录，安全团队完成了集成检测。

六个月后，这套模型已在悄然左右定价决策、客户细分或招聘筛选，而这些应用场景在上线之初根本没有任何文档记录。审计委员会向CIO索要支撑该部署的证据，但CIO既没有选型这个模型，没有审批这个用例，也没有参与评估集的构建。

然而董事会仍在等待一个答案。

这种局面在企业中已相当普遍。董事会让CIO对AI的结果承担责任，但那些AI既非CIO挑选，也非CIO设计，CIO更无法对其实施全面监控。用例由业务部门提出，模型来自外部供应商，合规备忘录在上线之后才姗姗来迟。当审计委员会追问谁该为AI风险负责时，组织架构图的箭头指向了CIO。但组织架构图并不等同于运营模式。

没有权力支撑的问责注定失效。部署前的证据门控机制，正是让权力回归CIO角色的方式。CIO必须在接受生产环境责任之前，先掌握对这些门控节点的控制权。

所谓"门控"，是一种具备命名产物、命名负责人和命名决策规则的发布控制机制。任何AI系统进入生产环境之前，门控机制必须产出四项输出结果：评估证据、行为规范、职责认领确认书，以及回滚标准。

多数企业有模型审批表，但几乎没有企业建立了完整的产物流水线——能够将模型行为与评估证据相连，并与审批链和运行时监控协议挂钩。缺少这条流水线，CIO向董事会作答时只能依赖供应商的口头保证。

六项控制措施可将门控模型转化为企业实践：

第一，制定AI系统摄入清单，在采购阶段即触发合规流程；

第二，建立行为规范文档，明确模型在实际使用场景中的预期表现；

第三，要求提交评估记录，以真实数据而非供应商演示为依据；

第四，设置业务负责人签字环节，在上线前完成用例级别的责任确认；

第五，建立运行时监控合同，明确生产阶段的持续观测义务；

第六，制定回滚标准，在问题触发时明确降级或下线的判定条件。

每项控制措施对应一份产物，每份产物对应一位负责人，而CIO负责整条流水线。

拥有所有权，前提是拥有明确的权力授权。CIO需要的是生产部署的否决权，而不是采购完成后的事后建议权。AI系统若未提交摄入产物，不应通过供应商入驻流程；若未提交行为规范和评估记录，不应接入企业数据；若业务负责人未签署上线决策并认领回滚标准，不应进入生产环境。

CIO不必对每一个AI用例拥有所有权，但必须拥有整个控制平面的所有权。

以中国的AI备案制度为参照——这并非一套供美国企业直接借鉴的模式，但它能说明一个具体问题：当部署前证据被纳入发布流程并在规模层面落地时，会发生什么。

中国国家互联网信息办公室运营着一个公开的算法备案系统，截至2025年11月，该系统已收录来自约2,353家企业的逾5,000份备案，每月处理250至300条新增记录。相关规定要求由工程、产品、安全、法务和合规专业人员组成跨职能合规团队。备案成为发布产物，而非上线后的补救动作。这套备案体制之所以能够实现整合，在于其设定了固定的时间节点、列明了文档类别，并以无例外适用的范围覆盖倒逼了合规整合。

美国CIO可用的准备时间比他们预想的要少。《欧盟人工智能法案》针对高风险系统的相关义务预计于8月2日正式生效，尽管推迟提案带来了一定的规划不确定性。科罗拉多州《人工智能法案》最初定于2月生效，后经参议院第25B-004号法案推迟至6月30日，目前已面临法律挑战。纽约州金融服务局于2024年10月发布了AI相关网络安全指引，将AI风险纳入对受监管金融机构的监管预期框架。

州级和联邦行业规则仍在持续增多。在任何规则正式具有约束力之前，董事会便会要求提供AI管控的证明。

CIO不必对每一项AI决策拥有所有权，但必须掌控采购与生产之间的每一道门控节点。缺少这些门控，AI问责便不再是治理，而只是责任的推卸与归咎。

Q&A

Q1：什么是AI部署的"门控机制"？它包含哪些关键要素？

A：门控机制是一种在AI系统进入生产环境前必须通过的发布控制节点，每个门控需具备命名产物、命名负责人和命名决策规则三个要素。进入生产前必须产出四项内容：评估证据、行为规范、职责认领确认书和回滚标准。其核心价值在于将模型行为与可查的证据链挂钩，避免CIO在缺乏依据的情况下为AI风险背书。

Q2：CIO在企业AI治理中应拥有哪些具体权力？

A：CIO需要拥有AI系统进入生产环境的否决权，而非仅在采购完成后提供建议。具体而言，AI系统若未提交摄入清单，不应通过供应商入驻；未提交行为规范和评估记录，不应接入企业数据；业务负责人未签署上线决策，不应进入生产。CIO不必对每个用例负责，但必须掌控从采购到生产的整个控制平面。

Q3：当前哪些法规正在推动企业加速建立AI管控体系？

A：多项法规正在收紧时间窗口。《欧盟人工智能法案》高风险系统条款预计8月2日生效；科罗拉多州《人工智能法案》已推迟至6月30日并面临法律挑战；纽约州金融服务局于2024年10月发布指引，将AI风险纳入受监管金融机构的监管预期。州级与联邦行业规则持续增多，董事会在规则正式生效前便已开始要求企业提供AI管控证明。