ワンクリックで
vendor-ai-review
审查AI供应商条款——重点核查训练数据来源合规性、责任分配、 模型变更通知、合规义务向下传导。适用于审查AI SaaS协议、 AI模型授权、AI API服务条款,或采购团队提出"这个AI供应商 合同有问题吗"时使用。
Codex または Claude でインストール この Prompt をコピーして Codex、Claude、または他のアシスタントに貼り付けると、Skill ページを確認してインストールできます。
メニュー
审查AI供应商条款——重点核查训练数据来源合规性、责任分配、 模型变更通知、合规义务向下传导。适用于审查AI SaaS协议、 AI模型授权、AI API服务条款,或采购团队提出"这个AI供应商 合同有问题吗"时使用。
Codex または Claude でインストール この Prompt をコピーして Codex、Claude、または他のアシスタントに貼り付けると、Skill ページを確認してインストールできます。
SOC 職業分類に基づく
按系统逐一定义AI角色、风险等级和监管义务——判定每个系统是 AI服务提供者还是使用者,分配风险层级,并映射至中国AI法规 的义务要求。适用于建立AI系统清单、进行年度AI审计、或新法 规要求重新分类时。
为AI系统或模型生成风险定级和合规概要评估——涵盖数据、公平性、 透明度、安全性和监管注册表。在用例分类为"附条件-高"后使用, 产品或工程团队提出"我们需要做AI影响评估"时使用,或定期重新 认证已部署系统时使用。采用快速/全面双轨制。
首次运行访谈以建立AI治理实践配置:适用法规、 AI系统清单、红线、审批工作流和输出偏好。 在插件首次安装时自动运行。使用 --redo 可重新运行。
将新的或修订的AI法规与当前AI政策和实践进行差异分析—— 输出差距清单和整改计划,含负责人和日期。适用于新法规 出台、用户询问"[某法规]是否影响我们"、" AI法规差距分析"或粘贴法规文本时。
对提议的AI用例进行分类和风险排序:检索现有注册表、检查红线、 对残余风险进行分级。输出为经核准/附条件/不核准,并附书面理由。 适用于收到新的AI用例提案、产品团队询问"这个AI功能可以上线吗"、 或需要运行AI用例审批委员会流程时。
运行冷启动访谈以了解你的商事合同实务并写入团队业务领域配置。在首次使用插件时、 配置文件缺失或仍为模板占位符时、或当用户说"设置插件""配置商事合同" "引导我""我们开始吧"时使用。这是全新安装时应运行的唯一技能。
| name | vendor-ai-review |
| description | 审查AI供应商条款——重点核查训练数据来源合规性、责任分配、 模型变更通知、合规义务向下传导。适用于审查AI SaaS协议、 AI模型授权、AI API服务条款,或采购团队提出"这个AI供应商 合同有问题吗"时使用。 |
| argument-hint | [粘贴AI供应商合同条款] |
~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md → 合同审查立场、可接受风险阈值、红线条款。/ai-governance-legal:vendor-ai-review
[paste the vendor AI terms]
事务上下文。 检查实践级 CLAUDE.md 中的 ## 事务工作区。如果 已启用 为 ✗,跳过本段其余部分。如果已启用且无活跃事务,询问事务归属。加载活跃事务的 matter.md。除非 跨事务上下文 为 开,否则绝不读取其他事务的文件。
AI供应商合同引入了传统技术合同没有的风险维度——供应商是否使用你的数据训练模型、模型变更时你会不会得到通知、如果AI产生了侵权内容谁承担风险、供应商是否完成了法定的算法备案和安全评估(《生成式人工智能服务管理办法》第17条 [法条原文])。此技能系统性地审查这些风险。
读取 ~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md:
## 合同审查配置 — 公司立场、风险偏好、红线## 监管注册表 — 适用的法规框架## 已批准的供应商 — 既有关系和已通过审查的条款首先明确供应商提供的是什么:
| 模型提供方式 | 说明 | 关键风险 |
|---|---|---|
| API接口 | 通过云端API调用模型 | 数据传输安全、数据是否被记录用于训练 |
| 本地部署 | 模型部署在自有服务器 | 安全可控性高,但更新和升级依赖供应商 |
| SaaS产品 | 使用供应商的AI功能产品 | 使用条款可能不清晰,数据用途条款需特别关注 |
| 模型授权/定制 | 授权基础模型进行微调 | 知识产权归属、模型更新的兼容性 |
这是AI合同审查中最重要的部分。
| 检查项 | 理想状态 | 风险标记 |
|---|---|---|
| 训练数据条款 | 明确约定不将客户数据用于模型训练,或经客户明确书面同意 | 🔴 合同沉默、或条款笼统声称供应商可"使用数据进行服务改进" |
| 个人信息训练 | 不将包含个人信息的数据用于训练,或已取得个人单独同意(《个人信息保护法》第23条 [法条原文]) | 🔴 未区分数据类型,一刀切授权 |
| 训练数据合法性保证 | 供应商保证其训练数据来源合法,不侵犯第三方知识产权(《生成式人工智能服务管理办法》第7条 [法条原文]) | 🟠 供应商仅提供"尽力"保证或不提供保证 |
| 数据删除 | 合同终止后供应商删除客户数据并销毁包含客户数据的模型副本 | 🟠 仅承诺"停止使用"而不承诺删除 |
| 知识产权归属 | 明确约定微调模型的权属(客户拥有/供应商拥有/共享) | 🟠 合同沉默 |
[法条原文])AI产出的特殊性使得传统的责任条款可能无法直接适用。需要特别关注:
| 责任场景 | 供应商理想立场 | 风险 |
|---|---|---|
| AI产出侵权(知识产权) | 供应商承担因其训练数据或模型本身导致的侵权责任 | 🔴 供应商将全部侵权风险转嫁客户 |
| AI产出违法/不良内容 | 供应商基于《生成式人工智能服务管理办法》承担内容安全责任 | 🔴 供应商声称仅为"技术中立工具" |
| AI产出错误导致商业损失 | 责任分配合理,特殊或间接损失合理排除 | 🟠 供应商完全免责且客户承担全部损失 |
| 模型停机/服务中断 | SLA明确,有可用性承诺和服务积分/赔偿机制 | 🟡 SLA模糊或缺失 |
| 模型性能退化 | 供应商保证模型输出质量不实质性下降 | 🟠 供应商保留单方修改模型的权利且无通知义务 |
中国法特别关注:《生成式人工智能服务管理办法》第9条要求提供者承担生成内容的生产者责任 [法条原文]——如果供应商声称自己仅提供"技术工具"而不对AI产出负责,该立场在法规层面的支撑较弱。但实践中,供应商可能通过合同条款将部分风险转移给使用者,需逐案分析。
| 检查项 | 最低可接受标准 |
|---|---|
| 实质性变更通知 | 至少30天提前书面通知 |
| 性能退化补救 | 如变更导致性能退化>X%,供应商需在合理期限内补救 |
| 终止权 | 如供应商无法补救或变更影响合规状态,客户有权终止 |
| 合规影响评估 | 供应商应在变更前提供合规影响摘要(至少概要说明) |
作为AI服务使用者,需要确保供应商有能力支持你的合规义务:
| 法规合规要求 | 供应商应尽的义务 | 合同核查点 |
|---|---|---|
算法备案(《互联网信息服务算法推荐管理规定》第24条 [法条原文]) | 供应商已完成备案并提供备案号 | 合同是否明确供应商的算法备案状态?是否有持续合规保证? |
安全评估(《生成式人工智能服务管理办法》第17条 [法条原文]) | 供应商已进行安全评估 | 是否可以获取评估结论摘要(不要求完整报告,但需要确认已完成) |
科技伦理审查(《科技伦理审查办法(试行)》[法条原文]) | 供应商已完成伦理审查(如适用) | 是否涉及需伦理审查的场景? |
个人信息保护(《个人信息保护法》[法条原文]) | 如涉及数据处理,应签署数据处理协议 | 数据处理协议的充分性 |
安全措施(《个人信息保护法》第51条 [法条原文]) | 供应商承诺采取必要的安全措施 | SOC2/等保报告、安全事件通知时限、数据泄露通知义务 |
| 审计权 | 供应商应接受审计或提供第三方审计报告 | 审计权的范围和频率 |
| 内容安全 | 供应商应有违法和不良信息识别和处置机制 | 信息安全管理能力描述或认证 |
| 类别 | 法律风险 | 商业摩擦 | 关键风险点 |
|---|---|---|---|
| 训练数据 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
| 责任分配 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
| 模型变更 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
| 合规传导 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
[工作成果头 — 按照插件配置 ## 输出]
# AI供应商合同审查:[供应商名称] — [服务类型]
**日期:** [日期]
**供应商:** [名称]
**服务:** [API / SaaS / 本地部署 / 模型授权]
**总体结论:** [经核准 / 附条件核准 / 不适合当前条款]
---
## 一、服务概况
[一段话]
## 二、训练数据风险
### 发现
[具体条款语言及风险分析]
### 建议
[谈判立场 + 备选条款语言]
## 三、责任分配风险
### 发现
[参照第3步清单]
### 建议
[谈判立场 + 备选条款语言]
## 四、模型变更风险
### 发现
[参照第4步清单]
### 建议
[谈判立场 + 备选条款语言]
## 五、合规传导风险
### 发现
供应商是否具备支持客户合规义务的能力:[描述]
### 建议
[需要供应商补充的材料、条款修订建议]
## 六、谈判立场
| 条款 | 当前 | 我方立场 | 最低接受标准 | 谈判优先级 |
|------|------|----------|-------------|-----------|
| [条款] | [现状] | [理想] | [底线] | 致命/高/中/低 |
## 七、红线标记
[列出触发红线的条款——需升级法律顾问]
以 CLAUDE.md ## 输出 规定的下一步决策树收尾。定制选项:按审查意见与供应商谈判、升级红线条款至法律顾问决策、接受当前条款(如无红线)、获取更多供应商信息。