一键导入
vendor-ai-review
审查AI供应商条款——重点核查训练数据来源合规性、责任分配、 模型变更通知、合规义务向下传导。适用于审查AI SaaS协议、 AI模型授权、AI API服务条款,或采购团队提出"这个AI供应商 合同有问题吗"时使用。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
审查AI供应商条款——重点核查训练数据来源合规性、责任分配、 模型变更通知、合规义务向下传导。适用于审查AI SaaS协议、 AI模型授权、AI API服务条款,或采购团队提出"这个AI供应商 合同有问题吗"时使用。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
| name | vendor-ai-review |
| description | 审查AI供应商条款——重点核查训练数据来源合规性、责任分配、 模型变更通知、合规义务向下传导。适用于审查AI SaaS协议、 AI模型授权、AI API服务条款,或采购团队提出"这个AI供应商 合同有问题吗"时使用。 |
| argument-hint | [粘贴AI供应商合同条款] |
~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md → 合同审查立场、可接受风险阈值、红线条款。/ai-governance-legal:vendor-ai-review
[paste the vendor AI terms]
事务上下文。 检查实践级 CLAUDE.md 中的 ## 事务工作区。如果 已启用 为 ✗,跳过本段其余部分。如果已启用且无活跃事务,询问事务归属。加载活跃事务的 matter.md。除非 跨事务上下文 为 开,否则绝不读取其他事务的文件。
AI供应商合同引入了传统技术合同没有的风险维度——供应商是否使用你的数据训练模型、模型变更时你会不会得到通知、如果AI产生了侵权内容谁承担风险、供应商是否完成了法定的算法备案和安全评估(《生成式人工智能服务管理办法》第17条 [法条原文])。此技能系统性地审查这些风险。
读取 ~/.claude/plugins/config/claude-for-legal/ai-governance-legal/CLAUDE.md:
## 合同审查配置 — 公司立场、风险偏好、红线## 监管注册表 — 适用的法规框架## 已批准的供应商 — 既有关系和已通过审查的条款首先明确供应商提供的是什么:
| 模型提供方式 | 说明 | 关键风险 |
|---|---|---|
| API接口 | 通过云端API调用模型 | 数据传输安全、数据是否被记录用于训练 |
| 本地部署 | 模型部署在自有服务器 | 安全可控性高,但更新和升级依赖供应商 |
| SaaS产品 | 使用供应商的AI功能产品 | 使用条款可能不清晰,数据用途条款需特别关注 |
| 模型授权/定制 | 授权基础模型进行微调 | 知识产权归属、模型更新的兼容性 |
这是AI合同审查中最重要的部分。
| 检查项 | 理想状态 | 风险标记 |
|---|---|---|
| 训练数据条款 | 明确约定不将客户数据用于模型训练,或经客户明确书面同意 | 🔴 合同沉默、或条款笼统声称供应商可"使用数据进行服务改进" |
| 个人信息训练 | 不将包含个人信息的数据用于训练,或已取得个人单独同意(《个人信息保护法》第23条 [法条原文]) | 🔴 未区分数据类型,一刀切授权 |
| 训练数据合法性保证 | 供应商保证其训练数据来源合法,不侵犯第三方知识产权(《生成式人工智能服务管理办法》第7条 [法条原文]) | 🟠 供应商仅提供"尽力"保证或不提供保证 |
| 数据删除 | 合同终止后供应商删除客户数据并销毁包含客户数据的模型副本 | 🟠 仅承诺"停止使用"而不承诺删除 |
| 知识产权归属 | 明确约定微调模型的权属(客户拥有/供应商拥有/共享) | 🟠 合同沉默 |
[法条原文])AI产出的特殊性使得传统的责任条款可能无法直接适用。需要特别关注:
| 责任场景 | 供应商理想立场 | 风险 |
|---|---|---|
| AI产出侵权(知识产权) | 供应商承担因其训练数据或模型本身导致的侵权责任 | 🔴 供应商将全部侵权风险转嫁客户 |
| AI产出违法/不良内容 | 供应商基于《生成式人工智能服务管理办法》承担内容安全责任 | 🔴 供应商声称仅为"技术中立工具" |
| AI产出错误导致商业损失 | 责任分配合理,特殊或间接损失合理排除 | 🟠 供应商完全免责且客户承担全部损失 |
| 模型停机/服务中断 | SLA明确,有可用性承诺和服务积分/赔偿机制 | 🟡 SLA模糊或缺失 |
| 模型性能退化 | 供应商保证模型输出质量不实质性下降 | 🟠 供应商保留单方修改模型的权利且无通知义务 |
中国法特别关注:《生成式人工智能服务管理办法》第9条要求提供者承担生成内容的生产者责任 [法条原文]——如果供应商声称自己仅提供"技术工具"而不对AI产出负责,该立场在法规层面的支撑较弱。但实践中,供应商可能通过合同条款将部分风险转移给使用者,需逐案分析。
| 检查项 | 最低可接受标准 |
|---|---|
| 实质性变更通知 | 至少30天提前书面通知 |
| 性能退化补救 | 如变更导致性能退化>X%,供应商需在合理期限内补救 |
| 终止权 | 如供应商无法补救或变更影响合规状态,客户有权终止 |
| 合规影响评估 | 供应商应在变更前提供合规影响摘要(至少概要说明) |
作为AI服务使用者,需要确保供应商有能力支持你的合规义务:
| 法规合规要求 | 供应商应尽的义务 | 合同核查点 |
|---|---|---|
算法备案(《互联网信息服务算法推荐管理规定》第24条 [法条原文]) | 供应商已完成备案并提供备案号 | 合同是否明确供应商的算法备案状态?是否有持续合规保证? |
安全评估(《生成式人工智能服务管理办法》第17条 [法条原文]) | 供应商已进行安全评估 | 是否可以获取评估结论摘要(不要求完整报告,但需要确认已完成) |
科技伦理审查(《科技伦理审查办法(试行)》[法条原文]) | 供应商已完成伦理审查(如适用) | 是否涉及需伦理审查的场景? |
个人信息保护(《个人信息保护法》[法条原文]) | 如涉及数据处理,应签署数据处理协议 | 数据处理协议的充分性 |
安全措施(《个人信息保护法》第51条 [法条原文]) | 供应商承诺采取必要的安全措施 | SOC2/等保报告、安全事件通知时限、数据泄露通知义务 |
| 审计权 | 供应商应接受审计或提供第三方审计报告 | 审计权的范围和频率 |
| 内容安全 | 供应商应有违法和不良信息识别和处置机制 | 信息安全管理能力描述或认证 |
| 类别 | 法律风险 | 商业摩擦 | 关键风险点 |
|---|---|---|---|
| 训练数据 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
| 责任分配 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
| 模型变更 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
| 合规传导 | 🔴🟠🟡⚪ | 🔴🟠🟡⚪ | [要点] |
[工作成果头 — 按照插件配置 ## 输出]
# AI供应商合同审查:[供应商名称] — [服务类型]
**日期:** [日期]
**供应商:** [名称]
**服务:** [API / SaaS / 本地部署 / 模型授权]
**总体结论:** [经核准 / 附条件核准 / 不适合当前条款]
---
## 一、服务概况
[一段话]
## 二、训练数据风险
### 发现
[具体条款语言及风险分析]
### 建议
[谈判立场 + 备选条款语言]
## 三、责任分配风险
### 发现
[参照第3步清单]
### 建议
[谈判立场 + 备选条款语言]
## 四、模型变更风险
### 发现
[参照第4步清单]
### 建议
[谈判立场 + 备选条款语言]
## 五、合规传导风险
### 发现
供应商是否具备支持客户合规义务的能力:[描述]
### 建议
[需要供应商补充的材料、条款修订建议]
## 六、谈判立场
| 条款 | 当前 | 我方立场 | 最低接受标准 | 谈判优先级 |
|------|------|----------|-------------|-----------|
| [条款] | [现状] | [理想] | [底线] | 致命/高/中/低 |
## 七、红线标记
[列出触发红线的条款——需升级法律顾问]
以 CLAUDE.md ## 输出 规定的下一步决策树收尾。定制选项:按审查意见与供应商谈判、升级红线条款至法律顾问决策、接受当前条款(如无红线)、获取更多供应商信息。
按系统逐一定义AI角色、风险等级和监管义务——判定每个系统是 AI服务提供者还是使用者,分配风险层级,并映射至中国AI法规 的义务要求。适用于建立AI系统清单、进行年度AI审计、或新法 规要求重新分类时。
为AI系统或模型生成风险定级和合规概要评估——涵盖数据、公平性、 透明度、安全性和监管注册表。在用例分类为"附条件-高"后使用, 产品或工程团队提出"我们需要做AI影响评估"时使用,或定期重新 认证已部署系统时使用。采用快速/全面双轨制。
首次运行访谈以建立AI治理实践配置:适用法规、 AI系统清单、红线、审批工作流和输出偏好。 在插件首次安装时自动运行。使用 --redo 可重新运行。
将新的或修订的AI法规与当前AI政策和实践进行差异分析—— 输出差距清单和整改计划,含负责人和日期。适用于新法规 出台、用户询问"[某法规]是否影响我们"、" AI法规差距分析"或粘贴法规文本时。
对提议的AI用例进行分类和风险排序:检索现有注册表、检查红线、 对残余风险进行分级。输出为经核准/附条件/不核准,并附书面理由。 适用于收到新的AI用例提案、产品团队询问"这个AI功能可以上线吗"、 或需要运行AI用例审批委员会流程时。
运行冷启动访谈以了解你的商事合同实务并写入团队业务领域配置。在首次使用插件时、 配置文件缺失或仍为模板占位符时、或当用户说"设置插件""配置商事合同" "引导我""我们开始吧"时使用。这是全新安装时应运行的唯一技能。