麦肯锡的一份报告显示,78%的企业表示至少在一个业务职能中使用了AI,这意味着你所在企业对AI的使用已不再是唯一的担忧。
如今,风险暴露的边界已延伸至合作伙伴和供应商对AI的使用。主要问题在于:他们是否在你未察觉的情况下,将AI嵌入到运营中,直到出现问题你才有所发现?供应商的聊天机器人处理敏感数据不当、算法输出结果存在偏见,或是合作伙伴用你的信息训练其模型,这些情况都可能引发监管处罚和声誉受损。除非你的合同对这些情况有所预见,否则责任很可能转嫁到你身上。
为防范此类风险,企业可以(也应当)采取以下措施:
• 要求披露AI的使用地点和方式
• 限制自身数据被输入外部模型的方式
• 要求对高风险决策进行人工监督
• 将错误或偏见产生的责任归咎于供应商
这些不仅仅是法律细节,它们是企业在管理自身范围外AI风险的第一道防线。
1. AI使用披露
你无法管理你看不到的事物。要求供应商正式披露在其服务提供过程中AI的使用地点和方式。这包括显而易见的工具(如聊天机器人)以及生产力套件、自动化分析和第三方插件中的嵌入式功能。
若没有披露,你可能在毫不知情的情况下依赖AI生成的工作成果——这无疑是一场合规噩梦,尤其是在你于多个司法管辖区运营的情况下。
这并非假设性的漏洞。尽管近80%的企业都在使用AI,但麦肯锡报告称,只有21%的企业全面绘制并记录了其AI应用场景。企业内部缺乏可见性凸显了“影子AI”轻易渗透工作流程的容易程度,也凸显了要求供应商提高透明度的重要性。
应采取的行动
明确规定披露必须是主动的,而不仅仅是在被要求时才进行。例如,在欧洲,欧盟《AI法案》已要求在面向客户的角色中使用AI时需保持此类透明度。
2. 数据使用限制
你的数据是你最宝贵的资产;一旦数据脱离你的掌控,你可能并不清楚其使用方式。许多AI供应商希望利用客户数据来训练和完善其模型。除非你的第三方合同明确限制这一点,否则敏感信息可能会进入你无法管控的系统,甚至嵌入到使竞争对手受益的模型中。AI应用场景缺乏透明度,使得你几乎不可能知道自己的数据是否被用于你从未同意的方式。
应采取的行动
明确规定你的数据不得用于训练外部模型、不得纳入供应商的产品或服务,也不得与其他客户共享。要求所有数据处理行为均符合最严格的适用隐私法律(如《通用数据保护条例》《健康保险流通与责任法案》《加州消费者隐私法案》等),并明确规定这些义务在合同终止后仍然有效。
3. 人工监督要求
AI可以加速工作流程并降低成本,但也会带来不可忽视的风险。人工监督确保自动化输出在上下文中得到正确解读、审查是否存在偏见,并在系统出错时进行纠正。没有人工监督,企业可能会过度依赖AI的效率,而忽视其盲点。监管框架也朝着同一方向发展:例如,根据欧盟《AI法案》,高风险AI系统必须具备经记录的人工监督机制。
跳过人工监督的后果已经显现。在美国,Workday正面临平等就业机会委员会的诉讼——截至2025年9月仍未解决——该诉讼指控其AI驱动的招聘软件基于种族、年龄和残疾对求职者进行歧视。尽管所指控的偏见源于供应商的系统,但该案件是根据联邦就业法提起的,这意味着依赖Workday工具的雇主并不能免于承担责任。
这对第三方合同是一个重要教训:当供应商的AI做出有缺陷或有偏见的决策时,监管机构和法院不仅会关注技术提供商,还会关注在其运营中使用该工具的企业。
应采取的行动
在与供应商的合同中明确具体的监督要求,例如要求合格的招聘人员审查AI驱动的招聘建议。同样重要的是,应建立内部流程以确保这些审查切实发生。
4. 输出错误或偏见的责任
当AI出错时,代价可能高昂——从声誉受损到监管罚款。关键问题在于谁承担责任。如果没有明确条款,默认情况下可能是你的企业负责赔偿,即使问题源于供应商的AI工具。
许多供应商试图限制自身风险。研究表明,88%的AI技术提供商对其责任设定上限,通常不超过一个月的订阅费。虽然这些数据来自AI软件合同,但它反映了一个更广泛的现实:除非你在协议中明确要求,否则第三方合作伙伴不太可能对AI驱动的错误承担实质性责任。这种责任错位很重要。监管机构和法院通常会首先关注使用该工具的企业,而非提供该工具的供应商。
应采取的行动
协商责任条款,明确涵盖AI驱动的问题,包括歧视性输出、违反监管规定以及财务或运营建议中的错误。避免使用通用的赔偿条款。相反,应在合同中单独设立AI特定责任条款,并规定与潜在影响相匹配的补救措施。
AI合同作为AI治理的第一道防线
随着供应商将AI更深入地嵌入其服务中,责任、偏见和数据滥用问题很容易成为你的问题。此处概述的条款提供了保护起点,但并非故事的结局。你的合同必须与内部监督协同工作,包括维护AI清单、培训员工以及制定负责任使用的明确政策。
监管机构正在迅速行动,诉讼开始检验责任归属,供应商将继续将责任转嫁给客户。能够蓬勃发展的企业将是那些将合同视为更广泛AI风险框架一部分的企业——而非事后才考虑的因素。通过在协议中嵌入披露、数据保护、监督和责任条款,你为业务未来构建了保护屏障,无论技术如何演变。
