franciscovfonseca/AI-Incident-Response
GitHub: franciscovfonseca/AI-Incident-Response
模拟英国金融服务公司 AI 信用评分引擎偏见事件的完整响应流程文档,覆盖监管通报、客户补救与根因分析,为受监管组织提供 AI 事件响应的实战参考模板。
Stars: 0 | Forks: 0
B[🛑 Containment\nDay 2 · 12 March]
B --> C[🔬 Investigation\nWeeks 2-3]
C --> D[📢 Regulatory\nNotification\nDay 17 · 27 March]
D --> E[👥 Customer\nRemediation\nWeek 4 · 7 April]
E --> F[🔧 Model\nRemediation\nWeeks 5-10]
F --> G[✅ Incident\nClosed\nDay 95 · 12 June]
style A fill:#b71c1c,color:#fff
style B fill:#1565c0,color:#fff
style C fill:#1565c0,color:#fff
style D fill:#6a1b9a,color:#fff
style E fill:#1b5e20,color:#fff
style F fill:#1b5e20,color:#fff
style G fill:#2e7d32,color:#fff
```
## 🚨 事件概述
| | |
|---|---|
| **事件 ID** | NP-INC-2026-001 |
| **系统** | NP-001 · 信用评分引擎 |
| **事件类型** | AI 公平性 / 歧视性输出 |
| **严重程度** | 1 - 严重 |
| **检测时间** | 2026 年 3 月 10 日 |
| **结束时间** | 2026 年 6 月 12 日 |
| **持续时间** | 95 天 |
信用评分引擎使用邮政编码作为地理风险特征。在黑人英国和南亚裔居民比例高于平均水平的 12 个伦敦邮政编码区域中,该特征成为了种族和族裔的具有统计学意义的代理变量。受影响的申请人获得的评分平均比来自其他邮政编码区域且信用状况相当的申请人低 35-55 分——这导致了拒绝率增加了 12 个百分点,并向受影响的已批准账户多收取了约 210 万英镑的利息。
**事件一览:**
| 指标 | 数值 |
|---|---|
| 审查的来自受影响邮政编码区域的申请数 | 4,127 |
| 回顾性审查下的拒绝数量 | 847 |
| 向先前被拒绝的申请人发出的新贷款要约 | 234 |
| 退还的多收利息 | 210 万英镑 |
| 从检测到控制 | 2 天 |
| 从检测到监管通知 | 17 天 |
| 事件总持续时间 | 95 天 |
## 📂 交付物
| 文件 | 描述 |
|---|---|
| [`docs/incident-scenario.md`](docs/incident-scenario.md) | 事件描述、检测叙事、范围评估和初步严重性分类 |
| [`docs/incident-response-timeline.md`](docs/incident-response-timeline.md) | 按周划分的事件响应与补救时间表(2026 年 3 月 - 6 月) |
| [`docs/root-cause-analysis.md`](docs/root-cause-analysis.md) | 5 Whys 根本原因分析、促成因素、纠正行动计划和经验教训 |
## 🔗 计划背景
本项目是 NorthPoint Financial Services AI 治理计划的第 4 阶段——这是一个分为五个阶段的组合项目,旨在展示受监管金融服务组织端到端的 AI 治理能力。
| 阶段 | 项目 | 焦点 |
|---|---|---|
| 1 | [AI 系统清单](https://github.com/franciscovfonseca/AI-System-Inventory) | 识别和分类整个组织内的 AI 系统 |
| 2 | [AI 风险评估](https://github.com/franciscovfonseca/AI-Risk-Assessment) | 评估包括 NP-001 在内的高风险 AI 系统的风险 |
| 3 | [负责任 AI 政策与治理框架](https://github.com/franciscovfonseca/AI-Governance-Policy) | 建立治理结构、政策和问责制 |
| **4** | **AI 事件响应** (本项目) | **响应 AI 失效并履行监管义务** |
| 5 | 高风险 AI 文档 | 根据《EU AI Act》制作合规的技术文档 |
检测到此次事件的偏见审计是作为第 3 阶段建立的治理计划的一部分进行的。这是治理按预期运作的体现——并证明即使有框架到位,生产系统仍需要积极的、持续的监控。
## 🗑 框架对齐
| 交付物 | EU AI Act | NIST AI RMF | ISO 42001 | FCA Consumer Duty |
|---|---|---|---|---|
| 事件检测和分类 | Art. 9 (持续风险管理) | MANAGE 2.2 (事件响应) | 6.1.2 (AI 风险处理) | Outcome 1 (产品满足客户需求) |
| 监管通知 | Art. 73 (严重事件报告) | GOVERN 1.7 (问责制) | 9.1 (监控和测量) | Principle 11 (与监管机构的关系) |
| 客户补救 | Art. 13, 14 (透明度, 人工监督) | MANAGE 3.2 (补救) | 10.1 (持续改进) | Outcome 2 (公平价值) |
| 根本原因分析 | Art. 9, 17 (风险管理, 上市后监测) | MANAGE 4.1 (经验教训) | 10.2 (不合格与纠正措施) | Principle 6 (客户利益) |
## 💡 事件响应能力的重要性
涉及歧视性输出、隐私泄露和无法解释的自动决策的 AI 事件,已经在整个金融服务行业引发了监管行动和诉讼。英国 FCA 已将信用决策中的算法偏见和模型风险列为主动监管关注的领域。
《EU AI Act》对高风险 AI 系统的整个运营生命周期确立了义务,而不仅仅是部署前:
- **第 9 条** - 贯穿系统整个生命周期的持续风险管理
- **第 12 条** - 高风险系统的日志记录和可追溯性要求
- **第 17 条** - 上市后监测义务
- **第 73 条** - 向国家主管当局报告严重事件
根据 **FCA Consumer Duty**(2023 年 7 月生效),公司必须证明其产品和服务为所有客户(包括具有受保护特征的人群)带来了良好结果。一个产生歧视性贷款决策的系统存在偏见的 AI 系统构成了直接的 Consumer Duty 违规。监管机构期望公司主动识别并补救此类违规行为——而不是等待客户投诉。
根据《**2010 年英国平等法案**》(UK Equality Act 2010),无论意图如何,在提供金融服务时基于种族的间接歧视都是违法的。即使不存在任何歧视性目的,充当族裔代理变量的模型特征也会产生非法的间接歧视。
## 📁 仓库结构
```
AI-Incident-Response/
├── README.md
└── docs/
├── banner.png
├── incident-scenario.md
├── incident-response-timeline.md
└── root-cause-analysis.md
```
## 🧭 如何浏览本仓库
从 [**incident-scenario.md**](docs/incident-scenario.md) 开始,了解事件描述、检测叙事和初步严重性评估。
阅读 [**incident-response-timeline.md**](docs/incident-response-timeline.md) 了解按周进行的响应过程——控制决策、监管通知、客户影响量化以及模型补救。
最后阅读 [**root-cause-analysis.md**](docs/root-cause-analysis.md),了解 5 Whys 分析、促成因素以及为防止再次发生而采取的纠正措施。
## 🧠 展示的技能
| 技能领域 | 本项目展示的内容 |
|---|---|
| **AI 事件响应** | 从检测、控制到补救和关闭的端到端事件管理 |
| **监管升级** | 跨越《EU AI Act》第 73 条、FCA Consumer Duty、ICO 和《2010 年英国平等法案》的通知义务 |
| **根本原因分析** | 将 5 Whys 方法应用于系统性的 AI 治理失效 |
| **算法公平性** | 代理歧视分析;信用评分中的差异性影响量化 |
| **NIST AI RMF - Manage** | 应用于实时公平性失效的事件响应、恢复和经验教训过程 |
| **客户补救设计** | 识别受影响客户、量化损害和发布赔偿的结构化方法 |
| **英国监管背景** | 将 FCA Consumer Duty、ICO (UK GDPR 第 22 条) 和英国平等法案应用于 AI 系统 |
| **压力下的治理** | 展示治理框架在事件发生时能按预期执行 |
## 📚 框架与参考资料
| 框架 | 资源 |
|---|---|
| EU AI Act (官方文本) | [EUR-Lex 2024/1689](https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689) |
| NIST AI Risk Management Framework 1.0 | [airc.nist.gov](https://airc.nist.gov/) |
| ISO/IEC 42001:2023 - AI Management Systems | [iso.org/standard/81230](https://www.iso.org/standard/81230.html) |
| FCA Consumer Duty | [fca.org.uk/firms/consumer-duty](https://www.fca.org.uk/firms/consumer-duty) |
| UK Equality Act 2010 | [legislation.gov.uk](https://www.legislation.gov.uk/ukpga/2010/15/contents) |
| UK GDPR - 第 22 条 (自动决策) | [ico.org.uk](https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/automated-decision-making-and-profiling/) |
**franciscovfonseca** · [GitHub](https://github.com/franciscovfonseca) · [LinkedIn](https://linkedin.com/in/franciscovfonseca)
[](LICENSE)
*持续更新的 AI 治理组合的一部分 · [查看所有项目 →](https://github.com/franciscovfonseca)*
标签:AI事件响应, AI治理, AI风险管理, FCA消费者义务, 事件溯源, 企业合规, 偏见审计, 合规检查表, 合规监管, 客户补救, 根本原因分析, 欧盟AI法案, 监管上报, 监管科技, 英国金融服务, 金融科技, 防御加固