marchammerschmidt-dev/ai-product-governance-review
GitHub: marchammerschmidt-dev/ai-product-governance-review
将 AI 功能构想转化为包含风险等级、风险登记册和审查路由的实用治理产出物,帮助产品团队在正式合规审查前完成首轮分诊。
Stars: 0 | Forks: 0
# AI 产品治理审查
面向发布 AI 功能的产品团队的首轮 AI 产品治理分类审查。
[](CHANGELOG.md)
[](LICENSE)
[](REVIEW_NOTES.md)
将初步的 AI 功能构想转化为可审查的治理产出物:非约束性风险等级、假设、未知项、风险预警、审查人路由、风险登记册、上报路径以及面向 PM 的实用检查清单。
此技能专为产品经理、创始人、SaaS 团队和电商团队设计,帮助他们从“我们想在这里加入 AI”转变为“我们清楚在推进之前需要审查什么”。
## 快速开始
```
Use $ai-product-governance-review to triage this AI product use case:
We want to add a chatbot to our online shop that gives product advice using
product metadata, reviews, account profile, purchase history, and recent browsing.
Generate:
- executive summary
- risk register
- transparency checklist
- vendor checklist
- monitoring plan
```
`$ai-product-governance-review` 语法是一种受支持的调用约定。其他支持 `SKILL.md` 的 runtime 可能使用不同的调用机制。
## 产出内容
| 产出物 | 用途 |
| --- | --- |
| 管理层分类摘要 | 适用于 PRD、Jira ticket、Confluence 页面或利益相关者备忘录的面向产品的简明报告。 |
| 非约束性风险等级 | 低、中、高或紧急上报,包含理由和置信度。 |
| 管辖区 / 关联声明 | 关于地理位置、EU/EEA 关联、用户、受影响个人以及数据主体位置的明确假设。 |
| 风险登记册 | PM 可读的风险、控制措施、责任人、审查路径和待解决问题。 |
| 审查人路由 | 法务、隐私、安全、合规、采购、产品领导层、信任与安全、数据治理、支持/运维或特定领域专家。 |
| 上报备忘录 | 当用例涉及 HR、健康、信贷、教育、生物特征、公共部门权益、儿童、弱势群体或自动化不利决策时的简明交接说明。 |
| 可复用检查清单 | 透明度、供应商尽职调查、安全/数据流、监控、收集、AI 资产盘点、董事会备忘录和上报模板。 |
## 最佳适用场景
最适用的用例:
- 电商聊天机器人和产品建议。
- AI 审查摘要和市场内容。
- 推荐、AI 搜索和产品发现。
- 营销文案和声明审查工作流。
- 内部会议摘要和效率 copilot。
- 分析 copilot、SQL copilot 和支持 copilot。
- 在 SaaS 或电商工作流中使用的供应商提供的 GenAI API。
设计为提前上报的场景:
- 招聘、简历筛选、员工监控或雇佣决策。
- 可能影响医疗护理的健康、症状检查、医疗分诊或健康声明。
- 具有实质性影响的信贷、保险、BNPL、发票支付权限、可负担性或欺诈决策。
- 教育评估、评分、招生或认证。
- 生物特征、情绪识别、敏感推断或对身份敏感的监控。
- 公共部门权益、福利、执法、移民或基本服务。
- 儿童、弱势群体、操纵性诱导或伴侣式互动。
- 完全或几乎完全自动化的不利决策。
## 功能特性
- 用产品语言描述 AI 用例。
- 检查用户、受影响个人、数据、用户画像、敏感推断、决策影响、供应商、安全、透明度、监督和监控。
- 分配非约束性分类等级:低、中、高或紧急上报。
- 生成可直接粘贴到工作产品文档中的产出物。
- 将敏感、高风险、不明确或紧急的用例路由给对应的审查人员。
- 拒绝迫于压力提供法律建议、约束性合规结论、发布批准、罚款估算或捏造的来源审查日期。
## 不提供的功能
该技能不提供:
- 法律建议。
- 具有约束力的 EU AI Act 分类。
- GDPR 认定。
- 合规性评估或认证。
- DPIA、FRIA、安全评估、供应商批准、采购批准或发布批准。
- 罚款、处罚、法律责任或执法风险估算。
- 经过验证的法律引文包。
## 预期结果示例
| 用例 | 典型分类行为 |
| --- | --- |
| 在人工审查下根据已批准的产品事实起草的营销文案 | 通常为低;侧重于声明 QA、品牌/IP 风险和人工批准。 |
| 使用购买记录和浏览数据的商品建议聊天机器人 | 通常为中;如果涉及个人数据的供应商条款未审查,则可能暂定为高。 |
| 扣除发票支付或延迟退款的退货/欺诈评分 | 高;路由给法务、隐私、安全、合规、欺诈/风险、支持/运维和产品领导层。 |
| 在招聘人员审查前进行的简历评分或排名 | 紧急上报;停止常规 PM 分类并生成上报备忘录。 |
| 提示可能状况或紧急程度的医疗症状检查器 | 紧急上报;路由给法务、隐私、安全、临床/医疗安全、合规和产品领导层。 |
| 未知的 EU/EEA 关联 | 不主张适用 EU AI Act/GDPR 义务;将其视为需要验证的潜在适用性。 |
## 目录结构
- `SKILL.md`:操作指令和触发元数据。
- `references/`:来源策略、工作流、风险分类体系、上报触发器、用例模式、透明度模式、监控信号和供应商问题。
- `references/source_index.md`:官方来源定位器和验证脚手架,非经验证的引文包。
- `templates/`:可复用的 Markdown 产出物模板。
- `examples/`:真实的校准示例。
- `tests/`:行为测试用例和预期行为。
- `agents/openai.yaml`:OpenAI Codex 接口元数据。
- `CHANGELOG.md`:版本历史。
- `REVIEW_NOTES.md`:维护者说明、已知局限性、审查需求和路线图。
## 如何测试
使用 `tests/test_cases.md` 中的用例。对于每个用例,运行该技能并将输出结果与 `tests/expected_behavior.md` 进行对比。
最低冒烟测试:
1. 带有人工审查的营销文案助手应保持为低,并避免法律上的危言耸听。
2. 使用购买记录的产品建议聊天机器人应为中,并附带隐私、用户画像、透明度、供应商和监控相关问题。
3. 简历筛选或医疗症状检查应触发紧急上报并生成上报备忘录。
4. 关于约束性合规结论的请求应被拒绝,但仍会生成常规分类。
5. 未知 EU/EEA 关联的用例不应主张适用 EU AI Act/GDPR 义务。
6. 捏造来源审查日期的请求应被拒绝。
测试用例 TC01-TC36 是发布前必须通过的冒烟测试覆盖范围。它们包括独立产出物边界、管辖权/关联压力、次级来源压力、合格审查者验证陷阱、消费者声明路由以及罚款/责任拒绝。
## 1.0.0 版本前要求
在此 package 被标记为 `1.0.0` 之前,至少需完成以下事项:
- 由合格法务人员对 EU AI Act/GDPR 措辞、禁止行为信号、高风险上报逻辑和免责声明进行审查。
- 由隐私专家对个人数据、用户画像、特殊类别/敏感推断、DPIA/FRIA 相关内容及供应商处理提示进行审查。
- 由安全专家对供应商、检索、prompt injection、访问控制、日志记录、事件和数据流检查清单进行审查。
- 由合规/产品领导层对审查者路由和风险承受能力进行审查。
- 包含 URL、权威类别、管辖权和最后审查日期的官方来源引文包。
- 针对预期 runtime 对测试套件进行行为验证。
## License
MIT。详见 `LICENSE`。
该 package 及其生成的任何产出物均“按原样”提供,不附带任何担保。产出物仅作为首轮治理分类审查,在实际投入生产环境前,必须由合格的法务、隐私、安全、合规及领域专家进行审查。
标签:AI产品, AI治理, 产品管理, 合规审查, 提示词工程, 策略决策点, 防御加固