跳转至

附录B:合规与上线检查清单

B.1 附录定位

本附录面向“数据集是否可以继续向下流转”的关键关口。它关心的并不是抽象意义上的合规口号,而是更具体的工程问题:某批数据能不能进入标注,能不能进入训练,能不能对外发布,能不能支撑课程实验,能不能接入线上系统。

在大模型数据工程中,最危险的情况通常不是某条法律条文完全没人知道,而是团队在日常推进中逐渐形成一种错觉,认为合规检查只是项目末尾补一个审批表。实际上,合规与上线检查应贯穿数据生命周期,因为来源不清、授权不明、脱敏不稳、评测污染、资源声明缺失、教学环境越权访问等问题,一旦进入后期才被发现,代价会远高于前置识别。

因此,本附录提供的不是法律意见、医学建议、金融或投资建议,也不构成任何监管审批、伦理审查或上线许可。它是一套更适合工程团队执行和留痕的检查框架,目标是让技术负责人、项目经理、课程负责人和合规接口人使用同一套表述,降低跨角色沟通成本。

在涉及法律、医疗、金融、未成年人、跨境数据、个人敏感信息或行业监管的场景中,读者应以所在机构的正式制度、所在司法辖区的现行法规、数据提供方合同、伦理审查要求和专业合规意见为准。在中国大陆语境下,网络安全、数据安全和个人信息保护分别需要结合《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》理解(National People's Congress of the People's Republic of China 2016, 2021a, 2021b)。本附录中的清单只能帮助团队提前发现需要升级评审的问题,不能替代律师、医师、金融合规人员、安全负责人或伦理委员会的专业判断。

B.2 合规检查为什么必须前置

如果合规只在发布前做,团队最容易遇到三种高成本返工。第一种是来源返工,数据抓回来了、清洗完了,才发现原始授权并不允许模型训练或二次分发。第二种是标注返工,标注完成后才意识到敏感字段未脱敏,导致全部样本需要重做。第三种是发布返工,公开 benchmark 时才发现训练集与测试集边界不稳,或外部许可证与榜单提交规则冲突。

更稳妥的做法,是把合规拆成四个关口。这个拆分也可以和风险管理框架对齐:NIST AI RMF 强调按治理、映射、度量和管理组织 AI 风险,欧盟《人工智能法案》则进一步体现了按风险等级设置义务和边界的监管思路(National Institute of Standards and Technology 2023; European Parliament and Council of the European Union 2024)。

  1. 数据接入前的来源与授权检查。
  2. 标注与加工前的敏感性与委托边界检查。
  3. 训练与评测前的数据使用边界检查。
  4. 对外发布与系统上线前的公开暴露检查。

只要把这四个关口建立起来,很多本来会在项目末尾爆炸的问题,都能在更早阶段被限制在可控制范围内。

B.3 数据接入前检查清单

B.3.1 来源与授权是第一道门

数据接入最先要确认的,不是“值不值得抓”,而是“能不能合法、合约上可解释地抓”。推荐至少检查表 B-1 中的字段。

检查项 需要回答的问题 常见风险 建议动作
来源主体 数据由谁提供 来源链断裂、二手转手不明 保留来源说明与联系人
使用许可 是否允许训练、评测、再分发 论文可用但商用或公开受限 建立许可白名单/灰名单
robots / ToS 抓取是否与站点规则冲突 违规抓取、后续下架风险 留存规则截图与时间点
地域边界 是否涉及跨境或特殊行业数据 传输边界不清 与法务/安全接口人确认
更新周期 来源是否稳定变化 复现时拿不到同一版本 冻结抓取窗口与快照

来源检查之所以关键,不是因为团队想“走流程”,而是因为后续所有工程动作都会放大来源问题。越靠近模型训练和公开发布,修改来源策略的成本越高。

B.3.2 个人信息与敏感信息要先分级再处理

如果样本中可能包含姓名、联系方式、证件号码、病历、位置轨迹、未成年人信息、企业内部文档或商业秘密,团队不应急着讨论用什么模型脱敏,而应先完成信息分级。一个实用的工程分级如下:

等级 典型内容 默认策略
L0 公开、低风险、已明确授权数据 可进入常规治理流程
L1 普通个人信息或业务字段 最小化收集、脱敏后再流转
L2 敏感个人信息、医疗、金融、教育等 需专项审批与隔离处理
L3 高敏、涉密、合同限制强的数据 原则上不进入通用训练流程

这一步最容易犯的错误,是把“脱敏”误解成万能通行证。很多时候,问题不在于某个字段有没有被掩码,而在于任务本身是否依赖这些敏感字段。如果任务定义离不开敏感属性,团队应优先重写任务边界,而不是幻想靠一次正则替换就能解决。

B.4 标注、委托与第三方协作检查

B.4.1 标注平台不是天然合规边界

很多团队会把样本上传到外部标注平台,然后默认“平台有权限系统,所以应该没问题”。这是风险较高的认知。标注环节至少要确认四件事:

  1. 第三方是否被明确授权接触该类数据。
  2. 标注说明中是否存在越权披露的风险。
  3. 标注结果是否会被再回流到其他项目。
  4. 标注日志、截图和缓存是否会形成新的泄露面。

表 B-2 给出一个可直接使用的检查框架。

检查项 需要回答的问题 建议动作
委托边界 谁可以看到原始样本 建立角色分层与最小权限
数据脱敏 标注前是否完成必要处理 保留脱敏版本与原始版本隔离
标注说明 指南里是否泄露内部信息 发布前复核说明文本
日志与缓存 平台是否保留预览、下载缓存 明确清理策略与保留周期
争议样本 是否会流向公开讨论区 单独隔离,不外发原文

B.4.2 与高校合作时要特别注意成果边界

高校合作场景中,一个常见风险是“项目化”和“论文化”边界不清。项目里允许内部使用的样本,未必允许论文附录公开;课堂演示中允许展示的页面,未必允许打包成对外数据集。最稳妥的做法,是在合作开始时就把成果边界写清:

  • 哪些结果只限项目内部使用。
  • 哪些统计可以论文公开但原样本不能外发。
  • 哪些数据可进入课程镜像但不得下载带走。
  • 哪些内容可以形成 benchmark,哪些只能形成内部测试集。

如果不把这些边界写清,后续很容易出现“工程上已经做完,合约上却走不通”的尴尬局面。

B.5 训练与评测前检查清单

B.5.1 训练集合法并不等于评测集安全

不少团队会把训练与评测当成同一类数据治理问题,但它们的风险不同。训练集最关心的是来源、授权、敏感性和任务适配;评测集还必须额外关注污染、隔离和比较公平性

训练与评测前建议单独确认以下问题:

检查项 训练前重点 评测前重点
来源与许可 是否允许训练 是否允许公开测试与榜单使用
数据最小化 是否保留了不必要字段 是否泄露标准答案或提示
版本冻结 是否锁定训练版本 是否锁定测试版本与脚本
污染检查 是否接触公开测试集 是否被训练语料反向污染
资源声明 训练资源是否可记录 提交资源条件是否可比

尤其在开放 benchmark 场景下,评测集不是“只要质量高就行”,而是必须让外部团队相信比较条件是稳定和公正的。否则,即使榜单分数可观,也无法形成长期信任。

B.5.2 LLM judge 与自动脱敏都要进入审计表

随着越来越多流程使用大模型做 judge、摘要、分级和脱敏,团队必须把“辅助模型本身”纳入合规视野。检查重点包括:

  • 使用的辅助模型是否会把输入样本发送到外部服务。
  • 服务协议是否允许保留、训练或人工审阅输入。
  • judge 结论是否会决定正式标签或上线结论。
  • 脱敏失败样本是否会进入人工复核通道。

这一步之所以重要,是因为技术团队很容易默认“只是内部调用一个 API”,但从治理角度看,这已经是一次新的数据暴露。

B.6 对外发布与公开基准检查清单

B.6.1 发布前至少要同时准备四类文档

一个准备成熟的数据集或 benchmark,在对外发布前至少应准备以下四类文档。模型卡片的提出,正是为了把用途、限制、性能和风险以稳定格式交代清楚;数据或基准发布也应采用类似的结构化披露思路(Mitchell et al. 2019)。

  1. 数据/基准卡片:说明任务、样本结构、split、限制。
  2. 许可与使用说明:说明能做什么、不能做什么。
  3. baseline bundle:说明最低可复现基线。
  4. 更新与争议处理机制:说明版本、反馈与撤回路径。

如果只发布样本和论文链接,而没有这四类文档,外部团队很难真正安全使用,也很难在出现争议时迅速处理。

B.6.2 榜单治理比“是否公开”更重要

很多 benchmark 失败不是因为不够公开,而是因为公开后没有治理机制。对于排行榜,建议至少明确以下规则:

检查项 需要回答的问题
提交方式 允许上传什么,禁止上传什么
资源声明 是否要求报告模型规模、推理预算、检索资源
人工复核 哪些情况会触发人工审查
撤榜规则 发现污染、作弊、越权访问后如何处理
教学隔离 课程版本是否与公开榜单版本区分

只有把这些规则写清,公开榜单才不会在短时间内从“展示平台”退化成“口径混乱的比分墙”。

B.6.3 对外发布前的最小签发单

为了避免临发布时口头确认太多、留痕太少,建议每一次正式公开发布都至少形成一张签发单。它不必复杂,但应能回答最关键的问题。

字段 需要填写的内容
asset_name 数据集、benchmark 或课程镜像名称
release_version 本次对外版本号
owner 数据 owner 与评测 owner
source_check 来源与许可是否复核完成
privacy_check 脱敏与敏感信息检查是否完成
contamination_check 训练/测试污染检查是否完成
baseline_ready baseline bundle 是否齐全
rollback_path 出现问题后的撤回路径
public_notice 发布公告或说明文档位置

签发单的价值,在于它把“谁拍板”和“基于什么拍板”留了下来。后续一旦出现争议,这张单据会比散落在聊天记录里的确认更有组织价值。

B.7 系统上线前检查清单

B.7.1 从“能跑”到“能上线”之间至少差了五层控制

模型或数据流程在实验环境可验证,并不代表可以上线。上线前至少要补齐五层控制:

控制层 关键问题 典型检查点
权限层 谁能访问样本与结果 RBAC、最小权限、审计日志
隔离层 测试与生产是否隔离 环境分区、密钥管理
内容层 是否存在违规输出或敏感回显 红线样本、拒答策略
回滚层 事故发生后能否快速停用 版本锁定、灰度开关
记录层 事后能否复盘 请求日志、评测快照、事件台账

对大模型应用来说,很多事故并不是“模型突然变坏”,而是数据、提示、检索源或评测口径发生了变化,却没有被上线控制接住。

B.7.2 教学上线与产品上线是两套门槛

课程实验通常允许更多可解释过程、更多日志和更慢的响应,但产品环境通常不能。因此,不应把课程镜像直接当成线上系统,也不应把线上审计环境直接暴露给课程实践。建议分别维护:

  • 教学镜像版本
  • 研究复现实验版本
  • 线上服务版本

这三者可以共用数据资产,但不应共用同一套暴露面与权限边界。

B.7.3 教学场景专项检查清单

高校合作和课程实验场景往往被误判为“风险较低”,因为系统使用人数有限、周期也较短。但事实上,教学场景有自己独特的高风险点,例如账号共享、实验报告粘贴原始样本、课堂录屏扩散、学期中环境热更新导致答案漂移等。

因此,课程上线前建议额外补一张教学专项清单:

检查项 需要回答的问题 建议动作
版本冻结 学期内版本是否保持稳定 开课前锁定镜像
权限范围 学生能否下载原始数据 默认关闭原始层下载
样本展示 课堂截图是否可能泄露敏感内容 使用教学脱敏样本
作业回收 学生提交物是否会包含原始数据 增加提交规范与自动扫描
助教运维 谁负责答疑和异常处理 建立值班与升级路径

这张清单和产品上线清单并不是谁替代谁的关系,而是分别回答“能不能安全教学”和“能不能安全服务”这两类不同问题。

B.7.4 跨境、外部 API 与第三方模型调用的附加检查

随着越来越多流程依赖外部基础模型、云 OCR、云存储或 SaaS 标注平台,团队还需要额外识别“样本是否离开了原有控制域”。这类检查至少应覆盖:

  1. 调用链里是否存在将原文、图像、音频发送给外部服务的动作。
  2. 这些服务是否保留日志、缓存或训练使用权。
  3. 是否存在地域跨境、第三方转处理或多级分包。
  4. 如果外部服务中断或条款变更,内部是否有降级方案。

很多系统上线后才暴露的问题,并不是模型效果,而是基础调用链中藏着团队自己都没有完全意识到的数据暴露点。把这类调用前置列入检查,是第十二篇“开放维护”和本附录“上线审计”之间最值得打通的一条链路。

B.8 事故响应与撤回机制

B.8.1 没有撤回机制的公开发布是高风险发布

只要数据集、榜单或课程资源已经公开,就必须假设未来可能出现以下情况:

  • 外部报告样本侵权或敏感信息泄露。
  • 发现训练/测试污染。
  • baseline 代码存在严重错误。
  • 榜单出现异常提交或可疑作弊。
  • 教学镜像中存在越权访问路径。

因此,公开资产必须配套撤回与修复流程。建议至少明确以下动作链:

  1. 受理入口:谁接收问题报告。
  2. 分级机制:是否需要立即下线。
  3. 临时措施:隐藏下载、冻结榜单、停用镜像。
  4. 调查复盘:确认范围、原因、补救动作。
  5. 正式公告:发布修订说明与版本变更。

B.8.2 最小事故台账模板

字段 说明
incident_id 事故编号
reported_time 首次报告时间
affected_asset 涉及的数据集、榜单或系统
risk_level 风险等级
temporary_action 临时处置动作
root_cause 根因
public_notice 对外公告链接或说明
preventive_action 后续预防措施

事故台账制度化的意义不在于增加流程形式,而在于防止同一类问题跨学期、跨项目、跨责任人重复发生。

B.8.3 高风险红旗信号

为了帮助团队在日常推进中快速识别问题,下面给出一组适合贴在项目面板上的“红旗信号”:

  • 数据来源只能追溯到个人网盘、聊天文件或二次转存链接。
  • 标注平台默认所有标注员都可见全部原始样本。
  • 教学实验直接复用生产环境或生产密钥。
  • 训练集与测试集在不同版本中被重新切分,但没有公告。
  • 公开榜单允许上传结果,却没有资源声明和撤榜规则。
  • 外部 API 会接触样本正文,但没人能说清其日志保留政策。
  • 项目负责人离开后,没有任何人能指出撤回和修复入口。

只要出现其中两三项,就不应该继续按“常规推进”处理,而应尽快进入专项复核。

B.9 角色分工建议

合规与上线检查最容易失效的情形,是“所有角色都知道需要执行,但没有明确责任人”。建议至少区分四类角色:

角色 主要职责
数据 owner 来源、授权、版本、下线决策
评测 owner 测试隔离、榜单口径、baseline 复核
安全/合规接口人 审批边界、敏感信息处置、外部报告协调
教学 owner 课程镜像、学期版本、课堂使用边界

这四类角色未必要对应四个独立岗位,但职责本身不能缺位。只有角色清晰,清单才不会变成形式主义。

B.9.1 一个季度一次的合规复盘,至少应该回答什么

如果项目处于长期运营状态,建议每季度做一次轻量合规复盘。它不需要像事故复盘那样沉重,但至少要回答下面五个问题:

  1. 本季度新增的数据来源中,是否有任何许可边界发生变化。
  2. 本季度是否新增了外部服务调用链,且已经完成留痕。
  3. 本季度是否出现过样本撤回、脱敏补丁或榜单争议。
  4. 本季度教学版本、研究版本和公开版本是否仍然保持清晰隔离。
  5. 下一季度最值得优先补的,是来源治理、权限治理,还是撤回流程。

这样做的好处是,合规检查就不再是“最后一刻拦项目”,而会真正变成帮助项目稳定演进的一部分。

B.9.2 样本撤回演练不应等到真实事故发生时才第一次做

很多团队会认真写撤回机制,却从未真正演练过“如果明天有人要求下线一批样本,我们能不能在半天内定位、冻结、公告并重建受影响版本”。这和只写灾备方案却从不演练,本质上是同一类问题。只要没有实际演练,团队就很难知道撤回链路中到底卡在数据定位、版本依赖、教学镜像、榜单冻结,还是外部通知流程。

因此,建议每个学期或每个季度至少做一次小规模撤回演练,哪怕只是选取一组模拟样本,也要完整走一遍流程:

  1. 确认样本定位是否能从发布版本反查到原始来源与中间版本。
  2. 确认训练集、评测集、教学镜像和公开下载包是否都能识别受影响范围。
  3. 确认榜单、baseline 与课程实验是否需要同步冻结或补公告。
  4. 确认外部问题受理人与内部责任人之间是否存在沟通断点。
  5. 确认修订后版本能否快速重新生成并保留历史说明。

这类演练的意义并不只是为了应对极端情况。它还能反向暴露一个系统是否真的具备“可治理”的资产结构。如果某个数据集一旦要求撤回样本,团队连受影响版本都找不全,那么问题就不只是应急能力不足,而是整个版本治理链条还没有真正建立起来。

B.10 本附录小结

本附录把合规与上线问题翻译成了一套工程团队更容易执行的清单。核心结论有三条。

第一,合规不是项目末尾的附加步骤,而是数据生命周期中的连续关口。
第二,训练、评测、公开发布、课程复现和产品上线的边界并不相同,必须分别检查。
第三,真正能降低长期风险的,不只是“一次审批通过”,而是来源留痕、版本冻结、事故撤回和角色分工的制度化。

参考文献

National People's Congress of the People's Republic of China (2016) Cybersecurity Law of the People's Republic of China. http://www.npc.gov.cn/zgrdw/npc/xinwen/2016-11/07/content_2001605.htm.

National People's Congress of the People's Republic of China (2021a) Data Security Law of the People's Republic of China. https://www.cac.gov.cn/2021-06/11/c_1624994566919140.htm.

National People's Congress of the People's Republic of China (2021b) Personal Information Protection Law of the People's Republic of China. http://www.npc.gov.cn/npc/c2/c30834/202108/t20210820_313088.html.

National Institute of Standards and Technology (2023) AI Risk Management Framework (AI RMF 1.0). https://www.nist.gov/itl/ai-risk-management-framework.

European Parliament and Council of the European Union (2024) Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). https://eur-lex.europa.eu/eli/reg/2024/1689/oj.

Mitchell M, Wu S, Zaldivar A, Barnes P, Vasserman L, Hutchinson B, Spitzer E, Raji I D, Gebru T (2019) Model Cards for Model Reporting. In: Proceedings of the Conference on Fairness, Accountability, and Transparency, pp 220-229. https://doi.org/10.1145/3287560.3287596.