风险管理 – Art. 9
要求
高风险AI系统的提供者必须将风险管理体系作为贯穿整个生命周期的持续迭代过程加以实施。
强制性组成部分
风险管理体系必须:
- 识别和分析已知及可预见的风险——在预期使用和可合理预见的误用情形下
- 评估风险——在预期使用和可合理预见的误用情形下可能产生的风险
- 制定和实施适当的风险缓解措施
- 评估和记录残余风险——考虑已采取的风险缓解措施
- 测试——在投放市场前及整个生命周期内进行,以确保系统按预期运行
测试要求
- 针对预先定义的指标和阈值进行测试
- 考虑预期用途
- 针对受影响人群进行**偏差(Bias)**测试
- 不受数据格式限制:结构化、非结构化、混合
BAUER GROUP 实施方案(最小化方法)
| 措施 | 实施方式 |
|---|---|
| 风险识别 | 在现有CRA风险评估表中增加AI特定风险类别 |
| 风险评估 | 简单风险矩阵(发生概率 × 影响程度) |
| 风险缓解 | 在CRA风险评估表中记录所选措施 |
| 测试 | 集成到现有CI/CD流水线(ML模型指标作为质量门控) |
| 文档 | 基于模板,按产品定制 |
与CRA的协同效应
CRA漏洞管理已覆盖网络安全风险。AI Act风险管理补充AI特定风险(偏差、幻觉、可解释性、鲁棒性)。