供應商RFP的AI治理要求：真正保護您的合同語言

大多數企業AI採購使用的是為軟件而非AI編寫的 SaaS 合同範本。它們涵蓋正常運行時間 SLA、數據處理協議和軟件保修。它們不涵蓋模型行為更改、訓練數據治理，或當您的供應商簽署國防合同時會發生什麼。

2026年初，當 OpenAI 與美國國防部簽訂合同時，他們的企業客戶沒有要求通知的合同語言，沒有評估行為變化的測試窗口，也沒有由戰略轉變觸發的退出條款。這是採購失敗。

AI供應商關係與 SaaS 供應商關係根本不同。當 SaaS 供應商發生停機時，您的工作流程停止。當您的AI供應商更改其模型時，您的工作流程繼續——但行為不同，可能產生錯誤輸出。您可能幾週後才注意到。

以下是應出現在每份AI供應商協議中的 8 條規定，附可以調整的樣例語言。

1. 模型版本穩定性和變更通知

當前AI合同中最危險的差距是無聲的模型更新。API 提供商定期更新模型，而沒有提前通知客戶或給他們時間測試的合同義務。

樣例語言：「供應商應在對可能影響其輸出質量、行為或安全特性的AI系統進行任何重大更改之前至少提供 [30] 天書面通知。'重大更改'包括對訓練數據、模型架構、安全過濾、對齊微調或默認推論參數的更改。供應商應在交付變更通知後 [90] 天內保持當前模型版本可用。」

30 天窗口使您有時間在更改生效之前對評估集進行測試。90 天可用性窗口允許您在新版本未通過驗收標準時回滾。

2. 行為測試窗口

僅通知是不夠的。您需要時間在新模型上線之前對照您的生產工作負載進行測試。

樣例語言：「在任何重大更改通知之後，客戶應有 [14] 個工作日的測試窗口，在此期間客戶可以根據其定義的驗收標準評估更新的AI系統。如果更新的系統未通過客戶的驗收標準，客戶可以：（a）在額外的 [60] 天繼續在先前版本上運行，或（b）在不支付提前終止違約金的情況下終止受影響的服務。」

終止權很重要。如果模型更新破壞了您的使用案例，並且您無法無限期回滾，您需要一個乾淨的退出。

3. 審計日誌訪問

處理重要數據的AI系統必須生成審計級別的日誌。您無法導出的供應商管理日誌會創造合規差距。

樣例語言：「供應商應向客戶提供所有AI系統操作的完整可導出審計日誌，包括：（a）每次請求的 UTC 時間戳；（b）請求時的模型版本和配置；（c）輸入和輸出的哈希值（除非客戶選擇完整日誌記錄，否則不包含完整內容）；（d）任何人工審查或干預事件；以及（e）系統健康和錯誤事件。日誌應不可變、防篡改，並按適用法規要求的期間保留（HIPAA 最少 6 年，EU AI Act 高風險系統 10 年）。日誌應在請求後 [48] 小時內以結構化格式（[JSON/CSV]）導出。」

4. 訓練數據治理

您需要知道您的供應商訓練了什麼，您需要保證您的數據不會在沒有您同意的情況下訓練他們的下一個模型。

樣例語言：「供應商保證：（a）客戶的輸入、輸出和交互數據不得在沒有客戶明確事先書面同意的情況下用於訓練、微調或評估任何AI模型；（b）供應商應根據請求提供用於訓練AI系統的主要數據來源的文件，在訓練數據發生重大更改後 [30] 天內更新；（c）供應商的數據處理實踐符合所有適用的數據保護法規，包括 [GDPR/CCPA/HIPAA 如適用]。」

5. 人工監督聲明

對於用於受監管決策的AI，您需要知道內置了什麼人工監督——並在更改時得到通知。

樣例語言：「供應商應以書面形式披露：（a）AI系統中內置的所有人機協作審查機制，包括觸發人工升級的置信度閾值和人工覆蓋的記錄過程；（b）按使用案例和適用的人口統計群體的已知失敗模式和準確率限制。供應商應在這些機制發生重大更改後 [30] 天內通知客戶。如果更改實質上降低了合同執行時所呈現的人工監督能力，客戶可在此類通知後 [60] 天內無違約金終止受影響的服務。」

6. 戰略對齊披露

大多數合同完全缺失的條款。供應商戰略決策——收購、新客戶細分、政府合同——影響您依賴的模型。

樣例語言：「供應商應在以下情況發生後 [30] 天內書面通知客戶：（a）任何將實質性影響AI系統的第三方收購或合併；（b）供應商AI系統的主要客戶細分或預期使用案例的重大變更；（c）與政府實體的任何可能影響AI系統訓練優先級、安全校準、能力可用性或商業定價的合同或協議。客戶可在此類通知後 [60] 天內無提前終止違約金終止受影響的服務。」

這是 OpenAI 與國防部簽約時本應起作用的條款。無論您是否行使終止權，您都會被告知並有選擇。

7. 事件通知

AI事件——模型產生系統性錯誤輸出、數據洩露、意外行為更改——需要快速通知。

樣例語言：「供應商應在發現以下任何影響AI系統的事件後 [24] 小時內通知客戶：（a）導致或可能導致客戶對AI系統的使用產生實質性錯誤輸出；（b）導致對客戶數據的未授權訪問或披露；或（c）導致AI系統可用性或準確率的實質性退化。通知應包括：已知的影響範圍和性質、初始根因評估、採取的即時遏制行動和估計的解決時間表。供應商應在解決後 [10] 個工作日內提供書面事後分析。」

8. 退出和可移植性

AI供應商鎖定在退出時最痛苦。您需要拿回您的數據和自定義設置。

樣例語言：「因任何原因終止後，供應商應在 [30] 天內：（a）以標準機器可讀格式（[JSON/CSV/適用格式]）返還所有客戶數據；（b）提供代表客戶執行的任何微調、自定義或提示工程的文件；（c）如果客戶已通過供應商的平台或基礎設施在開源基礎模型上執行微調，以與標準推論運行時兼容的開放格式（[GGUF/ONNX/SafeTensors]）向客戶交付所有微調模型權重；以及（d）在終止後 [90] 天內合理配合客戶向替代系統的遷移。」

模型權重條款（c）如果您已進行微調，則至關重要。許多平台將微調權重保留為鎖定機制。這個條款使它們成為您的所有物。

談判現實

大多數企業AI供應商不會接受所有 8 條規定的完整形式。以下是優先事項：

不可談判的：第 3 條（審計日誌）、第 4 條（訓練數據治理）、第 7 條（事件通知）。在大多數受監管行業中，這些是合規要求。

強烈談判：第 1 條和第 2 條（版本穩定性和測試窗口）。如果必須接受更短的通知期（14 天是底線），但堅持要有一些窗口。

力爭：第 6 條（戰略對齊披露）。大多數供應商會抵制，但這是真正保護您免受宏觀層面風險的條款。

接受較弱形式的：第 8 條（退出和可移植性）。您可能無法取回托管模型的模型權重。取回您的數據並獲得遷移合作。

模型所有權替代方案

如果您在開源模型上進行微調並擁有權重，第 1、2、5、6 和 8 條基本上變得無關緊要——您已經擁有了它們試圖通過合同獲得的東西。您的模型是版本鎖定的（您控制更新），行為穩定的（您決定何時更改），並且完全可移植的（GGUF 在任何地方都能運行）。

上述合同條款是依賴供應商控制模型的組織的防禦立場。自有模型是結構性解決方案。

查看早鳥定價 →

對於兩種選項都適用的受監管行業——用於本地數據準備的 Data Suite，用於構建自有模型的 Ertas 微調 SaaS——這種組合消除了這些合同條款試圖管理的大多數供應商治理風險。