GB/T 45654-2025《生成式人工智能服务安全基本要求》实务指南:范围、清单与落地路线图
本文用通俗、可执行的方式,拆解《生成式人工智能服务安全基本要求》(GB/T 45654-2025)。你将获得:适用范围速判、数据/模型/内容三大安全清单、标签与投诉机制模板、日志与评估要点,以及“30/14/7天”落地路线图。注:非法律意见,请以官方最终文本与监管口径为准。
一、标准是什么?为谁而设?
GB/T 45654-2025是面向提供生成式AI服务的组织的安全基线。它强调“全生命周期”治理:从训练数据、模型研发/测试,到上线运营、内容管理、监控预警、事件响应与用户投诉闭环。
| 对象 | 是否覆盖 | 举例 |
|---|---|---|
| 面向公众的GenAI应用/平台 | 是 | 聊天/生成工具、创作平台、API聚合服务 |
| 对外提供模型/推理API的企业 | 是 | 模型提供商、推理服务商 |
| 企业内部仅限试点的小范围工具 | 通常是(视披露/用户范围而定) | 内测助手、内部知识库生成 |
| 单纯模型研究且不提供服务 | 通常否(但推荐参照) | 纯研究PoC |

来源: Zerlo 设计
为什么现在要看?
标准为行业提供了清晰的“最低要求”与可验证证据形态,有助于服务上线、对外合作与审计对接。
- 与内容标注/水印、备案/注册、风险评估等要求存在联动。
- 越早建立清单与证据库,越容易在后续检查中“拿得出手”。
二、核心要求一览(按“数据—模型—内容—运营”)
1) 数据安全与来源合规
- 数据来源可追溯:记录来源、授权方式、采集时间与用途限制。
- 敏感/受限数据处理:脱敏、最小化、访问控制与到期清理。
- 训练/微调数据质量:去噪、去违法违规、平衡与代表性。
dataset_registry.csv
数据来源登记(字段建议,CSV表头):
source_id,source_name,acquisition_type,license/terms,intended_use,restricted_topics,collection_date,owner,retention_policy,reviewed_by,review_date,notes
2) 模型安全与测试
- 基线测试:越狱/有害输出/隐私泄露/偏见与歧视测试。
- 对抗评估:红队范围、场景库、触发词与回归测试。
- 模型变更管理:版本化、评审记录、上线准入门槛。
model_eval_config.json
{
"eval_suite": ["jailbreak", "toxicity", "privacy_leak", "bias_fairness"],
"gate_thresholds": {
"jailbreak_block_rate": ">= 99.0%",
"pii_leak_rate": "<= 0.1%",
"toxicity_score": "<= 0.2"
},
"release_checklist": ["owner_signoff", "security_signoff", "comms_ready", "watermarking_on"]
}
3) 内容管理与标注
- 合规过滤:违法违规、谣言、色情暴力、侵犯隐私等内容识别与阻断。
- 合成内容标识:显著标注或水印,向用户明确“AI生成”。
- 用户申诉/投诉:通道公开、时限承诺、复核与追踪。
content_policy.yaml
labeling_policy:
synthetic_disclosure: "在界面与导出文件中明确提示:此内容由AI生成"
export_watermark: true
watermark_type: "metadata/c2pa 或可验证指纹"
complaint_flow:
entrypoints: ["站内表单", "邮件", "热线"]
sla:
receipt_ack: "24h"
initial_response: "72h"
resolution_target: "7d"
tracking: "为每个工单生成ticket_id,保留处理记录与证据"
4) 运营监控、日志与事件响应
- 关键事件日志:指令、输出摘要、命中策略、人工干预、封禁等。
- 告警分级:高危关键词/越狱成功率、异常流量与接口滥用。
- 事件处置:隔离、回滚、通报与用户告知机制。
audit_log_example.json
{
"log_event": {
"ts": "2025-10-19T10:00:00Z",
"user_id_hash": "****",
"prompt_hash": "****",
"policy_hits": ["self_harm_block"],
"action": "blocked_with_explanation",
"human_override": false,
"model_version": "genai-2025.10",
"region": "cn-north-1"
}
}
❝ 把“可展示的证据”当作产品的一部分来建设:表格、记录、评审结论与版本快照,都是你面对审查与合作方时的硬通货。 ❞
标准落地建议
三、落地方法:从零到一的“30 / 14 / 7 天”冲刺
第 1 阶段 · 30 天内
- 列清单:数据来源台账、模型版本/评估、第三方组件。
- 定边界:使用范围、禁止场景与高危词库;灰度上线准入门槛。
- 搭骨架:投诉通道、标注与导出水印、基本日志与报表。
第 2 阶段 · 14 天内
- 扩充红队场景与回归测试,形成“每次发版可复用”的评估集。
- 细化告警与处置SOP,演练一次“从告警到回滚”的闭环。
- 上线自查面板:关键指标(阻断率、疑似泄露率、申诉处理时效)。
第 3 阶段 · 7 天内
- 补齐证据包:评估报告、会议纪要、风控策略变更记录、用户告知文本。
- 完成一次外部协作的尽调模拟(伙伴或客户安全问卷)。
- 确定后续周期性的复核与改进节奏(例如每月一次)。
evidence_tree.txt
合规证据包(建议目录):
/evidence/
dataset_registry.csv
model_eval/
eval_plan.md
eval_results_2025-10.pdf
policies/
content_policy.yaml
incident_response_sop.md
releases/
2025-10-15_release_checklist.md
approvals_signoff.pdf
logs/
samples_redacted.jsonl
四、常见问答(FAQ)
Q1:内部试点是否也要做标注/水印?
建议“按外部同等标准”处理,至少在导出与对外传播前保持可追溯标识,避免混淆与合规风险。
Q2:模型评估需要第三方吗?
并非所有场景都必须第三方,但独立性与可重复是关键。内部评估要有清晰方法、阈值与复现实验材料;必要时引入外部复核增强可信度。
Q3:如何界定“高风险输出”?
结合法律法规、平台规则与行业自律:涉及违法违规、侵权、隐私泄露、歧视性或误导性内容的,都应纳入高风险,触发更严格拦截与告警。
五、即用型模板与片段
disclosure_snippet.txt
【用户告知(界面短文案)】
“您正在使用的功能可能生成由AI合成的内容。请勿输入个人敏感信息;如发现错误或不当内容,您可通过『反馈/投诉』提交,我们将在时限内处理。”
complaint_ticket.csv
【投诉工单字段(示例)】
ticket_id,created_at,channel,reporter_contact,content_link,reason,initial_handler,status,sla_due,final_decision,evidence_refs,notes
release_checklist.yaml
release_checklist:
- "[ ] 评估结果达标(见阈值表)"
- "[ ] 风险词表/策略已同步到线上"
- "[ ] 标注与导出水印核验通过"
- "[ ] 日志采集字段抽检通过"
- "[ ] 事件响应演练完成(近30天)"
- "[ ] 负责人签署发布批准"
六、结语与免责声明
把GB/T 45654-2025当作“可验证的工程实践”来做:把要求转成表单、清单、阈值与日志字段,你就能稳定复用、快速应对审查与合作尽调。本文仅为学习参考,不构成法律意见;请以官方文本与主管部门口径为准。