返回 Papers
AI 扩展计划 / Playbooks

AI Explainability / Contestability / Adverse Action Playbook

以下官方来源是本文的治理锚点。本文把它们转成产品、流程、架构、评估和证据语言,不把任何法规或框架简化成单一检查项。

883AI_EXPLAINABILITY_CONTESTABILITY_ADVERSE_ACTION_PLAYBOOK.md

AI Explainability / Contestability / Adverse Action Playbook

定位:面向 CBAP+、AI Product Manager、AI Product Architect、Compliance Product Lead、Solutions Architect 的金融零售 AI 解释性、可争议性和不利行动通知设计手册。本文不是通用 XAI 算法笔记,而是把 explainability 设计成客户可理解、监管可追溯、模型验证可评估、工程可复现、申诉可处理、审计可证明的产品与控制体系。

重要说明:本文是学习、作品集和内部治理训练材料,不构成法律意见、合规结论、审计意见、模型验证报告或监管解释。正式项目必须由 Legal、Compliance、Fair Lending、Model Risk、Privacy、Security、Customer Complaint、Business Owner 和管理层结合机构类型、司法辖区、产品类型、客户群体、数据来源和内部政策确认。

Source Anchors

以下官方来源是本文的治理锚点。本文把它们转成产品、流程、架构、评估和证据语言,不把任何法规或框架简化成单一检查项。

AnchorOfficial link本文使用方式
NIST AI Risk Management Frameworkhttps://www.nist.gov/itl/ai-risk-management-framework用 Govern / Map / Measure / Manage 组织解释性、可争议性、监控、处置和持续改进;把 trustworthy AI 中的 transparency、explainability、fairness、validity、reliability、accountability 转成产品控制。
EU AI Acthttps://eur-lex.europa.eu/eli/reg/2024/1689/oj用于理解高风险 AI、信用评分/信用能力评估、human oversight、logging、technical documentation、transparency、right to explanation of individual decision-making 等要求如何转成 deployer / provider 证据。
CFPB Circular 2022-03https://www.consumerfinance.gov/compliance/circulars/circular-2022-03-adverse-action-notification-requirements-in-connection-with-credit-decisions-based-on-complex-algorithms/用于信贷复杂算法场景:黑盒或复杂性不能成为无法给出具体、准确 adverse action reasons 的理由;reason 必须反映实际主要原因。
Regulation B adverse action noticeshttps://www.ecfr.gov/current/title-12/chapter-X/part-1002/section-1002.9用于 adverse action notice 的时点、内容、specific reasons、ECOA notice、申请人请求理由的路径和书面确认要求。
W3C PROVhttps://www.w3.org/TR/prov-overview/用于把 explanation evidence 设计成 provenance graph:entity、activity、agent、derivation、attribution、versioning、reproducibility,而不是散落截图和日志。

1. 核心心智模型:Explanation 是受治理的产品接口

Explainability 在金融零售 AI 中不是“让模型把思考过程说出来”,也不是把 SHAP chart 贴给客户。正确心智模型是:

AI explanation =
一个受治理的产品接口,
在特定客户、特定决策、特定政策、特定模型/规则/数据版本下,
向不同受众提供相称、准确、一致、可验证、可争议的解释,
同时保留足以复现、复核、申诉、纠错和审计的证据链。

这意味着 explanation 不是 raw chain-of-thought。客户、审核员、监管人员、模型验证团队和工程师需要看到的是经过治理的 evidence、reason、policy mapping、data lineage、decision boundary、model/system version、human review action 和 outcome,不是模型内部随口生成的一段看似合理的叙述。

1.1 五个常见误区

误区为什么危险更成熟的做法
把 explanation 当成模型输出模型可能编造原因,导致 adverse action reason 与真实决策逻辑不一致reason code 和 evidence 必须来自 decision system 的 source of truth,LLM 只能在受控模板内改写或解释
把可解释性等同于透明全部细节暴露欺诈规则、风控阈值、商业秘密或安全敏感逻辑会造成规避风险按受众分层披露:客户可理解、审核可复核、验证可评估、工程可定位
把 SHAP / feature importance 当成客户解释技术重要性不一定等于法律上的主要原因,也不一定客户能理解和采取行动先定义 adverse action reason architecture,再选择可支撑 reason 的模型解释方法
把“人工可覆盖”当成 contestability客户没有明确入口、SLA、证据提交、状态追踪和结果通知时,争议权利无法落地contestability 是完整 case workflow,不是一个 escalation 按钮
把审计证据留到上线前整理事后补材料无法证明当时版本、当时输入、当时政策和当时人审动作在运行时自动生成 evidence package 和 provenance record

1.2 Product Architect 的核心问题

设计 explainability / contestability / adverse action 时,先回答七个问题:

  1. 哪些系统或人员作出了客户影响性决定?
  2. 决定是否属于 adverse action、重要资格判断、费用处置、账户限制、欺诈处置或投资/保险适当性判断?
  3. 客户看到的解释、内部人审看到的证据、审计看到的证据是否来自同一决策事实?
  4. reason code 的 source of truth 是模型、规则引擎、策略表、人工决定,还是组合决策服务?
  5. LLM 是否被允许生成原因?如果不允许,它能做什么改写、摘要或问答?
  6. 客户如何纠错、补充证据、申诉、获得复核和收到结果?
  7. 六个月后监管问询某个 case 时,团队能否复现当时的输入、输出、版本、证据、通知和复核动作?

2. Explainability 分层架构

同一个 AI 决策不能只生成一种解释。金融零售系统至少需要五层 explanation artifact。

层级主要受众目标典型内容禁止事项
L1 User-facing explanation客户、申请人、持卡人、保户、投资者让客户理解发生了什么、主要原因是什么、可以做什么结论、主要原因、使用数据类型、纠错/申诉路径、联系方式、时限、重要免责声明不输出 raw chain-of-thought;不使用模型编造原因;不把内部评分、秘密规则、风控阈值直接暴露
L2 Regulator / auditor evidence监管、内审、外审、合规、法务证明解释准确、一致、及时、可复现、符合法规和政策notice version、reason code、evidence mapping、decision log、policy citation、approval record、complaint linkage不只给截图;不混用不同版本材料;不让人工口径覆盖系统事实
L3 Model / system validation evidenceModel Risk、Fair Lending、Validation、Risk Analytics评估 explanation 是否 faithful、stable、non-discriminatory、fit-for-purposemodel card、system card、feature lineage、reason-code evaluation、segment analysis、challenger test、override pattern不把全局 feature importance 当成个案解释;不忽略拒绝样本和边界样本
L4 Engineering debug trace工程、MLOps、Data、SRE、安全复现失败、定位漂移、确认工具调用和数据版本request id、feature snapshot、rule execution、model version、prompt version、retrieval ids、API responses、latency、error codes不让 debug trace 直接进入客户文案;不记录超出保留政策的敏感数据
L5 Internal reasoning traces受授权的 AI 平台、模型治理、事故调查团队诊断 agent / LLM 行为和系统中间状态structured reasoning summary、tool-call plan、retrieved evidence、guardrail decisions、policy decisions、redaction events不把隐藏链路当作正式 reason;不把未经治理的自然语言推理暴露给客户或用作 adverse action reason

2.1 五层之间的关系

Decision facts
  -> reason-code source of truth
  -> evidence graph
  -> user-facing explanation
  -> contestability case package
  -> audit / validation / engineering views

关键原则:客户解释可以更简洁,但不能与内部证据矛盾;内部证据可以更详细,但不能事后重写客户收到的原因;工程 trace 可以帮助排错,但不能替代合规批准过的 reason architecture。

2.2 Explanation View Contract

每个客户影响性 AI 用例都应定义一个 explanation view contract。

字段示例设计要求
decision_idCRD-APP-2026-00038192全链路唯一,连接申请、模型调用、规则执行、通知、申诉和审计
decision_typecredit_application_denial使用受控枚举,不能自由文本
decision_outcomedenied与核心业务系统一致
reason_codesHIGH_REVOLVING_UTILIZATION, INSUFFICIENT_VERIFIABLE_INCOME来自 approved reason catalog
reason_rank1, 2说明主要原因排序,不把低影响因素误列为主因
evidence_refsfeature snapshot、policy rule、bureau tradeline group指向证据对象,不在客户界面暴露全部原始数据
customer_text_template_idAAN-CARD-DENIAL-V4模板版本可追溯
policy_refsECOA_REG_B_NOTICE_POLICY_2026_Q2引用内部政策版本和外部法规锚点
contestability_rightsdispute data、request reconsideration、upload documents说明客户下一步权利和路径
human_review_statusnot_required, completed, pending区分全自动、人工复核和申诉复核
provenance_bundle_idPROV-CRD-APP-...连接 W3C PROV 风格证据包

3. Adverse Action Reason Architecture

Adverse action reason 是一个受控架构,不是最后由 AI “总结一下为什么拒绝”。在信贷等受 Regulation B / ECOA 影响的场景中,核心不是解释听起来是否合理,而是 reason 是否 specific、principal、accurate、actually considered or scored、consistent、timely,并且能映射到可审计证据。

3.1 决策代码 Source of Truth

Reason code 的 source of truth 必须位于正式决策系统或 reason attribution service,而不是 LLM。

Application data
  -> feature pipeline / rules input
  -> policy rules + model score + constraints
  -> decision orchestration
  -> reason attribution service
  -> approved reason codes
  -> customer notice / internal evidence / audit package

3.1.1 Source of truth 设计原则

原则说明失败信号
Deterministic同一 decision snapshot 在同一版本下应产生相同 reason code重跑后 reason 变化但无版本记录
Versionedreason catalog、mapping rule、model version、policy version 都有版本客户 notice 无法还原当时规则
Ranked能识别 principal reason,不是列出所有负面因素notice 包含无关或轻微因素
Evidence-linked每个 reason code 都有证据对象和数据来源reason 无法连接到 feature、rule、bureau item 或人工记录
Channel-consistent邮件、PDF、客服、chatbot、申诉页面口径一致客服解释与正式 notice 冲突
Human-reviewable人工复核员能看到 reason 生成逻辑和证据摘要人审只能看到最终拒绝结论
Governed新增、修改、停用 reason code 经过合规、业务、模型风险审批产品团队临时加文案绕过审批

3.2 禁止模型自行发明原因

LLM 可以帮助把 approved reason 转成更易懂的 customer explanation,但不能发明 reason。尤其在 adverse action 中,必须明确禁止以下模式:

禁止模式风险替代设计
“请解释为什么客户被拒绝”并让 LLM 自由回答LLM 可能根据申请内容编造看似合理但未被实际评分的原因LLM 只接收 approved reason codes、approved evidence summaries 和 approved template slots
用模型概率最高的 token 生成 reason文案流畅但无法证明 principal reasonreason attribution service 先输出 structured reasons
客服 AI 根据客户追问重新推测原因造成正式 notice 与聊天解释不一致客服 AI 只能读取 notice reason 和 case evidence,超出范围升级人工
用内部政策泛化成“未达到我行标准”Regulation B 下通常不足以作为具体原因提供具体、主要、实际考虑的因素
用技术指标代替客户可理解原因客户无法理解或纠正将 feature group 映射到 approved customer reason language

3.2.1 LLM 在 adverse action 中可以做什么

允许能力前提示例
Plain-language rewrite输入必须是 approved reason code 和 approved template把“revolving utilization high”解释为“您循环信用账户的已使用额度相对授信额度较高”
FAQ answer只回答 notice、流程、纠错、申诉、时限和联系方式“我可以提交哪些收入证明?”
Evidence summary for reviewer面向授权内部人员,引用 evidence refs,不替代正式 reason“收入验证失败来自 payroll API timeout 和人工未能确认文件清晰度”
Translation / accessibility support保留法律批准语义,使用 approved glossary多语言、简明语言、无障碍格式
Complaint triage识别客户争议意图并创建 case“客户声称信用报告中的逾期记录不属于本人”

3.3 Reason-Code Catalog

Reason-code catalog 是 adverse action reason architecture 的核心资产。

字段说明示例
reason_code稳定代码INSUFFICIENT_VERIFIABLE_INCOME
reason_family分组Income / Capacity
customer_reason_text客户可见短文本可验证收入不足以支持本次申请额度
plain_language_detail客户解释扩展我们无法根据您提供或授权取得的信息确认足够收入来支持所申请的信贷额度。
eligible_products适用产品credit card、personal loan、auto loan
decision_context适用结果denial、counteroffer、line decrease
principal_reason_rule如何判断为主要原因score contribution threshold、policy fail priority、knockout rule
evidence_required证据要求income verification result、DTI calculation、document review result
data_sources数据来源application form、payroll provider、bank transaction aggregation
prohibited_if不得使用条件income data not used、verification unavailable due to system outage
fair_lending_review公平信贷审查状态approved by Fair Lending 2026-Q2
template_ids可用模板AAN-PL-01, AAN-CC-03
owner业务/合规所有者Credit Policy Owner
effective_from / effective_to生效区间2026-04-01 / 2026-09-30

3.4 Reason Mapping to Evidence

每个 reason 必须能映射到 evidence,不是只映射到 feature name。

ReasonEvidence objects客户可见解释内部证据
High revolving credit utilizationCredit bureau tradeline aggregate、feature snapshot、model reason rank“您循环信用账户的已使用额度相对授信额度较高。”bureau file version、tradeline aggregation logic、utilization value band、model attribution
Insufficient verifiable incomeApplication income field、verification API response、document review result“我们无法确认足够的收入来支持本次申请。”income source, verification status, reviewer notes, document hash
Limited credit historyBureau file age、number of active tradelines、scorecard reason“您的信用记录时间或可评估账户数量有限。”bureau pull timestamp、tradeline count、minimum history rule
Recent delinquencyBureau derogatory event group、policy rule hit“您的信用报告显示近期存在逾期记录。”bureau item refs、date bucket、rule id
Fraud identity mismatchIdentity verification result、KYC signal、case review“我们无法确认申请信息与身份验证记录一致。”identity provider response, risk flags, manual review action

3.5 模板治理

Adverse action template 不能由渠道团队随意改写。模板治理至少包括:

模板元素治理要求
标题与 action taken与业务结果一致,如 denied、counteroffer、line decrease、account closure
ECOA / applicable notice language由 Legal / Compliance 维护,不由模型生成
Reason section只接受 approved reason codes 和 approved language
Data source clarification说明使用了哪些类型的信息,不暴露不必要敏感细节
Consumer reporting agency information如适用,按 FCRA / 内部政策加入
Correction and dispute path明确客户如何提交更正、申诉、补充文件或联系人工
Accessibility and language简明语言、多渠道一致、可读屏、可打印
Version and retention模板 ID、版本、生效期、审批记录、发送记录

3.6 Consistency Eval

Consistency eval 的目标是证明同一事实不会在不同渠道、不同模型版本、不同语言和不同客服回合中产生冲突 reason。

Eval测试方法通过标准
Notice-to-system consistency抽样比对 sent notice reason 与 decision service reason100% 匹配 approved reason set;差异有审批解释
Channel consistency同一 decision 在 PDF、email、web、chat、call center script 中比对客户可见主原因一致,语气可不同但含义不变
Language consistency英文、中文、西语等版本语义比对法律核心含义和客户行动路径一致
Re-run determinism用 archived snapshot 重跑 reason attribution在相同版本下 reason 一致;版本差异可解释
Model upgrade regression新模型上线前比较 reason distribution 和 individual flipsreason drift 在阈值内;高影响 flip 已抽样复核
Segment disparity in explanations按 protected-class proxy、地域、语言、渠道、年龄段等分析 reason 分布异常差异进入 Fair Lending / Compliance review
LLM rewrite faithfulness检查 LLM 输出是否只表达 allowed reason and policyunsupported reason rate 为 0 或低于经批准阈值并全量阻断

4. Contestability Architecture

Contestability 是客户对解释、数据、结论或处理结果提出争议并获得有效复核的能力。它不是情绪安抚,也不是客服 ticket。它是一个有权利入口、case 类型、证据提交、人工复核、数据纠正、重跑决策、结果通知和审计记录的产品架构。

4.1 Contestability 目标

目标产品含义
Discoverable客户能在 notice、app、web、call center、branch、chatbot 中找到申诉/纠错入口
Understandable客户知道可以争议什么、需要提供什么、预计多久、结果如何通知
Actionable客户可以上传文件、指出错误数据、请求复核、补充信息
Human-reviewable合格人工复核员能看到原始决定、reason、证据、客户补充和政策
Correctable数据错误能进入 data correction workflow,并影响后续重跑
Re-runnable如果争议成立,系统能用 corrected data / updated evidence 重跑或重新裁决
Auditable每一步都有 case id、时间戳、处理人、证据、决定和通知

4.2 End-to-End Workflow

Customer receives explanation / adverse action notice
  -> Customer opens dispute / appeal / reconsideration
  -> Intake classifies issue type and urgency
  -> Identity and authorization check
  -> Evidence package assembled
  -> Customer submits correction or additional evidence
  -> Human reviewer evaluates facts, policy and system decision
  -> Data correction workflow if source data is wrong
  -> Decision re-run or manual reconsideration
  -> Outcome decision recorded
  -> Customer outcome notification
  -> Metrics, complaint linkage, audit retention

4.3 Contestability Case Types

Case type客户表达主要处理团队系统动作
Data dispute“这个收入/地址/信用记录不对”Data Ops、Credit Ops、FCRA/ECOA specialist验证数据源、提交纠错、暂停或标记相关流程
Evidence supplement“我有新的工资单/纳税记录/银行流水”Underwriting Ops、Credit Policy接收文件、验证真实性、重算收入或能力
Reason clarification“我不理解为什么这个原因会影响申请”Customer Care、Credit Specialist使用 approved explanation FAQ,不重新发明 reason
Decision appeal“我认为拒绝决定不合理,请重新审核”Human Review Team、Credit Officer组装 evidence pack,人工复核或重跑
Fraud false positive“这笔交易是我本人做的”Fraud Ops、Security、Customer Care身份验证、解除限制、记录误报、更新模型反馈
Fee dispute“这笔透支费不应该收”Deposit Ops、Fee Policy、Complaint核查交易顺序、披露、豁免政策、退款决定
Complaint / regulatory complaint“我要投诉”Complaint Management、Compliance进入正式投诉流程,保留所有 AI interaction records

4.4 Human Review Design

人工复核不是“看一眼 AI 结论”。复核界面应把证据结构化呈现:

Review pane内容
Decision summary原始 outcome、decision type、reason codes、notice sent timestamp
Customer claim客户争议点、提交材料、期望结果、渠道和语言
Evidence graph数据源、模型/规则、特征快照、政策引用、人工动作
Reason validation每个 reason 是否仍成立、证据是否充分、是否为 principal reason
Policy checklist对应产品政策、合规规则、例外规则、审批权限
Fairness and vulnerability flags脆弱客户、语言障碍、无障碍需求、重复投诉、潜在公平性问题
Action controlsuphold、overturn、partial correction、request more information、escalate、refund、re-run
Explanation composer只能使用 approved outcome templates 和 case-specific evidence slots
Audit capturereviewer id、decision time、rationale summary、attachments、supervisor approval

4.5 Correction and Re-run

当客户指出数据错误时,不能只在申诉系统里写备注。需要明确 corrected data 如何进入重新决策。

Customer correction
  -> source validation
  -> data owner approval
  -> corrected data object / suppression flag
  -> feature recomputation
  -> reason attribution re-run
  -> decision re-evaluation
  -> new notice or outcome letter
  -> audit linkage to original decision

4.5.1 Re-run Controls

控制说明
Snapshot preservation原始输入、原始 feature、原始模型版本必须保留,不能被 corrected data 覆盖
Corrected-data lineage记录谁提交、谁验证、谁批准、影响哪些字段
Re-run version policy明确用原模型版本、当前生产版本或人工重裁;选择必须可解释
Outcome comparison比较原结果、新结果、reason 变化和客户影响
Notice logic如结果改变,发送适当的 outcome notice;如不改变,解释争议处理结果
Feedback governance误报或纠错数据进入模型训练前需经过 data governance 和 bias review

4.6 Outcome Notification

申诉结果通知也需要治理,不能只写“经审核维持原决定”。

Outcome客户通知应包含
Upheld original decision复核范围、主要原因仍成立、客户后续路径
Overturned decision更正内容、新决定、下一步操作、时间安排
Partial correction哪些数据被修正、哪些原因仍影响决定、是否可继续补充
More information needed需要材料、提交方式、截止时间、未提交后果
Fraud false positive resolved账户/交易状态、是否退款、如何降低再次误报
Fee refund granted / denied交易事实、政策依据、退款金额或拒绝退款原因

5. Financial Retail Cases

5.1 Credit Denial Explanation Assistant

场景

客户申请信用卡被拒绝,收到 adverse action notice 后在 mobile app 中询问:“为什么我被拒?我怎么改善?”

目标架构

Credit decision engine
  -> reason attribution service
  -> adverse action notice service
  -> explanation assistant retrieval layer
  -> approved FAQ / reason catalog / customer notice
  -> dispute and reconsideration workflow

设计要点

设计点正确做法
Reason sourceAssistant 只读取已经发送或即将发送的 approved reason codes
Explanation depth先显示正式原因,再用 plain language 解释该原因通常代表什么
Improvement guidance可以提供一般性教育建议,例如“保持按时还款、降低循环信用使用率”,但避免承诺“做到 X 就一定批准”
Customer-specific evidence只能显示经过批准可披露的 evidence band,不暴露完整 bureau tradeline 或内部阈值
Dispute path如果客户认为信用报告、收入或身份信息错误,直接创建 dispute / reconsideration case
Human handoff涉及歧视、投诉、脆弱客户、法律威胁、复杂错误时 warm handoff

不允许

  • Assistant 根据申请表内容猜测“可能因为收入太低”。
  • Assistant 把模型分数、拒绝阈值或内部策略细节直接告诉客户。
  • Assistant 输出与正式 adverse action notice 不同的原因。
  • Assistant 说“AI 决定了您的申请,因此无法解释”。

5.2 Overdraft Fee Explanation

场景

客户被收取透支费,AI 客服解释交易顺序、余额变化、豁免政策和争议路径。

关键风险

风险控制
交易顺序解释错误使用 ledger API 和 posted transaction facts,不让 LLM 计算余额
政策引用过期费用政策进入 versioned knowledge base,回答附 policy effective date
客户投诉被 chatbot 吞掉识别 complaint intent 并创建正式 complaint case
不一致豁免fee waiver decision 由 policy engine 或人工权限控制
低金融素养客户无法理解使用交易时间线、简单语言和可下载摘要

客户解释结构

1. 发生了什么:哪一笔交易导致可用余额低于 0
2. 费用依据:适用的账户条款和费用政策
3. 关键时间线:授权、入账、余额变化
4. 可争议路径:如果交易不是本人、余额显示有误或需要困难援助
5. 下一步:提交争议、请求豁免、联系人工

5.3 Fraud False Positive

场景

客户正常交易被 AI 欺诈模型拦截,账户被临时限制。

解释边界

欺诈解释必须避免泄露规避规则,但仍要告诉客户状态、原因类别和解决路径。

受众可披露内容
客户“我们发现与您账户正常使用方式不一致的交易活动,需要确认是否本人操作。”
Fraud analystrisk signals、device change、velocity group、geo anomaly、merchant risk category
Audit / compliancemodel version、rule id、case review、customer notification、resolution time
Engineeringfeature snapshot、API response、latency、error state、decision trace

Contestability 设计

Customer confirms transaction
  -> step-up authentication
  -> analyst review if high risk
  -> unblock / maintain restriction
  -> customer notification
  -> false-positive label governance
  -> monitoring of repeat false positives by segment

关键 KRI:false positive appeal upheld rate、restriction duration、customer complaint linkage、segment disparity in fraud holds、repeat hold rate。

5.4 Insurance / Wealth Suitability Explanation

保险和财富场景不一定使用 adverse action notice 语言,但仍需要 explanation and contestability。

场景Explanation focusContestability focus
Insurance underwriting风险类别、资料缺失、核保条件、人工核保路径补充医疗/资产/车辆/房屋资料,纠正第三方数据
Wealth suitability风险承受能力、投资目标、期限、流动性、集中度更正风险问卷、更新财务目标、人工顾问复核
Robo-advice portfolio推荐组合理由、约束、费用、再平衡逻辑客户调整约束、提出不适合理由、顾问介入
Retirement guidance假设、情景、非保证性、数据来源更改假设、纠正收入/资产数据、生成新情景

财富和保险解释的核心是避免把 AI 生成的自然语言伪装成个性化专业建议,除非产品、牌照、披露、适当性和记录保留均支持该建议边界。

6. Artifact Templates

6.1 Explanation Policy

Section内容
Purpose定义 AI explanation 的客户、监管、模型验证、工程和审计用途
Scope覆盖产品、渠道、模型类型、自动化程度、客户影响范围
Audience layersUser-facing、auditor、validation、debug、internal reasoning trace 的披露边界
Source of truth决策事实、reason code、policy、notice、evidence 的权威系统
Prohibited practices禁止 LLM 发明 adverse action reasons、禁止与 notice 冲突、禁止泄露敏感规则
Template governance模板审批、版本、生效、停用、多语言、无障碍要求
Contestability客户申诉、纠错、人工复核、重跑和结果通知标准
Evidence retention日志、notice、case、模型版本、数据快照、审批记录保留策略
Metrics and review正确性、一致性、unsupported reason、appeal upheld、complaint linkage
OwnershipBusiness、Compliance、Legal、Model Risk、Data Owner、Engineering RACI

6.2 Reason-Code Mapping Template

FieldDescription
reason_code受控代码
reason_familyIncome、Credit history、Identity、Fraud、Affordability、Suitability
decision_contextdenial、counteroffer、fee decision、fraud hold、suitability block
source_systemdecision engine、rules engine、manual review tool
source_logic_idrule id、model attribution id、policy rule id
principal_reason_selection排序算法、knockout priority、threshold rule、manual override rule
evidence_objectsfeature snapshot、document id、bureau item group、policy citation
customer_languageapproved plain-language text
internal_languagereviewer evidence summary
do_not_use_when不得使用条件
regulatory_notesECOA / Reg B / EU AI Act / internal policy considerations
fairness_review_statusapproved / restricted / retired
last_reviewed日期、审批人、版本

6.3 Explanation Faithfulness Eval Template

Eval dimensionTest questionData samplePass signal
Reason fidelity输出 reason 是否全部来自 approved source?denied / approved / counteroffer cases0 unsupported reason in customer-facing notices
Evidence support每个 reason 是否有 evidence refs?high-impact decisions100% mapped or blocked from notice generation
Principal reason accuracyreason 排序是否反映主要原因?borderline / multi-factor casesrank mismatch below approved threshold
Channel consistency不同渠道解释是否一致?notice、chat、call script、webno conflicting principal reasons
Segment fairness不同群体 reason 分布是否异常?proxy groups、language、channel、regionanomalies reviewed with documented disposition
Stability小幅无关输入变化是否导致 reason 大变?counterfactual testsunreasonable flips investigated
Plain language客户是否能理解下一步?usability testing、complaint textcomprehension score above target
Contestability linkageexplanation 是否引导可操作申诉?user journey testingcustomers can complete appeal without hidden path

6.4 Contestability Workflow Template

StepOwnerSystem of recordEvidence capturedSLA / control
IntakeCustomer Care / DigitalCase managementcustomer claim、channel、language、attachmentsimmediate case id
TriageAI + human queueCase managementcase type、risk tier、complaint flaghigh-risk routed same day
Evidence assemblyDecision serviceEvidence storenotice、reason、feature snapshot、model versionautomated package
ReviewAuthorized reviewerReview workbenchreviewer actions、policy checklist、notesmaker-checker for high impact
CorrectionData ownerData governance toolcorrected field、source validation、approvalsource-level correction
Re-run / reconsiderationDecision ownerDecision engine / manual reviewnew outcome、reason comparisonversion policy enforced
Outcome noticeNotice serviceCommunication archivecustomer letter、timestamp、template versionapproved template only
Close and monitorOperations / ComplianceCase managementclosure reason、complaint linkage、KRI updateQA sampling

6.5 Adverse Action Evidence Pack

每个 adverse action case 应能生成一个 evidence pack。

Evidence itemPurpose
Customer/application snapshot证明决策所用输入,不被后续修改覆盖
Decision outcome record证明 action taken、时间、渠道、产品
Reason attribution output证明 principal reason codes、rank、source
Feature snapshot and transformations证明 reason 与实际数据/特征对应
Policy/rule execution log证明 knockout rule、policy fail、manual override
Model version and score record证明模型版本、score、calibration、reason attribution method
Notice generated and delivered证明客户收到的内容、时间、模板版本
Human review record如适用,证明人审、覆盖、批准或拒绝
Contestability record如客户申诉,证明 intake、review、correction、outcome
Complaint linkage证明是否进入投诉管理和监管响应
Retention and access log证明谁访问、何时访问、为何访问

6.6 Audit Query Catalog

Audit queryEvidence source
某日期区间所有拒贷 notice 是否在规定时限内发送?decision log、notice archive、delivery status
某个 reason code 在各客户群体中的分布是否异常?reason attribution table、fairness monitoring dataset
LLM 是否生成过不在 approved catalog 中的 reason?LLM output validator logs、blocked output logs
被申诉推翻的 adverse action 主要集中在哪些原因?appeal outcome table、reason code table
某次模型升级后 reason distribution 是否变化?pre/post release monitoring、model version table
客服聊天解释是否与正式 notice 不一致?chat transcript classifier、notice reason comparison
某个客户 case 能否复现原始决定?snapshot store、model registry、feature store、rules version
哪些 policy citations 已过期仍被输出?knowledge base version、citation validator、policy registry
哪些人工 reviewer 覆盖率异常高或异常低?reviewer action logs、override reason table
哪些渠道客户更难完成申诉?journey analytics、drop-off、case completion metrics

7. Metrics and KRIs

Explainability 和 contestability 的指标不能只看“用户点击率”。金融零售要同时看正确性、一致性、公平性、可操作性、运营效率和合规风险。

7.1 Core Metrics

Metric / KRI定义风险信号
Explanation correctness客户解释与 source-of-truth reason 和 evidence 一致的比例低于阈值说明 reason pipeline 或模板有缺陷
Unsupported reason rate输出中出现未获批准或无证据支撑 reason 的比例任何客户可见 adverse action unsupported reason 都应触发严重事件评估
Notice-system mismatch rate正式 notice 与决策系统 reason 不一致比例渠道、模板或异步数据同步风险
Appeal upheld rate申诉后原决定被推翻或部分改正比例过高说明数据质量、模型、规则或解释存在系统问题
Segment disparity in explanations不同群体 reason 分布、解释长度、申诉成功率差异可能触发公平性、可访问性或渠道偏差审查
Stale policy citation rate输出引用过期政策、失效模板、旧 FAQ 的比例知识库治理失败
Human override rate人工覆盖 AI 决策或 reason 的比例异常高说明 AI/规则质量问题;异常低可能是 automation bias
Complaint linkage rateexplanation / adverse action case 进入投诉的比例高发 reason 或渠道需要根因分析
Time to explanation决策后生成并发送解释或 notice 的时间超时可能违反内部政策或法规时限
Contestability completion rate客户成功完成申诉/纠错流程的比例低完成率可能说明入口隐藏、材料要求不清或流程过复杂
Re-run reproducibility rate使用 archived snapshot 成功复现原决定的比例低于阈值说明证据链不完整
Reason drift after release新模型/规则上线后 reason 分布变化未解释漂移进入 release hold 或 post-release review

7.2 Operational Dashboard

ViewQuestions answered
Executive risk view哪些产品、渠道、reason family 风险最高?是否接近风险偏好阈值?
Compliance viewnotices 是否及时、准确、一致?是否有过期政策引用?
Model Risk viewexplanation faithfulness、reason drift、fairness segment 是否异常?
Product view客户是否理解解释?申诉转化在哪一步流失?哪些原因驱动投诉?
Operations view申诉队列、SLA、人工复核产能、推翻原因、重复 case
Engineering viewevidence pack 生成失败、trace 缺失、validator block、latency、API error

7.3 Threshold and Escalation

TriggerEscalation
Customer-facing unsupported adverse action reason立即阻断生成、升级 Compliance / Legal / Incident,抽样影响客户
Notice-system mismatch暂停相关模板或渠道,修复映射,重新核对已发送通知
Appeal upheld spikeRoot cause review:数据源、模型版本、规则变更、渠道误导、客服话术
Segment disparity spikeFair Lending / Compliance review,必要时停止相关 release
Stale policy citation禁用知识库版本,回滚到 approved version,通知渠道 owner
Reproducibility failureEvidence architecture defect,进入高优先级整改

8. Provenance and Audit Evidence Architecture

W3C PROV 的价值在于把“谁用什么数据,通过什么活动,生成了什么结果”结构化。金融零售 explanation evidence 可以借鉴 entity / activity / agent 的思路。

8.1 PROV 风格对象

PROV concept金融零售 AI 对象
Entityapplication snapshot、feature vector、model artifact、reason code、notice PDF、customer upload
Activitybureau pull、feature computation、model scoring、rule execution、notice generation、human review、appeal re-run
Agentcustomer、decision service、model service、reviewer、data provider、notice service
Derivationreason derived from feature snapshot and policy rule
Attributionnotice generated by notice service under template owner approval
Associationhuman reviewer associated with appeal review activity
Versioningmodel version、template version、policy version、reason catalog version

8.2 Evidence Graph Example

Customer application snapshot A
  wasGeneratedBy intake activity I
  wasUsedBy feature computation F

Feature vector V
  wasGeneratedBy F
  used bureau file B and stated income S

Decision D
  wasGeneratedBy decision activity X
  used V, model M v3.8, ruleset R 2026-Q2

Reason code RC1
  wasDerivedFrom D and feature group FG17
  wasMappedBy reason catalog C v12

Notice N
  wasGeneratedBy notice service NS
  used template T v4 and reason codes RC1, RC2

Appeal case AC
  wasStartedBy customer CUST
  used Notice N and customer upload U
  wasReviewedBy reviewer HR1

8.3 Evidence Store Requirements

RequirementWhy it matters
Immutable decision snapshot防止后续数据更新导致无法复现原始决定
Versioned artifacts模型、规则、模板、政策、reason catalog 都必须可还原
Access controls客户数据、欺诈信号、内部政策和模型细节需要分级访问
Retention policy与产品、法规、投诉、模型风险和诉讼保全要求一致
Tamper-evident logs支撑审计可信度和事故调查
Evidence completeness checknotice 发送前确认必要证据对象存在
Queryable metadata审计、监管、模型验证能按日期、产品、reason、segment、版本查询

9. Requirements for BA / PM / Architect

9.1 Business Requirements

RequirementAcceptance criteria
客户能看到主要原因每个客户影响性 adverse action 都生成 approved reason codes 和 customer explanation
客户能采取行动每个 explanation 页面都提供纠错、申诉、补充材料或人工联系路径
客服口径一致客服 AI、人工客服脚本和正式 notice 使用同一 reason source
申诉能闭环每个 appeal 有 case id、SLA、review outcome 和客户通知
合规能抽查Compliance 能按产品、日期、reason、渠道抽取证据包

9.2 Functional Requirements

CapabilityRequirement
Reason attribution service接收 decision snapshot,输出 ranked approved reason codes、evidence refs、confidence / applicability metadata
Explanation composer使用 approved templates,把 reason codes 转成多渠道、多语言、无障碍 customer explanation
LLM guardrail阻断 unsupported reason、policy mismatch、unapproved legal language、sensitive rule leakage
Contestability case management支持 intake、triage、upload、review、correction、re-run、outcome notification
Evidence pack generator自动组装 decision、reason、model、rule、notice、human review、appeal evidence
Audit query interface支持监管和内审常见查询,不要求工程临时拉取散表

9.3 Non-Functional Requirements

NFRRequirement
Reliabilitynotice generation 和 evidence capture 失败时不得静默失败;高影响场景 fail closed
Latency客户解释可以异步生成,但 adverse action notice 时限必须满足法规和政策
Securityfraud signals、model thresholds、internal policy rules 分级披露
Privacy客户解释不暴露第三方无关数据;debug trace 遵守数据最小化和保留要求
Accessibility解释和申诉流程符合无障碍和语言可理解要求
Observability每个 decision_id 可追踪生成、发送、查看、申诉和关闭
Portability模型替换、供应商替换、渠道新增不破坏 reason source of truth

10. Implementation Blueprint

10.1 Reference Components

ComponentResponsibility
Decision Orchestrator汇总规则、模型、人审和业务约束,生成 action taken
Reason Attribution Service从决策事实生成 ranked approved reason codes 和 evidence refs
Reason Catalog管理 reason code、客户文案、证据要求、适用范围、审批状态
Explanation Composer生成客户可见解释、客服脚本、内部摘要
LLM Explanation Assistant在 approved context 内回答客户追问和帮助提交申诉
Guardrail / Policy Engine校验不支持原因、过期政策、敏感泄露、渠道权限
Evidence Graph Store保存 PROV 风格 evidence bundle
Contestability Case System管理争议、申诉、纠错、复核和结果通知
Human Review Workbench给复核员展示证据和操作控件
Audit and Metrics Layer支持 KRI、抽样、监管查询和模型验证

10.2 Sequence

1. Customer applies / transaction occurs / account event happens
2. Decision Orchestrator calls model, rules and policy services
3. Reason Attribution Service derives approved reason codes
4. Evidence Graph Store receives decision snapshot and provenance bundle
5. Explanation Composer generates notice or explanation using approved templates
6. Guardrail checks reason support, policy version, language and leakage
7. Notice Service delivers customer communication and archives proof
8. Customer asks follow-up through assistant or starts appeal
9. Contestability Case System assembles evidence pack
10. Human reviewer resolves case and triggers re-run if needed
11. Audit and Metrics Layer updates KRIs and retention records

10.3 Build vs Buy Questions

QuestionWhy it matters
Vendor can provide reason codes that satisfy internal adverse action policy?供应商 feature importance 不一定等于合规 reason
Can decision snapshots be exported with stable versions?无法复现就无法审计
Can LLM outputs be constrained to approved templates?自由文本会产生 unsupported reason risk
Does the platform support appeal workflow and evidence package?解释没有 contestability 只完成了一半
Can segment-level reason distribution be monitored?公平性和投诉风险需要组合层监控
Are logs usable without exposing trade secrets or sensitive fraud rules?客户透明和安全边界需要平衡

11. Governance Operating Model

11.1 RACI

ActivityAccountableResponsibleConsultedInformed
Explanation policyComplianceAI Governance / PMLegal、Model Risk、BusinessEngineering、Operations
Reason catalogCredit / Product PolicyPM、Risk AnalyticsFair Lending、Legal、OperationsCustomer Care
Template approvalLegal / ComplianceContent Design、PMAccessibility、BusinessChannel teams
Reason attribution methodModel Risk / Risk AnalyticsData Science、ArchitectureFair Lending、EngineeringCompliance
Contestability workflowBusiness OwnerOperations、PMCompliance、Legal、Customer CareEngineering
Evidence architectureArchitectureEngineering、Data GovernanceSecurity、Privacy、AuditBusiness
KRI monitoringRisk / ComplianceModel Ops、Product OpsPM、Fair LendingManagement

11.2 Change Management

任何以下变更都应触发 explanation impact assessment:

  • 模型版本、scorecard、ruleset、threshold 或 policy rule 变更。
  • reason catalog 新增、合并、停用或文本改写。
  • notice template、渠道文案、客服脚本、LLM prompt 或 RAG knowledge base 变更。
  • 供应商数据源、bureau mapping、income verification provider、fraud signal provider 变更。
  • 申诉流程、SLA、人工复核权限或 outcome templates 变更。
  • 监控阈值、fairness segment、complaint taxonomy 变更。

11.3 Release Gate

上线前必须通过:

GateEvidence
Legal / Compliance approval模板、reason catalog、客户权利路径、监管适用性评估
Model validationreason faithfulness、stability、fairness、performance、limitations
UATnotice generation、chat explanation、appeal intake、human review、re-run
Security / privacy review数据最小化、访问控制、敏感规则保护、日志保留
Operational readinessreviewer training、SLA、queue capacity、escalation path
Monitoring readinessdashboards、alerts、audit query、incident runbook

12. Interview Section

12.1 30-second answer

我会把 explainability 设计成受治理的产品接口,而不是让模型输出 raw chain-of-thought。核心是先建立 decision reason source of truth:adverse action reason code 必须来自决策系统、规则、模型归因和证据映射,禁止 LLM 自行发明原因。然后按受众分层:客户看到简明、可行动的解释和申诉入口;审核和监管看到 reason、证据、版本、通知和人审记录;模型验证看 faithfulness、consistency 和公平性指标。最后把 contestability 做成完整 workflow:客户可争议、可补充材料、人工复核、纠错、重跑、结果通知,并用 evidence pack 支撑审计。

12.2 2-minute answer

在 regulated financial AI 中,我不会把 explainability 当成一个模型特性,而会把它当成一个 end-to-end control and product architecture。第一步是界定场景:是信贷 adverse action、透支费解释、欺诈误报、财富适当性,还是普通客服说明。不同客户影响对应不同解释深度和审计要求。

第二步是建立 reason architecture。以信贷为例,reason code 必须有 source of truth,来自 decision engine、ruleset、model attribution 或人工复核系统,并且要映射到 evidence object、policy version 和 customer template。LLM 不能发明拒绝原因,只能在 approved reason 和 approved evidence summary 之内做 plain-language explanation。这样才能保证正式 notice、客服脚本、chatbot 回答和审计材料一致。

第三步是 explanation layering。客户层解释要清楚说明主要原因、使用信息类型、客户可以做什么;监管和内审层要看到 notice、reason、证据、版本、发送时间和人审记录;模型风险层要评估 reason faithfulness、stability、segment disparity 和 model upgrade drift;工程层要保留可复现 trace,但不能把 debug trace 或 raw reasoning 暴露给客户。

第四步是 contestability。解释如果不能被争议,只是单向通知。我要设计 dispute / appeal intake、身份验证、证据包组装、人工复核、数据纠正、用 corrected data 重跑或重裁、结果通知和投诉联动。指标上我会看 explanation correctness、unsupported reason rate、appeal upheld rate、segment disparity in explanations、stale policy citation、human override、complaint linkage 和 reproducibility rate。这样 explainability 才从“看起来透明”变成可运营、可审计、可合规的系统能力。

13. Portfolio Exercise

13.1 练习题:设计一个信用卡拒绝解释与申诉系统

背景:一家区域银行计划上线 AI-assisted credit card underwriting。模型参与申请评分,规则引擎处理政策拒绝,人审处理边界样本。你要设计客户拒绝解释助手、adverse action notice reason pipeline、申诉流程和审计证据包。

交付物

Artifact内容要求
Product one-pager目标用户、业务目标、风险边界、成功指标
Reason-code catalog sample至少 12 个 reason codes,包含 evidence mapping 和 customer language
Decision-to-notice sequence从申请到 decision、reason attribution、notice、assistant、appeal 的序列图
Contestability workflowintake、triage、evidence assembly、human review、correction、re-run、outcome
Evidence pack schemadecision snapshot、model version、ruleset、reason、notice、review、appeal
Eval planfaithfulness、consistency、fairness、language、accessibility、re-run reproducibility
Metrics dashboardcorrectness、unsupported reason、appeal upheld、segment disparity、complaint linkage
Governance RACILegal、Compliance、Fair Lending、Model Risk、Product、Engineering、Ops

13.2 Suggested Architecture Diagram Text

[Application Channels]
      |
[Decision Orchestrator] -- [Rules Engine]
      |                   -- [Model Scoring Service]
      |                   -- [Manual Review Workbench]
      |
[Reason Attribution Service]
      |
[Reason Catalog + Policy Registry]
      |
[Explanation Composer + LLM Guardrails]
      |
[Notice Service] ---- [Customer Explanation Assistant]
      |                         |
[Evidence Graph Store]          |
      |                         |
[Contestability Case Management + Human Review]
      |
[Audit Query + KRI Dashboard]

13.3 Evaluation Scenarios

ScenarioExpected behavior
Customer denied due to policy knockoutNotice shows approved policy reason and evidence pack links to rule id
Customer denied due to model score with multiple negative factorsPrincipal reason selection returns ranked approved reason codes
LLM tries to mention an unapproved reasonGuardrail blocks output and escalates to fallback template
Customer says bureau record is wrongCase type becomes data dispute, evidence pack assembled, correction workflow starts
Customer submits new income documentsReviewer verifies documents, recomputes income feature, triggers re-run policy
Model version changesRegression eval checks reason drift and individual reason flips
Spanish explanation generatedSemantic consistency test confirms same reason and rights
Auditor asks for a case from six months agoEvidence store reproduces decision snapshot, notice, reason, model, policy and appeal record

14. Checklist

14.1 Product and Compliance Checklist

  • 每个客户影响性 use case 已完成 risk tier 和 regulatory impact assessment。
  • adverse action reason 的 source of truth 不在 LLM。
  • reason catalog 已定义 owner、版本、适用范围、证据要求和停用机制。
  • 客户解释、notice、客服脚本和 chatbot 回答使用同一 reason source。
  • LLM 输出被限制在 approved reason、approved template 和 approved evidence summary 内。
  • 客户能清楚看到纠错、申诉、补充材料、人工联系和结果通知路径。
  • 申诉流程支持 human review、source data correction、re-run / reconsideration 和 outcome notification。
  • 高风险 case 支持 maker-checker、supervisor approval 或 specialized review。
  • 模板已通过 Legal、Compliance、Fair Lending、Accessibility 和 Business review。
  • 多语言解释经过语义一致性检查。

14.2 Architecture and Data Checklist

  • decision_id 能贯穿申请、决策、reason、notice、chat、appeal、audit。
  • 原始 decision snapshot、feature snapshot、model version、ruleset version 和 policy version 可保留并复现。
  • 每个 reason code 映射到 evidence object,不只映射到自然语言。
  • evidence pack 自动生成,不依赖人工事后整理。
  • debug trace 与 customer-facing explanation 分层存储和授权访问。
  • fraud / risk sensitive details 有披露边界和 redaction policy。
  • stale policy citation validator 已接入 notice 和 assistant。
  • audit query catalog 覆盖 notice timeliness、reason consistency、appeal outcomes、segment disparity。
  • release pipeline 包含 reason drift、template regression 和 LLM faithfulness eval。
  • data correction workflow 不覆盖原始 snapshot,而是产生可追溯 corrected data object。

14.3 Metrics and Operations Checklist

  • explanation correctness 被抽样和自动化监控。
  • unsupported reason rate 有阻断阈值和事件升级。
  • appeal upheld rate 按 reason、产品、渠道、segment 分解。
  • segment disparity in explanations 定期进入 Fair Lending / Compliance review。
  • stale policy citation rate 有 owner 和修复 SLA。
  • human override rate 被用于识别 automation bias 或模型质量问题。
  • complaint linkage 能把 explanation failure 与投诉、监管投诉、社媒升级连接。
  • contestability completion rate 和 drop-off 被用于优化客户旅程。
  • reviewer training 覆盖 AI limitations、reason policy、bias、customer vulnerability 和 evidence review。
  • 每次重大 incident 后更新 reason catalog、eval set、workflow 和 audit queries。

15. 一页总结

金融零售 AI 的 explainability 不是展示模型“为什么这么想”,而是把客户影响性决策变成可解释、可争议、可复核、可纠正、可审计的产品能力。最关键的架构决策是把 reason code source of truth 从 LLM 中剥离出来,放到受治理的 decision / reason attribution layer;把客户解释、内部证据、模型验证、工程 trace 和 internal reasoning traces 分层;把 adverse action reason 与 evidence、template、policy、version 和 notice 绑定;把 contestability 做成端到端 case workflow;把 audit evidence 设计成运行时自动生成的 provenance graph。

一句话作品集表达:

I design explainability as a governed product interface: reason codes come from the decision system, explanations are audience-layered, adverse action notices are evidence-backed and consistent, contestability is a full appeal and correction workflow, and every decision produces an audit-ready provenance package.