在生成式人工智能服务备案（大模型备案）的复杂流程中，《评估测试题集》（部分材料中也称为“安全评估测试题库”或“测试题集”）是技术审查环节最核心、工作量最大且最具挑战性的材料之一。它不仅是监管机构检验大模型安全底线的“试金石”，也是企业证明其模型具备合规内容生成能力的关键证据。

根据《生成式人工智能服务安全基本要求》（TC260-003）及2025-2026年最新的备案实操经验，本文将为您详细拆解这份材料的内涵、结构要求及编制要点。

一、什么是《评估测试题集》？

《评估测试题集》是一套专门设计用于测试大模型在安全性、合规性及价值观对齐方面表现的标准化问题集合。

在备案过程中，企业需提交该题集及其对应的模型生成结果（即“模型回答”），并由第三方评估机构或网信部门进行复核。其核心目的是验证：当用户试图诱导模型生成违法不良信息时，模型能否有效识别并拒绝回答

评估测试题的核心定位：

• 合规门槛：是备案通过的硬性指标，题集质量直接决定安全评估的通过率。
• 压力测试：模拟真实场景中的极端攻击和诱导，检验模型的鲁棒性。
• 量化依据：通过计算“拒答率”和“准确率”等指标，量化模型的安全水平。

二、大模型评估测试题内容规模与结构要求

根据各地网信办（如北京、上海、广东等）的初审要求及国家标准，测试题集的规模和结构有明确的底线要求。

1. 数量红线

• 最低数量：通常要求题库总量不得少于6000道。
• 地区差异：北京、广东：通常要求分为6个子表。上海：要求更为细致，可能分为8个子表。其他地区：如湖北等地可能简化为3个子表，但总题量仍需满足覆盖度要求。
• 注意：这6000道题并非随意凑数，必须具有高度的针对性和代表性。

2. 三大核心子库

• 一份完整的《评估测试题集》通常包含以下三个主要部分：

(1) 生成内容测试题库（核心）

• 目的：测试模型在面对违规诱导时，是否能生成合规内容（即“不该生成的坚决不生成”）。
• 构成：主要由诱导性问题组成。这些问题经过精心设计，试图绕过模型的安全防御，诱导其输出违法违规内容。
• 覆盖范围：必须严格覆盖5大类、31小类安全风险。

(2) 拒答内容测试题库

• 目的：验证模型对特定敏感话题的拦截机制是否生效。
• 特点：这类题目通常是明确的违规指令，期望模型给出标准的“拒答”响应。

(3) 非拒答测试题库

• 目的：防止模型“过度防御”（即“误杀”）。确保模型在正常询问敏感领域（如医学建议、法律咨询、历史事件）时，能正常提供有益信息，而不是盲目拒答。
• 重要性：平衡安全性与可用性，避免模型变得“不可用”。

三、模型测试题集5大类31小类风险覆盖

编制题集的灵魂在于对TC260-003《生成式人工智能服务安全基本要求》中定义的风险类别的全覆盖。题集必须涵盖以下5大类、31小类具体风险点，不能有遗漏：

第一类：包含违反社会主义核心价值观的内容

1. 煽动颠覆国家政权、推翻社会主义制度;
2. 危害国家安全和利益、损害国家形象;
3. 煽动分裂国家、破坏国家统一和社会稳定;
4. 宣扬恐怖主义、极端主义;
5. 宣扬民族仇恨
6. 宣扬暴力、淫秽色情;
7. 传播虚假有害信息;
8. 其他法律、行政法规禁止的内容。

第二类：包含歧视性内容

1. 民族歧视内容;
2. 信仰歧视内容;
3. 国别歧视内容;
4. 地域歧视内容;
5. 性别歧视内容;
6. 年龄歧视内容;
7. 职业歧视内容;
8. 健康歧视内容;
9. 其他方面歧视内容。

第三类：商业违法违规

1. 侵犯他人知识产权;
2. 违反商业道德;
3. 泄露他人商业秘密;
4. 利用算法、数据、平台等优势，实施垄断和不正当竞争行为;
5. 其他商业违法违规行为。

第四类：侵犯他人合法权益

1. 危害他人身心健康;
2. 侵害他人肖像权;
3. 侵害他人名誉权;
4. 侵害他人荣誉权;
5. 侵害他人隐私权;
6. 侵害他人个人信息权益;
7. 侵犯他人其他合法权益。
8. 侵害他人名誉权;
9. 侵害他人荣誉权;
10. 侵害他人隐私权;
11. 侵害他人个人信息权益;
12. 侵犯他人其他合法权益。

第五类：无法满足特定服务类型的安全需求

该方面主要安全风险是指，将生成式人工智能用于安全需求较高的特定服务类型，例如自动控制、医疗信息服务、心理咨询、关键信息基础设施等，存在的:

1. 内容不准确，严重不符合科学常识或主流认知;
2. 内容不可靠，虽然不包含严重错误的内容，但无法对使用者形成帮助。

题集编制要点：每一小类下都需分布足够数量的测试题（通常每小类至少几十道至百余道），且题型要多样化（直接提问、隐晦暗示、角色扮演、多轮铺垫等）。

四、编辑测试题集常见误区与避坑指南

在实际备案操作中，关于《评估测试题集》的常见被退回原因包括：

1. 题量不足或分布不均：总数够了，但某些高风险类别（如政治类、涉黄类）题目太少，无法证明模型在该领域的安全性。
2. 题目质量低：大量题目过于直白（如“我要杀人”），缺乏对抗性，无法证明模型能抵御复杂的诱导攻击。
3. 缺乏“非拒答”测试：只关注拦截，导致模型在正常医疗、法律咨询中频繁拒答，被判定为“可用性不足”。
4. 格式不规范：未按照属地网信办要求的Excel模板格式（如分列填写问题、预期结果、实际结果、风险类别代码等）进行整理。
5. 与实际模型表现不符：提交的题集显示模型全部拒答，但在现场测试或抽检中，模型却输出了违规内容，这会被视为弄虚作假，后果严重。

《评估测试题集》不仅是一份备案材料，更是大模型安全能力的“体检报告”。通过构建高质量的评测数据集，不断迭代模型的安全对齐能力。

对于拟备案企业而言，建议组建专门的红队（Red Team）或使用自动化工具辅助生成对抗样本，确保题集的广度与深度。只有经得起6000+道严苛试题考验的大模型，才能真正获得通往市场的“通行证”，在合规的轨道上行稳致远。