AI Agent数据隐私合规:你的Agent可能在违规
🩺 摘要
GDPR罚单最高2000万欧元,中国个保法罚年收入5%——Agent访问了用户数据却没合规,风险比你想象的大。
📝 详情
上周一个做AI客服的朋友收到法务邮件:他的Agent把用户聊天记录存到了美国服务器。用户是个欧盟公民。
这就是Agent合规的典型陷阱——技术没问题,法律出问题。
三个最容易被忽视的合规坑
坑1:数据跨境 Agent调用OpenAI API时,用户数据被送出国了。如果你的用户在中国或欧盟,这可能违规。
解法: 敏感数据走本地模型(Ollama),非敏感走云API。或者用部署在国内/欧盟的API端点。
坑2:数据处理没有告知用户 Agent自动分析用户聊天记录、邮件、文件——用户知道吗?GDPR要求明确告知数据处理目的。
解法: Agent首次对话时展示隐私声明。记录用户同意后再开始处理数据。
坑3:日志泄露个人信息 Agent日志里记了用户的全名、地址、身份证号——哪天日志被拖库就完了。
解法: 日志脱敏。PII(个人身份信息)在写入日志前用***替换。
合规检查清单
- [ ] 用户数据存哪里?(服务器位置)
- [ ] API调用是否出境?
- [ ] 有隐私声明吗?
- [ ] 日志脱敏了吗?
- [ ] 用户能要求删除数据吗?(被遗忘权)
总结
Agent合规不是法务部门的事。写代码时就要想清楚数据流——数据从哪来、经过哪、存到哪、谁能看到。 这四个问题能回答清楚,合规就问题不大。
💬 评论 (0)