隐私政策

鉴于人工智能技术的快速发展及其对数据处理能力的依赖，用户隐私保护已成为我们服务的基石。本《AI 应用数据隐私保护与不用于训练声明》（以下简称“本声明”）旨在向用户（以下简称“您”）提供关于我们如何收集、使用、存储及保护您的数据的透明信息。本声明依据《中华人民共和国个人信息保护法》（PIPL）、欧盟《通用数据保护条例》（GDPR）、美国《加州消费者隐私法案》（CCPA）及其他适用法律法规制定。 第一条 定义与术语解释 为确保本声明的准确理解与执行，现对以下关键术语进行详尽定义： 1. 用户数据（User Data）：指用户在使用本服务过程中上传、输入、传输的任何文本、图像、代码、音频、视频或其他形式的信息（“输入数据”），以及本服务基于上述输入生成的结果（“输出数据”）。 2. 模型训练（Model Training）：指利用数据对人工智能算法、机器学习模型、大语言模型（LLM）等进行预训练（Pre-training）、微调（Fine-tuning）、人类反馈强化学习（RLHF）、持续学习或任何形式的权重参数更新过程。 3. 个人信息（Personal Information）：指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 4. 敏感个人信息（Sensitive Personal Information）：指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。 5. 去标识化（De-identification）：指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。 6. 匿名化（Anonymization）：指个人信息经过处理无法识别特定自然人且不能复原的过程。 7. 数据控制者（Data Controller）：指自主决定处理目的、处理方式的组织或个人（即本服务提供方）。 8. 数据处理者（Data Processor）：指受数据控制者委托处理个人信息的组织或个人（如第三方云服务商）。 第二条 核心承诺：数据不用于训练 我们深知“数据投毒”与“隐私泄露”是用户在使用 AI 服务时最大的顾虑。因此，我们从法律约束与技术实现双重层面，构建了严格的“防训练”隔离墙。 2.1 禁止训练的法律承诺 服务提供方严禁使用您的任何“输入数据”或“输出数据”来训练、改进、微调我们的基础模型（Base Models）或衍生模型。您的数据不会进入我们的公共语料库（Corpus），也不会被用于提升模型对其他用户的服务质量。此承诺适用于所有用户层级（免费版、专业版、企业版）。 2.2 技术实现机制 为确保上述承诺的执行，我们在系统架构层面实施了以下细粒度的技术隔离措施： • API 隔离通道：我们与底层模型供应商（如 OpenAI、Anthropic、字节跳动等）建立的是企业级 API 连接（Enterprise Tier），该通道在协议层面默认关闭了“数据留存以用于训练”的选项。具体表现为： • 在 API 调用参数中设置 "training_data_opt_out": true； • 使用独立的推理集群（Inference Cluster），与训练集群物理隔离； • 定期审查供应商的数据处理日志，确保无训练数据采集行为。 • 无状态处理（Stateless Processing）：推理服务器在处理您的请求时，采用无状态模式。具体流程如下： • 用户请求到达后，在隔离的容器（Container）中创建临时会话； • 数据仅在内存（RAM）中处理，不写入持久化存储； • 推理完成后，容器立即销毁，内存数据随之释放； • 整个过程不超过 30 秒，确保数据不留存于任何中间缓存。 • 数据标记（Data Tagging）：系统会对用户上传的数据自动打上 “No-Train” 元数据标签。该标签具有以下特性： • 以加密数字签名形式附加于数据包，防止篡改； • 在数据生命周期的所有环节（传输、临时存储、日志记录）均携带此标签； • 任何数据收集脚本或自动化流程在扫描数据时会识别该标签并自动跳过； • 标签会记录在审计日志中，可供第三方合规审计时核查。 2.3 零留存架构详解 我们的数据处理遵循“零留存（Zero Data Retention for Training）”架构原则，具体各阶段数据状态如下： 处理阶段 数据状态 安全措施 可训练性 1. 用户输入 加密传输（TLS 1.3） 端到端加密，中间节点（ISP、网关）无法解密 不可用于训练 2. API 转发 临时内存缓存（<5秒） 仅保留请求 ID 与时间戳元数据，不缓存 Payload 不可用于训练 3. 模型推理 隔离容器处理 容器销毁后数据不可恢复，使用临时密钥解密 不可用于训练 4. 结果返回 加密传输回用户 服务器端不保存生成结果副本（除非开启历史记录） 不可用于训练 5. 日志记录 仅记录元数据 记录 Token 数、延迟、错误码；原始文本内容被过滤 不可用于训练 2.4 第三方审计与透明度报告 为增强用户信任，我们承诺实施以下审计与透明化措施： 1. 年度 SOC 2 Type II 审计：每年至少一次邀请独立的第三方安全审计机构对我们的数据处理流程进行审计，验证“不训练”承诺的执行情况。审计报告摘要将向企业级客户提供。 2. 透明度报告：每半年发布一次《数据透明度报告》，披露： • 处理的用户请求总量（去标识化统计）； • 接收到的政府数据索取请求数量及我们的响应情况； • 安全事件数量及处理结果； • 报告绝不包含任何可识别用户的具体内容。 3. Bug Bounty（漏洞赏金）计划：我们设立隐私漏洞赏金计划，鼓励安全研究人员报告可能导致数据泄露或训练数据污染的技术漏洞。对于确认的漏洞，我们将给予最高 50,000 美元的奖励。 第三条 数据收集、处理与存储规范 3.1 数据收集类型详解 我们严格遵循“最小必要”原则，仅收集提供服务所必需的数据。以下是详细的数据收集说明： 数据类别 具体内容 收集目的 存储时长 业务数据 Prompt 提示词、上传文档、生成结果、对话上下文 仅用于即时返回 AI 生成结果，不用于训练或优化 即时处理后销毁（除非用户开启历史记录） 账户信息 User ID、注册邮箱、订阅计划与到期时间、账户创建与最后登录时间 身份认证、权益管理、账单处理及服务通知 账户存续期间，注销后 30 天内删除 技术日志 API 请求时间戳、Token 消耗量、HTTP 状态码、响应时间、IP 哈希值 系统稳定性监控、性能优化、计费统计、安全防护与故障排查 6 个月后匿名化归档 支付信息 交易流水号、支付金额与时间、发票信息 完成交易结算、开具发票、税务合规与退款处理 依据税法要求保留 7 年 设备信息 浏览器类型与版本、操作系统类型、屏幕分辨率 优化界面体验，排查兼容性问题 30 天 3.1.1 我们明确不收集的数据 为保护您的隐私，以下数据绝不收集： 您的地理位置精确坐标（GPS 数据）； 您的通讯录、短信、通话记录； 您的生物识别信息（指纹、面部特征、虹膜）； 您的社交媒体账号密码或登录凭证； 您的浏览历史或第三方网站活动； 您在其他应用中的行为数据。 3.2 存储期限与删除机制详解 我们对不同类型的数据采取差异化的存储策略： 3.2.1 即时处理数据（默认模式） • 适用场景：用户未开启“历史记录保存”功能（默认设置）。 • 处理流程： • 用户发送 Prompt，数据加密传输至服务器； • 服务器在隔离内存中处理（驻留时间通常小于 10 秒）； • AI 生成结果后立即返回给用户； • 关闭浏览器标签或会话超时（15 分钟无操作）后，内存中的对话数据立即销毁； • 该模式下，我们在服务器端不保存任何对话内容的副本。 3.2.2 历史记录数据（用户主动开启） • 开启条件：需用户在设置中明确勾选“保存对话历史”并确认授权。 • 存储方式：对话内容经 AES-256 加密后存储于云端数据库，密钥由密钥管理服务（KMS）托管。 • 保存时长：直至用户主动删除特定对话、清空全部历史或注销账户。 • 访问控制：仅用户本人可通过身份认证后访问，我们的工作人员无法查看已加密的对话内容。 3.2.3 技术日志数据 • 记录内容：仅包含元数据（时间戳、Token 数、响应状态码、去标识化的 IP 哈希值），不包含具体 Prompt 或生成内容。 • 保留期限：活跃日志保留 6 个月，随后进行匿名化聚合统计并删除原始日志。 3.2.4 彻底删除机制（Right to Erasure） 当用户执行删除操作时，我们采用“三阶段删除法”： 1. 逻辑删除（0-24小时）：数据立即从用户可见界面消失，在数据库中标记为“已删除”状态，搜索索引同步更新。 2. 备份过期（1-30天）：等待所有增量备份与快照过期，新的备份任务不再包含已删除数据。 3. 物理擦除（30天后）：使用符合 DoD 5220.22-M 标准的数据擦除工具进行覆写，并从主数据库与所有冷备份中彻底移除。 3.3 数据分类与标签管理 我们建立了严格的数据分类体系，确保不同敏感级别的数据受到相应保护： L1 公开：产品说明、帮助文档，基础访问控制。 L2 内部：系统配置、技术日志，员工权限管理与日志审计。 L3 机密：邮箱、订阅信息、对话历史，加密存储、访问审计、最小权限。 L4 高度机密：支付信息、健康数据、生物识别，强加密、多重认证、物理隔离、专人审批。 第四条 第三方模型供应商与数据流转 本服务的部分核心推理能力由经过严格筛选的第三方合作伙伴提供。我们已与所有供应商签署了严苛的数据处理协议（DPA），确保其标准不低于本声明。 4.1 主要供应商列表与详情 目前我们涉及的第三方数据处理者可能包括但不限于： • Microsoft Azure（OpenAI Service）：提供 GPT-4、GPT-3.5 等大语言模型推理能力；企业级协议明确规定不使用客户数据训练基础模型；符合 ISO 27001、ISO 27018、SOC 1/2/3、FedRAMP High。 • 字节跳动豆包（ByteDance Doubao）：提供大语言模型推理服务与多模态 AI 能力；企业版 API 遵循零数据留存政策，符合《个人信息保护法》要求。 • 火山引擎（Volcano Engine）：提供豆包大模型、语音识别、图像处理等 AI 能力；企业版服务协议明确承诺不使用客户输入数据进行模型训练，支持数据本地化存储与私有化部署方案。 • Amazon Web Services（AWS）：提供云计算基础设施与向量数据库托管；数据加密存储，密钥由客户管控。 4.2 第三方数据处理限制 所有第三方仅有权在处理我们指令的必要范围内访问数据，被严格禁止将数据用于开发、训练或改进其自身模型、构建用户画像广告投放、向数据经纪商出售数据。 4.3 供应商审查与更换机制 我们实施严格的供应商全生命周期管理： 1. 准入审查：引入新供应商前，必须通过法务、安全、合规联合尽职调查。 2. 定期评估：每季度对核心供应商进行安全态势评估。 3. 更换机制：一旦发现供应商违反“不训练”承诺或发生重大安全事故，我们将立即切断数据连接并启动备用供应商。 4.4 数据处理协议（DPA）核心条款 • 数据归属权：明确所有输入数据和输出数据的知识产权归属于用户或本服务方。 • 删除义务：服务终止后，供应商必须在协议规定时间内彻底删除残留数据。 • 审计权：我们保留对供应商数据处理活动进行审计的权利。 • 违约责任：对擅自使用数据进行训练的行为设定高额违约责任。 第五条 法律依据与合规性 我们依据全球主要隐私法规处理您的数据： • 合同履行：处理您的输入数据是履行《用户服务协议》、向您提供 AI 生成服务的必要条件。 • 合法利益：我们收集元数据日志是为了保障网络安全、预防欺诈及改进系统性能。 • 用户同意：对于特定敏感数据的处理或历史记录的保存，我们基于您的明确授权同意进行。 • 法律义务：为配合执法部门调查或响应法院指令，我们可能需要保留或披露特定数据。 第六条 数据跨境传输 鉴于 AI 服务的全球化特性，您的数据可能会传输至您所在司法管辖区以外的国家或地区（如美国、新加坡）进行处理。针对跨境传输，我们采取标准合同条款（SCCs）、本地化存储选项、安全评估等保障措施。 第七条 数据安全保障体系 我们采用“纵深防御（Defense in Depth）”策略，从网络、系统、应用、数据、管理五个层面构建全方位的安全防护体系。 7.1 高级加密技术说明 • 传输加密：全链路强制使用 TLS 1.2 及以上版本，推荐 TLS 1.3，并启用 HSTS。 • 存储加密：数据库与对象存储采用 AES-256-GCM 或更高强度算法，密钥通过 KMS 托管。 • 密钥轮换策略：数据加密密钥每日自动轮换，密钥加密密钥每 90 天自动轮换。 7.2 访问控制与身份认证（IAM） • 基于角色的访问控制（RBAC）：严格实施最小权限原则。 • 多因素认证（MFA）：所有访问内部管理后台和服务器的账号必须启用 MFA。 • 堡垒机审计：所有运维操作必须通过堡垒机，自动记录命令日志与屏幕录像。 7.3 物理安全措施 数据中心具备多重防线、生物识别、环境监控、资产管理等物理防护措施。 7.4 网络安全防护 部署 DDoS 防护、Web 应用防火墙（WAF）、入侵检测系统（IDS/IPS）与微隔离技术。 7.5 应急响应与灾难恢复 恢复时间目标（RTO）为 4 小时内，恢复点目标（RPO）控制在 1 小时以内，每半年组织一次红蓝对抗与数据恢复演练。 7.6 员工安全培训与背景调查 所有涉及数据处理岗位的员工入职前需通过背景调查，签署保密协议，并定期接受隐私保护培训与钓鱼测试。 第八条 用户权利详述 根据适用法律，您对自己的个人数据享有以下充分权利： 1. 访问权与知情权； 2. 更正权； 3. 删除权（被遗忘权）； 4. 限制处理权； 5. 数据可携带权； 6. 撤回同意权。 您可通过发送邮件至 privacy@[your-company-domain].com 或在用户中心提交数据权利请求工单。我们将在完成身份验证后 15 个工作日内予以响应，复杂情况最长不超过 30 天。 第九条 特别条款 9.1 未成年人保护：本服务不面向未满 14 周岁或当地法律规定最低年龄的未成年人提供。我们不会有意收集未成年人信息，一经发现将立即删除。 9.2 数据泄露通知：若发生涉及您个人信息的安全事件，我们将立即启动应急预案；如事件可能对您的合法权益造成重大影响，我们将在 72 小时内向监管机构报告，并通过邮件、站内信或公告方式通知您。 9.3 争议解决：本声明的解释与争议解决适用 [公司注册地] 法律。协商不成的，任何一方均有权向 [公司注册地] 有管辖权的人民法院提起诉讼。 第十条 声明的修订 随着法律法规的更新及业务的发展，我们可能会不时修订本声明。对于涉及“使用数据进行训练”等核心隐私条款的重大变更，我们承诺至少提前 30 天通过显著方式通知，并在变更生效前提供导出数据及注销账户的缓冲期。 第十一条 数据最小化与目的限制原则的实践 我们承诺将数据处理活动严格限制在实现服务功能所必需的范围内： 1. 采集最小化：在产品设计阶段审查每一个数据字段的必要性，去除所有非核心功能必须的数据采集点。 2. 访问最小化：仅在解决具体技术故障或响应用户请求时，授权人员才可访问最少量的相关数据。 3. 目的限制：未经用户重新授权，收集的数据绝不会用于与初始服务目的不一致的其他用途。 第十二条 自动化决策与算法透明度 本服务使用生成式人工智能算法提供内容。关于自动化决策，我们说明如下： • 决策范围：本服务的算法仅用于生成文本、图像或代码，不涉及对您的个人信用、职业资格、人身权益等重大事项进行自动化决策。 • 人工干预：如果您认为 AI 生成内容可能对您产生重大不利影响，您可以要求人工介入复核。 • 解释说明：尽管深度学习模型具有“黑盒”特性，我们将尽最大努力解释生成结果的逻辑基础和相关因素。 第十三条 合作与委托处理场景 除前述 AI 模型供应商外，我们可能在以下场景委托第三方处理数据： • 支付处理：委托第三方支付机构处理支付信息； • 客户服务：使用第三方 CRM 系统管理用户工单； • 数据分析：使用去标识化的数据进行产品使用情况分析。 附录 A：技术与合规术语表 LLM（Large Language Model）：大语言模型，一种基于深度学习的算法，能够识别、总结、翻译、预测和生成文本及其他形式的内容。 RLHF：基于人类反馈的强化学习。 API（Application Programming Interface）：应用程序接口，不同软件系统之间进行交互和数据交换的桥梁。 TLS（Transport Layer Security）：传输层安全协议。 AES-256：高级加密标准，密钥长度为 256 位。 SOC 2：由 AICPA 制定的审计标准，用于评估服务商的安全性、可用性、处理完整性等。 附录 B：联系方式 如果您对本隐私政策有任何疑问、意见或建议，或需要行使您的数据权利，请通过以下方式联系我们： • 隐私合规办公室邮箱：privacy@[your-company-domain].com • 数据保护官（DPO）邮箱：dpo@[your-company-domain].com • 通信地址：[您的公司具体物理地址] 附录 C：常见问题解答（FAQ） Q1：我的对话会被 OpenAI 或字节跳动用来训练他们的模型吗？ A：绝对不会。我们使用的是企业级 API（Enterprise Tier），协议明确规定任何通过该接口传输的数据都不会被用于模型训练。这与免费版 ChatGPT 或豆包个人版服务条款完全不同。 Q2：你们的员工能看到我的对话内容吗？ A：不能。您的对话内容在数据库中是加密存储的。我们的员工没有解密密钥。仅在您主动报修故障并明确授权的一段时间窗口内，极少数高级工程师才能访问特定的日志片段进行排查。 本文档最后更新于 2024年1月1日。 © 2024 [您的公司名称]. 版权所有。