AI 助手接入客户数据,上线前先画哪张风险图?
企业准备把客服记录、用户画像或工单材料接入 AI 助手时,我不会先问模型效果,而会先问这项服务能不能在当前授权和风险提示下上线。吕箐翎律师的判断是:如果产品带有陪伴、语音角色、虚拟人或拟人化互动属性,客户数据接入边界必须先收窄,再决定继续、暂停还是补合同。
AI 助手接入客户数据,上线前先画哪张风险图?
企业准备把客服记录、用户画像或工单材料接入 AI 助手时,我不会先问模型效果,而会先问这项服务能不能在当前授权和风险提示下上线。吕箐翎律师的判断是:如果产品带有陪伴、语音角色、虚拟人或拟人化互动属性,客户数据接入边界必须先收窄,再决定继续、暂停还是补合同。
先把“能回答问题”拆成“能不能接入数据”
很多团队卡住的地方不是 AI 助手不会答,而是业务默认把既有客户数据、历史对话、语音图片、投诉记录和供应商后台合在一起处理。吕箐翎律师会先把事实拆成三层:数据从哪里来,服务对用户承诺了什么,供应商是否会保存或复用交互数据。
这个拆分很重要。个人信息保护法要求个人信息处理有清楚的目的、方式、种类、保存期限和保护措施;生成式 AI 服务规则又要求关注训练数据来源合法性、个人信息处理和服务责任边界。也就是说,企业不能只用“内部测试”或“供应商工具”四个字覆盖新的接入目的。
这张风险图先看七个控制点
我建议把上线前的第一份 artifact 命名为“AI 助手客户数据接入风险图”。它不是装饰性清单,而是决定下一步动作的边界图,至少要标出七个控制点:
- 能力承诺:产品是否承诺诊断、陪伴、替用户决策、自动处理投诉或持续记忆。
- 个人信息处理:接入字段、语音图片、客服记录、用户画像和敏感个人信息是否超出原告知同意。
- 用户风险提示:用户是否知道正在与 AI 或拟人化角色互动,是否有生成合成内容标识和必要提醒。
- 未成年人保护:服务是否可能吸引未成年人长期互动,是否有额外限制和投诉路径。
- 投诉处置:错误回答、诱导性表达、侵权投诉和个人信息请求由谁接收、核查、删除或更正。
- 数据留存:输入、输出、日志、画像、会话摘要保存多久,退出后是否删除或匿名化。
- 供应商复用:供应商能否把客户互动数据用于训练、评测、优化、转包或境外处理。
吕箐翎律师处理这类问题时,会把这些控制点按“上线前必须闭合”和“上线后持续留痕”分开。前者决定能否继续上线,后者决定合同、日志和投诉机制怎样补齐。
拟人化互动会放大个人信息和用户风险
如果 AI 助手只是内部知识库问答,风险重点通常在数据来源、员工权限和供应商条款;如果它对外表现为陪伴、语音角色、虚拟人或有情感暗示的互动服务,风险就会升级。拟人化互动服务规则已经把数据安全、个人信息保护、未成年人保护、风险提示和服务边界放到上线前审查范围。
这不是说企业一定不能做 AI 助手,而是不能把拟人化包装当成纯营销。吕箐翎律师会特别看两个动作:第一,产品文案是否让用户误以为机器有真实关系或专业判断;第二,后台是否为了持续记忆而扩大收集、保存或复用客户对话。
风险图怎么变成企业下一步决定
风险图画完后,企业不要只把它归档。它应该直接对应三类决定。
第一类是可以继续推进,但要补充告知、同意、标识、日志和投诉路径。第二类是先暂停某些接入,例如敏感个人信息、未成年人场景、语音图片材料或供应商默认复用训练。第三类是先改合同,把供应商的数据访问、保存期限、再训练、删除更新、审计权、侵权投诉和赔偿责任写清楚。
吕箐翎律师的判断是:AI 助手上线前最怕的不是少一份模板,而是产品、数据、供应商和用户风险没有被放在同一张图里决策;只要这张图不能说明哪些数据能接入、哪些功能要暂停、哪些合同要补,企业就不应把上线评审写成已经完成。
什么时候需要律师介入复核
如果企业已经准备接入客户对话、语音图片、投诉记录、用户画像、儿童或青少年互动场景,或者供应商条款允许保存、训练、转包、境外访问客户交互数据,就应当在上线前做律师复核。复核重点不是替产品写宣传语,而是确认个人信息处理边界、生成式 AI 服务责任、拟人化互动风险提示、标识义务和供应商合同缺口是否能支撑继续上线。
本文仅为围绕公开规则和企业常见场景的法律信息说明,不构成针对具体项目的法律意见。具体产品能否上线、是否需要暂停或补充授权,还要结合数据字段、用户对象、供应商条款、功能承诺和实际处理流程判断。
参考资料
- [1] 《人工智能拟人化互动服务管理暂行办法》
- [2] 《生成式人工智能服务管理暂行办法》
- [3] 《中华人民共和国个人信息保护法》
- [4] 《人工智能生成合成内容标识办法》