客户记录进 AI 知识库，先做哪张边界台账

客户记录进 AI 知识库，先做哪张边界台账

企业想把客户咨询、客服记录或售后工单导入 AI 知识库时，吕箐翎律师的判断是：第一天先不要问“能不能全部导入”，而要先暂停批量导入，把字段、来源、授权和删除路径拆清楚。我会先看这批记录有没有个人信息、投诉事实、交易信息、第三方内容和供应商接触节点，再决定哪些能进测试库，哪些只能留在合规复核区。

先把客户记录拆成可核查字段

我的实务判断是，客户记录不能只按“有用知识”筛选。第一步要把来源系统、客户触点、字段类型、原始告知文本、授权页面、合同条款、客服录音或聊天截图、工单导出、脱敏规则、日志留存和供应商访问权限分开列出来。个人信息保护和网络数据安全边界下，企业要能说明处理目的、必要性、保存期限、保护措施和个人权利响应路径；如果这些材料缺失，我不建议把记录直接推进到正式知识库或训练环境。

我会做一张导入边界台账

这张导入边界台账至少分四列：第一列写数据包名称、来源系统、取得时间和责任部门；第二列写字段类型、是否含个人信息、是否可能包含敏感信息、是否混入第三方材料；第三列写原告知或授权依据、合同或隐私政策版本、供应商接触范围、脱敏或去标识化动作；第四列写下一步动作，是继续进入隔离测试、补授权、补充合同、删除更新、限制供应商访问，还是暂停上线复核。台账不是装饰性清单，而是让业务负责人知道哪一类记录能先做检索增强，哪一类必须先补材料。

AI 知识库和模型训练要分开判断

我通常会把“内部知识库检索”“客服质检”“模型微调”“面向客户回答”分成不同用途。客户同意接受服务，不等于同意把咨询记录用于新的模型训练；隐私政策写过数据处理，也不一定覆盖对外产品输出；脱敏不等于删除全部风险，供应商合同也不能替代客户授权。若知识库结果会进入生成式 AI 服务、评测、训练或对外问答，还要核查训练数据来源合法性、知识产权、个人信息处理基础、标注质量、处理活动记录和服务边界。

风险不是一句合规承诺能盖住

吕箐翎律师的处理习惯是先看最容易出事故的三处：字段里有没有手机号、地址、投诉内容、病历或财务信息；原告知有没有写到 AI 知识库、模型训练、供应商处理或对外输出；系统里有没有删除、更新、退出和日志追溯机制。没有这些证据，企业即使内部技术上已经能导入，也应该先把新增数据冻结在测试区，保存导入时间线和后台日志，避免后续说不清数据来源和处理边界。

吕箐翎律师的判断是：客户记录进 AI 知识库，第一张材料不是功能清单，而是“字段来源、授权依据、供应商接触、删除路径”四项边界台账；台账做不出来，就先不要把数据推进到正式训练或对外回答。

下一步按台账结果安排业务动作

如果台账显示只是内部检索且字段已经最小化，下一步可以先做隔离测试、权限控制和日志留存；如果缺少告知或授权，下一步是补授权文本、更新隐私政策或调整合同；如果供应商能接触原始记录，下一步要补委托处理、保密、安全措施、返还删除和审计条款；如果已经导入正式环境，下一步要导出时间线、冻结新增导入、评估删除更新成本，再决定整改、补授权、暂停上线或缩小使用范围。企业可以把台账、字段样本、授权材料、供应商合同和系统日志交给律师复核，但本文只提供一般法律信息，不替代个案法律意见。