法务AI助手搭建及AIGC合规管理指引
2025-04-17
引言
当下的企业法务部门在日常工作中面临着日益增长的挑战,包括需要处理和分析大量的法律文件、进行深入的法律研究、以及确保各项业务运营的全面合规。传统的工作模式在面对这些挑战时,往往显得效率不足且容易出错。人工智能(AI)技术的快速发展,特别是大型语言模型(LLMs)的出现,为法务部门优化工作流程、提升工作效率带来了前所未有的潜力。通过利用AI技术,法务专业人士可以更高效地完成法律研究、合同审查、合规检查等关键任务,从而释放更多时间专注于更具战略性和复杂性的法律事务。
▲图一为AI在法律领域的典型应用场景
然而,鉴于法务部门所处理信息的敏感性和保密性,选择合适的AI部署方案至关重要。
本地部署AI助手为法务部门提供了全新可能。与依赖公有云服务不同,本地部署确保了所有敏感的法律数据都保留在组织内部的安全环境中,从而显著降低了数据泄露和未经授权访问的风险。对于处理高度机密信息的法务部门而言,这种数据主权和控制至关重要。
此外,本地部署能够更好地满足企业对于商业秘密的保护和监管部门对于数据及隐私保护的合规要求,包括《个人信息保护法》(PIPL)、《数据安全法》(DSL)和《网络安全法》(CSL)。通过在本地运行AI助手,法务部门可以更直接地实施和监控安全措施,确保数据处理活动符合法律的各项规定。
本指引旨在为企业法务部门提供一份全面而实用的指南,指导其如何构建和部署专属的本地AI助手。指引探讨AI助手的搭建、部署、应用和幻觉消除工作,提供详细的实施步骤和实践建议。
通过本指引,我们期望能够帮助法务专业人士充分理解本地部署AI助手的价值和潜力,并掌握部署及应用“安全、合规、高效”的专属AI助手所需的知识和步骤。
一、AI助手搭建:工具选型与安全架构
在构建专属本地AI助手时,法务部门需要仔细评估可用的技术工具,并充分考虑本地部署带来的独特安全要求。目前,有多种工具可以支持在本地环境中部署大型语言模型,其中较为流行的包括DeepSeek R1、Ollama和AnythingLLM。
DeepSeek R1是一个强大的大型语言模型,具备卓越的推理能力,并且可以部署在本地服务器上。其第一代推理模型在数学、代码和推理任务方面表现出色,还提供了基于Llama和Qwen等开源架构的蒸馏版本,这些模型经过优化,可以在资源相对有限的硬件上更高效地运行。
Ollama是一个开源的命令行工具和引擎,旨在简化在个人计算机上运行大型语言模型的过程。Ollama支持广泛的LLM模型,并且提供了与OpenAI API的实验性兼容,这为法务部门集成现有工具提供了便利。Ollama可以在CPU和GPU上运行模型,提供了根据可用硬件进行灵活部署的选项。然而,需要注意的是,运行大型模型(如参数达到70B的模型)时,Ollama需要充足的内存(建议至少64GB RAM)。
AnythingLLM是一个功能全面的全栈AI应用程序,专为本地知识库部署而设计,它提供了一个用户友好的图形界面,使得与本地文档的交互以及AI代理的创建变得非常便捷,无需深入的编码知识。AnythingLLM内置支持多种本地LLM提供商,包括Ollama和LM Studio,为用户提供了模型选择的灵活性。它支持与多种法律领域常用的文档格式(如PDF、TXT和DOCX)进行直接交互,非常适合用于总结案件文件或从合同中提取关键信息。此外,AnythingLLM还具备文档分块和嵌入功能,这对于实施检索增强生成(RAG)工作流程至关重要,使得AI助手能够基于提供的法律文档生成回应。AnythingLLM在设计上高度重视用户隐私和数据安全,默认完全在本地运行,确保所有敏感的法律数据都安全地存储在用户本地。
▲图二为本地知识库管理工具界面
本地部署AI助手最显著的优势在于能够最大程度地保障数据的安全性与隐私性。法务部门处理的数据通常包含高度敏感的信息,例如客户的个人身份信息、商业机密、以及涉及诉讼的保密信息。将AI助手部署在本地服务器上,可以有效避免将这些敏感数据暴露给外部服务提供商或云平台的风险。这种部署方式使得法务部门能够完全掌控数据的存储、处理和访问,从而更好地遵守中国严格的数据保护法律法规。同时,本地部署还减少了对外部法律科技服务的依赖,使得法务部门能够更自主地控制AI在处理法律事务时的行为,并可能在长期内节省成本。
为了确保本地部署的AI助手能够安全稳定地运行,法务部门需要关注硬件要求并采取相应的安全配置措施。运行大型语言模型需要充足的内存,特别是对于参数规模较大的模型(例如,参数达到700亿的模型可能需要数百GB的RAM)。虽然一些较小的模型可以在CPU上运行,但使用配备足够显存(VRAM)的专用GPU可以显著提升AI助手的推理速度和整体性能。
安全方面,法务部门应会同IT部门在统一的数据和网络安全架构下,建立安全的服务器基础设施,实施严格的访问控制,确保只有授权的法务人员才能访问AI助手及其相关数据。此外,对存储在本地服务器上的法律数据以及传输过程中的数据进行加密是至关重要的安全措施。定期进行安全审计和漏洞评估,及时发现和修复潜在的安全风险,也是保障本地AI助手安全运行的关键环节。
▲图三为数据和网络安全架构
二、AI助手部署:系统推进
(一)数据收集与准备:AI的数据基础
法务AI助手的主要数据来源包括内部法律文档(如合同、法律意见书、备忘录)、法律研究数据库、案例数据库以及内部知识管理系统。法务部门必须确保所有用于训练AI的数据来源合法,并遵守相关的版权法规。对于包含个人信息的数据,应优先考虑使用匿名化处理技术,以符合PIPL的要求。
(二)本地部署与知识管理:安全可控的环境
为了确保数据安全,法务部门应使用本地资源进行模型部署和知识管理,避免将敏感法律数据上传到外部平台。部署时,应强调本地服务器的访问控制和数据加密措施,确保只有授权人员可以访问AI助手。
(三)用户培训与使用:提升法务人员AI应用能力
针对法务人员的培训应包括AI助手的功能、局限性以及在法律研究、合同审查、合规检查等方面的应用。培训应强调AI不能替代人工审核,尤其是在关键法律决策方面。
(四)建立AI生成内容(AIGC)的合规检查流程:确保法律意见的准确性与专业性
法务部门应建立一套完善的合规检查流程,对AI生成的内容(AIGC)进行人工审核,确保其法律准确性和合规性,避免生成可能存在法律风险或误导性信息的内容。
(五)建议内部标记AI生成内容:提高透明度与可追溯性
法务部门制定内部规范,对所有由AI生成的内容进行标记,例如在合同草稿或法律研究指引中注明“由AI生成,请务必人工审核”,以提高透明度和可追溯性。
(六)维护与审计:保障AI助手的持续合规与有效运行
法务部门应定期更新AI助手的法律知识库和模型,确保其提供最新的法律信息。同时,应定期进行合规审计,检查数据处理、网络安全等方面是否符合法律法规要求。建议定期咨询法律合规专家,以应对不断变化的法律环境。
▲图四为AI助手部署与应用全过程
三、AI助手应用:以合规为中心
法务部门在应用专属本地AI助手时,必须将法律合规置于中心地位,确保AI助手的搭建、部署和使用过程符合中国相关的法律法规要求,以下是需要重点关注的法律合规要点:
(一)《个人信息保护法》合规要点
1.个人信息处理基本原则
法务部门处理包含个人信息的法律文件时,需严格遵循《个人信息保护法》第5条确立的“合法、正当、必要、诚信”原则,法律文件(如合同、诉讼文书等)中的个人信息处理需明确合法基础:
若处理基于法定义务(如诉讼、仲裁等)、履行合同约定、保护自然人生命健康等法定情形,可无需个人同意;若涉及非法定情形下的处理(如数据分析、模型训练等),根据《个人信息保护法》第13-14条、第29条,必须取得个人单独同意(特别是敏感个人信息需书面同意),并确保同意的真实性、自愿性及可撤回性。
2.隐私通知与透明度要求
根据《个人信息保护法》第17、24、38条,如AI助手实现平台化对外提供服务,则法务部门须会同IT部门制定并嵌入AI助手系统内的隐私政策或告知机制,确保清晰告知个人信息处理目的、处理方式、类型、存储期限、共享范围及个人权利(如访问、更正、删除权等);针对自动化决策场景(如AI辅助合同审核中的风险评级),需说明决策逻辑并提供人工干预渠道;若涉及跨境数据传输,需额外披露境外接收方信息及安全保障措施。
3.个人信息保护影响评估(PIA)义务
根据《个人信息保护法》第55条,法务部门须会同IT部门对AI助手的全生命周期开展PIA:在数据收集、训练、部署等关键环节评估对个人信息权益的影响;针对高风险场景(如处理敏感个人信息、大规模自动化决策),需制定专项保护措施并留存评估记录。
4.数据脱敏与匿名化技术标准
根据《个人信息保护法》第73条、GB/T 35273-2020,法务部门须会同IT部门优先采用匿名化技术,通过技术手段(如泛化、扰动、加密等)确保处理后的数据无法识别特定个人且不可复原,使数据脱离PIPL规制;严格区分匿名化与去标识化:去标识化(如假名化)虽降低识别风险,但仍需按PIPL管理;验证匿名化效果:通过技术验证、第三方评估等方式确保匿名化不可逆,避免因“伪匿名化”引发合规风险。
5.敏感个人信息特殊保护
根据《个人信息保护法》第28-29及51条:若法律文件中包含生物识别、健康、金融等敏感个人信息,需取得个人单独同意(必要时书面同意),并明确告知处理必要性及对个人权益的影响;严格限制访问权限,采用加密存储、访问控制等安全技术。
6.数据全生命周期管理
根据《个人信息保护法》第19条,法务部门须会同IT部门建立数据分类分级管理制度,明确法律文件中的个人信息类型与保护级别;明确数据留存与删除机制,确保仅存储必要期限(如诉讼有效期+法定保存期),超期数据需及时删除或匿名化处理。
重要提示:法务部门应制定《AI助手合规指南》,明确数据识别、分类、脱敏、存储、共享、删除等全流程操作规范;需定期开展合规审计与员工培训,确保AI开发、运维团队理解并执行PIPL要求;若AI助手涉及跨境场景,需额外关注《数据安全法》《个人信息跨境传输安全评估办法》等法规,必要时通过安全评估或签订标准合同条款(SCC)。
在准备用于训练本地AI助手的法律文件时,尤其是在处理包含大量个人信息的数据集时,应当实施强大且符合法律要求的匿名化或假名化技术,以有效降低违反PIPL的风险。通过使用适当匿名化的数据训练AI模型,法务部门可以在无需获取每个个人同意的情况下,利用更广泛和多样化的数据集。然而,必须强调的是,法务部门需要确保所选择的匿名化过程是真正不可逆的,并且符合PIPL对匿名化的严格法律标准,才能使数据真正脱离PIPL的管辖范围。去标识化处理(例如,使用假名替换直接标识符)虽然可以降低识别风险,但仍然属于个人信息,需要遵守PIPL的规定。法务部门可以采用多种技术手段进行数据脱敏和匿名化,包括假名化、数据屏蔽、泛化、扰动、数据交换、令牌化、随机化和数据编辑等。
(二)《数据安全法》合规要点
《数据安全法》(DSL)对在中国境内进行的所有数据处理活动进行了规范,其主要目标是确保数据安全、促进数据开发利用,并维护国家安全和公共利益。
1.数据分类分级义务
DSL的核心在于建立强制性的数据分类和分级保护制度,要求组织根据数据对国家安全、国民经济、社会稳定和公众利益的重要性以及一旦遭到损害可能造成的危害程度,对数据进行分类并采取相应的保护措施。根据DSL,数据被划分为国家核心数据(受到最严格的保护)、重要数据(需要加强安全措施)和一般数据(受到标准保护)三个主要类别。处理重要数据的组织需要履行多项特定的义务,包括指定专门的数据安全负责人和管理机构,定期开展数据安全风险评估,并将评估指引提交给相关监管部门。
2.重要数据保护义务
若法律文件涉及重要数据,法务部门须会同IT部门履行以下合规义务:
组织保障:设立数据安全负责人及管理机构(《数据安全法》第27条);定期开展风险评估并留存报告(评估内容需覆盖数据泄露、滥用等场景)。
技术保障:采用加密、访问控制、数据防泄漏(DLP)等技术措施(《数据安全法》第27条);
对核心数据实施物理隔离或逻辑隔离。
应急响应:建立数据安全事件应急预案,明确报告时限(72小时内向监管部门报告重大事件)(《数据安全法》第38条)。
重要提示:法律文件中的客户商业秘密、未公开仲裁记录、涉外法律策略等可能被认定为“重要数据”,需重点保护;法务部门必须按照DSL的数据分类系统,对计划用于训练本地AI助手的法律数据进行细致的分类,并根据确定的数据级别实施相应的安全保护措施,特别是对于被认为是重要数据或核心数据的信息。鉴于法务部门处理的数据通常具有高度敏感性,例如机密的客户文件、正在进行的诉讼细节以及战略性法律建议,这些数据极有可能被DSL归类为重要数据,因此需要采取更加严格的保护措施并履行相应的合规义务。未能遵守与重要数据相关的安全措施和合规要求可能会给法务部门及其所服务的组织带来严重的法律和经济后果。
(三)《网络安全法》合规要点
《网络安全法》(CSL)是中国网络空间安全领域的基础性法律,它对网络运营者的网络安全义务进行了全面的规定,旨在确保网络运行安全,保护网络数据安全。
1.网络运营者义务
法务部门须会同IT部门建立并维护完善的网络安全管理制度,指定专门的网络安全负责人,并采取必要的技术措施来保护其网络和处理的数据,例如部署防火墙、入侵检测系统等。CSL还要求网络运营者至少保留六个月的网络运行日志和安全事件记录,这对于进行安全事件调查和满足合规审计至关重要。
2.用户身份与访问控制
法务部门在向任何用户授予本地AI助手的访问权限之前,必须实施严格的用户身份验证程序,以确保只有授权的法律专业人员才能访问系统及其包含的敏感法律数据。
3.网络安全事件应对
根据CSL的要求,制定并定期更新全面的网络安全事件应急预案也是一项关键义务,该预案应详细说明应对各种潜在风险的程序,包括系统漏洞、恶意软件感染以及针对AI基础设施的网络攻击。
重要提示:法务部门须会同IT部门积极主动地实施CSL所要求的全方位的网络安全措施,以有效保护其内部网络基础设施以及AI系统所处理的高度敏感的法律数据免受各种网络威胁和漏洞的侵害。涉及跨境数据传输的,需额外遵守《数据出境安全评估办法》。
本地部署AI助手必然涉及内部服务器和网络系统的设置和管理,这完全符合CSL对网络运营的定义。严格遵守CSL的各项要求对于确保持续的保密性、完整性和可用性至关重要,从而降低潜在的毁灭性网络攻击和数据泄露的风险。
(四)《生成式人工智能服务管理暂行办法》对法务部门内部使用的影响
《生成式人工智能服务管理暂行办法》明确规定,该办法适用于在中国境内向公众提供生成式人工智能服务的情况 。值得注意的是,该办法目前明确豁免了不向公众提供的生成式人工智能技术的研发和内部应用,例如法务部门专门部署供内部使用的AI助手。
尽管存在豁免,法务部门仍需主动关注《办法》的核心要求,重视其基本原则和伦理考量,例如确保生成内容的准确性和可靠性、遵守所有其他适用法律以及尊重个人的合法权益,以规避潜在法律风险,具体包括:
1.内容准确性与可靠性义务
《办法》第十五条要求服务提供者采取措施确保生成内容真实、准确、合法,法务部门须会同IT部门建立训练数据审核机制,确保数据来源合法、内容真实(如使用公开裁判文书、合规合同模板),对AI生成的法律意见、合同条款进行人工复核,避免因模型偏差导致错误建议。
2.防止歧视性内容义务
《办法》第十六条禁止生成含有种族、性别、宗教等歧视性内容,法务部门须会同IT部门在训练数据中排除敏感标签(如性别、民族);设置内容过滤规则,屏蔽可能引发歧视的表述。
3.用户权益保护义务
若AI助手涉及内部员工使用,需参照《办法》第二十条制定内部使用协议,明确数据隐私保护、责任划分等内容。
重要提示: 尽管中国当前的法律框架将法务部门对生成式AI的内部使用排除在《暂行办法》的直接管辖范围之外,但强烈建议法务部门积极采纳该办法的基本原则,以促进其本地AI助手的负责任、合乎道德和法律健全的开发和部署。即使在内部环境中,AI助手生成的不准确、不可靠或带有偏见的法律内容也可能产生重大且不利的后果,可能导致错误的法律建议、合规疏漏甚至法律责任。通过自愿遵守《暂行办法》的指导原则,法务部门可以主动降低这些风险,建立用户对AI工具的信任,并确保其在实践中的长期有效性和负责任的使用。
五、AI幻觉消除:AIGC合规管理体系
大型语言模型(LLM)的幻觉指的是人工智能生成的文本在表面上看似合理,但实际上是基于不正确、不一致或无事实根据的信息,AI助手可能会生成看似真实的案例引用,但实际上是虚构的,在法律领域,这种现象尤其危险,任何偏差都可能导致严重的后果,包括财务损失和法律诉讼。
如上所述,大型语言模型的概率性本质意味着它们基于在训练数据中观察到的模式预测下一个单词,而不是基于事实知识生成文本,这使得事实核查至关重要。
因此,法务部门应当主导应用P-D-C-A法设计并运行一套AIGC合规管理体系,会同IT部门、合规及风险管理部门、外部技术公司、外部律所有效开展AIGC的筛查、核查、抽查、审查、审计等工作,最大程度的消除AI幻觉,确保合规并降低风险。
(一)制度设计(Plan)
1.专业人员三层验证
第一层:输入内容筛查:建立法律语料准入白名单,可以接入外部的现行有效法律法规数据库;对内部业务数据使用工具实现溯源登记。
第二层:输出内容核查:
▲图五为多维度核查流程
第三层:外部法律、技术机构抽查(每季度随机抽取5%生成内容)
2.风险分级管理
(二)系统执行(Do)
实行分级内外部专业人员复合审查:
▲图六为复合审查流程
完整保存:原始提示词(prompt)及修改记录、AI助手会话记录
存储期限:一般内容自生成日起不少于5年,涉诉材料永久保存。
(三)技术检查(Check)
开放API对接第三方审查平台,审查痕迹采用区块链存证,审查结论采用电子签章(采用SM2国密算法),实现技术检查和存证自动化。
(四)监督改进(Act)
1、建立"法律-技术"定期会商制度,动态更新《AI助手合规指南》。
2、重大立法更新(如新《公司法》)须在72小时内完成本地知识库升级、审查标准调整工作。
3、实行AIGC外部审计常态化,年度必检项目:生成内容与人工审查的一致性分析(允许误差率<2%)、外部审查意见采纳率统计(目标值≥95%),并出具系统偏见检测报告(参照NIST AI RMF框架)。
4、应急处置方面,应设立AIGC内容紧急撤回通道(响应时间<15分钟),必要时设立法律风险应对准备金。
展望:AI赋能,合规护航
本地部署专属AI助手对于企业法务部门而言具有重要意义,它不仅能够显著提升工作效率,更能够在严格保障敏感法律数据安全和隐私的前提下,助力法务部门更好地遵守中国复杂的法律法规体系。展望未来,随着AI技术的不断进步和完善,其在法律领域的应用前景将更加广阔,可以预见,AI将在更复杂的法律分析、更精准的风险预测、以及更智能的合规管理等方面发挥关键作用。
同时,随着AI和数据安全领域法律法规的不断完善和明确,法务部门通过建立并有效运行AIGC合规管理体系,安全合规地利用AI技术,能够进一步促进法务AI助手的健康发展,为业务创造更大价值。
德恒律师事务所在企业合规管理体系建设、合规管理机制设计运行以及数据和AI合规领域拥有丰富的经验,能够为企业数据及AI合规提供全面服务。
德恒数据和AI合规法律服务涵盖欧盟GDPR、数据跨境流动、个人信息保护、APP隐私合规整改等全链条服务;深度参与国家级合规建设项目,牵头或参与编写《隐私计算技术应用合规指南(2022年)》《中国电子商务报告》等国家部委级立法及合规标准;团队深度研究AI技术对法律行业的影响,在“数智时代律师业务发展”研讨会上提出“AI时代律师行业多维度风险控制管理”方案。
近年来,德恒合规屡获行业殊荣,包括2023年度GRCD中国合规大奖“年度刑事卓越合规律所”、“个人信息保护与数据合规”服务获2023年第四届金线奖“非诉影响力大奖”、GCP 2024中国律所年度排名、2024年律新社《精品法律服务品牌指南(数据合规领域)》“品牌影响力律所”大奖、2025 ALB China合规业务排名榜单等。
参考文献:
1. 《个人信息保护法》
2. 《数据安全法》
3. 《网络安全法》
4. 《生成式人工智能服务管理暂行办法》
5. 《律师法》
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
