法律 AI 私有化部署,选型、采购、效果验收都过了,系统也跑起来了,可对政法机关和大所来说,还有最后一道、也常常是最硬的一道关:数据安全审计与等保测评能不能过。过不了,系统再好也上不了生产。麻烦在于,很多单位把它当成普通信息系统的等保来准备——做好防火墙、访问控制、日志留痕就报测评,结果被测评机构一连串「你这个训练数据哪来的、检索会不会串客户、提示注入试过没有」问住。法律 AI 有一批普通系统没有的安全风险,而这些恰恰是它最容易出事、也最容易被追问的地方。本文讲清楚:等保测评到底测什么、法律 AI 特有的六类风险怎么自查、等保三级测评的完整流程与常见扣分项,以及一份可以直接照用的过审自查清单。
一、先分清:这道关有两件事,不是一件
单位里常把「数据安全审计」和「等保测评」混着说,其实是两件事,过审前先分清,准备起来才不乱:
| 数据安全审计 | 等保测评(网络安全等级保护测评) | |
|---|---|---|
| 是什么 | 对数据的采集、存储、使用、流转、销毁全生命周期做安全核查,可以是内审、也可以是上级/客户要求的专项审计 | 依《网络安全等级保护基本要求》,按系统定级(二级/三级)由有资质的第三方测评机构做的合规测评 |
| 谁来做 | 本单位安全团队 / 内审 / 客户委托的第三方 | 有资质的等保测评机构(测评是第三方,整改是你方) |
| 硬不硬 | 看要求方,大所客户尽调、政府专项检查都可能触发 | 政法、政务系统多为刚性前置——不过测评基本不让上生产 |
| 关注重点 | 数据来源合法、隐私脱敏、权限隔离、外带防护 | 物理/网络/主机/应用/数据五层 + 管理制度,法律 AI 还要叠加 AI 特有风险 |
两者高度重叠——把数据安全审计做扎实,等保测评的数据安全部分基本也就有了证据。下面的六类风险自查,对两道关都管用;第三节再单独讲等保三级测评特有的流程和扣分项。
一句话原则:普通系统过等保,证明的是「系统不被攻破」;法律 AI 过等保,还要额外证明「就算系统没被攻破,它也不会把不该给的人、不该看的案卷、不该带的隐私,悄悄给出去」。后半句,才是法律 AI 安全审计真正的难点。
二、法律 AI 特有的六类风险:审计和测评真正会追问的
下面六类,是普通等保 checklist 上没有对应条目、但法律 AI 一旦出事就是大事的风险。挨个准备好证据,过审时你是主动的;没准备,就会被测评机构一问一个准。
| 风险类别 | 具体风险 | 要准备的证据 / 自查动作 |
|---|---|---|
| ① 数据来源合规 | 语料、法规、模型的授权链不清,来源不明的数据进了库 | 完整的数据来源与授权证明链;进库数据的分类分级台账;供应商出具的来源合法性说明 |
| ② 权限隔离 | A 客户/A 案件的材料在办 B 时被检索层召回,利益冲突墙被击穿 | 按 matter/团队/角色的检索层隔离设计文档;越权检索的测试记录;权限变更的审计留痕 |
| ③ 隐私与脱敏 | 答案或检索片段里带出未脱敏的姓名、身份证号、住址 | 脱敏规则覆盖RAG 召回内容而不只是入库时;抽样输出的脱敏核查报告 |
| ④ 提示注入与越权 | 构造提问诱导模型无视权限、泄露系统提示词或不该给的内容 | 把提示注入当一类专门红队测试:对抗性提问集 + 试探结果 + 加固记录 |
| ⑤ 审计与留痕 | 谁在何时查了什么、AI 答了什么,留痕不全或可被篡改 | 完整、不可篡改、可回溯的审计日志;日志本身的完整性监控与告警 |
| ⑥ 数据流向与外带 | 异常批量导出、非常规时段高频调用,离线边界被打破 | 导出/调用的异常检测;离线边界的网络管控证明;数据回流不等于拿客户数据训练的机制说明 |
这六类里,最容易被单位忽略、又最容易被测评追问的是④提示注入和③RAG 召回的脱敏。前者很多单位压根没测过,后者常常只在入库时脱敏、却忘了检索召回时把原文片段又原样吐了出来——脱敏做了一半,等于没做。这两点,下面各说一句。
提示注入:法律 AI 必须专门做的红队测试
法律 AI 通常带检索增强、还带一定的权限。攻击者(甚至内部越权用户)如果能通过精心构造的提问,诱导模型忽略系统设定的权限边界、把不该检索的案件材料吐出来,或在生成文书里注入误导内容,就是一次实打实的泄露或污染。自查的做法是备一批对抗性提问,专门试探四件事:诱导跨权限检索、诱导泄露系统提示词、诱导输出未脱敏内容、给出错误前提看模型会不会顺着编。这套红队记录,既是安全审计的加分项,也是幻觉与引证核验之外必须补上的一层安全侧测试。
脱敏必须覆盖检索召回,而不只是入库
很多单位的脱敏只做在数据入库那一步,以为库里干净就万事大吉。可 RAG 检索会把原文片段召回来拼进答案——如果召回和拼接这一环没有再过一遍脱敏,未脱敏的当事人信息照样会从答案里漏出去。审计时务必抽样看最终输出里有没有隐私,而不是只看库里存的是什么。
三、等保三级测评:完整流程与常见扣分项
政法、政务类法律 AI 系统多按等保三级定级(具体级别由主管部门和系统重要程度决定,须以本单位定级备案为准,别自行拍板)。测评不是一次考试,而是一条流程:
- 定级与备案:先由运营单位确定系统等级并到公安机关备案,这是一切的前提。级别定错,后面全白做。
- 差距分析(自评):对照《基本要求》逐条自查,找出未满足项,形成整改清单。法律 AI 要把上一节六类 AI 特有风险单独列进来。
- 安全整改:按差距逐项补齐——技术措施 + 管理制度两条腿。这一步花的时间最长,越早启动越从容。
- 正式测评:有资质的第三方测评机构现场测评,出具测评报告与结论(是否达标 / 得分)。
- 整改复评与持续合规:对测评发现的问题整改后复评;通过后也不是一劳永逸,系统重大变更、每年例行都要保持合规。
结合法律 AI 的特点,下面这些是测评时的高频扣分项,提前避开能少走很多弯路:
| 常见扣分项 | 为什么扣 / 怎么避 |
|---|---|
| 只做通用等保,没准备 AI 特有风险证据 | 数据来源授权链、提示注入红队、RAG 脱敏这些拿不出来,直接被追问;按第二节六类提前备齐 |
| 审计日志不完整 / 可篡改 / 存不够久 | 三级对审计留痕要求高:谁查了什么、AI 答了什么要全、不可改、留存足够周期 |
| 访问控制到了系统层,没到「检索层/matter 层」 | 系统登录做了权限,但检索仍能跨案召回,等于隔离没落地;要证明到数据颗粒度 |
| 脱敏只在入库、输出未复核 | 最终答案带出隐私是硬伤;要有输出侧抽样脱敏核查 |
| 管理制度缺失,只有技术没有制度 | 等保是「三分技术七分管理」:数据安全管理办法、人员权限审批、应急预案都要成文并执行 |
| 供应商给不出安全设计与整改支持 | 临时补文档、临时改系统最被动;选型时就把配合测评写进合同 |
四、给安全负责人的一页纸过审自查清单
报测评 / 迎审计前,把这份清单逐条过一遍,大部分被动追问能提前化解:
- 定级:系统等级是否已确定并备案?级别与系统重要程度、数据敏感度是否匹配?
- 来源:语料、法规、模型的授权链是否完整可追溯?进库数据有没有分类分级台账?
- 隔离:权限隔离是否落到检索层/matter 层?跨案越权检索的测试记录有没有?
- 脱敏:脱敏是否覆盖 RAG 召回与最终输出?抽样看过答案里还有没有隐私?
- 注入:提示注入红队测试做过没有?对抗性提问集 + 试探结果 + 加固记录齐不齐?
- 留痕:审计日志是否完整、不可篡改、留存周期够?日志自身有没有完整性监控?
- 外带:异常批量导出/高频调用有没有检测?离线网络边界的管控证明有没有?
- 制度:数据安全管理办法、权限审批流程、应急预案是否成文且真在执行?
- 供应商:安全设计说明、AI 风险自评、整改支持,合同里写了没、供应商拿得出吗?
把这九项做成过审前的固定动作,数据安全审计与等保测评就从「临时抱佛脚、被测评机构一问就慌」变成「证据先行、从容过审」。法律 AI 的安全,不是等到测评那天才证明的,而是从选型、部署、脱敏、留痕一路攒下来的证据。
五、常见问题
Q:等保测评一定要私有化部署才能过吗?用 SaaS 法律 AI 不行?
A:不是等保只认私有化,而是对政法机关和涉密/高敏感数据的大所,数据必须留在内网、不出边界,SaaS 把数据交给外部云端,天然过不了「数据不外流」这条底线,也没法向客户证明保密义务落地。所以对这类单位,私有化部署几乎是通过安全审计与高等级等保的前提。中小、非敏感场景另说。
Q:我们信息化团队不大,这么多材料准备不过来怎么办?
A:抓两个优先级。第一,通用等保部分(五层技术 + 管理制度)用成熟框架和现成工具搭,这部分和普通系统通用;第二,把精力集中在第二节的六类 AI 特有风险上,这是别人替不了、也最容易被追问的部分,尤其是数据来源授权链、检索层隔离、RAG 脱敏、提示注入红队四项。成熟供应商应当在交付时把这四项的技术文档和测试记录一并给到,大幅减轻你方准备量。
Q:通过一次等保就一直有效吗?
A:不是。等保是持续合规:系统发生重大变更(换模型、扩数据、改架构)要重新评估,通常还需按周期例行测评。更重要的是,法律 AI 会随数据更新、模型迭代持续变化,安全状态也在变——把安全审计的关键项接进日常运维监控(权限越界、异常导出、审计日志完整性),让合规从「一年一次的考试」变成「天天在盯的曲线」,才是真正稳妥的做法。
私有化部署,连过审材料一起交付
文书查提供 1.5 亿+ 结构化裁判文书私有化部署,交付时一并给到数据来源授权链证明、权限隔离与脱敏机制文档、提示注入红队测试记录与 AI 风险自评报告,配合你方数据安全审计与等保测评。数据不出内网,过审有证据。
📞 联系商务 Jack · 131 6872 7779或邮件 chenjiaxin@wenshucha.com · 查看 私有化方案详情 · API/MCP 定价
相关阅读:司法数据中台等保三级合规架构 · 法律数据怎么分类分级 · 律所私有化与客户保密义务 · 私有化法律 AI 运维监控告警 · 法律 AI 供应商尽职调查 · 律所 AI 私有化部署指南