OORT Flows · 负责任 AI
AI 隐私、合规与安全承诺
OORT Labs 对 OORT Flows 中的所有 AI 功能实施正式的隐私、合规与安全政策,符合巴西(LGPD、第 2338/2023 号法案)及海外(GDPR、欧盟 AI 法案、CCPA)的监管要求以及主要的国际技术标准。
最后更新: 2026 年 4 月 12 日版本: 1.0
声明
本文档描述 OORT Labs 的 AI 治理计划,应与 OORT Flows 隐私政策 及 使用条款 一并阅读。
1.我们的承诺
OORT Labs 在构建企业级 AI 智能体时,坚持 信任、隐私与安全不可妥协 的原则。OORT Flows 中的每一项 AI 能力均依据正式的负责任 AI 计划进行设计、运营与审计,覆盖系统的完整生命周期。
2.负责任 AI 原则
- 以人为本、隐私设计、默认安全;
- 透明性与可解释性、公平与非歧视;
- 问责制:OORT(处理者)与客户(控制者)角色清晰;
- 技术稳健性:回归测试、红队演练及对提示注入、数据外泄的防护;
- 绝不使用客户数据训练我们的模型。
3.巴西法规
OORT Labs 完全遵循 LGPD(第 13.709/2018 号法律),并提前满足 第 2338/2023 号法案(巴西 AI 法律框架)的义务:风险分类、算法影响评估(AIA)、解释权与人类复核权、主动透明性以及内部治理。
4.国际法规
4.1.GDPR — 条例 (EU) 2016/679
对于欧洲经济区的数据主体,我们完全遵循 GDPR:第 6、9 条法律依据、与次级处理者签订 DPA、SCC、数据主体权利及 72 小时违规通知。
4.2.欧盟 AI 法案 — 条例 (EU) 2024/1689
OORT Flows 按基于风险的方法与欧盟 AI 法案保持一致:
| 风险类别 | OORT Flows 立场 |
|---|---|
| 不可接受的风险 | 设计上禁止。 |
| 高风险 | AIA、强制人工监督、扩展日志与合格性评估。 |
| 有限风险 | 强制透明性,合成内容标识。 |
| 最低风险 | 治理最佳实践与标准日志。 |
4.3.CCPA / CPRA 及其他司法管辖区
对于加州居民适用 CCPA/CPRA。在适用时也遵守 UK GDPR、PIPEDA、Ley 25.326、Ley 1581/2012、APPI 与 PDPA 等。
5.技术框架与标准
- ISO/IEC 42001:2023、ISO/IEC 27001/27701、ISO/IEC 23894:2023;
- NIST AI RMF 1.0、OWASP LLM Top 10、MITRE ATLAS;
- SOC 2 Type II。
6.风险分类与影响评估
每个流程按风险等级分类,决定是否需要 AIA/DPIA、日志深度、强制人工复核点、敏感数据限制及内部审计频率。
7.治理与人工监督
- 内部 负责任 AI 委员会;
- 指定的 AI 技术负责人;
- 可配置的 人工审批节点;
- AI 可接受使用政策;
- 隐私、安全与 AI 伦理的 强制培训。
8.透明性与可解释性
- 每次执行生成详细日志;
- 清晰展示所选提供商与模型;
- 按法规要求标识合成内容;
- 可审计的日志导出;
- 为自动化决策生成易于理解的解释。
9.AI 处理中的数据安全与隐私
- 静态加密(AES-256)与传输加密(TLS 1.2+);
- 租户之间隔离;
- 管理员强制 MFA,企业租户 SSO/SAML/OIDC;
- 与 AI 提供商在可行时签订 *零数据保留* 条款;
- 发送给外部模型前应用敏感数据过滤;
- SAST、DAST、SCA、密钥扫描与 LLM 红队演练;
- 与 LGPD/GDPR 对齐的事件响应计划。
10.数据主体权利与联系方式
- DPO: [dpo@oortlabs.com]
- 负责任 AI 委员会: [ai-governance@oortlabs.com]
- 隐私: [privacy@oortlabs.com]
- 安全: [security@oortlabs.com]
OORT Labs — 保留所有权利。