Prompt-Eligibility：数据分类中缺失的那一列

调出你公司的数据分类政策。公开、内部、机密、受限——四个整齐的层级，每一个都映射到一组访问控制和一份批准的存储位置清单。现在问一个该政策从未准备回答的问题：这些层级中，哪些允许以发送给第三方模型 API 的 Token 序列的形式离开公司边界？

答案几乎总是沉默。这并非因为政策本身有误，而是因为它是不完整的。当今使用的每种分类方案都是为一种访问向量设计的，即询问“该员工是否被允许读取这一行？”Prompt 层引入了一个完全不同的向量：一个获得授权的服务读取了该行，将其转换为 Prompt，并将其跨网络传输给一个供应商，而该供应商可能会记录它、在其上进行训练，或将其以明文形式保存三十天。这些都不属于读取权限范畴。这些都不在覆盖范围内。

这就是缺失的一列。在你添加这一列之前，你的数据分类文档只是在自信地宣称一种你实际上并不具备的控制态势。

读取权限不等于外发资格

核心概念错误在于将“调用服务有权获取此字段”视为唯一需要关注的检查。当目的地是数据库连接（Join）、内部微服务或你自己基础设施中的日志行时，这是唯一重要的检查。一旦目的地变成 api.openai.com 或 api.anthropic.com，就会出现四个新问题，而读取权限无法回答其中任何一个。

第一：供应商是否保留 Prompt？大多数供应商默认的消费者条款允许出于滥用审查的目的将日志保留三十天或更长时间，有些甚至为了改进服务而永久保留。企业级层级可以协商缩短至七天或零天，但前提是你签署了协议，且仅适用于该协议涵盖的产品。例如，Anthropic 最近将默认的 API 日志保留期从三十天降至七天，并仅向符合条件的企业客户且仅针对特定的 API 产品（而非所有与 Claude 端点通信的产品）提供真正的零数据保留。

第二：Prompt 是否会进入训练集？即使“不对客户数据进行训练”是付费 API 层级的默认设置，这种承诺也是合同层面的，而非架构层面的。它仅适用于数据处理协议（DPA）中指名的产品和账户。使用个人 API Key 开发的侧边项目不在覆盖范围内。在采购部门完成审查之前，团队注册的新产品线也不在覆盖范围内。

第三：Prompt 在物理上降落在哪里？一名美国居民客户的数据通过欧盟托管的网关路由到美国托管的模型，这跨越了两个司法管辖区。这种跨越是否合法取决于传输机制（如标准合同条款 SCCs、充分性认定、后隐私盾框架），而你的读取权限 ACL 对此一无所知。

第四：还有谁在传输过程中看到了字节流？内联 DLP 网关、可观测性供应商、Prompt 注入扫描器和分析工具都可能在 Prompt 到达模型之前对其进行处理。每一个都是独立的子处理器，每一个都需要自己的 DPA，而且每一个对于构建 Prompt 的应用程序代码来说都是不可见的。

读取权限无法回答这些问题。Prompt 资格（Prompt-eligibility）是数据敏感性以及目标合同的函数——而目标合同是一个随供应商 SKU 变化的动态目标。

Prompt 资格层级长什么样

解决方案不是在现有的分类方案上贴上警告标签。解决方案是增加一个平行的分类——称之为 Prompt 资格（Prompt-eligibility）——它是计算出来的，而不是声明出来的，它最终解析为一份允许的模型端点列表，而不是一份允许的用户列表。

一个可行的方案包含三个或四个层级，每个层级都附带合同要求：

• Open (公开)：对任何模型都具备 Prompt 资格，包括消费者级 API 和未经验证的供应商。公开的营销文案、文档、开源代码。
• Bounded (受限范围)：仅对签署了 DPA 的供应商具备 Prompt 资格，该协议需禁止对输入进行训练，并将保留期限制在记录的时间窗口内。大多数内部业务数据、非公开路线图、去除了标识符的客户沟通内容。
• Restricted (限制性)：仅对拥有涵盖所使用的特定 API 产品的有效零数据保留协议的供应商具备 Prompt 资格。PII、财务记录、员工数据、包含机密处理逻辑的源代码。
• Prohibited (禁止)：无论合同如何，对任何外部供应商都不具备 Prompt 资格。身份验证密钥、原始持卡人数据、供应商无法证明合规的司法管辖区内的受监管医疗数据、任何受出口管制覆盖的内容。

关键在于，“限制性”不仅仅是数据本身的属性。它是一个以数据层级和模型端点为参数并返回允许/拒绝的函数。同一个字段——例如员工的家庭住址——对于自托管的 Llama 实例是具备 Prompt 资格的，对于启用了 ZDR（零数据保留）的 Azure OpenAI 部署也是具备 Prompt 资格的，但对于公开的 OpenAI API 则不具备 Prompt 资格，即使该公司已经为另一种产品签署了企业合同。

加载中…