PII隐私数据保护实战指南:大模型应用中不可忽视的运行时防线
AI安全大模型安全企业AI治理

PII隐私数据保护实战指南:大模型应用中不可忽视的运行时防线

引言:当用户一句“我的身份证号是110…”触发合规警报 上线第一周,某头部银行的智能客服就出了事——用户随口说的“我身份证号是110…”,连同银行卡号、家庭住址一起,没被拦住,也没脱敏,直接进了没加密的日志系统。372条含完整个人身份信息(PII)的对话记录就这么存了下来。结果,《个人信息保护法》第66条启动,罚了28...

2026年5月28日8 分钟阅读
返回文章列表

引言:当用户一句“我的身份证号是110…”触发合规警报

上线第一周,某头部银行的智能客服就出了事——用户随口说的“我身份证号是110…”,连同银行卡号、家庭住址一起,没被拦住,也没脱敏,直接进了没加密的日志系统。372条含完整个人身份信息(PII)的对话记录就这么存了下来。结果,《个人信息保护法》第66条启动,罚了280万元,AI外呼业务停了两周。

这真不是个例。中国信通院《2024大模型安全治理白皮书》里写得清楚:73.6%的企业大模型应用,在POC阶段就暴露出PII泄露风险;其中超六成,问题出在运行时根本没防护。

PII保护,早就不是“要不要做”的选择题了。它是大模型真正跑进业务前,必须踩实的一块地。

本文写给CTO、CISO和一线AI工程负责人——不讲虚的,只聊怎么在真实对话流里守住PII:哪些地方会漏、为什么漏、用什么技术能卡住,以及怎么在生产环境里稳稳落地。

一、什么是PII?法律写了什么,现实又补了什么

法律怎么说

《个人信息保护法》第四条定义PII为“以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息”。听起来宽泛,但实际执行中,它早就不止于身份证号、手机号、人脸这些“标准答案”。

大模型让边界模糊了。比如用户问:“我爸在协和医院做的肺癌手术,医保报销比例多少?”
模型答:“协和医院+肺癌+父亲”——三者拼在一起,哪怕没提姓名、没报身份证,也构成了可定位到具体人的间接PII。2023年网信办通报的医疗APP案例,就是这么栽的。

大模型让PII更难防的三个原因

  • 记太牢:微调时喂过的数据,可能在某次回答里冷不丁冒出来
  • 串太准:第一轮你说“我叫张伟”,第三轮提“我工行卡尾号8866”,模型自己就给你连上了
  • 编太真:用户没给身份证号,它倒好,凭空生成一个“11010119900307251X”——校验都过得了,监管照样盯你

AIIA实测过:没开PII防护的Dify+Qwen2-7B,平均每127次对话就漏一次PII,其中四成以上,是模型自己编的。

二、怎么防?从正则表达式,到真正理解上下文

正则和词典,为什么越来越不够用

以前靠^1[3-9]\d{9}$抓手机号、靠身份证校验码算法筛号码,现在早顶不住了:

  • 用户写“138-****-5678”,正则就歇菜;
  • 说“我老公的工行卡尾号8866”,词典根本认不出这是银行卡信息;
  • 一套规则扫20多类PII,光匹配就得180ms——对话要流式响应,哪等得起?

现在靠什么?模型看懂句子,不只看字符

主流方案用的是BERT-BiLSTM-CRF混合结构,分三层干活:

  • 字符层:盯住“****”前后有没有数字、位置对不对
  • 词层:识别“工行卡”“社保卡”“学籍号”这类线索词,再顺藤摸瓜找数字
  • 句层:判断这句话到底想干啥——是查医保,还是教人伪造医保卡?

它能认10多种PII:身份证、护照、港澳通行证、医保卡号、学籍号、VIN码、电子病历ID……
还能跨轮对话自动绑人:第一轮“我妈叫李梅”,第五轮“她社保卡号是123…”,系统知道,这是同一个人。

三、真实世界里,PII是怎么漏的?

场景1:开发者调试时手滑输入

政务大模型测试中,工程师输了一行:“用张三(身份证110101199001011234)模拟申请公租房”。
模型回得干脆:“已为您用张三(身份证110101199001011234)提交申请。”
——输入侧毫秒级脱敏,是唯一解:原始输入进来,立刻变成“用张三(身份证[REDACTED])模拟申请公租房”。

场景2:模型自己编,还编得有模有样

用户问:“上海哪家三甲医院做甲状腺手术好?”
模型答:“瑞金医院(地址:上海市黄浦区瑞金二路197号)专家王建国(执业证号:110310105001234)推荐……”
这个执业证号,用户没提,模型自己造的,但格式完全合规。输出侧必须启动双向防护:进来的要审,出去的更要拦。

四、企业真正在乎的,是能不能私有、能不能扛住、能不能查

  • 所有识别模型、脱敏规则、词典,全跑在客户自己的VPC里,敏感数据一步不出域
  • 每次脱敏操作,自动生成W3C标准Provenance记录,等保2.0三级日志要求,直接满足
  • 唯客AI护栏在4核8G的普通节点上,端到端检校延迟压到280ms以内,撑住1000QPS并发,不拖慢对话

五、别从零建,按这四步走,三个月内见效果

  1. 先画地图:把API网关、向量库、日志系统、监控平台全列出来,标出所有可能接触PII的地方
  2. 再定策略:身份证号必须替换,邮箱可以只掩掉中间几位,不同数据,不同狠劲
  3. 小步试错:先切5%流量上线,盯着拦截率,也盯着误伤率——别让客服突然答不上来话
  4. 持续调优:看Dashboard里TOP10 PII类型分布,哪个冒头了,就去喂新样本、调阈值、换模型

总结:PII防护不是加个插件,是重建对话的信任链

今天的大模型,已经不是实验室玩具。它接真实用户、读真实数据、写真实反馈。PII防护,也不再是安全部门贴个标签的事。
它要求安全团队懂点NLP,合规同事能看懂技术边界,工程同学得把输入、推理、输出、存储全链路串起来——缺一环,就可能崩。

唯客AI护栏做的事很实在:10+类PII,毫秒识别;上下文能关联,脱敏不割裂;私有化部署,流式响应不卡顿。目前,它已经在200多家中国企业里,成了那道看不见、但离不了的防线。

立即体验 唯客 AI 护栏

面向中国企业的 LLM 运行时安全防护系统,以双向防护与毫秒响应能力,为每一次AI对话筑牢PII隐私数据保护防线。 申请部署评估

AI安全大模型安全企业AI治理