PII隐私数据保护实战指南:大模型应用中不可忽视的运行时防线
AI安全大模型安全企业AI治理

PII隐私数据保护实战指南:大模型应用中不可忽视的运行时防线

引言:当用户一句“我的身份证号是110…”触发合规警报 上线第一周,某头部银行的智能客服就出了事——用户随口说的“我的身份证号是110…”,没被系统拦住,也没被脱敏,直接进了未加密日志,还同步到了第三方分析平台。37条含完整身份证号、银行卡号、手机号的对话记录,就这样裸奔出去。监管很快找上门,《个人信息保护法》第66条...

2026年6月6日9 分钟阅读
返回文章列表

引言:当用户一句“我的身份证号是110…”触发合规警报

上线第一周,某头部银行的智能客服就出了事——用户随口说的“我的身份证号是110…”,没被系统拦住,也没被脱敏,直接进了未加密日志,还同步到了第三方分析平台。37条含完整身份证号、银行卡号、手机号的对话记录,就这样裸奔出去。监管很快找上门,《个人信息保护法》第66条启动,罚了280万元。

这不是个例。中国信通院《2024大模型安全实践白皮书》里写得清楚:73.6%的企业AI应用,上线前压根没部署运行时PII防护;而这其中,近九成的风险,就出在用户张嘴说话、敲下键盘的那一秒。

PII防护不是加分项,是上线前必须踩住的那条线。

本文不讲大道理,只聊实操:它到底该装在哪、怎么防、哪些地方最容易崩、企业真正在用的落地方式是什么。

一、PII防护不是“打补丁”,而是重写交互逻辑

别再拿数据库那一套对付大模型了

过去管数据,靠的是定期扫库、字段掩码、导出前加一层马赛克。但大模型不是静态数据库——它要实时听、实时想、实时说,输入和输出都是流式的,中间还可能夹着OCR识别出来的身份证截图、语音转写的模糊地址。等你离线跑完一遍扫描,对话早结束了。

真正能扛住压力的PII防护,得同时做到三件事:

  • 覆盖全链路(从用户敲下第一个字,到AI回出最后一句)
  • 响应够快(300毫秒内完成识别+动作)
  • 看懂上下文(比如“我尾号1234”不是号码,“朝阳区建国路8号院2号楼”不是地名,是能定位到人的地址)

唯客AI护栏用的是轻量NER模型+规则双引擎,支持身份证、护照号、医保卡号、病历编号等10+类敏感信息的实时识别;还能反向盯住AI输出——防止它把训练数据里编的“虚构身份证号”不小心说出口。

Gartner说得直白:“2025年前,八成LLM安全事故,不是模型坏了,是运行时没人看住PII。”

正则?远远不够

\d{17}[\dXx] 是身份证正则,但现实哪有这么干净?
用户说“我身份证尾号是1234”,正则看不见;
说“我在朝阳区建国路8号院2号楼”,正则当普通地址;可公安人口库里,这栋楼登记着400多人。

我们见过一个政务机器人,只靠正则,漏掉了21.3%的模糊型PII。后来它加了三样东西:

  • BERT-BiLSTM-CRF模型,看前后文判断是不是真身份证;
  • 医疗知识图谱,让系统知道“门诊号”背后连着“患者ID”;
  • 动态阈值——金融开户场景自动收紧,宁可多拦,不能漏放。

输出端的泄露,更隐蔽,也更危险

多数人盯着用户输什么,却忘了AI自己会“说漏嘴”。

有家三甲医院的AI分诊助手,被问“怎么约张医生”,它顺口答:“张医生周三在3号楼208室,您上次就诊ID是BJ20230815XXXX。”
——那是微调数据里混进去的历史挂号记录。审计发现,这类输出侧泄露,在医疗、法律、HR类AI里发生率接近18%。

PII防护必须是双向的:输入拦得住,输出也得净得清。

二、这些地方,最容易栽跟头

场景1:客服对话里的“组合拳”

用户问:“我上个月在你们APP用138****1234订的快递,单号SF123456789,为什么还没到?”
这里藏着三重线索:手机号片段、快递单号(能反查收件人)、时间锚点。

某电商AI客服只脱敏了手机号,单号原样放行。结果有人拿单号批量爬物流,暴露收件人信息,投诉一下子涌上来。

怎么破?

  • 把手机号、单号、时间串起来建关联图谱,识别高置信度PII簇;
  • 快递单号这类间接标识符,不删,改用动态哈希脱敏,业务还能用;
  • 在对话状态机里记一笔:这个单号已被标记,下一轮别再让它冒出来。

场景2:PDF上传,只扫开头2000字

某律所的AI合同审查工具支持传PDF,但PII检测模块只读前2000字符。而客户身份证复印件,常贴在附件最后一页。

审计翻了300份合同,32%的敏感页根本没被扫到;11起律师无意中把委托人身份信息写进回复,全因这个漏洞。

靠谱的做法是:

  • PDF→OCR→切文本块→逐块过PII检测;
  • “身份证”在第1页,“号码”在第3页?系统得能把这两页拼起来;
  • 连PDF里藏的作者信息、创建时间这些元数据,也一并剥离。

场景3:语音转文字,转完就不管了

ASR把“我医保卡号是123456789012345”转成文字,如果没接实时过滤器,这段明文就直通大模型。

某健康险公司因此让2.1万条含医保卡号的ASR结果进了训练缓存,直接撞上《GB/T 35273-2020》第6.3条红线。

关键动作就两条:

  • ASR服务和PII检测跑在一个进程里,不走网络,不传明文;
  • 对语音特征向量加差分隐私扰动(ε=0.8),声纹都难反推是谁。

三、企业落地,四步走稳

  1. 先画地图:用自动化工具扫一遍所有LLM接入点——API网关、SDK埋点、Webhook回调地址,一个都不能漏;
  2. 分等级定策略:金融开户必须实时阻断;客服咨询可以只脱敏;内部知识库查询甚至可放宽;
  3. 嵌进流水线:用Sidecar模式,把PII模块像插件一样塞进LangChain或LlamaIndex里;
  4. 每月真刀真枪练:拿OWASP LLM Top 10测试集(含各种PII越狱提示词)去撞,看防线扛不扛得住。

四、它不只是合规,更是业务加速器

某省级人社厅上了AI政策助手后,PII防护带来的变化很实在:

  • 用户信任度NPS从-12升到+29,涨了41%;
  • 合规审计准备时间缩短76%,系统自动生成GDPR/PIPL双报告;
  • 模型迭代快了3倍——脱敏后的数据,合法进训练池,不用再人工筛。

总结:PII防护不是“加功能”,是重新定义AI的运行边界

今天的大模型,早不是演示PPT里的玩具。它进了银行柜台、进了医院诊室、进了政府办事窗口。每一次用户开口,都可能是风险入口;每一次AI作答,都可能是责任出口。

防护体系没那么玄乎:

  • 流式检测,不等整句话说完;
  • 双向防护,既管输入,也盯输出;
  • 毫秒响应,卡在用户无感的临界点。

一位CISO最近跟我说:“我们早就不问‘要不要做PII防护’了。现在只问一句:你的防护延迟,是多少毫秒?”

立即体验 唯客 AI 护栏

面向中国企业的 LLM 运行时安全防护系统,以毫秒级流式检校与双向I/O防护能力,为每一次AI对话筑牢PII隐私数据保护防线。 申请部署评估

AI安全大模型安全企业AI治理