!封面
企业接入 AI Agent,最容易犯的错,是只问一个问题:它能不能自动干活?
这个问题当然要问。但在高权限 Agent 场景里,更早要问的是另外三个问题:它拿到了哪些权限?它会碰到哪些数据?出事以后谁负责?
普通生成式 AI 的主要风险,通常出现在输出端:生成了什么内容,是否侵权,是否违法,是否误导用户。高权限 Agent 不一样。它不只是回答问题,还可能读取文件、调用浏览器、接入邮箱和日历、操作企业系统、跨应用抓取信息,甚至在后台持续执行任务。
风险从“说错话”,变成了“做错事”。
因此,我的结论很简单:高权限 Agent 上线前,先写三张清单。
权限清单。
数据清单。
责任清单。
没有这三张清单,所谓自动化,很可能只是把不确定性自动放大。
它不是更聪明的聊天框
很多企业仍然用评估聊天机器人的方式评估 Agent:回答准不准、速度快不快、能不能总结文件、能不能写邮件。
这套评估不够。
Agent 的关键变化,是它能把“理解指令”和“执行动作”连在一起。用户说“帮我整理这个项目的所有会议纪要,并给合作方发一封跟进邮件”,系统可能需要读取本地文件、搜索聊天记录、调用通讯录、生成邮件、选择收件人、点击发送。
每一步都可能触发法律问题。
读取会议纪要,涉及个人信息、商业秘密和内部管理信息。
搜索聊天记录,涉及处理目的、最小必要和授权边界。
调用通讯录,涉及联系人个人信息。
发送邮件,涉及代理行为、错误发送和对外意思表示。
如果企业只在首页放一个“一键授权”,再用一份笼统协议覆盖所有动作,风险会非常集中。
《个人信息保护法》第6条要求处理个人信息应当具有明确、合理的目的,并限于实现处理目的的最小范围。第13条列明个人信息处理的合法性基础。到了高权限 Agent 场景,问题不是有没有点过同意,而是同意是否具体到处理目的、数据范围、使用方式和持续时间。
一次授权,不应当变成长期通行证。
第一张:权限清单
权限清单要写得像开门表。
哪些门默认关闭,哪些门按任务打开,哪些门永远不能让 Agent 自己打开。
一个可用的权限清单,至少包括五列:
权限名称、触发场景、涉及数据、授权方式、人工确认节点。
比如:
读取本地文件:仅限用户主动选择的文件夹;涉及项目资料和合同文本;按任务授权;不得后台扫描全盘。
读取聊天记录:仅限用户指定会话和时间段;涉及个人信息和商业沟通;每次触发单独确认;不得默认读取历史全量记录。
发送邮件或消息:涉及对外意思表示;生成后必须人工确认收件人、附件和正文;不得默认自动发送。
调用第三方系统:涉及账号、密码、业务数据和日志;优先使用官方 API 或合作授权;不得绕过验证码、反爬或访问控制。
这张表不复杂,却能挡住很多事故。
我在 AI 夜校里讲“让 AI 动手前先写权限清单”,不是为了保守。恰恰相反,权限写清楚,AI 才能稳定动手。没有边界的自动化,最后往往会被风控、合规和管理层一起按停。
第二张:数据清单
权限解决“能不能进门”,数据清单解决“进门后碰到了什么”。
高权限 Agent 的数据流很容易被低估。它不只处理用户输入的提示词,还可能处理本地文件、聊天上下文、联系人、日程、浏览器页面、插件返回结果、运行日志、错误日志、模型优化回流数据。
这些数据不能放在一个篮子里。
至少要分五类:
用户主动输入的数据。
Agent 为完成任务读取的数据。
第三方插件或接口返回的数据。
系统运行日志和操作记录。
可能用于模型优化或产品改进的数据。
分类以后,再逐项问:是否包含个人信息?是否包含敏感个人信息?是否包含商业秘密?是否可能构成重要数据?是否会传给境外模型、境外服务器或境外插件?
《生成式人工智能服务管理暂行办法》第7条要求训练数据具有合法来源,涉及个人信息的,应取得个人同意或者符合法律、行政法规规定的其他情形。《促进和规范数据跨境流动规定》则对个人信息和重要数据出境设置了安全评估、认证、标准合同等不同路径。
所以,本地部署并不自动等于安全。
只要模型调用、插件接口、日志系统、运维支持里有境外链路,就要重新画数据流向图。
第三张:责任清单
很多 Agent 项目真正难的不是技术,而是责任切分。
一个企业内部 Agent,可能同时涉及软件提供商、模型服务商、插件服务商、系统集成商、部署企业、实际使用员工。出了问题,谁是个人信息处理者,谁是受托处理方,谁只是工具提供者,不能靠口头理解。
《个人信息保护法》第51条要求个人信息处理者采取管理制度、分类管理、加密脱敏、权限控制、安全培训、应急预案等措施。第55条还要求在利用个人信息进行自动化决策、委托处理、向他人提供、公开个人信息、向境外提供个人信息等场景开展个人信息保护影响评估。
责任清单至少要写清:
谁决定处理目的和方式。
谁保存数据。
谁能调取日志。
谁负责删除。
谁处理用户投诉。
谁承担安全事件通知义务。
谁有权使用数据优化模型。
这些问题如果不上线前谈清楚,上线后就会变成扯皮。
合同里还要特别处理一个细节:Agent 的错误动作算谁的动作?
比如误发邮件、误删文件、误提交表单、误调用接口。企业内部可以通过权限和审批减少风险,对外则要区分系统缺陷、员工指令错误、第三方插件故障、模型服务异常。每一种原因,对应的责任承担都不一样。
三条红线,不能靠“用户同意”洗掉
第一条红线,是跨平台绕规则。
用户授权不等于可以绕开其他平台的访问控制和商业规则。2025 修订《反不正当竞争法》已经把利用数据、算法、技术、平台规则等实施网络不正当竞争行为纳入规制。若 Agent 借系统权限抓取第三方平台非公开数据,影响其他经营者产品或服务正常运行,风险不会因为用户点了同意就消失。
第二条红线,是境外调用。
企业使用境外模型、境外插件、境外日志系统时,要看是否向境外提供个人信息或重要数据。不要只看“服务器在哪里”,还要看接口、运维、调试、报错日志和模型优化链路。
第三条红线,是重大影响自动化决策。
如果 Agent 参与授信、招聘、价格展示、账号处置、客户评级、案件分配等场景,就可能触及《个人信息保护法》第24条关于自动化决策透明度、公平性、拒绝权和说明权的要求。这里不能只说“系统只是辅助”。如果人工只是形式性点击确认,仍可能被认为实质上由自动化决策主导。
上线前的五件小事
第一,把 Agent 能做的动作列成表,不要只写功能介绍。
第二,按动作匹配权限,区分默认关闭、按次授权、人工确认和禁止开放。
第三,画数据流向图,尤其标出境外模型、插件、日志和运维链路。
第四,做一次个人信息保护影响评估,记录处理目的、必要性、权益影响和风险控制措施。
第五,把错误动作的处置流程写进制度:谁能暂停 Agent,谁能回滚操作,谁通知用户或客户,谁保全日志。
这些动作看起来慢,但比上线后补救快得多。
高权限 Agent 不是不能用。恰恰相反,越是要让它进入真实工作,越要先把边界写明白。法律服务在这里的价值,也不是给技术泼冷水,而是把“能做”翻译成“能长期做、能解释、能追责、能复盘”。
自动化的终点,不是把人拿掉。
是把该由人决定的边界,提前写进系统。
作者简介: 陈石律师,浙江海泰律师事务所副主任、高级合伙人、房地产与建设工程部主任,宁波市律师协会副秘书长、第七届宁波仲裁委员会仲裁员,聚焦建筑房地产、投融资、并购重组及商事争议解决。曾获多家法律媒体与专业机构认可,荣登 LegalOne 2025 中国区建工及房地产实务先锋 45 强、律新社 2025 年度管理合伙人 20 佳(华东),入选《商法》The A-List 法律精英,获评 ALB China 区域市场十五佳长三角地区律师新星,并获律新社 2024 年度并购领域品牌之星。长期为万科、华润置地、信达地产、保利置业、招商蛇口、中海地产等企业提供法律服务,承办"首宗百亿地王""长春第一高楼""台州第一高楼"等代表性项目,累计服务项目投资额超千亿。近年来持续推动 AI 与法律实务融合,强调以结构化方法打通技术逻辑、法律判断与商业场景;著有《赋能法律人:AI 底层思维与应用范式》,并在多地开展相关主题讲座与分享。四明山法师 AI 夜校(legalAGI.cn)发起人。