我们后端这边有人用ChatGPT帮改接口 还把公司代码贴进去 这算违背保密协议吗

就你描述的情形，把含内部服务名、表结构、客户ID规则、网关地址等敏感细节的核心代码贴到公开版的 ChatGPT 网页端，合规风险高，可能构成对 NDA 的不当披露，但是否“已经违反保密协议”取决于你们NDA的具体表述、公司已公开或去标识的范围、以及平台的数据处理条款与取证结果。建议先私下向直属leader描述事实，请信息安全/法务评估，不要和同事当场争执。

把公司代码贴进 ChatGPT 网页版的风险点

• 第三方披露属性：对话会上传到服务提供商服务器，通常视为向第三方提供信息，是否属于“披露”，看NDA对“第三方”“披露”“非公开信息”定义和例外（如必要之工具/委外关系）是否涵盖此类云服务。多数公司默认不涵盖公开网页版AI。
• 数据用途与可见性：公开说明通常包含“为改进服务与安全审查而使用数据”的表述，存在被模型改进流程或人工审核接触的可能。企业版/合规版才会提供“训练豁免+数据处理协议”。可参考平台首页隐私与使用政策说明的原则性表述：openai.com。
• 敏感信息类型：内部网关地址、表结构与服务名、客户ID规则、核心业务逻辑，通常被公司认定为技术资料或商业秘密构成要素之一。是否达到“商业秘密”认定门槛，要结合“不为公众所知+具有商业价值+采取保密措施”三要件及证据。
• 跨境与行业合规：服务器常在境外，若公司受数据出境、关键信息基础设施或特定行业规范约束（金融/医疗/政务），合规要求更严，未经评估即外传属于高风险做法。

小结判断：在未与平台签署企业级DPA、未经过公司批准的前提下，把含敏感细节的核心代码贴入公开AI，合规风险高，现实中经常被认定为违反内部信息安全制度，是否构成违反NDA/商业秘密泄露需结合条款与损害结果审查。

风险大小与“商业秘密”层级的实际把握

• 技术与运营风险
  • 潜在暴露面：人工审核、日志留存、模型改进流水线。平台不会“主动出售你的代码”，但“被接触/被用于改进”的链路很难由个人证明完全为零。
  • 复现外泄风险：被训练后在他人会话中“原样吐出”的概率通常较低，但不能排除特征性标识（服务名/表结构）被记忆的可能性。
• 法务与处分趋势（企业内部常见做法，非定论）
  • 无敏感字段的片段：多为警示+培训。
  • 含架构/表结构/内网地址但未造成外部影响：可能书面警告、绩效扣分、调岗，个别公司会严厉处分。
  • 出现客户数据或被外部识别到：从严处理，可能解除劳动关系并评估损失。
• 商业秘密与刑责门槛
  • 是否构成商业秘密，要看公司是否采取了实质保密措施（权限隔离、标注、制度与培训）。
  • 刑事层面的追责需要较高门槛（例如需有重大损失等情节）。多数公司案件停留在内部合规与民事层面处置。这里不做具体损失金额与入罪阈值的断言，应由公司法务按证据评估。

先沟通还是直接举报：更稳妥的路径

• 建议优先找直属leader私下说明（保留时间点、客观描述，不下定性），理由：
  • 让团队先自查界定影响范围，决定是否上报信息安全/法务；
  • 形成“已内部沟通”的记录，避免你被质疑事后不作为。
• 同步或随后建议信息安全介入
  • 由信息安全组织技术溯源：关键词检索、代码片段相似性、访问与上传日志，评估是否需更换密钥、轮换网关、调整白名单。
  • 如团队迟迟不作为，可走合规举报通道，描述事实与风险点，无需指名个人，由专业部门取证。
• 不建议做的事
  • 不要与同事正面冲突或当场指责；
  • 不要为“验证风险”再把代码贴去其他AI平台；
  • 不要对外扩散此事细节。

可参考你们现有制度与培训材料；若没有成文规范，建议由信息安全/法务尽快出台AI使用红线与豁免清单。

公司与个人可以怎么补救与预防

• 立即补救（由信息安全牵头）
  • 列表化梳理被贴出的信息类型：是否包含凭证、内网域名、客户识别规则。
  • 若涉及密钥/内网地址：紧急轮换、收敛访问策略、应用侧撤除调试端点。
  • 评估是否通知关键客户或上级合规接口人（视影响级别决定）。
• 制度与工具
  • 明确分级数据清单：哪些严禁外传（客户数据、密钥、内网地址、核心代码）、哪些需脱敏、哪些可在批准后用企业版工具处理。
  • 采购或启用企业合规版：如具有“数据不用于训练”“域名白名单”“日志可审计”的企业级AI工具或私有化部署；将公开网页版列入拦截名单。
  • DLP/网关策略：关键词与指纹检测，防止敏感代码片段外流。
  • 开发流程：在代码审查与提交模板中加入“第三方AI使用”勾选与说明。
• 开发者侧安全做法
  • 只在公司允许的合规渠道使用代码助手；
  • 必要时采用最小片段、先做脱敏与抽象（去除服务名/表结构具体名/网关/客户识别规则），避免上传可识别特征；
  • 用“伪数据/抽象接口描述”寻求算法与性能建议，再在内网自行落地验证。

该不该现在就定性“违规”与如何记录自保

• 是否“已违反NDA”由公司法务结合条款、事实与证据判断。个人在沟通中宜用“高风险/疑似不当披露”的表述，避免先行定性。
• 自保要点
  • 记录看到行为的时间与场景、你与leader沟通的时间与要点；
  • 不扩散、不转发敏感截图，必要时仅向有职责的合规人员提供；
  • 保持客观中立，聚焦风险与补救，不做动机猜测。

如需查阅监管层面对数据安全与网络安全的原则性要求，可参考国家网信办与工信部发布的相关指引框架：https://www.cac.gov.cn/ 与 https://www.miit.gov.cn/。上述链接仅作为政策方向参考，实际合规以公司制度、客户合同和已签署的NDA/数据处理协议为准。

本文不构成法律意见，也不对具体处分、损失金额或刑责作出结论。涉及合同违约、商业秘密认定、是否触及刑事门槛等问题，需由公司法务结合完整证据、客户与监管要求评估后决定。建议当事人和管理者在公司正式流程下推进处置。

我觉得楼上分析挺细的，不过还得提醒你一句，平时别光盯着“是不是公开媒体”，AI 平台背后的算法训练可不是单纯的数据库靠人工审查那么简单。有些普通用户版的ChatGPT数据确实会被用来训练模型，哪怕打开了“不保存历史”的选项也不一定完全安全。尤其你们贴的这种核心订单系统代码，里面有内部规则和接口信息，算挺敏感的了。万一这段代码被某个恶意第三方截取，风险很难评估。我个人就是过来人的经验，你要是怕影响同事关系，先跟直属领导私下说说，再让信息安全部门介入比较稳妥。毕竟做技术的，代码属于公司机密，随便贴外面就有点拿生命开玩笑的味道……别太心软，这事儿做好预防很关键。