我们公司投标合同直接丢给某AI润色没打码 会有风险吗在线等

昨晚加班到十点,在南京玄武这边办公室赶投标,领导让我把一份合同文本丢进某家号称“智能合同润色”的网页AI里,让它检查条款漏洞。我当时图快,没做脱敏,甲乙方的公司全称、统一社会信用代码、联系人手机号、项目金额都在,甚至附件里有对方盖章扫描件。 现在回过味儿有点慌。那个网页是国外服务器,登录就一个手机号验证码,也没企业协议。我刚去看它的隐私政策,写得挺虚,什么“用于模型优化”,也没看到数据删除入口。我担心两件事:1)这份合同会不会被当训练数据,之后在别的用户那里被“复述”出来?2...

Viewed 0

昨晚加班到十点,在南京玄武这边办公室赶投标,领导让我把一份合同文本丢进某家号称“智能合同润色”的网页AI里,让它检查条款漏洞。我当时图快,没做脱敏,甲乙方的公司全称、统一社会信用代码、联系人手机号、项目金额都在,甚至附件里有对方盖章扫描件。

现在回过味儿有点慌。那个网页是国外服务器,登录就一个手机号验证码,也没企业协议。我刚去看它的隐私政策,写得挺虚,什么“用于模型优化”,也没看到数据删除入口。我担心两件事:1)这份合同会不会被当训练数据,之后在别的用户那里被“复述”出来?2)对方公司信息和公章影像算不算泄密,万一对方追责或者法务审计问起来怎么说?

我已经把那文件从浏览器历史和本地删了,但不知道有用没。有没有人遇到过类似情况,需不需要立刻邮件联系平台删数据,或者走报警/网信投诉?公司要不要自报给法务合规,风险到底多大,求懂的指条路。

1 Answers

你的操作确实存在风险,而且风险主要集中在两点:合同数据可能被用于模型训练并在其他场景被“复述”,以及对方公司信息和公章影像已构成事实上的信息泄露。浏览器和本地删除没用,数据已经在对方服务器上。

风险到底有多大,拆开看

第一个问题:合同会不会被“复述”出来?

会,而且概率不低。你描述的那个网页只靠手机号验证码登录,没有企业数据隔离协议,隐私政策里又写“用于模型优化”,这基本等于告诉你——上传的文本会被拿去训练、微调或至少作为上下文缓存。国外已有案例,某公司财务把内部报表丢进免费AI,两周后另一用户在提问类似问题时,AI吐出了前者的部分数字和公司缩写。

项目金额、甲乙双方公司全称、统一社会信用代码这三样组合在一起,已经能精准定位是哪家公司、哪笔交易。如果这个AI服务没有做严格的数据隔离(从你的描述看大概率没做),你的合同片段可能在近期就被其他用户“问出来”。

第二个问题:算不算泄密,万一追责怎么说?

算。统一社会信用代码是公开的,但对方盖章扫描件、联系人手机号、项目金额,这些属于对方的商业秘密和个人信息。你把它们交给了没有签署保密协议的第三方境外服务器,在《个人信息保护法》和《反不正当竞争法》框架下,至少是违规操作。如果对方公司在合同中明确有保密条款,你方已经构成违约。法务审计问起来,这事没法含糊过去。

现在需要做的几件事,按紧急程度排

  1. 立刻截图保存那个网页的所有信息:域名、登录界面、隐私政策全文、上传页面的功能描述、当时的手机号验证记录。这些是你之后自证“上传行为属实且非恶意”的关键材料。浏览器历史虽然清了,但只要你还记得域名,现在马上搜出来截。

  2. 邮件联系平台要求删除数据,即使他们不回复:找到网站的联系方式或隐私政策里提到的联系邮箱,发一封正式邮件,写明你于什么时间、通过哪个账号、上传了包含商业秘密的文件,要求立即删除并书面确认。哪怕对方石沉大海,这封邮件本身是你“采取了补救措施”的证据。发完后把所有往来邮件存档。

  3. 评估是否需要向公司合规或法务汇报:这是最让人纠结的一步,但判断标准其实很明确——看这份合同是否已进入投标实质性阶段。如果还在初期询价、市场调研阶段,风险相对可控,你可以先自行采取前两步,同时观察24-48小时内对方网站是否有异常(比如网站无法访问、数据泄露曝光等),再决定是否上报。但如果已经进入正式投标、商务谈判或涉及标底金额、核心技术参数,今天之内要向直属上级和法务同步情况。瞒着不报的后果比主动汇报严重得多。

向公司汇报时怎么说

别只说“我犯错了”,要带着方案去。可以这样组织沟通:

  • 说明事实:时间、网页名称、上传内容(列清单,不回避公章扫描件)、当时为什么这样做(领导要求赶标书)
  • 说明已采取的措施:已发邮件要求删除、已截图留证
  • 给出你判断的风险等级:基于无企业协议、境外服务器、隐私政策含糊这三点,判断为中等风险,但不排除数据被用于训练的可能
  • 提出下一步建议:是否需要法务向对方发送正式删除函、是否需要知会甲方(如果合同中有保密条款且已签署)

要不要报警或网信投诉

暂时不需要。目前没有证据表明数据已被恶意扩散或用于诈骗,报警不会立案,网信投诉的受理周期也长,不适合作为第一反应。但如果出现以下情况,立刻拨打 12377 举报:

  • 你发现该网站确实将数据用于公开训练集
  • 对方公司信息被第三方获取并联系你们
  • 甲方因此事提出违约追责,需要行政记录作为证据链

你可以通过 中央网信办举报中心 提交在线举报,同时保留拨打 110 的权利——但这步等明确伤害发生后再走。

以后怎么避免同类问题

  • 合同类文本上传给任何AI前,至少做这4步脱敏:公司全称换成“某公司”、金额换成“XX元”、联系方式全删、公章和签字页不要传
  • 网页AI没有企业版协议和私有化部署选项的,一律按“上传即公开”看待
  • 让公司IT或法务提前指定1-2个合规的AI工具(有国内数据驻留、有企业保密协议),不要在加班时临时找陌生网页工具

这件事风险真实存在,但还没到不可控的程度。你现在最该做的不是反复后悔,而是把上面前两步立刻执行,同时冷静判断是否需要今天汇报——判断依据是这份合同的商务敏感性,不是你的恐惧。