OpenClaw的数据合规机制:特殊性和共性

之前我们说到部署OpenClaw面临的数据合规问题，作为首款部署在本地的AI平台，它既非一种如同DeepSeek或千问那种本地化部署小参数大模型，又不是那种纯粹的大模型接入调用软件，更多像是一个本地化的软件，但是又与其他App或者软件系统的合规有很大的区别，我们来探讨下这种区别与共性。

一、OpenClaw与App合规的区别

个保法出台后，有段时间App的合规（处罚）非常火热。OpenClaw与App，虽同属数据合规范畴，但其在合规定位、数据来源、监管要求上存在很大的差异。OpenClaw属于企业内部应用，而App则是面向公众的应用。OpenClaw的合规主体是部署方，而App合规的的主体是开发者。

两者的差别如下：

二、OpenClaw与ERP/OA合规的区别

OpenClaw与ERP/OA等系统都是企业内部的应用，但是OpenClaw作为AI 智能体，在数据主权、审计追溯、责任边界与监管强度上也与ERP/OA 系统存在差异。一般来说，ERP/OA涉及到的数据更加广泛，而OpenClaw则更偏重于工具性的应用，并且被限制在一定的范围甚至隔离使用。

ERP/OA是就是企业管理本身，包含了企业全面的信息，而OpenClaw则是关在笼子里的野生动物，需要让它替代人工工作，但是需要防止它跑出其约束的范围，伤害到主人的人身和财产安全。

三、OpenClaw合规的特殊性

OpenClaw作为一种“豢养”的工具，其合规性存在特殊性，主要体现在以下几点：

1、数据客体

OpenClaw面向的数据对象是企业的内部数据，包括操作日志，上传数据，系统中的文件，以及要求OpenClaw操作的邮件、数据库等，其中可能包含了外部个人信息或外部数据，但没有外部的输入。

2、调用大模型的合规问题

OpenClaw自身不是大模型，它需要调用外部大模型进行分析和处理数据，OpenClaw调用大模型的合规要求是：

1）不调用境外大模型，如OpenAI、Claude，这部分涉及到数据出境的问题；

2）要调用已备案的大模型。

《生成式人工智能服务管理暂行办法》（2023 年 8 月 15 日施行）
第四条提供生成式人工智能服务应当依法履行备案或登记程序。
第八条禁止使用未依法备案的生成式人工智能服务

目前很多IT公司在使用Claude进行AI编程，从程序的角度，“出境”的数据里面包含个人信息和重要数据的可能性相对比较小，并没有出境合规的要求。

但是，因为OpenAI和Claude都对中国境内IP封锁，大部分使用的是VPN访问。注意2024年出的一条法规：

《中华人民共和国计算机信息网络国际联网管理暂行规定》（2024 修订）
第六条：国际联网必须使用国家公用电信网提供的信道，任何单位和个人不得自行建立或使用其他信道。
第十四条：违反者由公安机关责令停止联网、警告，可并处 1.5 万元以下罚款；有违法所得的予以没收。

这条法规没有真正落实，大概是因为实际“使用”的人太多，其次是一般情况下没有什么危害。但是，既然有处罚依据，就会可能存在合规的风险。

3、无法找到的责任主体

OpenClaw中引入了大量Skill，如果Skill发生数据泄露事件，原则上可以追究Skill开发人员的民事、行政甚至刑事责任。但是，SKill不同于APP和其他应用程序，App在应用市场时实名注册的，而Skill则是在官方网站（https://clawhub.ai）或Git上下载的（https://github.com/openclaw），国外的这些网站没有实名要求，注册时可能只需要提供一个邮件，根据一个账号很难找到责任主体。

因此，OpenClaw的部署无法通过第三方协议确定合规责任，也无法对开发人员进行事后追究，所有的合规责任都在部署方，部署方需要对Skill的合规性进行自我审查。

四、Skill合规审查

Skill审查的流程与App的审查类似，还是包括权限获取、个人信息采集、数据传输、告知、安全机制等，以及其恶意功能检查。

需要注意的是，因为可能使用的Skill众多，需要对每个Skill进行合规审查。

大致的合规审查点如下：

五、总结

OpenClaw 相关合规既有平台与 Skill 生态的特殊性，也遵循国内数据合规的通用共性，整体均在《网络安全法》《数据安全法》《个人信息保护法》三大法律框架内开展，核心围绕安全管控、数据出境、个人信息保护三类风险落实措施。

其特殊性体现在：Skill 插件化运行、权限动态调用、第三方技能接入、沙箱隔离运行等机制，带来了权限滥用、恶意代码、静默采集、隐蔽数据外发等高频合规隐患。其共性在于：与企业其他信息系统、业务系统的合规逻辑一致，均需满足最小必要、告知同意、安全防护、可审计可追溯等法定要求。

对企业而言，OpenClaw 并非独立合规事项，只是企业整体数据合规体系中的一个应用环节。企业只需在现有健全的数据合规制度框架下，针对 OpenClaw 特性履行相应合规义务，完善权限管控、技能审核、安全监测机制，提前修补权限越界、数据泄露、违规外发等潜在漏洞，即可实现整体合规可控。

卓建数据合规团队

卓建律师事务所数据合规团队是国内最早从事数据合规业务的律师事务所之一，卓建数据合规研究院是律所为数据合规成立的专门机构，数据合规团队有近20名DPO律师，在个人信息保护、数据出境和数据资产交易方面积累了大量的客户和案例。

李兰兰律师

13418782876

李兰兰律师，广东卓建律师事务所高级合伙人，卓建数据合规中心主任，广东省律师协会合规与风控法律专业委员会主任，深圳市律师协会数据合规法律专业委员会主任，拥有20多年法律服务经验，现专注于企业合规和数字治理设计，是国内最早从事数据合规业务的律师之一。