数据安全 + 合规
本节描述 ClawTouch 在数据接触、传输、存储、销毁全生命周期中的安全机制,以及与个人信息保护合规相关的产品能力。本节标注 v0.1 内测版,最终合规结论以正式协议 v1.0 为准。
01 · 数据分类
ClawTouch 在运行中接触三类数据,分别有不同的存储与传输策略:
| 数据类别 | 示例 | 默认存储位置 | 是否出本机 |
|---|---|---|---|
| 用户凭据 | 大语言模型 API Key(自配场景)、客户端登录态 | 本机 Windows DPAPI 加密 | 否 |
| 操作上下文 | 任务目标、屏幕状态摘要文本、执行流水 | 本机客户端目录(%USERPROFILE%\.clawtouch\) |
仅传必要摘要给大语言模型 |
| 业务结果 | 任务产生的文本输出、可导出报表 | 本机客户端目录 | 否(除非客户主动导出) |
02 · 本地优先原则
ClawTouch 的设计基线是本地优先 (Local-First)。客户端在本机完成:
- 任务的解析与规划
- 屏幕状态感知(截图、UI 元素树、OCR、视觉模型推理)
- HID 指令的下发与物理执行
- 运行日志、任务结果的存储
调用大语言模型时(无论是 ClawTouch 内置专属 AI 模型还是客户自配的 LLM):
- 仅传递必要的状态摘要文本(如可见 UI 元素文本、任务目标)
- 不上传屏幕原始截图,不传输用户文档原文
- 客户端不留存推理请求与响应到亭桥服务端
03 · 传输与存储安全
传输层
- 客户端到大语言模型 API:HTTPS(TLS 1.2+),证书校验默认开启
- 客户端到亭桥后端(账号、订阅、设备元数据):HTTPS
- 客户端到 HID 硬件:USB 物理通道
- 客户端到本机浏览器(通过 Sensor 扩展):本地进程间通信,不出本机
存储层
- Windows 凭据使用系统 DPAPI 加密(用户级密钥)
- 服务端涉及个人信息的字段(如手机号)使用 Fernet 对称加密(AES-128 + HMAC-SHA256)
- 客户端日志默认本机保留,由客户配置保留时长与清理策略
- 服务端备份位于境内云资源、加密静态存储
04 · 个人信息合规
本节为 v0.1 内测版条款,正式合规结论以律师 review 后的协议 v1.0 为准。
ClawTouch 在产品层面已落地的个人信息保护机制:
- 协议同意持久化:用户协议与隐私政策的同意状态在服务端持久化记录;重大版本变更触发重新同意流程
- 最小化收集:仅采集必要信息(账号、设备绑定、订阅、客服工单),不收集与产品无关的隐私数据
- 数据导出权:用户可一键导出账户关联数据
- 数据删除权:用户可申请账户与关联数据删除(涉及合同义务的部分按法定保留期保留)
- 跨境传输:当前无跨境数据传输;服务端与备份均在境内
合规框架与边界:
- 遵循《中华人民共和国个人信息保护法》(PIPL)、《数据安全法》《网络安全法》
- 未取得 GDPR / SOC2 / ISO 27001 等需第三方审计的认证;当前不主动声称符合上述标准
- 企业客户合作前签订主服务协议(MSA)+ 数据处理协议(DPA)+ 服务等级协议(SLA),明确双方数据处理义务
05 · 审计与可观测
| 类别 | 内容 | 位置 |
|---|---|---|
| 客户端运行日志 | 任务执行流水、HID 指令记录、错误堆栈 | 本机 %USERPROFILE%\.clawtouch\ |
| 客户端崩溃记录 | 异常退出与堆栈快照 | 本机 |
| 服务端应用日志 | 账号、订阅、设备、工单操作流水 | 亭桥后端,按月归档 |
| 服务端告警 | 应用层 ERROR / 异常自动告警 + 60 分钟冷却 | 邮件(亭桥侧)+ 微信推送(订阅用户) |
| 合规审计支持 (升级订制) |
全量操作日志按客户需求导出 | 按合同提供 |
06 · 客户侧能控的安全开关
部署到企业环境后,客户可控制以下安全维度:
- 出网白名单:客户端可配置仅允许出网到指定的大语言模型 API 域名
- 数据保留策略:客户端日志保留时长、自动清理频次
- 托管能力开关:可禁用某些托管类型(如 24 小时持续托管、循环任务)
- 管理端访问控制:小程序管理端按账号权限分级;订制桌面管理端支持多用户角色
- 离线部署(升级订制):完全脱离亭桥后端运行,详见 离线隐私部署
升级订制中可进一步提供:
- 异地登录告警 / 异常操作监控 / 多因子加固
- 全量操作日志导出(合规审计支持)
- 与企业现有 SIEM、审计系统的对接(按需开发)