我们的运营原则
法律AI处于三大严苛隐私制度的交汇处:律师-客户特权、职业责任规则以及现代数据保护法律。我们在平台的每个环节进行设计——包括公开网站、AI Suite、Sovereign Suite以及我们的咨询项目——以遵守上述三项要求。我们公开我们的做法,对所声称的内容进行认证,并在追求某项目标而尚未实现时如实说明。
我们如何保护您的数据
加密
传输中: 所有客户端/服务器流量采用TLS 1.3。
静态存储: 所有存储数据(包括对话历史、提交内容及上传文件)采用AES-256加密。
字段级: 敏感字段(认证令牌、API密钥)在存储加密之外,于应用层进行额外加密。
数据驻留
Lawra托管SaaS运行于Google Cloud(Firebase),为有特定驻留要求的客户提供多区域能力。Sovereign Suite部署运行于您自己的基础设施内——您的数据驻留地,您的安全边界。
访问控制
基于角色的访问控制,每项管理操作均有审计日志。支持客户自管身份。Sovereign Suite可与您律所现有的SSO和信息隔离系统集成。
审计追踪
每条提示、每项AI输出、每份引用文件——均记录用户、事务、时间戳。发现程序、律师协会调查及内部调查无需事后补建可见性。日志按客户策略保留,可按需导出。
特权保护
事务级数据隔离:一个事务的文件和对话绝不会进入另一事务的提示。特权工作成果被标记并独立存储。AI使用披露可按司法管辖区进行配置。
事件响应
定义明确的事件响应程序,具有明确角色分工、沟通模板及客户通知承诺。每季度进行桌面演练,每年开展渗透测试,摘要报告可在保密协议下提供。
认证与合规
我们今日所处的位置、我们的前进方向,以及透明的时间表。我们不声称未持有的认证。
| 标准 | 状态 | 说明 |
|---|---|---|
| SOC 2 Type II | 🟡 进行中(目标:2026年第四季度) | 内部控制审计正与一家四大会计师事务所合作开展。I型报告预计于2026年中期发布,II型报告随后跟进。 |
| ISO 27001 | 🟡 规划中(目标:2027年) | 信息安全管理体系文档正在编制中,实施阶段计划与SOC 2同步推进。 |
| ISO 42001 | 🟡 规划中(目标:2027年) | AI管理体系(AIMS)标准。Lawra是追踪此新兴认证的早期采用者之一。 |
| GDPR | 🟢 合规 | 数据处理协议已备。欧盟数据主体可通过privacy@lawra.io行使权利。处理记录已维护。 |
| LGPD | 🟢 合规 | 对巴西及更广泛拉美客户至关重要。已指定DPO,数据主体请求处理流程已上线。 |
| HIPAA | 🟡 可按需提供(仅限Sovereign Suite) | BAA适用于在符合HIPAA要求的环境中部署Sovereign Suite的医疗客户。 |
AI模型供应商——我们的立场
Lawra托管AI Suite面向公众的工具使用Google Firebase AI(Gemini 2.5 Flash)。我们之所以选择此配置,是因为Google Firebase AI条款包含合同承诺——客户数据不用于训练Google基础模型。
对于Sovereign Suite部署,您可携带自己的API密钥,选择您信任的模型供应商——Anthropic Claude(企业版,含无训练承诺)、OpenAI(企业版,含ZDR)、Google Gemini,或完全运行于您网络内部的开源权重模型(Llama、Mistral、Qwen、DeepSeek、Gemma),使用您自有的GPU基础设施。
我们不出售、出租或二次利用任何流经Lawra的数据。我们没有使用客户数据的内部模型训练流程。所使用的每个模型均为第三方或开源权重模型,供应商具体合同条款可按需审阅。
安全咨询、审计请求或漏洞披露
如需安全调查问卷、审计请求、客户专属条款或漏洞披露,请联系security@lawra.io。Sovereign Suite合作项目将安全审查纳入标准范围界定环节。我们将在五个工作日内回复所有企业安全调查问卷。
评论
正在加载评论...