面向受监管行业的符合GDPR规定的文档解析
Airparser能从您的文档中提取结构化数据,而无需在不受控制的条款下将其发送给AI模型。默认符合GDPR规定——具备加密、可配置的保留期限、审计追踪和DPA。
为什么文档解析是GDPR风险——以及如何管理它
文档解析几乎总是涉及个人数据。发票包含客户姓名和地址。简历包含候选人详情。合同包含当事方信息。KYC文档包含身份数据。
当您通过ChatGPT、Claude或原始API调用将这些文档发送给AI模型时,会出现GDPR要求您回答的几个问题:
谁是数据处理者?
根据GDPR规定,任何代表您处理个人数据的服务都必须签署数据处理协议(DPA)。许多通用AI API不提供此项服务——或者提供的条款不符合欧盟的要求。
数据存储在哪里?保存多长时间?
GDPR要求您了解个人数据的去向,并将保留期限限制在必要范围内。使用通用的LLM API,数据保留和存储管辖权由提供商控制。
该数据会被用于训练模型吗?
一些AI提供商默认使用API数据来改进其模型。根据GDPR规定,将个人数据用于模型训练需要明确的法律依据,通常还需要明确的同意。
您能向审计员证明合规性吗?
企业客户和受监管行业需要审计追踪——记录处理了哪些数据、何时处理以及如何处理的日志。基于聊天的工作流程不会产生这些记录。
Airparser如何处理GDPR合规性
数据处理协议(DPA)
Airparser为企业客户提供签署的DPA,根据GDPR第28条建立处理个人数据的法律框架。Business和自定义计划可按需申请。
静态AES-256加密与传输中TLS 1.2+加密
所有文档和提取的数据在静态时均采用AES-256加密,传输时采用TLS 1.2或更高版本加密。在处理管道的任何阶段,数据都不会以未加密的形式存储。对象存储使用加密的Amazon S3。
可配置的数据保留
为每个收件箱设置自动删除策略——在1天、7天、30天后删除文档和提取的数据,或者根本不存储它们。保留期限会自动强制执行。
不使用您的数据进行训练
无论是Airparser自身还是其底层模型提供商,都绝不会使用您的文档来训练或改进AI模型。这是一项坚定的政策,而不是需要选择退出的默认设置。
审计追踪
每份处理的文档都会记录时间戳、提取结果和交付状态。日志可通过仪表板和API获取,用于合规审查。
用于国际转移的标准合同条款(SCC)
Airparser的主要基础设施托管在美国(Amazon S3、Google Cloud Platform、DigitalOcean)。对于欧盟客户,数据传输受标准合同条款(SCC)的保护——这是GDPR批准的合法跨境数据处理机制。
有限、经过审查的委托处理方
仅使用最少数量、经过审查的委托处理方:云托管(Amazon S3、Google Cloud、DigitalOcean)、支付(Stripe)、支持(Crisp)和AI服务(OpenAI、Anthropic)。每一方仅共享必要的最小数据。完整的委托处理方列表可按需提供。
需要符合GDPR规定的文档解析的行业
金融与会计
为审计和对账工作流程提供发票处理、银行对账单提取和财务文档解析。
发票 · 银行对账单 · 财务报告
法律与合同
为律师事务所和内部法务团队提供合同数据提取、条款分析和文档审查。
合同 · 保密协议 · 法院文件
医疗
严格的数据处理下的患者表单处理、保险文档提取和临床数据采集。
患者表单 · 保险文件 · 转诊单
KYC与身份验证
用于入职、反洗钱工作流程和大规模客户验证的身份证件提取。
护照 · 身份证 · 地址证明
人力资源与招聘
符合候选人数据保护要求的简历解析和员工文档处理。
简历 · 雇佣合同 · 录用通知书
物流
为跨多个管辖区和监管框架运营的供应链提供配送文件提取。
提单 · 海关文件 · 货物清单
Airparser vs. 通用LLM API — 合规性比较
| 合规要求 | 通用LLM API | Airparser |
|---|---|---|
| 数据处理协议(DPA) | ✗ | ✓ |
| 静态AES-256加密 | 视情况而定 | ✓ |
| 传输中TLS 1.2+加密 | 视情况而定 | ✓ |
| 可配置的数据保留(1-180天) | ✗ | ✓ |
| 不使用您的数据进行训练 | ✗ | ✓ |
| 审计追踪/处理日志 | ✗ | ✓ |
| 标准合同条款(SCC) | 视情况而定 | ✓ |
| 按需的单份文档删除 | ✗ | ✓ |
| 有限的经过审查的委托处理方 | ✗ | ✓ |