Back to blog
    律所为何不会将客户数据发送给ChatGPT(以及他们真正想要什么)
    legalprivacyattorney-client-privilegeon-premisesegment:agency

    律所为何不会将客户数据发送给ChatGPT(以及他们真正想要什么)

    律师-客户特权使云端AI对大多数律所来说是不可行的。以下是本地部署微调AI模型成为唯一可行路径的原因——以及能交付这些方案的机构面临的机遇。

    EErtas Team·

    律所不是接受新技术慢的机构。他们是谨慎的采用者——有充分的理由。当一家中型律所的合伙人评估用于文档审查的AI工具时,第一个问题不是关于准确性或速度,而是关于特权。

    律师-客户特权是法律实践的基础。它是绝对的,且可通过向第三方披露而被放弃。一旦客户数据触及云端AI提供商的服务器,律所就面临一个合理的问题:特权是否已被损害?

    这不是偏执,是风险管理。这也是为什么最有可能采用AI的律所正是那些要求本地部署的律所。

    云端AI的特权问题

    律师-客户特权保护律师和其客户之间的通信不被披露。该保护的存在是为了鼓励客户对律师完全坦诚。它是普通法中最古老的法律原则之一。

    特权可以被放弃——有意或无意——通过向第三方披露特权信息。当律所将客户文档发送给OpenAI的API进行分析时,会发生几件事:

    数据被传输到第三方服务器。 OpenAI、Anthropic和Google不是律师-客户关系的当事方。将客户数据发送到他们的服务器构成向第三方的披露。

    数据保留不确定。 即使有企业协议,云端AI提供商可能为滥用监控、调试或模型改进而保留输入。律所无法独立验证数据已被删除。

    子处理商增加了风险层级。 云端AI提供商使用基础设施提供商、监控服务和内容安全系统来处理数据。每一个都是额外的第三方。

    律所无法控制审计追踪。 在特权挑战事件中,律所无法提供关于客户数据如何被云提供商处理的确定性证据。

    美国律师协会正式意见477R要求律师在使用技术时做出"合理努力"以防止客户信息的无意披露。许多州律师协会发布了更具体的指导。共识正在转向将云端AI视为特权数据的高风险渠道。

    律所真正想要什么

    与积极评估AI的律所的对话揭示了一组一致的需求:

    1. 本地部署

    模型在律所控制的硬件上运行——无论是在自己的服务器机房还是在没有共享基础设施的私有云租户中。没有数据离开律所的网络边界。

    2. 针对法律任务的微调

    通用语言模型会虚构法律引文并忽略管辖区差异。律所需要针对其特定执业领域训练的模型——并购的合同审查、医疗法的监管合规、诉讼的案例分析。在领域特定数据上微调较小的模型显著优于提示通用模型。

    3. 可审计和可解释

    每次推理都必须被记录。律所需要知道什么数据被处理、何时处理、由谁处理,以及模型产生了什么。这不是可选的——在许多司法管辖区这是监管要求。

    4. 客户特定的数据隔离

    服务多个客户的律所需要绝对的数据隔离。客户A的训练数据和推理请求绝不能被服务客户B的流程访问。这与传统执业中的利益冲突屏障原则相同,只是应用于AI基础设施。

    5. 无供应商锁定

    律所希望拥有模型。他们不想要供应商可以更改定价、条款或功能的SaaS依赖。导出为标准格式(GGUF、SafeTensors)是硬性要求。

    AI机构的机遇

    律所想要什么与云端AI提供商提供什么之间的差距就是机遇。律所有预算。他们有紧迫的用例。他们缺乏自行部署本地AI的技术专业知识。

    能够向律所交付微调、本地部署的AI解决方案的机构正处于一个具有以下特征的市场中:

    高付费意愿。 律所按$300-1,000+/小时计费。一个即使每周每位律师助理节省几小时的AI系统每年就值数万美元。律所会为合规解决方案支付溢价。

    销售周期长但客户粘性高。 关闭一家律所需要3-6个月。但一旦你的AI部署在他们的工作流程中,与他们的文档管理系统集成,并在他们的数据上训练,切换成本就非常高。年留存率超过95%很常见。

    竞争有限。 大多数AI机构在销售云端API包装。很少有人能交付本地、微调模型。如果你能做到,你就是注重合规的律所的少数选择之一。

    可跨律所复制。 底层架构——基础模型 + 每个客户的LoRA适配器 + 本地推理引擎——对每家律所都是相同的。你构建一次平台,按客户定制。

    可行的架构

    满足律所要求的技术栈:

    1. 基础模型:Llama 3.1 8B或Mistral 7B——足够小以在消费级硬件上运行,能力足够应对法律任务
    2. 微调:在每家律所特定文档语料上训练的LoRA适配器
    3. 推理引擎:在律所硬件上运行的Ollama或vLLM
    4. 编排:n8n用于工作流自动化——文档摄入、处理管道、输出交付
    5. 数据隔离:每个客户独立的LoRA适配器,在推理时动态加载

    整个技术栈可以在一张RTX 5090($2,000)上为小型律所运行,或在较大部署中使用一台适度的服务器。

    入门指南

    如果你的机构正在考虑法律垂直领域,从这里开始:

    1. 理解合规环境。 阅读ABA关于技术使用的意见。理解你目标管辖区的特权影响。
    2. 构建演示。 在公开可用的法律数据集(合同条款、案例摘要)上微调模型。向潜在律所展示微调质量与通用ChatGPT输出的对比。
    3. 与合规顾问合作。 让法律技术合规专家验证你的架构,消除销售过程中最大的异议。

    最早采用AI的律所将拥有显著的竞争优势。帮助他们合规地做到这一点的机构将建立一项持久、高利润的业务。

    Ship AI that runs on your users' devices.

    Ertas early bird pricing starts at $14.50/mo — locked in for life. Plans for builders and agencies.

    View early bird pricingor join the waitlist →

    延伸阅读

    Ship AI that runs on your users' devices.

    Early bird pricing starts at $14.50/mo — locked in for life. Plans for builders and agencies.

    View early bird pricingor join the waitlist →

    Keep reading

    HIPAA, GDPR, and OpenClaw: A Compliance Guide for Regulated Industries
    Privacy & Security

    HIPAA, GDPR, and OpenClaw: A Compliance Guide for Regulated Industries

    OpenClaw in healthcare, legal, or finance is a compliance minefield when using cloud APIs. Here's how to map the data flows, identify risks, and deploy compliantly with local models.

    Deploying Fine-Tuned Models On-Premise for Law Firms: A Compliance Checklist
    Privacy & Security

    Deploying Fine-Tuned Models On-Premise for Law Firms: A Compliance Checklist

    An actionable compliance checklist for deploying fine-tuned AI models on-premise at law firms — covering data handling, access controls, audit logging, model versioning, and bar association requirements.

    Best RAG Pipeline for Legal Documents: Privilege-Safe Retrieval With Full Audit Trail
    Enterprise

    Best RAG Pipeline for Legal Documents: Privilege-Safe Retrieval With Full Audit Trail

    Law firms and legal departments need document retrieval AI — but privileged documents cannot leave the building, and every access must be logged. Here is how to build a RAG pipeline that meets legal compliance requirements.