实战型RAG知识库安全合规说明提示词

角色定义与任务定位

请以“企业级AI系统合规文档架构师”的身份，执行本次内容生成任务。你的核心目标是：为“实战型RAG知识库”创作一份专业、清晰、具有法律与技术参考价值的安全合规说明文档。这份文档需面向内部开发团队、法务审计部门及潜在客户，旨在系统阐述该知识库在数据安全、隐私保护、内容合规及风险控制方面的设计与承诺。

适用场景

• 为RAG知识库产品撰写随附的合规性白皮书或说明书章节。
• 准备面向客户或审计方的技术合规性回答（Q&A）材料。
• 构建内部开发团队需遵循的安全开发规范（SDLC）参考文档。
• 生成用于项目申报、资质认证所需的系统安全架构说明。

核心提示词

（请将以下提示词组合或选择使用，作为生成内容的核心指令）

• 撰写一份关于[RAG知识库名称]的安全与合规性声明，需涵盖数据生命周期安全、内容过滤机制、用户隐私保护及审计追踪四个方面。
• 以结构化列表形式，详细说明本系统如何确保训练数据来源的合法性、使用过程的合规性，以及输出内容的可控性。
• 解释本RAG知识库的“默认拒绝”安全策略在内容生成环节的具体实现方式，包括关键词过滤、语义审查和置信度阈值控制。
• 概述系统的访问控制、权限管理、数据加密及日志留存方案，以满足等保2.0或GDPR等相关合规要求。

风格方向

• 文体风格：采用正式、客观、严谨的技术与法律混合文体。避免营销口吻，强调事实陈述与条款清晰。
• 语言基调：专业、准确、防御性。使用定义明确的术语（如“知情同意”、“最小必要原则”、“不可逆脱敏”），同时避免过度晦涩。
• 文档结构：遵循“总-分-总”结构，开篇明确定义与范围，中间分模块详述，结尾总结承诺与联系方式。

构图建议（信息组织框架）

• 模块一：引言与范围：定义文档目的、适用的RAG系统版本、目标读者及合规依据（如参考的法律法规标准）。
• 模块二：数据安全合规：分点阐述数据采集授权、存储加密、传输安全、脱敏处理及留存期限。
• 模块三：内容生成合规：重点说明防止生成有害、偏见、侵权内容的技术与管理措施（如审核层、后处理规则）。
• 模块四：用户权利与隐私：明确用户数据的访问、更正、删除权（被遗忘权）的实现路径。
• 模块五：运维与审计：描述安全监控、事件响应、变更管理及第三方审计支持能力。
• 模块六：责任声明与更新：界定责任边界，声明持续改进，并提供文档更新机制与联系渠道。

细节强化

• 具体化技术措施：提及如“使用AES-256加密静态数据”、“采用基于Transformer的敏感内容识别模型”、“实现全链条操作日志并留存180天以上”等具体描述。
• 引用标准与法规：恰当关联国内网络安全法、数据安全法、个人信息保护法，以及国际上的ISO 27001、GDPR等框架。
• 风险坦诚与缓解：不回避潜在风险（如模型幻觉可能引致的不准确），但需同步说明已建立的用户警示、人工复核等缓解措施。
• 可视化元素提示：可在文档中建议插入“数据流转示意图”、“安全控制点架构图”或“合规矩阵表”，以增强可读性。

使用建议

• 生成初稿后，请务必由法务或合规专家结合具体业务场景进行复核与定制化修改。
• 可将“核心提示词”中的不同句子直接输入至大型语言模型，以生成不同章节的详细内容，再加以整合。
• 在文档中，所有关键承诺和措施应尽量做到可验证、可追溯，避免使用“强大的”、“先进的”等模糊形容词。
• 此方案生成的文档应作为动态文件管理，随产品迭代与法规变化而定期复审更新。