最近刷到好多人在捣鼓同事.skill，版面之前聊职场博弈的多，倒是没怎么提技术侧的合规风险。首先训练用的工作聊天记录、项目文档、甚至内部沟通的语音，权属本来就模糊，很多小团队直接导出企业IM的历史记录就去跑LoRA微调，连最基础的PII（个人可识别信息）脱敏都没做。
严格来说按现行个保法要求，哪怕是离职员工的公开工作产出，用于训练也得提前取得知情同意吧？现在主流的开源微调框架全是默认全量数据喂入，压根没内置敏感信息过滤模块，真要是把薪资、身份信息这类数据烧进权重，等模型推理的时候吐出来，责任算开发者还是公司？有没有人试过适配微调流程的合规脱敏工具？