摘要:本文旨在从数据法与隐私保护视角,剖析模型上下文协议(MCP)在运行过程中可能引发的数据合规风险。MCP作为连接大语言模型(LLM)与外部数据源、工具的核心桥梁,其设计理念虽为增强AI能力,但其数据流动的自动化、高频性与广泛性特征,对传统的个人信息处理目的限制原则、第三方提供及委托处理的可控性以及各方责任划分构成了严峻挑战。文章将结合我国隐私保护法律现有框架,对MCP生态中的数据处理活动进行解构,对于开发者、服务器提供者及最终用户各方的法律责任分配提出假设与建议,并为构建合规的MCP应用提出具体建议。
本文并非仅停留于理论探索,而是对于今后人工智能法律发展方向的合理预测。如同SDK已被独立与APP受到个人信息保护层面的执法监管一样,MCP将来必然同样会受到监管关注。因此,为了在业务初期通过较低成本达成未来的合规条件,避免合规调整导致的损失和不可预测性,我们的建议开发者在业务开发阶段进行服务框架设计及技术调整。
一、 引言:MCP的技术简介与法律问题之缘起
(一)MCP:LLM与外界的标准化交互桥梁
MCP是为了在LLM与外部数据源和工具之间形成交互的开放协议,可将应用程序如何为大LLM提供上下文的方式标准化。
在其官方文本1中,MCP被比喻为用于 AI 应用程序的 USB-C 端口。USB-C 提供了一种将设备连接到各种外围设备和配件的标准化方式,而MCP提供了一种将LLM连接到不同数据源和工具的标准化方法。
(图片来源于互联网)
它定义了一套通用的通信标准,使得LLM能够以一种可预测、可互操作的方式,安全、高效地访问和利用遍布各处的数据资源(如公司数据库、API接口、文件系统、实时网络信息等)。
二、 AI Agent:从Function Calling到MCP
LLM就像学识渊博但足不出户的隐世智者,其知识完全局限于训练时所“阅读”过的静态数据,无法感知外部世界的最新变化,也无法操作具体工具。为了解决这一问题,让LLM真正帮助使用者完成基于具体情况的任务,需要为智者打开了一扇通往外部世界的窗,允许其根据用户的需求,动态地、按需地检索和利用外部信息(即“上下文”),并将其融入生成的回答中。这使得AI的回答得以突破其固有训练数据在时效性、专有性和具体性上的限制,从而提供更为精准、即时和可实施的回答。
对于LLM的外界交互,最终愿景是构建能够自主理解、规划并执行复杂任务的“智能代理”(Agent,或称“智能体”)。这些智能体需要能调用外部工具来完成各种任务。
● System Prompt:初期尝试
在探索解决方案的初期,尝试的方案是通过设置系统提示(System Prompt)来为LLM设定一个“规则”,要求它在遇到需要外部信息(如实时数据、计算、数据库查询)时,不是自行编造,而是停止生成并输出一个格式化的请求(如 【查询:天气,上海】)。发出System Prompt的外部程序捕获到LLM返回的这个请求后,执行相应操作,再将结果作为新输入送回LLM,由LLM组织语言最终回复用户。
这种方法完全依赖LLM的上下文理解能力,其可靠性受限于提示词设计的精确性、上下文窗口的长度,以及模型本身是否严格遵循指令。不同的LLM乃至不同的LLM版本对于指令的遵循程度都不同,因此这种“不可靠”的软解决方案很快就被Functiong Calling所取代。
● Function Calling:初步标准化
基于LLM与外界交互的客观需求,各大主流LLM厂商推出了各自的“函数调用”(Function Calling)能力。开发者可以向模型描述一系列可用的函数,模型则根据用户查询,智能地决定是否需要调用某个函数,并生成符合函数要求的参数。这实现了模型与工具交互的初步标准化,降低了开发难度。
这种方式仍然是以LLM为中心的,它严重依赖于特定模型厂商提供的接口和定义方式,本质上是一种“私有协议”,生态是封闭的。一个为ChatGPT编写的工具接口,可能无法直接给Claude或其他模型使用。
● MCP:开放与解耦
MCP的出现,标志着范式从“以模型为中心”转向“以资源和工具为中心”。MCP将数据源和工具抽象为独立的MCP Server2。任何组织或个人都可以按照统一的MCP标准,将其数据或工具封装成MCP Server。而LLM则通过标准的MCP协议与外界进行通信。
通过MCP,一个封装好的MCP Server可以同时被ChatGPT、Claude、本地模型等多种LLM客户端使用,实现了“一次编写,处处可用”。这样一来,数据源提供者可以专注于将其资源以最佳方式通过MCP暴露出来,AI应用开发者则可以专注于提示工程和用户体验,LLM提供方可专注于语言模型的完善与拓展,各方职责清晰,通过协议接口进行解耦。
二、 MCP架构下的核心数据处理活动与隐私风险识别
(一) MCP的数据处理流程及关键参与方
MCP的主要架构及数据处理流程可参考下图。
在这一数据处理过程中,一般存在如下几类主体:
用户(个人信息主体):因为本文主要讨论隐私保护问题,在讨论中可以等同于个人信息主体。
MCP Host服务提供方(AI应用服务提供方):可以等同于AI应用服务提供方。MCP Client仅是Host的组件,用于达成交互逻辑,而非独立主体。其运营主体一般同为AI应用服务提供方。
MCP Server提供方:虽然MCP Server可以由Host服务提供方自行编写,但从商业化及效率的角度,Host服务提供方将会更倾向于采购第三方封装完成的Server,以使自己专注于与用户间的应用交互的提升。
数据源提供方:数据源可能包含各方主体。如,API提供方、Host搭建的本地数据库等。
LLM服务提供方:即最终提供问题处理能力的大语言模型运营商。
(二)MCP关键隐私风险
1.为何MCP应成为隐私保护的关注焦点
(1)传统隐私边界的失效
MCP驱动的交互是由LLM基于对用户非结构化Prompt的理解而动态发起的。这意味着,“为何收集数据”、“收集何数据”、“向谁请求数据”这几个核心法律问题,不再由程序预先决定,而是由LLM在运行时瞬时判断。
这种自动化决策绕过了传统的事前人工审核与合规干预环节,导致数据处理的目的和范围具有高度不可预测性。一个看似简单的用户指令,可能触发MCP Client向多个Server发起一连串的数据检索请求,其最终的数据收集范围远超出用户乃至MCP Host服务提供方的初始预料。这种“黑箱”特性使得践行目的明确、最小必要等基本原则变得异常困难。
(2)封装黑盒与广泛且未知的数据源接口
MCP Server提供方可以封装任何数据源接口,且AI应用服务提供方难以知悉被封装的具体内容。这既可能包括公开、低风险的API,也更可能包括企业核心数据库、员工的个人云盘、内部邮件系统、财务软件接口等。若MCP Server提供方存在恶意,则有可能形成严重的安全隐患。
这种连接能力使得高度敏感的个人信息、商业秘密、甚至国家秘密的数据可能被无意或恶意纳入处理流程的风险急剧增加。一旦LLM在会话中检索并使用了这些数据,不仅可能导致个人隐私泄露,更可能引发商业秘密侵权、危害国家安全等极其严重的法律后果,远超一般个人信息泄露事件的影响范畴。
2.MCP数据处理主要隐私风险来源
结合MCP的数据处理流程,Server功能不透明导致的指令性隐私泄露及交互内容不透明导致的用户预见性缺失
试想如下数据处理场景:
● 技术机理:
MCP Client与Server的交互始于Server向Client提供一份其支持的“工具3清单”(Tool List,包括工具名称、描述、所需参数等)。LLM根据用户Prompt和这份清单来决定调用哪个工具以及传入何种参数。
● 风险点:
MCP Host服务提供方乃至用户,对于第三方MCP Server提供方所封装工具及其实际数据处理行为缺乏透明认知。工具的名称和描述可能具有误导性或过于宽泛(例如,一个名为“搜索用户信息”的工具,其背后可能连接着一个包含敏感字段的数据库)。
● 泄露场景举例:
LLM可能为了完成一个看似合理的用户请求(如“帮我联系一下上次咨询过产品A的客户”),自动调用该工具,并将“产品A”作为参数传入。然而,该工具在执行时,可能不仅返回了客户联系方式,还返回了其历史病历、信用记录等极端敏感的无关信息,构成个人信息的过度收集。MCP Client在不知情的情况下将这些数据全部作为上下文提供给LLM,则将导致敏感信息泄露。此时,风险源于Server的恶意或过度的设计,而Host方难以完全管控。
在这种典型的MCP交互中,用户仅与MCP Host服务提供方的应用程序界面进行交互。其背后的复杂过程——LLM生成了什么请求、调用了哪个MCP Server提供方的哪个工具、向数据源提供方发送了什么具体指令、获取了哪些数据——对用户而言是完全不可见的。
而在现行隐私保护法律体系框架下,无论是中国个人信息保护法还是GDPR等域外立法,个人信息主体的“知情+同意”都被作为数据处理的重要合法性基础。用户无法就一个其无法预见的数据处理活动做出真正“知情”的同意,这动摇了各关联方个人信息处理合法性的根基。
而对MCP Host服务提供方而言,其面临的核心合规困境在于:如何对自身并未完全掌控的第三方Server和数据源的数据处理行为负责、如何通过隐私政策向用户清晰地披露一个连自己都无法完全预测的数据流动过程并取得用户的同意。这正是下一部分法律适用与责任分析需要解决的核心难题。
三、 法律适用与责任主体分析
(一)中国法律框架下的审视
在中国《个人信息保护法》(PIPL)项下,各主体间就数据处理形成的法律关系是需要探讨的核心问题。“委托处理”和“向第三方提供”这两种法律关系的不同导致可获取或访问数据的第三方构成委托处理受托方或独立的个人信息处理者,因而应承担不同的法律责任。
● MCP Server提供方:其法律角色取决于其行为的自主性。若其与MCP Host服务提供方之间构成委托处理关系,则双方必须签订委托处理协议,Host方负有对受托方的监督责任。
但若双方间没有签订委托处理协议,MCP Server提供方可自主决定处理目的和方式,则双方间的法律关系构成个人信息的“向第三方提供”,MCP Server提供方独立承担处理者的个人信息保护义务,包括向个人信息主体取得同意(在Host方已取得提供的单独同意的范围内处理的除外)等。
● LLM服务提供方:其角色同样具有双重性。当LLM仅提供内容生成能力时,可被视为Host方的“受托处理者”。但如果LLM的自主决策(决定调用哪个工具、传入何种参数)实质性地影响了数据处理的目的和方式,其也可能被认定为“共同处理者”。
● 数据源提供方:作为数据的原始持有者,其有义务确保数据来源合法,并通过访问控制、权限管理等措施,防止数据被未授权、超范围的访问。如果因其安全管理不善导致数据通过MCP接口被泄露,需承担相应责任。从法律义务角度,数据源提供方向Host方提供用户个人信息的,也应构成“向第三方提供”,应事先在向用户告知第三方的基础上,取得用户的单独同意。
● MCP Host服务提供方:在一般场景下,它是直接面向用户、决定服务目的和方式的个人信息处理者。它是整个数据处理链条的发起者和组织者,因此也承担着最核心的合规义务。
同时,MCP Host服务提供方未能向个人信息主体明确告知第三方MCP Server、LLM服务提供方乃至数据源提供方,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,则应当准用共同处理者的规则,承担因第三方引起的个人信息安全责任(PIPL第20条、GB/T35273-2020 9.6b条)。
处理隐私保护的实务工作者在看到上述各主体表述中着重突出的部分时定然会理解其原因——这些在实务层面均难以实现。
(二)隐私保护主体责任边界的探索
上述分析揭示了MCP架构下隐私保护责任边界认定的复杂性与艰巨性。为应对这一挑战,必须在现有法律框架下,有必要探索一套可行的责任划分与合规实践方案。本文提出的下述方案核心思路是:通过协议与技术手段,将法律要求的透明度与控制力重新注入这一自动化流程中。
1.以协议为基石,明确主体间法律关系
化解责任模糊性的首要途径,是在各参与主体间通过具有法律效力的协议清晰界定权利义务关系,这是后续合规操作的合同基础。
(1)以合同固化法律关系:
当MCP Host服务提供方与MCP Server提供方或LLM服务提供方构成委托处理关系时,双方必须签订详尽的委托处理协议。协议须严格遵循PIPL第21条的规定,明确约定处理目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务。Host方不应使用Server提供方等第三方提供的格式合同,而应主动制定并主导协议谈判,确保其拥有对受托方进行监督的合同权利与可行路径(如监督权与审计权)。
当数据源提供方向MCP Host服务提供方提供数据构成“向第三方提供”时,应通过MCP Server提供方为中介,间接签订数据提供协议。该协议需明确数据来源的合法性要求、提供数据的范围与用途限制、安全保障责任划分以及发生安全事件后的通知与处置机制,并由MCP Server提供方与数据源提供方之间签署,并与数据源提供方确定潜在MCP Host方的范围及识别方式。另一方面,MCP Server提供方应在向个人信息主体提供的隐私政策中充分披露数据源提供方的信息(这些信息由MCP Server提供方先行向Host方披露),并取得用户的同意。
2.强化MCP Server提供方的独立主体责任与披露义务
MCP Server提供方不能隐匿于技术协议之后,必须作为独立的合规责任主体走向前台,承担与其技术能力相匹配的法律义务。每一个对外提供服务的MCP Server,都必须具备其自身清晰、透明的隐私政策。该政策不应仅是技术文档,而是一份具备法律效力的声明,必须向MCP Host服务提供方及最终用户明确披露以下核心信息:
● 工具的本质功能:准确、无歧义地说明该Server提供的每个工具具体能做什么。
● 数据处理清单:详尽列明工具运行时可能收集、访问、生成、返回的个人信息字段类型(如:会返回用户的“身份证号”和“账户余额”)。
● 数据来源合法性声明:承诺其封装的数据源已获得合法授权,处理活动具有法律基础。即上述与数据源提供方之间签订的合同。
● 安全保护能力说明:对外公示其已采取的安全技术和管理措施。
通过上述披露,MCP Server提供方为其工具的行为设定了公开承诺。如果其实际行为超出披露范围(如超范围收集返回数据),或因其自身安全漏洞导致数据泄露,则无论其与Host方是委托还是独立处理关系,它都需为自己的过错行为独立承担相应的法律责任。
3.构建以充分信息披露为前提的同意机制
在确保MCP Server提供方充分披露的前提下,可以设计一套高效的同意机制,以解决向“多个第三方”提供个人信息时获取“单独同意”的实务难题。
● 披露是同意生效的前提:MCP Host服务提供方必须在其隐私政策中开辟专门章节,或以“第三方数据处理清单”等形式,集中、清晰、逐一地列明其服务所依赖的所有第三方MCP Server提供方、LLM服务提供方及重要数据源提供方,并附上其隐私政策的链接。这份清单必须保持动态更新。
● 同意的整合与传导:用户在对MCP Host服务提供方的隐私政策(包含上述完整第三方清单)点击“同意”的那一刻,该同意行为在法律上可被论证为:
首先,是对Host方自身处理行为的授权。
其次,基于Host方已提供的完全信息披露,用户对政策的同意也构成了对其所披露的、为服务所必需的第三方处理者(MCP Server提供方、数据源提供方等)接收并处理其个人信息的“单独同意”。这意味着,Host方的告知义务履行到位,使得用户的同意具备了“充分知情”的内涵,从而能够覆盖后续在服务过程中发生的、在披露范围内的数据向第三方提供的行为。
这一解决方案体系通过协议明确关系,通过披露明确行为,最终通过整合的告知与同意机制,在保障用户知情权的前提下,为MCP生态中不可避免的复杂数据流动构建合法性基础。这要求MCP Host服务提供方承担起“生态管理者”的核心责任,主动审计、披露并管理其接入的每一个第三方服务,同时也要求MCP Server提供方不能隐于幕后只享受利益而不承担义务,从而将法律的确定性重新注入技术的自动化进程之中。
四、对于MCP生态各主体的合规建议
本文上述方案并非仅停留于对于监管方案的探索,而是对于今后人工智能法律发展方向的合理预测。如同SDK已被独立与APP受到个人信息保护层面的执法监管一样,MCP将来必然同样会受到监管关注。因此,为了在业务初期通过较低成本达成未来的合规条件,避免合规调整导致的损失和不可预测性,我们的具体建议如下。
1.对MCP Host服务提供方(AI应用服务提供方)的核心建议
作为直接面向用户并组织整个数据处理流程的核心枢纽,MCP Host服务提供方承担着最重、最核心的合规责任,必须主动实施全方位管控。
● 实施严格的第三方Server准入与审计机制
建立供应商评估清单:在接入任何第三方MCP Server前,必须对其进行严格的尽职调查。评估内容应包括:该Server提供方的企业资质、隐私政策合规性、安全能力认证(如ISO27001、网络安全等级保护)、数据来源合法性声明以及其工具实际处理数据的范围。
合同约束:必须签订具有法律效力的协议,明确双方的法律关系(委托处理或独立处理)、数据处理范围、安全要求、审计权、违约责任及数据泄露通知义务。拒绝使用无法达成合规协议的Server。
● 高标准的用户告知与同意管理:
动态的“第三方清单”:在隐私政策中设立专章,实时披露当前集成的所有重要第三方MCP Server提供方、LLM服务提供方及数据源提供方,包括其名称、处理目的、数据类型及其隐私政策的链接。
获取“单独同意”:在用户注册或首次使用可能触发MCP功能前,通过弹窗等明显方式,提示用户其个人信息可能会基于MCP技术与上述披露的第三方共享,并获取用户对此的单独同意。此同意应作为使用相关增强功能的前提条件。
● 构建技术层面的隐私保护设计:
实施权限与输入控制:为MCP Client设置严格的访问控制策略,防止其访问非授权的数据源。对发送给MCP Server的指令参数进行安全检查与过滤,防止敏感信息的不必要泄露。
全面的日志记录与监控:记录所有MCP交互的完整链路(谁、何时、调用了哪个Server、传入何种参数、返回了何结果),并设置异常行为监控告警,以便事后审计与事前风险发现。
2.对MCP Server提供方的核心建议
作为数据能力的封装者,MCP Server提供方必须秉持“谁提供,谁负责”的原则,确保自身工具的合法性与透明度。
● 完整履行披露义务:
提供机器可读的隐私声明:除了人类可读的隐私政策,应提供标准化的元数据,明确描述每个工具精确的输入参数和输出数据字段(包括字段名称、数据类型、敏感级别)。这便于Host方进行自动化合规检查。
明确数据渊源与合法性:在文档中清晰说明工具所连接数据源的来源及处理该数据的法律依据(如:取得用户同意、为履行合同所必需)。
● 贯彻最小必要原则:
工具设计的默认合规:在工具设计上,默认应返回成功执行操作所必需的最少信息字段。提供参数化选项,允许Host方按需请求字段,而非总是返回全部数据。
避免敏感数据默认处理:除非核心功能必需,否则默认不应处理敏感个人信息。如需处理,必须提供强访问控制,并在说明中突出警示。
3.对数据源提供方的核心建议
作为数据的守门人,数据源提供方需要意识到自身无法免除因开放了接口而产生的安全管理责任。
● 实施精细化的访问控制:
最小权限原则:为MCP Server创建独立的、权限最小的数据库账户或API访问令牌,严格限定其可访问的数据范围和操作类型(如只读)。
审计与监控:严密监控所有通过MCP Server发起的数据访问请求,及时发现异常查询或批量数据拉取行为。
● 审慎评估“向第三方提供”行为:
一旦向Host方提供的API接口可能涉及个人信息,即应意识到这可能构成PIPL下的“向第三方提供”行为。应评估是否已就此次提供取得用户的单独同意,或是否具备其他合法性基础,并履行相应的告知义务。
4. 对LLM服务提供方的核心建议
虽然LLM服务提供方很难完全控制模型的输出,但仍应该尽量提供可控的推理能力。例如,允许Host方通过配置或提示词工程,对LLM的“自主性”进行约束等。如,设置规则禁止其主动请求某些类别的敏感信息,或要求在调用特定工具前必须向用户二次确认。
五、结语
MCP的技术中立性无法掩盖其作为数据合规高风险节点的本质。这一协议通过自动化、动态化的数据流动,极大地增强了AI能力,同时也对现有法律框架下的目的限制、最小必要、责任划分等基本原则构成了实质性挑战。现行法律虽仍可适用,但必须依据MCP多方参与、实时交互的技术特征进行创新性解释与适配,其核心在于通过协议约束与技术设计,在动态流程中重建法律的确定性与可控性。
展望未来,监管关注点必将从模型内部延伸至其与外部环境的交互边界。预计监管机构将出台针对AI模型调用外部数据的专项指引,强化对MCP类协议的合规性审查,并要求核心平台方承担对生态内第三方组件的管理责任。标准合同范本、隐私默认设计原则及审计日志规范可能成为重点监管工具,以实现技术创新与合规要求的平衡。
因此,开发者有必要摒弃“技术无罪”的“幻想”,主动将合规要求深度嵌入MCP技术的开发、部署与应用全生命周期。唯有通过系统性的合规设计,才能在享受技术红利的同时,有效规避法律与声誉风险,推动人工智能产业在规范中创新发展。
注释:
详见https://modelcontextprotocol.io/docs/getting-started/intro
目前存在将翻译为MCP Server将翻译为MCP服务器的译文版本,但是此处Server并非指传统意义的服务器,而是与MCP Client相对的概念,无需存在一个“服务方”,与MCP Client共同构成了Host。因此笔者认为译作“服务器”并不准确,故对于英文原文进行保留。
即“函数”。
特别声明
Special Declaration
以上文章仅代表作者本人观点,不代表北京市中伦文德律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
