Claude Code 数据使用政策 - Anthropic 数据保留说明
了解 Anthropic 对 Claude 数据使用的政策——数据训练、保留、反馈、会话调查和远程 Claude Code 的数据流。
数据政策
数据训练政策
消费者用户(Free、Pro 和 Max 计划): 我们给您选择是否允许您的数据用于改进未来的 Claude 模型。当此设置打开时,我们将使用来自 Free、Pro 和 Max 账户的数据来训练新模型(包括当您从这些账户使用 Claude Code 时)。
商业用户:(Team 和 Enterprise 计划、API、第三方平台和 Claude Gov)维持现有政策:除非客户选择向我们提供数据以改进模型(例如,开发者合作伙伴计划),否则 Anthropic 不会使用商业条款下发送到 Claude Code 的代码或提示来训练生成模型。
开发者合作伙伴计划
如果您明确选择加入通过开发者合作伙伴计划等方式向我们提供训练材料的方法,我们可能会使用这些提供的材料来训练我们的模型。组织管理员可以明确选择为其组织加入开发者合作伙伴计划。请注意,此计划仅适用于 Anthropic 第一方 API,不适用于 Bedrock 或 Vertex 用户。
使用 /feedback 命令的反馈
如果您选择使用 /feedback 命令向我们发送有关 Claude Code 的反馈,我们可能会使用您的反馈来改进我们的产品和服务。通过 /feedback 共享的记录保留 5 年。
会话质量调查
当您在 Claude Code 中看到”Claude 在本次会话中表现如何?“提示时,对此调查的回应(包括选择”关闭”)仅记录您的评分。作为此评分提示本身的一部分,我们不收集或存储任何对话记录、输入、输出或其他会话数据。与竖起大拇指/竖起大拇指向下反馈或 /feedback 报告不同,此会话质量调查是一个简单的产品满意度指标。
在评分提示之后,您可能会看到一个单独的后续问题,询问”Anthropic 可以查看您的会话记录以帮助我们改进 Claude Code 吗?“。这是一个与评分不同的可选第二步:
- 是:将您的对话记录、任何子代理记录和来自磁盘的原始会话日志文件上传到 Anthropic。已知的 API 密钥和令牌模式在上传前被编辑。源代码、文件内容和其他对话内容按原样上传。共享的记录保留最多 6 个月。
- 否:拒绝而不发送任何内容
- 不再询问:拒绝并停止此后续在未来会话中出现
除非您明确选择是,否则不会上传任何内容。具有零数据保留的组织,或组织政策禁用产品反馈的组织,永远不会看到此后续。您对此调查的回应(包括评分提示后提交的会话记录)不会影响您的数据训练偏好,也不能用于训练我们的 AI 模型。
要禁用这些调查,请设置 CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY=1。当设置 DISABLE_TELEMETRY 或 CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC 时,调查也会被禁用。要控制频率而不是禁用,请在您的设置文件中将 feedbackSurveyRate 设置为 0 到 1 之间的概率。
数据保留
Anthropic 根据您的账户类型和偏好保留 Claude Code 数据。
消费者用户(Free、Pro 和 Max 计划):
- 允许数据用于模型改进的用户:5 年保留期,以支持模型开发和安全改进
- 不允许数据用于模型改进的用户:30 天保留期
- 隐私设置可以随时在 claude.ai/settings/data-privacy-controls 更改。
商业用户(Team、Enterprise 和 API):
- 标准:30 天保留期
- 零数据保留:适用于 Claude for Enterprise 上的 Claude Code。ZDR 按组织启用;每个新组织必须由您的账户团队单独启用 ZDR
- 本地缓存:Claude Code 客户端在
~/.claude/projects/下以纯文本形式本地存储会话记录,默认保留 30 天以启用会话恢复。使用cleanupPeriodDays调整期限。
您可以随时删除网络上的单个 Claude Code 会话。删除会话会永久删除该会话的事件数据。
在我们的 隐私中心 了解更多关于数据保留实践的信息。
有关完整详情,请查看我们的 商业服务条款(适用于 Team、Enterprise 和 API 用户)或 消费者条款(适用于 Free、Pro 和 Max 用户)和 隐私政策。
数据访问
对于所有第一方用户,您可以了解更多关于为本地 Claude Code 和远程 Claude Code 记录的数据。Remote Control 会话遵循本地数据流,因为所有执行都发生在您的机器上。请注意,对于远程 Claude Code,Claude 访问您启动 Claude Code 会话的存储库。Claude 不访问您已连接但未在其中启动会话的存储库。
本地 Claude Code:数据流和依赖关系
Claude Code 在本地运行。为了与 LLM 交互,Claude Code 通过网络发送数据。此数据包括所有用户提示和模型输出,通过 TLS 1.2+ 在传输中加密。Claude Code 与大多数流行的 VPN 和 LLM 代理兼容。
静止时的加密取决于您的模型提供商:
| 提供商 | 静止时加密 |
|---|---|
| Anthropic API | 基础设施级磁盘加密 (AES-256)。启用零数据保留以实现无服务器端持久化。 |
| Amazon Bedrock | AES-256,使用 AWS 管理的密钥。可通过 AWS KMS 获得客户管理的密钥。 |
| Google Cloud Vertex AI | Google 管理的加密密钥。CMEK 可用。 |
| Microsoft Foundry | 请求路由到 Anthropic 基础设施,使用 AES-256 磁盘加密。 |
Claude Code 基于 Anthropic 的 API 构建。有关 API 安全控制的详情,包括 API 日志记录程序,请参阅 Anthropic 信任中心 中的合规工件。
云执行:数据流和依赖关系
使用网络上的 Claude Code 时,会话在 Anthropic 管理的虚拟机中运行,而不是在本地运行。在云环境中:
- 代码和数据存储:您的存储库被克隆到隔离的 VM。代码和会话数据受您的账户类型的保留和使用政策约束(请参阅上面的数据保留部分)
- 凭证:GitHub 身份验证通过安全代理处理;您的 GitHub 凭证永远不会进入沙箱
- 网络流量:所有出站流量都通过安全代理进行审计日志记录和滥用防止
- 会话数据:提示、代码更改和输出遵循与本地 Claude Code 使用相同的数据政策
有关云执行的安全详情,请参阅安全。
遥测服务
Claude Code 从用户的机器连接到 Statsig 服务,以记录操作指标,例如延迟、可靠性和使用模式。此日志记录不包括任何代码或文件路径。数据使用 TLS 在传输中加密,使用 256 位 AES 加密在静止时加密。在 Statsig 安全文档 中了解更多。要选择退出 Statsig 遥测,请设置 DISABLE_TELEMETRY 环境变量。
Claude Code 从用户的机器连接到 Sentry 以进行操作错误日志记录。数据使用 TLS 在传输中加密,使用 256 位 AES 加密在静止时加密。在 Sentry 安全文档 中了解更多。要选择退出错误日志记录,请设置 DISABLE_ERROR_REPORTING 环境变量。
当用户运行 /feedback 命令时,他们的完整对话历史记录(包括代码)的副本被发送到 Anthropic。数据在传输中使用 TLS 加密。可选地,在公共存储库中创建 GitHub 问题。要选择退出,请设置 DISABLE_FEEDBACK_COMMAND 环境变量为 1。
按 API 提供商的默认行为
默认情况下,当使用 Bedrock、Vertex 或 Foundry 时,错误报告、遥测和错误报告被禁用。会话质量调查和 WebFetch 域安全检查是例外,无论提供商如何都会运行。您可以通过设置 CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC 一次选择退出所有非必需的流量,包括调查。此变量不影响 WebFetch 检查,它有自己的选择退出选项。以下是完整的默认行为:
| 服务 | Claude API | Vertex API | Bedrock API | Foundry API |
|---|---|---|---|---|
| Statsig(指标) | 默认开启。DISABLE_TELEMETRY=1 禁用。 | 默认关闭。CLAUDE_CODE_USE_VERTEX 必须为 1。 | 默认关闭。CLAUDE_CODE_USE_BEDROCK 必须为 1。 | 默认关闭。CLAUDE_CODE_USE_FOUNDRY 必须为 1。 |
| Sentry(错误) | 默认开启。DISABLE_ERROR_REPORTING=1 禁用。 | 默认关闭。CLAUDE_CODE_USE_VERTEX 必须为 1。 | 默认关闭。CLAUDE_CODE_USE_BEDROCK 必须为 1。 | 默认关闭。CLAUDE_CODE_USE_FOUNDRY 必须为 1。 |
Claude API(/feedback 报告) | 默认开启。DISABLE_FEEDBACK_COMMAND=1 禁用。 | 默认关闭。CLAUDE_CODE_USE_VERTEX 必须为 1。 | 默认关闭。CLAUDE_CODE_USE_BEDROCK 必须为 1。 | 默认关闭。CLAUDE_CODE_USE_FOUNDRY 必须为 1。 |
| 会话质量调查 | 默认开启。CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY=1 禁用。 | 默认开启。CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY=1 禁用。 | 默认开启。CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY=1 禁用。 | 默认开启。CLAUDE_CODE_DISABLE_FEEDBACK_SURVEY=1 禁用。 |
| WebFetch 域安全检查 | 默认开启。 settings 中 skipWebFetchPreflight: true 禁用。 | 默认开启。 settings 中 skipWebFetchPreflight: true 禁用。 | 默认开启。 settings 中 skipWebFetchPreflight: true 禁用。 | 默认开启。 settings 中 skipWebFetchPreflight: true 禁用。 |
所有环境变量都可以检查到 settings.json。
从 v2.1.126 开始,当主机平台设置 CLAUDE_CODE_PROVIDER_MANAGED_BY_HOST 时,Statsig 指标对于 Vertex、Bedrock 和 Foundry 默认开启,并遵循标准的 DISABLE_TELEMETRY 选择退出。Sentry 错误报告和 /feedback 报告在这些提供商上仍然默认关闭。
WebFetch 域安全检查
在获取 URL 之前,WebFetch 工具将请求的主机名发送到 api.anthropic.com 以根据 Anthropic 维护的安全阻止列表进行检查。仅发送主机名,不发送完整 URL、路径或页面内容。结果按主机名缓存五分钟。
无论您使用哪个模型提供商,此检查都会运行,不受 CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC 影响。如果您的网络阻止 api.anthropic.com,WebFetch 请求将失败,直到您允许列表该域或在 settings 中设置 skipWebFetchPreflight: true。禁用检查意味着 WebFetch 尝试检索任何 URL 而不咨询阻止列表,因此如果您需要限制 Claude 可以访问的域,请将其与 WebFetch 权限规则结合使用。
本文翻译自 Anthropic Claude Code 官方文档,最近一次同步:2025-05-01。