2026 年 4 月,Atlassian 宣布将在其云产品中默认收集客户数据用于 AI 模型训练,这一政策将于 2026 年 8 月 17 日正式生效,覆盖约 30 万全球企业客户。该策略的独特之处在于其分层授权机制:高级别企业客户拥有选择退出权,而免费版和标准版用户则面临强制数据贡献。这一做法在 SaaS 行业引发了关于数据治理、隐私公平和企业合规的广泛讨论。
技术实现:两类数据的采集机制
Atlassian 的数据收集策略明确划分为元数据(Metadata)和应用内数据(In-app Data)两个维度。元数据是指在用户使用 Jira、Confluence 等产品过程中产生的间接信息,包括 Confluence 页面的可读性评分与复杂度评级、任务分类标签(如 “销售工作项”)、语义相似度分数(用于衡量两篇 Confluence 页面的相似程度),以及 Jira 创建的特定字段数值 —— 故事点、Sprint 结束日期、服务级别协议响应时间等。这些数据在收集前会经过去标识化处理,Atlassian 声称已移除姓名、邮箱等直接可识别个人信息。
应用内数据则直接来源于用户创建的内容:Confluence 页面标题与正文、Jira 工作项的标题描述与评论、自定义表情名称、自定义状态名称以及工作流名称等。值得注意的是,应用内数据的收集范围不仅限于结构化任务数据,还包括企业文化相关的非结构化文本 —— 这意味着团队内部的知识库沉淀、流程规范文档甚至日常沟通记录,都可能成为 AI 训练的素材。
分层策略:隐私权益的阶层分化
Atlassian 的策略设计呈现明显的付费层级关联。对于元数据收集,Free(免费)、Standard(标准)和 Premium(高级)三个版本的客户均无法选择退出 —— 这意味着数以万计的小型团队和个人用户,其项目结构、使用模式和行为特征将被强制贡献给 Atlassian 的 AI 模型训练流程。Atlassian 产品传播负责人 Arseny Tseytlin 在接受 The Register 采访时明确表示:“如果 Atlassian 客户的最高活跃套餐是 Free、Standard 或 Premium,元数据贡献始终开启,且无法选择退出。”
应用内数据的收集策略则相对灵活:Free 和 Standard 版本的客户默认开启收集但可选择退出,而 Premium 和 Enterprise 版本则默认关闭,赋予企业更高的数据控制权。这种差异化设计创造了隐私权益的 “贫富差距”—— 支付更高费用的企业客户获得了选择权,而免费或低价用户则成为 AI 训练数据的被动供给方。
数据生命周期与模型重训练机制
根据 Atlassian 官方说明,贡献数据的最长保留期限为 7 年。这一时长远超多数企业数据保留策略的常规周期,Atlassian 辩称去标识化和聚合后的数据能够支撑更长周期的客户行为分析,从而实现 “更有意义的观察”。然而,从数据最小化原则审视,7 年保留期与 AI 模型训练的实际需求之间是否存在必要关联,仍值得企业信息安全团队审慎评估。
在数据删除与模型重训练方面,Atlassian 承诺:客户选择退出或删除应用后,相应的应用内数据将在 30 天内从数据集中移除,模型将在 90 天内完成重训练以清除相关数据。这一时间窗口意味着在退出操作完成后的最长 120 天内,已贡献数据的影响仍可能存在于 AI 模型的参数中 —— 对于高度敏感的行业客户而言,这构成了潜在的合规隐患。
适用排除与合规例外
Atlassian 明确列出了完全排除于数据收集之外的客户类型:使用客户管理密钥(Customer-managed Keys/BYOK)的企业、Atlassian Government Cloud 用户、Atlassian Isolated Cloud 用户,以及受 HIPAA 法规约束的医疗健康行业客户。部分政府与金融服务行业客户同样被纳入排除范围。这些排除对象恰好涵盖了数据主权要求最高、合规监管最严格的领域,反映出 Atlassian 在策略设计时对高监管门槛市场的规避。
然而,对于不符合上述排除条件的企业而言,风险敞口显著不同。在 GDPR、CCPA 等隐私法规框架下,默认数据收集可能触发用户告知同意、数据主体权利保障等合规义务;而对于尚未建立完善数据治理体系的中小企业,他们可能对这一政策变更毫不知情,其数据已在后台被转化为 AI 训练的养料。
企业应对与风险缓释建议
面对 Atlassian 的数据收集策略,企业应立即采取以下行动:首先,在 8 月 17 日政策生效前,评估当前订阅层级对应的默认数据收集状态,如有必要,通过管理员控制台调整应用内数据收集设置。其次,对于 Premium 及以上版本客户,应确认默认关闭状态是否满足内部合规要求,必要时主动选择退出元数据收集。第三,审视 Jira 和 Confluence 中的内容敏感程度,对于包含商业机密、员工个人信息或客户数据的页面,考虑迁移至本地部署方案或采用客户管理密钥的加密策略。第四,对于受 HIPAA 或金融监管约束的部署,确认 Atlassian 提供的排除机制是否覆盖自身场景,必要时获取书面合规确认。
从行业视角审视,Atlassian 的做法标志着 SaaS 厂商在 AI 训练数据获取上的激进尝试。在缺乏统一监管约束的现状下,企业客户需要建立更主动的数据资产意识 —— 不仅要在采购决策阶段审视供应商的 AI 数据策略,更要在日常运营中持续监控数据流向,将数据治理纳入与安全合规同等重要的治理范畴。
资料来源:The Register 报道《Atlassian's new data collection policy protects rich customers while AI eats the rest》(2026 年 4 月 18 日),Atlassian 官方支持文档《What types of data does my organization contribute?》。