Claude Code 法律合规指南
Claude Code 的合规基础:订阅用户使用 OAuth 登录,开发者必须使用 API Key 认证,不得通过订阅凭证代用户请求。医疗场景启用 BAA 需要同时签署 BAA 并激活零数据保留(ZDR)。安全漏洞通过 HackerOne 报告。2026 年 6 月 15 日起,Agent SDK 和 claude -p 将使用独立的月度 Agent SDK 额度。
2026 年 6 月 15 日起生效:订阅计划上的 Agent SDK 和
claude -p使用量将从新的月度 Agent SDK 额度中扣除,不再与交互式使用限制共享。详细说明请参见 将 Claude Agent SDK 与你的 Claude 计划一起使用。
法律协议
许可证
使用 Claude Code 必须遵守以下协议之一:
商业协议
无论直接使用 Claude API(1P)还是通过 Amazon Bedrock 或 Google Vertex(3P)访问,你现有的商业协议将自动适用于 Claude Code 的使用,除非双方另有书面约定。
医疗合规(BAA)
如果客户已与 Anthropic 签署了业务伙伴协议(BAA),并希望在 Claude Code 中使用受 HIPAA 保护的数据,BAA 将在以下两个条件同时满足时自动扩展到 Claude Code:
- 已执行 BAA
- 已为该组织激活零数据保留(ZDR)
BAA 适用于流经 Claude Code 的客户 API 流量。ZDR 按组织单独启用,每个组织需要独立激活 ZDR 才能受 BAA 保护。
使用政策
可接受的使用
Claude Code 的使用必须遵守 Anthropic 使用政策。Pro 和 Max 计划广告中声称的使用量上限基于 Claude Code 和 Agent SDK 的普通个人使用假设。
认证与凭证使用
Claude Code 使用 OAuth token 或 API Key 向 Anthropic 服务器认证,两者适用场景不同:
- OAuth 认证:仅限 Claude Free、Pro、Max、Team、Enterprise 订阅计划的购买者使用,用于 Claude Code 和其他原生 Anthropic 应用的常规操作。认证方法详见登录你的 Claude 账户。
- 开发者:构建与 Claude 功能交互的产品或服务(包括使用 Agent SDK)时,必须通过 Claude Console 或受支持的云提供商使用 API Key 认证。Anthropic 明确禁止第三方开发者提供 Claude.ai 登录功能,或代表其用户通过 Free、Pro、Max 计划凭证转发请求。
Anthropic 保留执行上述限制的权利,可能不事先通知。对认证方式有疑问,请联系销售团队。
安全与信任
信任与安全
更多信息请访问 Anthropic 信任中心和 透明度中心。
安全漏洞报告
Anthropic 通过 HackerOne 管理安全计划。使用此表单提交漏洞报告。
© Anthropic PBC. 保留所有权利。使用须遵守 Anthropic 适用服务条款。
常见问题
开发者能用 Claude Pro 的 OAuth 凭证为自己的产品路由请求吗?
不能。OAuth 认证仅限 Claude Code 等原生应用的普通个人使用。开发者构建产品或服务时必须通过 Claude Console 使用 API Key 认证,不允许以任何方式通过 Free/Pro/Max 计划凭证代用户请求。
企业客户签署了 BAA,就能自动覆盖 Claude Code 的使用吗?
不会自动覆盖。BAA 覆盖 Claude Code 需要同时满足两个条件:已签署 BAA 并且已为该组织启用零数据保留(ZDR)。ZDR 按组织单独配置,每个组织需要分别申请启用。
通过 Amazon Bedrock 或 Google Vertex 使用 Claude Code,适用哪个法律协议?
适用你与 Bedrock 或 Vertex 之间现有的商业协议,而非直接与 Anthropic 签署的协议,除非另有约定。