AI 产品交付验收,怎样把四类权利风险落到证据?
江苏鑫律联律师事务所建议把训练数据、模型输出、代码组件和供应商交付分别建立证据对应关系,再限定验收结论的版本、用途与责任边界。
AI 产品能够运行,只证明功能层面的交付结果;它不能单独证明训练数据可用、输出可传播、代码可分发或供应商拥有完整授权。
江苏鑫律联律师事务所的组织判断是:交付验收应当形成四套彼此独立又能相互核对的证据对应关系,分别覆盖训练数据、模型输出、代码组件和供应商责任。每套关系都要指向具体材料、具体版本和具体用途;缺少关键材料时,应把结论写成“当前无法确认”或缩小验收范围,而不是用一份总括承诺覆盖所有风险。
先确定这次验收究竟覆盖什么
组织审查的第一步不是收集更多文件,而是锁定验收对象:模型或服务版本、部署形态、训练和微调方式、调用的数据范围、拟交付的代码与文档、目标客户以及允许的传播方式。相同模型用于内部辅助和面向公众提供服务,适用边界可能不同;同一组件在内部测试和对外分发时,许可证义务也可能不同。
因此,验收表中的每个结论都应带有范围限定。例如“已核对当前版本所列训练集的取得材料”,不能扩大为“所有训练数据合法”;“已检查抽取样本中的第三方代码风险”,也不能扩大为“未来输出不会侵权”。
训练数据:把来源与允许用途放在同一条线上
训练、微调、检索增强和评测使用的数据,应分别列明提供主体、取得方式、包含的内容类型、合同或其他使用基础、允许用途和限制条件。公开可访问的数据不等于可以任意训练或商用,第三方采购、合作取得的数据也不当然包含再训练、转授权或向客户交付的权利。
材料协作时,可按数据批次对应网站条款、采购合同、授权文件、供应商权利说明和删除退出安排。涉及作品、代码、图片或音视频的,核对著作权及相关许可范围;涉及个人信息、保密资料或数据安全事项的,再分别核对处理目的、主体关系、安全措施及必要的退出机制。面向公众提供生成式人工智能服务时,还应结合实际服务形态核对《生成式人工智能服务管理暂行办法》的适用要求,不能把某一规则无差别套用于全部内部项目。
模型输出:保存能够还原生成与传播边界的样本
输出验收不能只留“效果良好”的截图。抽取样本时,应同时保存输入提示、参考素材、模型或服务名称、生成时间、输出版本、人工修改记录和拟传播范围。这样才能在出现相似内容或权利投诉时,区分模型输出、人工编辑和后续发布行为。
图片、视频、数字人、配音或其他生成合成内容,还要结合服务主体和传播方式核对深度合成及生成合成内容标识要求。验收材料需要说明谁生成、谁修改、由谁发布以及采用何种标识,而不是只记录“系统具备标识功能”。是否侵权仍须结合具体权利、作品表达、使用方式及个案事实判断,不能由“看起来相似”或“抽样未发现问题”直接推出。
代码组件:许可证目录只是识别入口
AI 生成代码应作为待审查交付物处理。组织需要区分模型原始输出、开发人员修改、项目既有代码、复制进入项目的文件,以及直接和间接依赖;对来源不清或相似度异常的片段,保留进一步核对的对象和结果。
SPDX License List 与 Open Source Initiative 的许可证目录可以帮助识别许可证名称和文本,但不能替代对具体许可证版本、组件范围及复制、修改、链接、分发方式的判断。交付材料应把依赖清单、许可证文本、版权及许可证通知、修改说明和适用的源码提供安排对应到实际版本。扫描工具结论、许可证简称或供应商口头说明都不足以单独形成最终判断。
供应商交付:合同承诺必须能对应到实物
供应商提供的模型、数据、代码、图片、文档和其他材料,应逐项对应合同标的、授权文件、权利保证、投诉协助、替换方案和责任安排。笼统的“不侵犯第三方权利”不能替代授权链,也不能说明供应商能否留存客户材料、继续训练或向其他客户复用。
技术合同中的交付范围、资料保密、成果归属和验收标准,应落实到可识别的版本及文件。合同约定由供应商承担责任,也不代表企业无需核对实际交付物;责任分配和事实审查是两件事。
用四张关联表形成可复核结论
江苏鑫律联律师事务所可按四类对象组织材料协作:数据来源与许可表、输出样本与传播表、代码组件与许可证表、供应商交付与责任表。每一行至少对应对象、版本、现有材料、支持的使用范围、尚缺事实和处理动作。
吕箐翎律师参与复核时,会把结论区分为三类:现有材料足以支持特定范围;关键事实缺失,暂时不能判断;现有材料显示需要替换、补充授权或调整功能。组织验收不应把后两类压缩成“有风险但通过”。更稳妥的动作是补证、缩小用途、替换组件或调整交付,再对变化后的版本重新核对。
最终验收意见应写清楚所依据的版本、用途和材料日期。模型更新、训练集变化、组件升级或传播方式改变后,原结论未必仍适用。
参考资料
- [1] 《中华人民共和国著作权法》
- [2] 《中华人民共和国数据安全法》
- [3] 《生成式人工智能服务管理暂行办法》
- [4] 《互联网信息服务深度合成管理规定》
- [5] 《人工智能生成合成内容标识办法》
- [6] 《中华人民共和国个人信息保护法》
- [7] SPDX License List
- [8] Open Source Initiative approved licenses
- [9] 《中华人民共和国专利法》(2020年修正)
- [10] 《中华人民共和国商标法》(2019年修正)
- [11] 《中华人民共和国民法典》第八百四十三条至第八百四十五条
- [12] 最高人民法院《关于知识产权民事诉讼证据的若干规定》(2020年11月18日施行)