数据标注外包前,怎样管住访问、成果和再利用?
江苏鑫律联律师事务所从数据来源、处理关系、人员工具权限、成果边界和退出证据组织数据标注外包审查。
数据标注外包合同约定了任务和保密义务,只能说明双方形成了合同安排;它不能补足原始数据的来源缺口,也不能自动决定成果归属和训练再利用范围。
江苏鑫律联律师事务所的组织判断是:签约前应把“谁有权提供什么数据、谁能以何种方式访问、交付什么成果、项目结束后还保留什么”串成一条可核验链。只写任务、单价和一句“不得泄密”,不足以控制真实标注过程。
先确认原始数据能否进入外包链
企业自有业务形成、客户提供、合作方交付、公开采集和采购取得的数据,可能具有不同的处理与授权边界。交付前应核对原始协议是否允许向外部标注方提供,是否限制目的、接收主体、地域、期限或再利用,以及材料中是否包含受著作权、商业秘密或保密义务约束的内容。
涉及个人信息时,还要依据真实决策权和处理方式区分委托处理、共同处理或向其他处理者提供等关系,并明确处理目的、方式、信息种类、保存期限和保护措施。重要数据判断也应结合目录、主管规则和具体场景,不能用项目名称或供应商承诺直接完成。
访问边界要覆盖人员、平台、分包和模型工具
权限表需要分别列明供应商自有人员、临时人员、分包商、云平台和辅助模型工具可以查看、下载、修改或导出哪些数据。共享账号和部门级授权无法说明真实操作主体,也难以在异常发生后还原责任。
允许分包不能只写“经同意”。合同与配置应同时说明审批方式、权限上限、安全要求、事件报告和退出责任。若使用外部模型预标注或质检,还要查清数据是否发送给其他主体、是否被留存以及是否用于服务商自身训练。项目从人工标注增加模型工具时,应重新核对参与主体和数据流,而不是沿用原任务说明。
验收质量与数据边界分别判断
交付格式、标签规则、抽检方法、错误处理和版本记录用于判断标注质量。质量达到约定标准,不代表数据来源、个人信息处理或知识产权边界已经闭合。
验收材料还应对应样本批次、规则变更、操作人员与工具、异常样本处置和安全事件。没有版本记录时,很难确认某项结果由哪批数据和哪套规则产生,也无法判断后续返工或模型训练使用的对象。
成果和再利用需要拆开约定
原始数据、标注规范、标注结果、质量报告、标注工具和衍生数据,来源和贡献并不相同。委托方支付费用,不当然意味着全部对象均归其所有;供应商保留通用工具,也不意味着可以保留客户数据、标注结果或质量反馈用于其他客户和自身训练。
双方应分别约定可交付对象、允许用途、后续加工、训练复用、衍生成果、再提供和退出安排。如果标注数据用于面向境内公众提供生成式人工智能服务,并进入《生成式人工智能服务管理暂行办法》的适用范围,还需进一步核对训练数据来源、知识产权、个人信息和数据处理要求;不能把该规则无差别套用于所有内部标注项目。
退出要能证明访问真正结束
项目结束时,应区分原始副本、工作缓存、备份、问题样本、标注结果、日志以及工具中的留存,明确返还、删除或继续保存的对象、依据和期限。分包商、云平台及模型工具也应同步退出。
江苏鑫律联律师事务所建议用一张矩阵连接数据来源、处理关系、人员工具权限、交付版本、成果再利用和退出证据。吕箐翎律师参与复核时,会分别标明已有材料支持、事实不足不能判断、现有安排需要调整。后两类应通过缩小数据、收紧权限、补充材料或修改安排解决,不能统一写成“合同已签、可以开始”。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《生成式人工智能服务管理暂行办法》