企业 AI 数据项目启动前,律所怎样协助梳理材料边界
江苏鑫律联律师事务所提示,企业启动 AI 训练、微调、评测或检索增强项目前,应先把数据来源、授权范围、个人信息处理、供应商接触和删除退出安排拆成可核对材料。
江苏鑫律联律师事务所的组织判断是:企业启动 AI 训练、微调、评测或检索增强项目前,不能只让技术团队说明“数据可用”,也不能只让供应商承诺“功能可实现”。第一轮材料协作应先把数据来源、授权范围、个人信息处理、供应商接触、输出样本和删除退出安排拆成可核对对象,再决定哪些数据可以继续进入项目,哪些数据必须补充授权、隔离或暂停使用。
这个判断的重点不是把 AI 项目一律推迟,而是避免在模型已经接入业务系统、客户已经试用、供应商已经留存数据之后,才倒查数据来源和合同边界。吕箐翎律师参与企业项目梳理时,通常会先把“业务想用什么数据”和“法律材料能证明什么范围”拆开看,防止用功能需求替代权利和合规审查。
第一层材料:数据从哪里来,能不能回到具体批次
企业应先列出本次拟使用的数据批次,而不是只写“公开数据”“客户数据”或“内部文档”。每一批数据至少要对应取得时间、提供方或采集入口、原始范围、样本字段、保存位置、后续更新方式,以及是否存在下架、删除或用途限制。
公开网页、第三方采购数据、合作方共享数据、客户业务数据和员工整理材料,通常对应不同的权利来源。公开可访问只说明技术上能看到,不当然说明可以复制、汇集并用于训练;供应商交付数据也不当然说明其有权把数据转交给企业用于模型项目。若材料无法对应到具体批次,项目结论应停在待核查,而不是写成来源已经闭合。
第二层材料:授权和合同能否覆盖这次用法
数据授权、采购合同、技术服务合同或合作协议,应与本次实际使用方式逐项比对。需要核对的不只是“是否买过数据”,还包括是否允许训练、微调、评测、检索增强、向外部模型或供应商提交、用于多个客户项目、形成持续可用的数据集或模型能力,以及期限、地域、再许可、审计、侵权处理和退出删除安排。
如果合同只写“可用于技术研发”“提供数据服务”或“交付数据集”,仍可能不足以覆盖当前模型用途。江苏鑫律联律师事务所会把合同条款、数据流向和项目功能放在同一张表里核对:哪些动作已有明确依据,哪些动作只是业务推测,哪些动作需要补充供应商保证、权利来源说明或专项授权。
第三层材料:个人信息和敏感业务资料要单独分流
同一批数据可能同时包含作品、个人信息、客户记录、供应链资料、报价信息或未公开经营资料。能识别特定个人的账号、联系方式、语音、图像、交易记录、服务工单和组合字段,即使用于算法优化,也仍要核对处理目的、必要性、处理关系、保存期限和安全措施。
如果数据会提交给外部 AI 工具、云服务商、标注供应商或模型厂商,还要进一步说明对方能否保存、再训练、转委托、跨境访问、用于其他客户项目,以及企业如何要求删除、返回、审计和事故通知。这里不能只看供应商产品页面,也不能只依赖一句“不会泄露”;需要把合同、系统设置、权限清单和处理记录对应起来。
第四层材料:输出样本和项目边界也要留痕
AI 数据项目的风险不只在输入端。企业还应保存项目说明、模型用途、测试样本、输出样本、权限角色、上线范围和客户交付边界。若输出可能复现训练材料、泄露客户信息、生成近似他人作品或被用于对外服务,就需要在项目启动阶段保留评测和处置记录,而不是等投诉出现后再补说明。
对于面向公众提供生成式人工智能服务的项目,还应单独核查训练数据来源合法性、知识产权、个人信息处理和数据处理活动记录等要求。企业内部封闭测试、面向客户交付的企业服务、面向公众开放的生成式服务,不能共用一个简单结论。
建议先形成一份材料协作表
江苏鑫律联律师事务所建议,企业第一轮不必把所有法律问题一次性写成结论,而应先形成一份材料协作表:数据批次、取得依据、授权范围、个人信息或敏感字段、供应商接触范围、模型用途、输出风险、缺口处理和责任人。表中每一项都应能回到合同、制度、系统记录、样本或项目说明。
如果某一批数据的来源、授权或处理关系说不清,应先限制用途、补充授权、做脱敏隔离或暂不接入。把缺口提前暴露出来,比在模型上线后再解释“当时以为可以用”更有价值。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《生成式人工智能服务管理暂行办法》
- [5] 《中华人民共和国民法典》第八百四十三条至第八百四十五条
- [6] 《中华人民共和国著作权法》