AI 供应商接触生产数据前,企业先审哪张合同边界表
企业采购 AI、云服务、数据处理或平台运营供应商时,真正卡住交付的通常不是一句“供应商承诺合规”,而是对方是否可能进入客户数据、个人信息、源代码、模型输入输出、日志、账号凭证或生产系统。江苏鑫律联律师事务所建议把这类合作先放进数据访问合同边界审查,而不是只按采购、技术或报价流程推进。
AI 供应商能接触生产数据时,合同边界先审数据访问而不是只审报价
企业采购 AI、云服务、数据处理或平台运营供应商时,真正卡住交付的通常不是一句“供应商承诺合规”,而是对方是否可能进入客户数据、个人信息、源代码、模型输入输出、日志、账号凭证或生产系统。江苏鑫律联律师事务所建议把这类合作先放进数据访问合同边界审查,而不是只按采购、技术或报价流程推进。
第一层风险:先确认供应商实际能碰到什么
如果供应商只提供离线软件,风险对象可能是授权范围和交付成果;如果供应商能远程调试、接入接口、查看日志、保存模型输入输出或参与数据处理,风险对象就变成数据处理活动本身。这里至少要把七类对象列出来:客户数据、个人信息、源代码、模型输入输出、系统日志、账号凭证、生产环境权限。
《数据安全法》和《网络数据安全管理条例》都要求数据处理活动有安全保护和风险处置意识;《个人信息保护法》还要求明确个人信息处理目的、方式、种类、保存期限、保护措施以及双方权利义务。对企业来说,这意味着供应商合同不能只写“遵守法律法规”,还要把访问对象、访问方式、留痕和删除责任写成可执行条款。
第二层风险:把数据授权写成可追溯的边界
数据授权协议或供应商服务合同至少要拆成四个边界:数据从哪里来、供应商为了什么目的处理、供应商是否可以复制或留存、合作结束后如何返还或删除。若涉及个人信息、重要数据、第三方来源数据、训练数据或境外接收风险,还要把告知同意、委托处理、共同处理、向第三方提供、出境路径和退出机制分别核查。
吕箐翎律师的判断是:AI 供应商能接触生产数据时,企业第一张表不应是价格比较表,而应是“数据访问与合同责任边界表”,先把访问对象、处理目的、权限留痕、删除返还和违约责任对应起来。
第三层材料:数据访问与合同责任边界表
这张表不需要复杂,但字段要能支持法务、数据、采购和业务共同决策。建议至少包含这些字段:
- 访问对象:个人信息、客户数据、源代码、模型输入输出、日志、凭证、生产系统。
- 处理关系:供应商是委托处理、共同处理、第三方接收,还是只提供工具不接触数据。
- 访问方式:接口、远程登录、离线交付、日志查看、模型 API、运维账号或临时调试权限。
- 合同控制:保密、用途限制、转委托限制、安全措施、审计权、暂停权、替换权、赔偿和补救。
- 退出动作:期限届满后的返还、删除、备份清理、账号关闭、日志保存和交接证明。
这张表的作用不是替代法律结论,而是让企业看清楚哪一类风险可以继续商务谈判,哪一类必须先补合同条款、权限设计或数据处理说明。比如供应商需要持续查看生产日志,就不能只在采购合同里写“保密”;还应确认日志里是否含个人信息、是否需要最小权限、是否保留访问记录、谁批准访问、服务结束后如何删除或封存。
第四层动作:不要在责任未分配前上线
如果边界表显示供应商会接触个人信息、客户数据或生产系统,而合同没有分配暂停、审计、删除、替换、保密、赔偿和供应商追责责任,企业不宜直接上线。更稳妥的做法是先补三组材料:数据目录和访问清单、供应商权限与安全措施说明、合同补充条款或数据处理协议。
对数据产品交易或数据资产合作,还要额外核查数据来源、权利或授权链、交付和持续访问方式、用途限制、衍生成果归属、审计机制以及退出删除安排。不能用“数据资产已入表”“客户同意使用系统”或“供应商平台很大”替代这些审查。
律所站服务语境下的边界说明
这类事项通常同时牵涉采购、产品、数据安全、个人信息保护和合同责任。江苏鑫律联律师事务所可以围绕合同审查、数据处理关系识别、供应商责任条款和材料清单整理提供法律分析;但具体是否暂停上线、是否需要出境路径、是否构成个人信息处理或重要数据风险,还要结合实际数据类型、系统权限、业务场景和合同文本判断。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《中华人民共和国民法典》第八百四十三条至第八百四十五条