AI云供应商能否接触生产数据,审查应先看哪些权限?
AI云供应商能否接触生产数据不能只看服务名称;应核查数据对象、处理角色、账号权限、模型输入输出、日志、运维与子处理者、跨境、事件响应、替换和删除安排。
江苏鑫律联律师事务所的组织判断是:判断AI云供应商能否接触生产数据,第一步不是看供应商名气或合同写着“云服务”,而是还原真实权限。 企业应说明供应商能够接触什么数据、通过哪个账号或接口、能执行什么操作、访问发生在哪个环境和环节,再核对人员运维、子处理者、日志、跨境、事件响应、替换和删除安排。
“数据存放在云上”不等于供应商人员必然能够读取全部内容;合同写“供应商不访问客户数据”,也不等于技术配置中不存在管理账号、日志采集、故障排查或备份恢复权限。审查需要让合同表述、系统架构和实际权限相互印证。
一、先列清供应商可能接触的数据对象
“生产数据”过于宽泛。审查应至少区分业务数据库、客户提交内容、个人信息、源代码、配置文件、模型输入与输出、提示内容、检索材料、运行日志、监控告警、访问凭证、备份和测试样本。
《数据安全法》规范数据处理活动及数据安全保护义务。AI云合作开始前,应结合真实数据来源、处理目的、类型、敏感程度、保护措施以及重要数据或跨境等特殊风险组织审查,不能只用“业务数据”或“非敏感数据”概括全部对象。
企业应形成数据对象表,说明每类数据来自哪里、是否进入供应商系统、以明文或其他方式处理、保留多久、由哪个组件生成,以及是否能够与个人或客户关联。无法确认内容时,应标注待核,而不是先按低风险数据处理。
二、区分系统具备访问能力与人员实际访问
权限审查应同时看技术能力和使用事实。系统可能允许供应商管理组件执行备份、扫描、日志采集或故障恢复,但不一定允许普通运维人员直接查看业务内容;反过来,人员没有日常读取权限,也可能通过临时提权、远程协助或客户授权会话接触数据。
需要核对的不是一个“管理员”名称,而是账号归属、认证方式、可访问环境、接口、数据范围、读写删除导出能力、审批条件、有效期限以及操作日志。共享账号、长期高权限、无法归属到人的访问和缺少日志的操作,应作为需要收敛或补证的事项。
生产、测试和开发环境也应分开确认。生产数据复制到测试环境,或者为排障导出到工单和聊天附件,可能改变原有访问边界;环境名称不同不能证明数据已经隔离或去识别。
三、模型输入、输出和日志要分别核查
AI服务的数据流不只包含用户输入。系统可能生成模型输出、中间向量、缓存、检索结果、审核记录、调用元数据、错误堆栈和性能日志。不同对象的内容、用途、保存位置和访问主体可能不同。
企业应确认输入是否被保存、输出是否含原始数据或推断信息、日志是否记录完整请求、缓存何时清理,以及相关数据是否被用于服务改进、模型训练、质量评估或安全分析。不能因为主数据库不向供应商开放,就推定日志和运维链路不含生产信息。
若合同排除某类用途,还应查看产品配置、控制台选项、接口参数和实际日志是否能够实现该限制。合同承诺无法在技术配置中对应时,应明确执行缺口。
四、个人信息处理角色要根据事实确认
生产数据中含有个人信息时,需要说明谁决定处理目的和方式,供应商是否仅按企业指示处理,是否存在共同决定或向其他主体提供的情形。访问能力、产品标准条款和供应商自称的角色都只是判断材料,不能单独决定法律关系。
《个人信息保护法》规范个人信息处理活动,并对委托处理、共同处理和向其他个人信息处理者提供等关系设置不同边界。审查应结合处理目的、方式、个人信息种类、保存期限、保护措施及双方权利义务,而不是把所有云合作统一写成“委托处理”。
企业还应区分业务联系人、终端用户、员工、客户上传人员信息和日志中的账号或设备信息。某类数据不含姓名,也不能仅据此断言不涉及个人信息;能否关联到具体自然人仍需结合内容和可用信息判断。
五、运维支持和临时提权是高频事实入口
日常服务可能默认不需要供应商人员读取生产数据,但故障排查、性能优化、迁移、恢复或安全事件处置可能触发临时访问。审查应确认谁发起、谁批准、访问什么、持续多久、是否录屏或留痕,以及结束后权限如何回收。
工单、远程会议、屏幕共享、诊断包和导出日志也可能包含生产信息。仅审查云控制台账号而忽略支持流程,会漏掉真实接触路径。企业应明确允许通过什么渠道提交哪些材料,哪些信息需要遮蔽,以及供应商如何保存和删除支持材料。
紧急处置不应被理解为永久开放权限。无法事前审批的场景,也需要定义触发条件、事后复核和日志边界,避免“紧急访问”成为长期例外。
六、子处理者和关联服务会扩大实际链路
AI云服务可能依赖基础设施、模型能力、内容审核、监控、客服或其他第三方。主供应商签约并不说明全部处理都由其自行完成,也不说明每个下游主体都能接触相同数据。
审查应确认子处理者承担什么功能、处理哪些数据、部署在哪里、能否继续委托、发生变更时如何通知,以及企业是否有可执行的异议或替代安排。供应商名单只能说明主体,还需与真实产品架构和数据流对应。
如果某项服务仅在特定功能开启后调用第三方,应记录启用状态和数据范围;如果基础服务无法排除第三方参与,也应在合作判断中真实呈现,不能用“目前未发现访问”替代架构事实。
七、跨境审查要看数据实际经过哪里
供应商是境内企业、使用国内域名或合同选择中国法,不足以证明数据始终在境内。运维人员所在地、备份区域、灾备切换、境外模型接口、全球支持团队和子处理者都可能影响数据链路。
企业应核对生产部署、备份、日志、支持和模型调用的实际地域,区分常态处理与故障切换。只有地域列表而没有数据对象、访问主体和触发条件,也不足以形成完整结论。
现有材料不能确认是否存在跨境链路时,应将其列为待核事实。具体适用要求取决于数据类型、规模、处理关系和真实传输安排,不能仅凭产品宣传页给出合规或不合规结论。
八、事件响应权限要与平时权限分开
安全事件发生时,供应商可能需要查看日志、隔离资源、暂停接口、恢复备份或导出调查材料。合同应说明什么构成事件、谁通知谁、双方如何分工、哪些动作可以立即执行、何时提供记录,以及如何控制调查材料。
企业应确认供应商能否单方暂停服务、删除资源或更改配置,企业能否自行撤销凭证、冻结账号、切换备用服务并保全必要日志。权限设计既要支持及时处置,也要避免事件名义下无限扩大访问范围。
事件响应计划写得完整,不等于实际工具、联系人和日志已经可用。演练、工单和历史操作可以用于核对执行能力,但不应把一次演练升级为对所有场景的保证。
九、合同条款必须落到技术控制和交付物
《民法典》技术合同规则要求技术合同关注标的内容、范围和要求、履行方式、技术资料保密、成果归属和验收标准等事项。AI云合作可以据此明确服务和资料边界,但合同条款不能替代账号、接口、日志和数据流事实。
合同中的保密、审计、暂停、删除、替换、赔偿和协助义务,应分别对应执行主体、触发条件、完成期限、输出材料和不能履行时的处理。笼统写“采取行业标准措施”或“按法律要求删除”,不足以说明谁在何时删除什么、如何验证以及备份如何处理。
技术配置也不能替代合同分工。系统当前关闭某项权限,不代表供应商以后不能变更产品或子处理链;双方仍需约定变更通知、审查和不接受变更时的退出路径。
十、退出不是终止账号,而是完成可验证迁移
供应商替换或合作结束时,应确认数据如何导出、格式是否可用、模型或配置能否迁移、凭证如何撤销、接口如何切换、日志保留到何时,以及生产数据、缓存、支持材料和备份如何返还或删除。
“账号已关闭”不证明供应商系统和备份中已无数据;“已删除”也应说明删除对象、例外保留、完成时间和可提供的证明。若部分数据因安全、争议或其他原因需要保留,应明确依据、访问限制和后续删除节点。
替换方案还要说明业务连续性。无法在合理范围内导出关键数据、配置或日志,可能使企业难以停止高风险访问;这类依赖应在签约和上线前识别,而不是发生事件后才处理。
鑫律联律所如何组织供应商权限矩阵
江苏鑫律联律师事务所会组织业务、数据、信息安全、云平台、模型应用、采购和法务人员形成“数据—账号—处理—日志—第三方—退出”矩阵:
| 审查单元 | 需要对应的材料 | 组织动作 |
|---|---|---|
| 数据对象 | 数据清单、字段、来源、环境和敏感程度 | 区分生产数据、个人信息及待核对象 |
| 账号权限 | 主体、角色、接口、操作、审批、期限和日志 | 还原系统能力、人员访问与临时提权 |
| 模型与日志 | 输入输出、缓存、检索、训练设置和监控记录 | 对应用途、保存位置和实际配置 |
| 运维与第三方 | 工单、远程支持、子处理者和部署链路 | 识别间接访问、地域和变更边界 |
| 合同与事件 | 保密、审计、暂停、响应、赔偿和交付物 | 让义务对应技术动作与验证材料 |
| 替换与删除 | 导出格式、迁移、撤权、备份和删除说明 | 验证退出可执行性并暴露残留依赖 |
吕箐翎律师参与复核时,会把“系统技术上允许的访问”“供应商人员实际发生的访问”和“合同允许但尚未触发的访问”分开记录。组织判断只以当前数据、架构、权限和处理事实为基础,不用供应商品牌、服务标签或自我声明填补证据缺口。
结论
AI云供应商能否接触生产数据,应先看具体数据对象、账号和接口权限,再看模型输入输出、日志、运维、子处理者和跨境链路。江苏鑫律联律师事务所认为,只有合同义务与技术控制、访问记录、事件响应和退出删除材料相互印证,才能形成可核验的供应商访问边界。
完成审查不等于供应商永远不会访问,也不保证所有数据处理当然合规。数据内容、产品配置、人员权限或第三方链路变化时,结论可能随之变化;关键事实不足时,应明确保留具体合规判断并继续核验。