AI 合作方接入生产系统前,先看这张数据授权边界清单
如果企业准备让 AI 合作方、外包供应商或云服务团队接触生产系统,我不建议只看一份“可以使用数据”的授权条款就继续推进。吕箐翎律师会先把数据来源、系统权限、模型输入输出和删除返还义务拆开,看企业到底是在做技术合作、数据处理、模型训练,还是把核心数据和知识产权资产一起交出去了。
AI 合作方接入生产系统前,先看这张数据授权边界清单
如果企业准备让 AI 合作方、外包供应商或云服务团队接触生产系统,我不建议只看一份“可以使用数据”的授权条款就继续推进。吕箐翎律师会先把数据来源、系统权限、模型输入输出和删除返还义务拆开,看企业到底是在做技术合作、数据处理、模型训练,还是把核心数据和知识产权资产一起交出去了。
先把“能不能接入”拆成授权范围问题
很多企业的卡点不是有没有合同,而是合同没有回答三个问题:合作方能进哪些系统,能拿哪些数据,能把数据用于什么目的。数据安全法和个人信息保护法都要求企业在数据处理、个人信息处理和安全保护上有明确边界;技术合同规则也要求把标的、范围、履行方式、保密和成果归属写清楚。
吕箐翎律师的判断是:AI 合作方接入生产系统前,企业先不要急着开权限,而应先用一张授权边界清单把数据来源、访问权限、处理目的、合同缺口和退出义务逐项对齐;清单对不齐,就不适合直接进入上线或全量接入。
我会先看生产系统权限,而不是先讨论模型效果
我会把材料分成两组:一组是系统访问账号、生产系统权限、日志、凭据和数据集,另一组是合同授权范围、保密义务、审计留痕、暂停权、删除或返还义务。前一组回答“合作方实际能碰到什么”,后一组回答“企业有没有允许它这样碰”。
如果这两组材料互相对不上,风险就不只是数据合规问题,还可能牵连商业秘密、技术资料保密、知识产权资产控制和后续责任分配。此时企业的下一步不是补一句概括授权,而是先暂停扩大权限,要求业务、技术、法务一起确认缺口。
用“AI 合作数据授权边界清单”做第一轮决策
这张清单至少要列出六类字段或动作:数据来源、访问账号和生产系统权限、处理目的、模型输入输出、合同授权范围、删除或返还义务。对每一项,企业都应标出当前证据来自合同、系统权限记录、供应商方案、数据台账还是项目沟通记录。
我通常会让企业在清单旁边再加三列:是否涉及个人信息或重要数据,是否允许用于训练或二次开发,项目结束后由谁负责删除、返还、留痕和验收。这样做的价值,是把“合作可以继续吗”变成可检查的边界问题,而不是靠业务口头判断。
哪些缺口会改变企业下一步动作
如果清单显示个人信息处理关系、向第三方提供、委托处理或共同处理没有说清,下一步应先补个人信息处理条款和安全措施,而不是直接开通接口。如果训练目的、输出使用、成果归属和收益分配没有写清,下一步应先修订技术合作或数据授权条款。
如果访问账号、日志、凭据、源代码或核心数据集已经交给合作方,但合同里没有暂停权、审计权、删除返还和责任分配,企业应考虑缩小权限、保留审计记录、补充协议,必要时安排替代方案。这个动作比事后追问“对方有没有滥用数据”更可控。
什么时候应找律师复核
出现以下任一情况,企业就不应把这件事当成普通采购流程:合作方要接入生产系统,数据包含客户、员工、供应链或交易记录,模型会使用企业材料训练或调优,合同没有写清删除返还、审计留痕、暂停权和成果归属。
这类材料缺口会直接影响企业能不能继续上线、能不能开全量权限、是否要补授权或改合同。本文只是一般法律信息,不构成针对个案的法律意见;具体项目仍应结合合同、数据台账、系统权限和实际处理流程单独判断。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《中华人民共和国民法典》第八百四十三条至第八百四十五条
- [4] 《中华人民共和国反不正当竞争法》