AI 训练数据已经拿到授权,为什么仍要核对完整许可链?
吕箐翎律师说明,AI 训练数据的授权审查不能停在一份采购合同或一句“可用于训练”,还要核对素材来源、权利主体、允许用途、供应商再利用、个人信息、跨境处理和退出删除边界。
吕箐翎律师的判断是:AI 训练数据“已经获得授权”,不等于训练、微调、评测、检索增强生成以及后续商业使用都已经获得许可。企业需要核对一条能够从具体素材追溯到权利主体、许可范围和实际使用方式的授权链;只拿到采购合同、发票或一句“可用于训练”,通常不足以回答这些问题。
先确认授权人有权授权什么
同一批训练材料可能同时包含文字、图片、音频、视频、代码、数据库内容、人物声音或可以识别个人的信息。材料提供方拥有数据文件,并不当然意味着其拥有其中全部作品、表演、录音录像或个人信息的处分权限。
因此,第一步不是笼统确认“数据来自供应商”,而是核对材料来源、权利主体以及供应商取得材料的方式。对于委托制作、平台采集、客户交付、员工创作或第三方素材,还要进一步确认原合同是否允许向训练方提供,以及授权是否覆盖当前项目。
“可用于训练”必须拆成具体用途
吕箐翎律师通常会把许可范围拆成几个可以核验的问题:材料能否用于基础训练、微调、评测或检索增强生成;能否上传至第三方模型服务;能否用于多个客户项目;供应商能否留存、再训练或转供;模型输出、衍生数据集和项目成果如何使用;合同终止后是否需要停止使用、返还或删除。
这些边界不能由“内部研发”“技术服务”或“人工智能用途”等宽泛表述自动覆盖。具体许可范围仍要结合合同文字、材料类型、使用流程和双方实际履行判断。模型输出或项目成果的归属,也不能仅凭训练数据采购完成就直接下结论,应在合同中分别处理成果使用、收益安排、保密和责任分配。
著作权许可与数据合规要分开判断
作品获得许可,不代表其中个人信息的处理基础、目的和范围已经解决;个人信息处理具备相应基础,也不代表作品、商业秘密或合同限制可以忽略。企业应分别核对著作权及相关权益、个人信息处理关系、数据安全义务和保密边界,再判断这些权限能否共同覆盖实际训练流程。
如果企业面向公众提供生成式人工智能服务,还需要特别核对训练数据来源合法性、知识产权、个人信息处理和数据标注等适用要求。如果使用境外模型接口、允许境外主体远程访问,或者把相关数据传输到境外,还应根据数据种类、数量、处理主体和传输方式另行判断数据出境路径,不能因为采购了境外服务就推定已经合规。
下结论前,至少补齐三类事实
吕箐翎律师建议先回答三个问题:具体哪些材料进入了哪个训练或调用流程;每类材料由谁提供、依据什么权利授权;项目结束、授权撤回或供应商更换时,数据、副本和模型侧留存如何处理。
如果这三个问题仍无法落到材料清单、合同条款和实际数据流,现阶段更准确的结论不是“已经授权,可以使用”,而是授权链尚未闭合。企业应先缩小使用范围、暂停有争议材料进入训练,并针对缺失的权利来源、处理基础或退出安排补充核验。
参考资料
- [1] 《中华人民共和国著作权法》
- [2] 《中华人民共和国数据安全法》
- [3] 《中华人民共和国个人信息保护法》
- [4] 《生成式人工智能服务管理暂行办法》
- [5] 《促进和规范数据跨境流动规定》
- [6] 《中华人民共和国著作权法》第五十四条
- [7] 《中华人民共和国民法典》第八百四十三条至第八百四十五条