AI训练、微调或RAG前,数据合规预检应覆盖哪些分叉?
AI数据预检应先区分训练、微调、评测和RAG及服务对象,再核查数据来源、个人信息、重要数据、作品与合同许可、供应商访问、跨境、留存删除和退出路径。
吕箐翎律师的判断是:AI项目开始前,不能先问“这批数据能不能用”,而应先问它将被怎样用。 训练、微调、评测和RAG对应的数据进入方式、保存位置、供应商访问和退出动作并不相同;服务是否面向公众、数据来源和处理角色不同,适用结论也可能变化。
一份数据可以同时涉及个人信息、作品内容、客户合同限制和跨境链路。完成其中一项授权,不会自动替代其他分叉。预检的作用不是给数据贴一个永久“合规”标签,而是在具体处理活动开始前暴露缺口并限制用途。
第一处分叉:训练、微调、评测还是RAG
训练和微调通常会使数据参与模型参数形成或调整;评测可能只用于测试模型输入输出,也可能被保存并用于后续改进;RAG通常把材料建立为可检索内容,在调用时取回相关片段,但其索引、缓存、日志和输出仍可能保存数据。
因此,项目应说明数据是否进入模型参数、向量或其他索引、评测集、缓存、请求日志和人工复核流程。只说“没有训练模型”,不能证明RAG系统没有复制、存储或输出原始材料;只说“用于训练”,也不能说明训练结束后原始数据、样本映射和模型产物如何处理。
同一项目可能同时存在多条路径,例如用客户文档建立RAG,再用用户反馈微调模型。每条路径应分别确认目的、输入、输出、访问主体、保存和退出,不能共用一份概括说明。
第二处分叉:服务给谁使用
内部研发工具、限定员工或客户使用的系统与面向公众提供的生成式服务,产品对象和风险场景可能不同。是否面向公众不能只看是否收费、是否需要登录或产品自称“企业版”,还要结合真实开放范围和提供方式。
《生成式人工智能服务管理暂行办法》针对面向境内公众提供生成式人工智能服务的场景,对训练数据来源、知识产权、个人信息和数据处理等设置要求。项目只有在确认服务对象、功能和提供方式后,才能判断相关要求如何适用;内部使用结论不能直接复制到公众服务,公众服务要求也不能被笼统套到所有内部实验。
备案、标识或其他产品义务是否触发,同样需要结合具体服务、功能和适用规则确认。不能仅凭使用了大模型或RAG就给出统一结论。
第三处分叉:数据从哪里来、原目的是什么
数据可能来自企业自有业务、客户交付、公开网页、采购或许可、开放数据集、开源项目、供应商、员工整理或用户反馈。技术上能够下载、访问或调用,不等于可以用于训练、微调、评测或RAG。
《数据安全法》规范收集、存储、使用、加工、传输、提供、公开等数据处理活动及安全保护义务。预检应记录来源、取得方式、原处理目的、数据类型、允许用途、保护措施和特殊风险,不能把“公开数据”或“客户数据”当作统一权限类别。
企业应保留来源链接、合同或许可、采集时间、版本和使用限制。来源无法追溯、许可文本不能覆盖当前用途或客户交付目的不清时,应限制进入数据管道,而不是先使用后补材料。
第四处分叉:是否包含个人信息或敏感个人信息
文本、图片、音视频、日志、账号、位置、设备或行为数据都可能涉及个人信息。删除姓名并不必然完成匿名化;数据能否结合其他信息识别自然人,需要按实际内容和可用能力判断。
《个人信息保护法》要求围绕处理目的、方式、个人信息种类、保存期限、保护措施和处理关系核查个人信息活动。项目应区分企业自行决定处理、委托供应商处理、共同处理或向其他处理者提供等事实,合同中的“技术服务”名称不能替代角色判断。
涉及敏感个人信息、未成年人信息、目的变化、自动化处理或向其他主体流转时,还需要结合具体事实评估更严格要求。取得某次同意或客户保证,也不能自动覆盖新的训练目的、供应商访问或长期保留。
第五处分叉:是否涉及重要数据或特殊行业数据
重要数据不能由项目组凭感觉认定,也不能因供应商模板写“非重要数据”而排除。企业应结合数据内容、行业领域、适用目录、处理规模和可能影响进行识别,并记录判断依据和待核事项。
《网络数据安全管理条例》为网络数据处理中的分类、风险监测、安全事件处置、个人信息和重要数据等提供一般制度边界。涉及重要数据或其他特殊行业要求时,应在数据进入模型、索引或境外链路前确认相应处理前提,不能以普通合同授权替代。
识别材料不足时,应采取条件性边界,例如先不接入相关字段或环境,并继续完成目录、业务和安全核查,而不是把未知数据默认归入普通类别。
第六处分叉:是否包含作品或受合同限制的内容
训练和RAG材料可能包含文字、图片、音视频、代码、文档或数据库内容。能够公开浏览、购买账号访问、取得文件副本或从客户处接收,都不能单独证明当前处理方式已经获得所需权利。
《著作权法》为作品、许可和侵权责任提供一般法律基础,但不能据此概括认定AI训练或RAG当然合法或当然侵权。项目仍需核查具体内容、权利主体、取得来源、许可范围、处理行为和可能适用的法律边界。
合同许可也应区分阅读、复制、内部分析、模型训练、向量检索、生成输出、向客户提供和再许可。授权某一种用途,不自动覆盖所有模型处理;权利来源无法闭合时,应移除数据或限制处理,而不是依赖免责声明。
第七处分叉:供应商实际上能接触什么
使用云平台、模型接口、标注服务或外部评测时,供应商可能接触输入、输出、文件、索引、日志、凭证或生产环境。合同写“不使用客户数据训练”,不能单独证明供应商不保存请求、不由人员运维访问或不调用其他服务商。
预检应核对账号与接口权限、日志内容、保存期限、运维提权、人工复核、子处理者、训练开关、数据地域和删除能力。系统允许的访问、人员实际发生的访问和合同允许但尚未触发的访问,应分别记录。
供应商变化、产品功能升级或默认设置调整可能改变数据链。上线前的结论应绑定具体服务版本和配置,不能把一次审查写成永久保证。
第八处分叉:是否形成数据跨境链路
调用境外模型接口、向境外供应商上传材料、境外人员远程访问、日志或备份位于境外,都可能需要进一步核查数据跨境事实。供应商是境内签约主体、使用中文界面或提供国内域名,不足以证明数据全程留在境内。
《促进和规范数据跨境流动规定》为数据出境路径判断提供现行规则依据。具体路径取决于数据类型、处理主体、规模、场景和实际传输安排,不能只凭“使用海外模型”或“服务器在国内”作单因素结论。
项目应绘制数据从采集、上传、模型调用、日志、支持到备份的地域路径,并区分常态处理和故障切换。跨境事实尚未查清时,应先关闭或隔离相关通道,而不是先假定不构成出境。
第九处分叉:输出、日志和反馈会不会形成新用途
模型输出可能复现、改写或推断输入信息,RAG引用可能暴露原文片段,评测与人工反馈也可能再次进入训练或质量改进。预检不能只控制输入而忽略输出和反馈回流。
企业应说明输出向谁展示、能否下载或对外提供、是否带出个人信息或受限内容,以及异常输出如何发现和处理。日志应确认是否记录完整输入输出、谁能访问、保存多久、是否用于其他目的。
为了安全或质量保留日志,可以是独立处理活动;它不能由“主数据已经删除”自动覆盖。日志和反馈的用途、期限和退出动作需要单独写明。
第十处分叉:项目停止后究竟删除什么
退出不能只删除原始文件。训练或微调项目还可能保留数据副本、清洗结果、样本映射、评测集、日志和模型版本;RAG项目则可能保留文档库、向量或其他索引、缓存、引用片段、权限映射和备份。
企业应按处理路径列明停止使用、撤销访问、返还、删除、隔离、备份覆盖和下游通知的动作,并说明责任人、期限和验证材料。若某些内容因法定要求或安全需要继续保留,应限定对象、访问、用途和最终删除节点。
模型参数或衍生产物是否需要处理,不能脱离数据是否可识别、合同约定、技术可行性和具体法律义务预设统一答案。无法确认时,应保留结论并限制模型继续部署或复用。
预检开始前最少要拿到什么
吕箐翎律师会先要求项目说明四项最小事实:具体采用训练、微调、评测还是RAG;服务对象和部署位置;每类数据的来源与内容;供应商、日志和跨境链路如何运作。
在此基础上,再为个人信息、重要数据、作品与合同权限、公众服务要求和退出删除分别建立分叉。某一分叉材料不足,不必把整个项目一概写成违法,但应限制相应数据和功能,直到缺口得到核验。
结论
AI训练、微调或RAG前的数据合规预检,不是一张通用授权清单,而是一棵随处理活动变化的决策树。吕箐翎律师认为,只有处理方式、服务对象、数据来源、个人信息与重要数据、作品许可、供应商访问、跨境和退出动作逐项对应,才形成可执行的项目边界。
完成预检不保证项目在任何版本和场景下当然合规。服务对象、处理角色、数据内容、供应商配置或跨境路径发生变化时,应重新评估;事实不足的分叉,应保留结论并先限制使用。
参考资料
- [1] 《中华人民共和国个人信息保护法》
- [2] 《中华人民共和国数据安全法》
- [3] 《网络数据安全管理条例》
- [4] 《中华人民共和国著作权法》
- [5] 《生成式人工智能服务管理暂行办法》
- [6] 《促进和规范数据跨境流动规定》