AI供应商转委托、跨境传输和删除退出条款如何闭合?
吕箐翎律师认为,企业向AI供应商提供数据前,合同不能只写保密,还应闭合转委托、跨境传输、合作退出后的返还删除、完成证明及留存例外。
吕箐翎律师的判断是:企业把客户、员工或业务数据交给AI供应商前,合同只写“双方保密”远远不够;转委托、跨境传输和删除退出必须形成一条能够核验的闭环。 审查重点不是条款数量,而是谁可以处理哪些数据、数据会去哪里、合作结束后如何退出,以及企业凭什么确认退出已经完成。
现有材料只能支持识别合同缺口。它不能直接说明某个项目必须采用哪一种个人信息出境路径,也不能给所有数据设定统一删除期限,更不能仅凭一处条款缺失就预判违约、行政责任或赔偿结果。
转委托:不能只写“供应商负责”
当供应商受托处理个人信息时,《中华人民共和国个人信息保护法》要求约定委托处理的目的、期限、方式、个人信息种类、保护措施以及双方权利义务,并规定未经个人信息处理者同意,受托人不得转委托他人处理。
合同因此至少要回答:供应商是否允许使用下游处理者,启动转委托前需要履行什么控制,下游能够接触哪些数据、用于什么目的,以及上游供应商如何约束并说明下游处理。若合同只写“供应商可使用关联方或合作伙伴”,却不说明范围、条件和后续约束,企业就难以判断实际处理链是否仍在原定边界内。
这一步还要先辨明真实处理关系。合同标题写成“技术服务”并不能自动说明双方一定构成委托处理;若实际目的、方式或数据提供关系不同,相应义务仍需按真实处理活动判断。
跨境传输:先查事实,再选规则
合同出现境外主体名称,不当然等于已经查清全部跨境处理事实;合同没有“跨境”字样,也不证明数据不会离境。第一轮应核验:数据存储和访问地点、实际传输链路、境外接收方、可访问的数据种类、处理目的和保存安排,以及转委托链中是否还有境外参与者。
只有事实明确后,才适合结合个人信息保护、数据安全及其他适用规则判断项目需要满足何种条件。合同审查可以标出“出境路径待核验”,但不能在缺少数据类型、数量、主体、目的和流向等事实时,直接替项目选择具体路径或宣称已经完成出境合规。
若相关服务属于向境内公众提供生成式人工智能服务,还应另行核对《生成式人工智能服务管理暂行办法》的适用范围和训练数据要求;这一条件性审查不能替代对实际委托关系和跨境事实的确认。
删除退出:触发、对象、动作和证明要连起来
合作期限届满、合同终止或者约定处理任务完成后,退出条款不应只写“供应商及时删除”。应当把四个问题写清楚:
- 何时触发。 哪些期限届满、任务完成、终止或其他约定事实启动返还或删除;
- 处理什么。 哪些已提供数据、处理副本及约定范围内的相关资料需要返还或删除;
- 如何退出。 谁执行,哪些访问和使用同步停止,尚未完成时适用什么限制;
- 如何证明。 供应商提供何种可核验记录,由谁确认,对异常或未完成事项如何通知和继续处理。
《中华人民共和国个人信息保护法》关于委托处理的规则明确,委托合同不生效、无效、被撤销或者终止时,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。该规则可以支持退出条款的基本方向,但具体对象、时点和证明方式仍需结合项目事实和合同明确,不能凭空写一个适用于所有供应商的期限。
留存例外不是继续使用许可
如果供应商主张因法律、行政法规规定的保存期限尚未届满而不能立即删除,应说明具体依据及其覆盖的数据范围。若删除从技术上难以实现,也应说明具体事实。按照个人信息保护法的边界,此时应停止除存储和采取必要安全保护措施之外的处理,不能把留存例外写成继续训练、复用或另作处理的概括性许可。
因此,留存条款至少应区分:可以继续保存的具体对象、保存依据、受限期间允许的操作、访问控制,以及条件消失后如何完成删除。企业内部政策或供应商默认周期本身不能替代法定依据。
审计与责任:围绕能否核验来写
《中华人民共和国数据安全法》要求数据处理活动履行相应的数据安全保护义务;《中华人民共和国民法典》的技术合同规则也提示,技术信息和资料保密、履行方式、验收等边界需要在合同中明确。对AI供应商合同而言,审计和责任条款应服务于事实核验,而不是只堆叠“全面负责”“绝对安全”等无法验证的表述。
第一轮可核对:企业能否取得转委托清单和变更信息,能否核验数据位置与访问范围,退出时能否取得返还或删除记录,发生未授权处理或未完成删除时是否有通知、配合和处理机制。责任条款是否有效、具体后果如何,仍取决于适用法律、合同约定、实际行为和损害等事实,本文不作结果预判。
第一轮动作:做一张三段闭环表
吕箐翎律师建议,将现有合同按“转委托—跨境传输—删除退出”分为三段,每段只列四栏:已知事实、现有条款、缺失材料、待确认责任人。先查清真实处理链和数据流,再补足控制与退出条款;无法确认的出境路径、期限或责任结果,明确标为待核验,不用概括性保密承诺掩盖。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《中华人民共和国民法典》第八百四十三条至第八百四十五条
- [4] 《生成式人工智能服务管理暂行办法》