数据授权协议只写可使用数据，为什么不够

吕箐翎律师的判断是：数据授权协议里只写“甲方授权乙方使用数据”，通常不够。我会先看用途、数据类型、交付方式、成果归属、跨境路径和删除证明，因为数据授权不是一句同意使用就能覆盖训练、分析、转授权、持续访问、模型改进、客户交付和交易退出。

这类协议的风险不在于少一个漂亮标题，而在于边界没有落到证据。授权范围如果没有对应到字段表、来源清单、处理目的、账号权限、交付日志、成果版本和删除回执，后续发生投诉、审计、发函、谈判、保全或起诉时，很难证明双方到底允许了什么、禁止了什么、到什么时候结束。

我的实务判断：先把用途写成可核验动作

我的实务判断是，数据授权协议不能只写“商业使用”“内部使用”“项目使用”。这些词太宽，不能直接回答是否可以训练、微调、评测、RAG、分析、对外展示、交给客户、交给供应商、跨境调用或再许可。吕箐翎律师通常会先要求把用途写成动作清单：谁处理、处理什么数据、用在哪个系统、输出什么成果、能否下载、能否复用、能否删除。

我通常会把授权分成五个边界。第一是来源边界，确认数据从哪里来、谁有权授权。第二是目的边界，确认只用于哪个项目或产品。第三是交付边界，确认数据包、API、账号、报表或模型结果分别怎么交付。第四是成果边界，确认分析报告、标签、模型特征、衍生数据和客户交付物归谁。第五是退出边界，确认到期、撤回、违约或监管要求出现时怎么暂停、返还、删除和审计。

授权用途和成果归属表

核查项	要看的证据对象	风险边界	下一步动作
数据来源	来源清单、客户授权、供应商合同、采集说明	来源不明时，授权方未必有权继续授权	先补来源表和授权链
处理目的	项目说明、产品方案、业务流程、审批记录	内部使用不等于训练、交易或客户交付	把用途改成可核验动作清单
数据类型	字段表、样本截图、分类分级记录	含个人信息或重要数据时，不能只靠泛化同意	做敏感字段删除和保护措施清单
交付方式	数据包、API 日志、账号权限、验收记录	持续访问和一次性交付责任不同	写清交付节点、权限和验收表
成果归属	报告、标签、模型特征、版本表	衍生成果不清会影响再利用和交易	写明成果归属、禁止用途和再授权边界
退出删除	删除请求、回执、备份处理、审计日志	到期停止使用不等于数据已经删除	约定删除证明和审计窗口

这张表的作用是把合同语言变成后续能查的材料。只要某一行没有证据对象，协议就容易变成口号。下一步不是直接扩大授权，而是先补表、补附件、补日志，再决定继续签、缩小范围、改成交付服务，还是暂停使用。

哪些写法要改掉

吕箐翎律师建议重点改三类写法。第一类是“授权使用所有数据”。这句话没有数据范围，不能区分客户数据、员工数据、公开数据、第三方数据和处理后的数据产品。第二类是“可用于业务经营”。这句话没有目的边界，容易把分析、训练、营销、客户交付和再转让混在一起。第三类是“协议终止后停止使用”。这句话没有删除、返还、备份、日志和审计证明，发生争议时很难止损。

我的处理习惯是把这些写法改成可执行条款：列明数据目录和字段；列明允许用途和禁止用途；列明交付方式和账号权限；列明成果归属、再利用和转授权限制；列明到期、撤回、违约、投诉、监管要求出现时的暂停、删除、替换和审计流程。涉及境外接收或境外模型调用的，还要单独列境外接收方、处理目的、再转移限制和日志保存。

第一天下一步清单

企业第一天要先固定四类材料。第一类是权利材料，包括来源清单、授权文件、供应商合同和客户告知记录。第二类是处理材料，包括字段表、样本截图、系统流程、账号权限和处理规则。第三类是成果材料，包括报告、标签、模型特征、数据产品、交付版本和修改记录。第四类是退出材料，包括删除流程、删除回执、备份处理、审计日志和争议沟通记录。

如果已经签了泛化授权，下一步也不是直接推翻合同，而是补充边界。可以通过补充协议、数据目录附件、用途附件、权限清单、删除确认书或审计条款把风险降下来。商业目标要一起判断：如果目标是继续合作，重点是补授权、改交付、留审计；如果目标是止损，重点是暂停高风险用途、隔离数据、发函确认删除并准备证据包。

可以交给律师看的材料

我不建议只发一份授权协议。更有用的是完整证据包：数据目录、字段表、来源清单、授权链、处理目的说明、系统截图、API 日志、账号权限、成果样本、版本表、客户交付记录、跨境说明、删除回执、审计记录和沟通邮件。材料越具体，律师越能判断哪些条款要改、哪些数据要隔离、哪些用途要暂停、哪些证据要先保全。

具体授权是否有效、成果归属如何认定、是否涉及个人信息或重要数据、是否需要跨境路径、是否能继续交易或交付，必须结合数据来源、数据类型、处理过程、合同结构和实际使用记录判断。以上内容仅作一般法律信息参考，不构成针对具体案件的法律意见，也不替代正式咨询。