员工把资料发给 AI 工具后,第一天先做扩散边界
吕箐翎律师的判断:员工把客户资料、代码或方案发给 AI 工具后,第一天先固定输入内容、账号记录、权限范围和删除路径。
员工把客户资料、源代码、报价方案、产品路线图或内部会议纪要发给 AI 工具后,第一天最重要的事不是先追责,而是先把扩散边界和证据路径固定下来。吕箐翎律师的实务判断是,这类事件不能只按“员工违规使用工具”处理,它往往同时牵涉个人信息、数据安全、商业秘密、客户合同和内部权限管理。
吕箐翎律师结合14年知识产权办案经验和11,000+件诉讼案件处理经验判断,企业第一天要先回答四个问题:输入了什么,输入到哪个工具,工具是否保存或训练,内容有没有继续流向客户、供应商或公开平台。我的处理习惯是先止损和留痕,再谈劳动纪律、赔偿、通知和后续整改。
直接答案:先固定证据,再切断扩散
员工把资料发给 AI 工具,不等于已经构成商业秘密侵权或个人信息泄露,但也不能因为“只是内部试用”就放过。只要资料可以识别特定个人,或者包含客户名单、价格体系、代码、算法、投标方案、未公开产品资料,就必须进入事件处置流程。
我通常不会让企业第一天只做口头询问。员工记忆可能不完整,聊天记录可能被删除,工具后台也可能有保存期限。第一天的动作越慢,后面越难证明资料范围、接触权限、保密措施和实际损失。
第一张表:输入内容分级表
我会先做一张输入内容分级表,把“发给 AI 的资料”从一句笼统描述拆开。
| 资料类型 | 典型内容 | 主要风险 | 下一步动作 |
|---|---|---|---|
| 客户个人信息 | 姓名、电话、地址、聊天记录、订单、病历、简历 | 个人信息处理目的变化、第三方提供、敏感信息风险 | 固定字段清单,评估识别性和必要性 |
| 商业秘密 | 源代码、算法、报价、客户名单、供应商价格、技术方案 | 秘密性、保密措施、非授权披露 | 固定权限、保密协议、下载和外发记录 |
| 合同材料 | 客户合同、投标文件、交付方案、验收资料 | 保密义务、用途限制、违约责任 | 查合同条款和客户通知边界 |
| 内部经营资料 | 财务表、销售预测、产品规划、人事资料 | 经营风险、内部权限失控 | 限制访问,补权限时间线 |
| 公开材料 | 官网页面、公开广告、行业报告 | 风险较低但仍要核来源 | 保留来源截图和使用目的 |
这张表的价值,是把事件从“用了 AI”变成“哪类资料被输入、能否识别个人、是否属于秘密、是否受合同限制”。没有这一步,后续通知客户、联系工具方删除、内部处分或准备抗辩都会失去抓手。
第一天下午要做四个动作
第一个动作是固定时间线。我会要求企业保存员工账号、设备、IP、登录时间、上传文件名、提示词、输出内容、下载和转发记录。能截图的马上截图,能导出的马上导出,能封存的先封存。不要先让员工自行删除对话,因为删除前没有留痕,后面反而说不清楚。
第二个动作是看工具条款和后台设置。工具是否会把输入用于训练,是否提供企业隔离,是否允许删除历史记录,服务器或服务主体在哪里,是否有管理员审计日志,这些都会影响后续判断。不能只听员工说“我只是问了一下”,也不能只看工具宣传页。
第三个动作是切断扩散。该停用的账号先停用,该撤回的共享链接先撤回,该关闭的外部协作权限先关闭。这里不是默认认定侵权,而是控制损失。扩散范围越小,后续和客户、供应商、员工、工具方沟通越主动。
第四个动作是分流法律路径。如果涉及个人信息,就看原告知同意、处理目的、必要性、委托处理或第三方提供;如果涉及商业秘密,就看秘密性、保密措施、接触权限和不正当使用线索;如果涉及客户合同,就看保密条款、用途限制和通知义务。不同路径的证据包不能混在一起。
证据包不要只放截图
我的实务建议是,证据包至少包括六组材料:员工账号和设备记录,上传资料的原始文件和版本号,AI 工具条款、后台设置和删除记录,公司保密制度和 AI 使用制度,员工培训和签收记录,客户合同保密条款和后续沟通记录。
如果怀疑资料已经被新单位、客户或外部供应商使用,还要补一张外部使用线索表。表里写清楚谁接触过、在哪里出现、和原资料相似点是什么、企业原本如何保密。不能只凭员工离职或客户流失就直接下结论,证据要回到资料范围、接触权限和使用行为。
我不建议的处理方式
我不建议企业第一天只让员工写说明;不建议先删除对话再补截图;不建议对客户承诺“没有任何影响”却没有证据支撑;不建议把所有资料都说成商业秘密;也不建议用一句“内部研发”覆盖新的 AI 训练或算法优化目的。
这些误区会削弱后续谈判、止损、追责和抗辩能力。尤其在商业秘密场景,企业自己平时是否有保密制度、权限管理和培训记录,会直接影响案件判断。第一天的处置动作,也是证明企业采取合理保密措施的一部分。
吕箐翎律师的行动建议
下一步可以先做三张表:输入内容分级表、账号和扩散时间线、客户合同和通知边界表。再根据表格决定是否联系工具方删除、是否通知客户、是否做内部权限整改、是否对员工访谈、是否准备侵权或违约证据。
如果资料涉及个人信息或客户秘密,我会建议企业把“删除记录、替换方案、权限整改和客户沟通口径”一起准备,而不是只做内部处分。本文为一般法律信息参考,不构成针对具体案件的法律意见,也不替代正式咨询。
如需个案分析,可通过微信联系吕箐翎律师进一步沟通。