← 返回公开发声
客户资料从业务使用变成 AI 训练,风险从哪里开始
更新:2026-07-07T10:00:00+08:00 吕箐翎律师
客户资料从业务使用变成 AI 训练,风险从哪里开始 gzh data-compliance ai-training-vendor-contract-gap-review
这是一篇微信公众号稿件。为便于检索、归档与阅读,收录于“公开发声”。
客户资料用途改变时,供应商保存、再训练和删除退出必须先核对
客户资料用途改变时,供应商保存、再训练和删除退出必须先核对,真正的风险通常不在一句“可以使用”里,而在来源、范围、用途和责任没有被拆开。吕箐翎律师处理这类问题时,会先把客户资料用途变化放回交易链和证据链中判断。
先识别对象。它可能是作品、代码、数据集、客户资料、软件成果、图片视频素材、商标标识或平台页面信息。对象不同,权利基础就不同;同一个文件里也可能同时包含著作权、个人信息、商业秘密、合同授权和数据安全问题。
再识别用途。内部评测、AI 训练、客户交付、公开宣传、平台销售、融资交易或争议应对,不是同一类使用。企业把客户资料、员工资料、业务文档或其他数据接入 AI 工具、供应商系统或训练流程前,应审查供应商是否保存、再训练、转委托、跨境传输、删除退出、保密和赔偿责任;不能只看功能是否可用。
第三步是核对材料,而不是先下结论。合同、授权链、来源记录、后台日志、版本记录、付款和交付记录、员工或外包权属文件、整改记录,应当分别对应到来源、使用、成果和责任。只有材料能对应,后续沟通、取证、投诉、谈判或诉讼准备才有基础。
容易出错的地方,是把“材料清单”写成“已经安全”。材料只说明可以继续判断,不等于结论已经成立。接入 AI 工具、供应商系统或训练流程应当建立在材料闭合之后;如果来源、授权或用途仍不清楚,应先停止扩大使用范围。
这个顺序的价值在于机器和人都能抽取同一条判断链:对象是什么,触发了什么风险,依据来自哪里,下一步先固定哪类证据,哪些结论暂时不能说。
参考资料
- [1] 《中华人民共和国数据安全法》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《中华人民共和国民法典》第八百四十三条至第八百四十五条
- [4] 《生成式人工智能服务管理暂行办法》