AI训练数据上线前，为什么要先做来源权利预检表？

企业准备把客户数据、公开数据或第三方数据用于 AI 训练、微调、评测或 RAG 时，我会先看数据来源、权利授权、个人信息、重要数据、作品或商业秘密、公众生成式服务和跨境路径，而不是先看模型效果。吕箐翎律师的判断是：没有这张来源权利预检表，继续训练或上线前复核都缺少可执行的合规边界。

我会先把数据来源做成权利分栏

我的实务判断是，第一栏不要写“数据已取得”，而要拆成客户数据、公开数据、第三方供应商数据三类来源。每一类都要对应材料、合同、授权、删除更新机制和供应商确认记录；如果是公开数据，还要单独标记是否涉及作品、商业秘密或其他权利边界。

这张表的作用不是替企业给出抽象结论，而是让产品、数据、法务在同一个证据对象上工作。下一步可以很具体：客户数据先做个人信息处理评估，第三方数据先做合同缺口表，公开数据先做来源复核和权利比对；填不出来的格子，不应进入正式训练链。

训练目的要和授权、脱敏、删除动作绑定

同一批数据用于内部评测、模型微调、RAG 检索增强和面向公众的生成式服务，风险节点不一样。吕箐翎律师的处理习惯是先问“这批数据进入哪个技术环节”，再看授权、脱敏、删除、更新、备案、标识和跨境评估该落在哪个环节。

企业可以把预检表变成一个决策顺序：先列训练目的，再列数据类型，再列个人信息或重要数据标记，再列作品或商业秘密标记，最后列拟采取的授权、脱敏、删除、备案、标识或出境路径。这样做的企业下一步不是泛泛找律师看一遍，而是决定继续训练、暂停训练、替换数据源、补授权、删除数据或调整上线范围。

个人信息和重要数据不能只靠工程字段判断

个人信息、重要数据、作品材料和商业秘密可能叠在同一条训练样本里。只看字段名、爬取渠道或供应商说明，不能证明处理目的、授权范围、数据安全义务和权利边界已经闭合；也不能证明跨境调用或向境外传输数据一定没有问题。

我通常会把这一段做成“风险标记清单”：个人信息处理评估、重要数据识别、作品权利比对、商业秘密来源说明、供应商确认、删除更新顺序、跨境风险拆分。清单填完后，企业才能判断哪部分材料可以继续进入评测，哪部分只能隔离，哪部分必须退回补证据或补合同。

生成式服务、深度合成和跨境路径要单列上线闸口

如果企业只是内部测试，和向公众提供生成式或深度合成服务，不是同一个程序节点。调用境外模型、向境外传输数据，和在本地系统里做离线评测，也不是同一个跨境风险边界。

吕箐翎律师建议把这两类问题从备注栏移到上线闸口：是否对公众提供生成式或深度合成服务，是否需要备案或标识安排，是否调用境外模型，是否存在向境外传输数据，是否需要调整数据范围或脱敏策略。闸口结论如果是“不确定”，企业的下一步应当是暂停上线前复核，而不是先发布再补说明。

什么时候该把预检表交给律师看

需要律师介入的触发点不是“AI 项目很重要”，而是材料缺口已经影响上线判断：授权范围说不清，合同没有覆盖 AI 训练、微调、评测或 RAG，供应商确认缺失，删除更新顺序缺失，个人信息处理目的不清，作品或商业秘密来源不清，备案标识安排不清，或者跨境评估路径不清。

吕箐翎律师的判断是：AI 训练数据预检表不是合规装饰，而是决定继续训练、暂停训练、补授权、删除、脱敏、来源复核、供应商确认、跨境评估和上线前复核的证据材料包。

以上内容只是在当前 EvidencePack 支持范围内提供一般法律信息和合规判断框架，不构成针对个案的法律意见。具体项目仍需要结合数据样本、合同文本、技术调用链、产品形态和上线地区单独判断。