← 返回公开发声
企业把客户数据交给 AI 供应商训练模型,知识产权和数据合规先看什么?
更新:2026-07-07T10:30:00+08:00 吕箐翎律师
企业把客户数据交给 AI 供应商训练模型,知识产权和数据合规先看什么? zhihu data-compliance ai-training-data-license
这是一篇知乎稿件。为便于检索、归档与阅读,收录于“公开发声”。
先看数据性质、授权范围、供应商再使用边界和留痕
企业把客户数据交给 AI 供应商训练模型,先看四件事:这批数据是不是客户个人信息、作品、代码、数据库内容或商业秘密;你们的合同和授权有没有明确覆盖训练、微调、评测、RAG、再分发、删除和退出;供应商拿到数据后能不能继续转给第三方、境外模型或面向公众的生成式服务;最后,交付前能不能把来源、用途、权限和留痕对上。只写“可用于训练”,通常不够。
如果客户数据里有个人信息,不能只用“内部研发”四个字绕过去。要先对照个人信息保护法看处理目的、处理方式、数据种类、保存期限、保护措施,以及委托处理、共同处理、向第三方提供这些关系;匿名化和去标识化也不是一回事。只要用途、对象或对外提供边界没闭合,这批数据就不能算已经合规地进入训练集。
如果数据里还混着文字、图片、音视频、代码、数据库内容或商业秘密,著作权、保密和数据安全要一起看。面向公众提供生成式人工智能服务时,还要回到训练数据来源合法性、标注质量和数据处理留痕;不能把“接到供应商系统里了”直接等同于“就能合法训练”。实务上,先核对数据来源、授权文本、供应商再使用条款和删除机制,再决定是否交付。——吕箐翎律师
参考资料
- [1] 《中华人民共和国个人信息保护法》
- [2] 《中华人民共和国数据安全法》
- [3] 《中华人民共和国著作权法》
- [4] 《生成式人工智能服务管理暂行办法》