“知识蒸馏” : AI服务提供者能够通过法律手段制止吗?-夜雨聆风

“知识蒸馏” : AI服务提供者能够通过法律手段制止吗?

近期，“知识蒸馏”再次成为人工智能领域的热点话题。本文尝试从法律实践角度讨论：AI服务提供者能否使用已有的法律工具（而非推动新的立法）制止“知识蒸馏”？如果能，那么这些手段的可操作性和效果如何？

先上结论：在现有法律框架下，AI服务提供者可以在一定程度上通过合同条款、技术措施与现行知识产权制度的组合，增加“蒸馏”行为人的成本，但很难做到完全禁止。

一方面，版权和商业秘密保护在证明“蒸馏”行为与具体权利客体之间的对应关系上存在困难；另一方面，尽管“禁止蒸馏条款”在多数情况下具有合同法上的有效性，却受到格式条款、竞争法和公共政策的限制，其救济效果多止于终止或限制服务，而非获得竞争对手的赔偿（尤其是有阻却力的赔偿）。

因此，AI服务提供者要么考虑直接将“知识蒸馏”作为技术竞争的副产品而不加禁止；要么就必须投入更多资源，除了在服务协议中写入并写明“禁止蒸馏条款”外，还需要结合访问限流、异常抓取监测、接口分级等手段，构建临时的防线，而这些防线的有效性，还需要在实践中被进一步验证。

何谓“知识蒸馏”

所谓“知识蒸馏”，是指通过使用既有的人工智能模型生成输出结果，然后利用这些输出结果训练新的模型的过程。

“知识蒸馏”的过程中通常不涉及窃取或者复制被“蒸馏”的模型的软件源代码或参数，而只是通过对在先模型的答案、推理过程的学习，高效提高“蒸馏”行为人自己开发的模型的能力，减少其模型开发成本和时间。

版权保护的不确定性

模型开发者对自身模型的训练需要花费较高成本。在经济原因的驱使下，他们自然希望杜绝他人通过“蒸馏”方式，达到投入较少资源就获得与被“蒸馏”的模型相似的能力的目的。那么，采用何种法律安排才能达到这个目的呢？

人们首先想到的，自然是版权，这其中又包括人工智能模型软件的版权，以及人工智能模型输出的内容的版权。

人工智能模型软件的版权：由于“蒸馏”行为没有复制原有人工智能模型的软件代码，在大多数场景下难以被认定为软件版权的侵权行为。

人工智能模型输出内容的版权：要判断“蒸馏”行为是否构成对在先人工智能模型所生成的内容的、版权法意义上的“作品版权”的侵权行为，其逻辑前提是这些内容构成可被版权法保护的“作品”。

对于人工智能生成内容的可版权性问题，我国现行立法并未对此作出明确的回答，不同观点并行存在。

一方面，我国已有多个法院判决认定，人工智能文生图构成作品的作者和权利人是输入提示词的用户，例如，在北京互联网法院发布的涉人工智能典型案例“某甲科技有限公司、某乙科技有限公司诉孙某某、某网络科技有限公司著作权权属、侵权纠纷案”中，北京互联网法院表现出将具有独创性的人工智能生成内容认定为作品的取向；另一方面，江苏省张家港市人民法院2025年3月对“某娟与张家港A公司、某莎、张家港B公司、张家港C公司著作权侵权、不正当竞争纠纷案〔（2024）苏0582民初9015号〕”所作出的判决则对人工智能生成内容的可版权性问题持否定态度，打破了之前看似形成的“定论”，引发了新的讨论。尽管法院通常在认定时都会援引“独创性”这一标准，但是对于独创性的认定标准（特别是人工智能生成内容中的独创性认定标准）并无定论。

美国在“人工智能生成内容的可版权性”问题上的态度则相对明确。

根据美国版权局于2023年3月16日发布的《关于含人工智能生成内容作品的版权登记指南》（Copyright Registration Guidance: Works Containing Material Generated by Artificial Intelligence），版权保护仅限于“人类作者”（Human Authorship）创作的作品。在美国的司法实践中，亦存在判决否认人工智能生成内容的可版权性。例如，Thaler v. Perlmutter一案中，法院坚持“人类作者原则”，认为著作权法仅保护具有人类创作干预的作品，纯粹由机器自主生成的内容因缺乏人类精神活动而无法获得版权。

此外，否认AI生成内容的可版权性的另一理由在于，如果赋予其以完整版权，可能产生所谓的“不劳而获”（unjust windfalls）：用户无需投入实质性创作劳动，即可获得排他性权利。还有观点认为，保护AI生成内容，还可能带来“认知卸载”（cognitive offloading）和艺术多样性停滞的风险，进而影响文化创新。

不过，上述对AI生成内容的可版权性的否定性观点，主要源于内容的生成主体问题。也就是说，这些观点是将作品的可版权性与作品的创作者是否是人类两个要素放在一起讨论。但如果纯粹从客观角度分析：如果作品被定义为“具有独创性的表达”，那么只要满足了这个条件，仍可能承认AI生成内容的作品属性——这个问题属于法律理论上的讨论，本文暂不详述。

通过合同约定制止“知识蒸馏”的实践

实践从不为理论的迟疑而停滞不前。

既然AI生成内容的可版权性存在争议，实践中人工智能模型运营者就可能考虑用其他方法制止“蒸馏”行为。比如，在服务协议中限制模型输出内容的使用范围和目的。这类条款通常表现为禁止或限制用户将模型输出结果用于训练、优化或开发其他人工智能模型的行为。以下是几家领先的人工智能服务提供者的“禁止蒸馏条款”：

（一）Claude（由Anthropic公司运营）

为防止“蒸馏”行为，Claude在其Consumer Terms of Service（2025年10月8日版本）中同时进行目的限制和行为限制。目的限制即明确禁止用户将模型输出作为训练数据去训练”学生模型”（第3条第2项）；行为限制则表现为限制用户大量抓取输出数据（第3条第4项）或者通过机器人、脚本或非人工方式调用服务（第3条第7项）。

“您不得以下列方式访问或使用我们的服务，亦不得协助他人以下列方式访问或使用我们的服务：

……

2.为开发与我们的服务相竞争的任何产品或服务，包括用于开发或训练任何人工智能或机器学习算法或模型，或转售本服务。

……

4.除本条款允许的情形外，不得对我们的服务进行爬取、抓取或以其他方式收集数据或信息。

……

7.除非您通过 Anthropic API Key 访问我们的服务，或我们另行明确许可，否则不得通过自动化或非人工方式访问本服务，无论是通过机器人、脚本或其他方式。”

* 鉴于Anthropic官网未提供Claude的中文版本服务协议，本文所涉中文译文系作者自行翻译，仅供读者参考。

（二）ChatGPT（由OpenAI公司运营）

OpenAI在其《使用条款》（2026年1月1日中文版本）中明确规定，不得使用服务输出去训练或开发与OpenAI竞争的模型。

“禁止行为。您不得将我们的服务用于任何非法、有害或滥用性质的活动。例如，您不得实施以下行为:

以侵犯、盗用或侵害任何第三方权利的方式使用我们的服务。

修改、复制、出租、出售或分发我们的服务。

尝试或协助任何第三方对我们的服务进行逆向工程、反编译或获取其源代码及底层组件（包括我们的模型、算法或系统），但适用法律禁止此类限制的情形除外。

自动或以编程方式提取我们服务中的数据或输出内容（定义见下文）。

就非人类生成的输出内容，作出该内容系人类生成的虚假陈述。

干扰或破坏我们的服务，包括规避任何速率限制或其他限制条件，或绕过我们为服务设置的任何保护措施或安全防护机制。

利用输出内容开发与OpenAI构成竞争关系的模型。”

（三） Kimi（由月之暗面公司运营）

《Kimi用户服务协议》（2025年10月24日版本）中明确禁止未经授权使用服务输出去训练或开发竞争模型：

“6. 您不得从事以下危害网络安全、本服务运营安全及经营秩序的活动:

……

（4）对本服务进行反向工程、反向汇编、反向编译、翻译或者以其他方式尝试发现本服务的源代码、模型、算法和系统的源代码或底层组件；

（5）通过编写或使用任何自动化脚本、程序、工具（包括但不限于机器人、爬虫、定时任务等）来模拟人工操作，以实现自动、批量使用我们的产品或服务；

（6）重复、大量地进行相同或相似操作，高频提交相同或相似内容等，干扰服务的正常运行和秩序；

（7）未经我们授权，利用本服务来开发、服务与本服务有竞争可能性的应用程序、产品、服务或模型。

（8）未经我们授权，将本服务的全部或部分进行复制、转让、出租、出借、出售或提供分许可、转许可;”

（四）DeepSeek（由杭州深度求索公司运营）

《DeepSeek用户协议》（2025年9月5日版本）做出了与上述AI用户协议相反的取态：明文允许用户利用其AI完成“蒸馏”行为。该协议第3.7条：

“4.2在符合法律规定和我们的条款的条件下，您对本服务的输入与输出享有以下权利：

（1）您保留在提交的输入中拥有的任何权利所有权和利益（如有）。

（2）我们将本服务输出的内容的任何权利、所有权和利益（如有）归属于您。

（3）您可将本服务的输入与输出应用于广泛的使用场景中，包括个人使用、学术研究、衍生产品开发、训练其他模型（如模型蒸馏）等。”

（五）小结

综上，在当前主流人工智能服务的用户条款中，除少数企业明确允许“蒸馏”（如DeepSeek），大多数仍在尝试限制“蒸馏”行为。这些条款通常不会直接使用“蒸馏”或“distillation”字眼，而是通过一些更通用的措辞间接描述，例如：

1.禁止使用输出训练竞争模型。

2.禁止未经授权复制或分发模型或其输出。

3.禁止反向工程或尝试获取模型内部信息。

“禁止蒸馏条款”的有效性分析

（一）竞争法角度

在竞争法层面，目前并不存在专门针对“禁止蒸馏条款”的明确案例。不过，从竞争法的基本法理看，仅因协议中限制用户将输出用于训练竞争模型，并不足以当然认定违反竞争法。

不过，在特定情形下，例如服务提供方具有较强市场支配地位，且条款的实际效果显著排除或限制竞争，相关安排才可能进入竞争法审查范围。换言之，风险更多取决于市场地位与实际竞争效果，而非条款本身。

（二）格式条款角度

根据《民法典》第四百九十七条第（二）、（三）项，如果提供格式条款一方不合理地免除或减轻其责任、加重对方责任、限制对方主要权利，或者直接排除对方主要权利，则格式条款无效。

“禁止蒸馏条款”并非当然违反这些禁止性规定，但在特定情形下，存在被认定无效的可能性。具体而言，如果条款仅限于禁止将模型输出用于训练竞争模型，其目的在于保护服务提供方的商业利益，且用户仍可正常使用输出内容，则较难认定该条款排除对方主要权利。但若条款范围过宽，扩大至限制用户对自身数据或合法取得信息的基本使用权，或者明显造成权利义务失衡，则存在被认定为格式条款无效的可能。

此外，根据《民法典》第四百九十八条关于格式条款解释的规定，如双方对格式条款的理解发生争议、且对该格式条款有两种以上解释的，应当作出不利于提供格式条款一方的解释。这意味着，“禁止蒸馏条款”的文字措辞必须非常明确，才能避免存在多种解释的空间。

“禁止蒸馏条款”的效果

如上所述，在服务协议中写入“禁止蒸馏条款”，在大多数情况下不会被认定为无效。但合同条款有效，不等于该条款一定能达到制止“知识蒸馏”的目的。

首先，合同约定的权利属于相对权。违反合同的约定所带来的后果限于违约责任。违约责任的边界在于：原则上只能在合同相对人之间请求继续履行、采取补救措施、支付违约金或者赔偿因违约所造成的可得利益损失，而难以对非合同相对人主张权利，也难以突破合同范围，直接将“蒸馏所得能力”与算法本身的能力区分开。在缺乏明确的财产性客体和可量化损失的情况下，“蒸馏”违约案件往往更容易停留在合同解除、停止服务、限制进一步访问等“防御性救济”层面，而难以实现高额损害赔偿一类具有实质阻却力的进攻性效果。

其次，如果在合同中直接写明“禁止知识蒸馏”，那么问题就演变为“何为蒸馏”。“蒸馏”本身属于比喻的修辞手段，如果不采用已有法律中定义过的词汇来描述相关行为，就可能直接造成条款本身的解释空间过大的问题。基于格式条款的（不利于格式条款提供人的）解释原则，可能在产生争议时被作出不利解释。也许正是因为这个原因，上述对“蒸馏”持否定态度的各大AI服务提供者，都没有在服务条款中直接使用“蒸馏”这个词汇，而是尝试转换为更明确的行为描述。例如，在Claude的条款中，将对“知识蒸馏”的禁止，分解为以下情形：

1.将服务输出或相关数据用于“开发或训练任何与其服务相竞争的AI或机器学习模型”，即通过“目的限制”直接否定特定的使用场景；

2.限制爬取、抓取或其他方式大量收集服务数据的行为，阻断“蒸馏”所需的规模化数据获取路径；

3.禁止通过机器人、脚本或其他自动化方式在未获授权的前提下访问服务，从而规避正常API计费、配额或使用控制的自动化调用行为；

4.结合对“反向工程”或“获取模型内部信息”的一般性禁止，覆盖试图通过技术手段复现或逼近模型决策边界的高强度攻击式“蒸馏”方案。

最后，如果AI服务条款中，禁止用户为构建自己的模型而收集模型的数据，那么也还是会面临无法清楚界定什么叫“竞争性模型”的问题。在实践中，“竞争性”至少可以从三个维度理解：一是功能维度，例如是否同属通用对话助手、代码助手、搜索增强问答等相同应用场景；二是市场维度，例如是否面向相同的客户群体、以相近的定价策略提供相似的服务；三是技术维度，例如是否旨在在同类基准测试中复制或逼近特定模型的性能表现。但这些标准均带有较强的弹性与事后评价色彩，难以在合同订立之初做到穷尽式明确。

结论

总体而言，“知识蒸馏”本身并不违法，而AI服务提供者通过合同设定的“禁止蒸馏条款”亦具有有效性。

尽管如此，本文分析说明：对在先的AI服务提供者而言，简单利用现有的法律工具难以完全制止“知识蒸馏”行为。

目前，企业对于“知识蒸馏”行为存在两种取态：其一为对“知识蒸馏”保持开放态度；其二则是设立边界以限制“知识蒸馏”。

在现行法律框架内，如果企业的取态是限制“蒸馏”，更可行的路径是采取综合治理方案：一是通过更为清晰、可解释的服务条款，将“蒸馏”拆解为具体可识别的行为类型，同时注意避免在格式条款的不利解释和竞争法上可能存在的无效风险（尽管这种风险目前有限，但随着AI领域的高速迭代，竞争者迅速变少后，竞争法上的风险可能迅速放大）；二是结合技术手段（如限流、异常调用检测等）提高对大规模“知识蒸馏”的识别度；三是在B2B场景下通过谈判条款、保密义务与责任分配，将“模型输出再训练”的风险分配到不同的利益相关人，或者换个角度说：将再训练的收益在更多的关联主体之间分享。

总体而言，“知识蒸馏”本身并不违法，而AI服务提供者通过合同设定的“禁止蒸馏条款”亦具有有效性。

尽管如此，本文分析说明：对在先的AI服务提供者而言，简单利用现有的法律工具难以完全制止“知识蒸馏”行为。

目前，企业对于“知识蒸馏”行为存在两种取态：其一为对“知识蒸馏”保持开放态度；其二则是设立边界以限制“知识蒸馏”。

*本文源自浩天研究院

长按二维码关注