夜雨聆风
一、前言
二、商业秘密泄露:最直接的隐形炸弹
(一)AI工具如何成为商业秘密的"漏斗"
(二)法律框架:《反不正当竞争法》的核心保护
(三)员工行为的法律归责路径
从法律归责角度看,当员工擅自将商业秘密输入AI工具时,存在以下法律路径:
其一,员工承担直接责任。员工如违反劳动合同中的保密条款,将面临合同违约责任,企业可要求其承担损害赔偿;情节严重者,还可能构成前述刑事犯罪。
其二,企业承担连带风险。如果企业对员工的不当行为未予制止或纵容,且导致客户、合作方数据泄露,企业将面临来自受损方的追偿。
其三,AI服务商的责任空间有限。大多数AI服务商在其用户协议中以免责条款排除了因用户输入数据导致泄露的责任,企业很难从服务商处获得实质性赔偿。这意味着损失的最终承担者几乎必然是企业自身。
三、数据合规:一张密不透风的法律罗网
(一)中国数据合规体系概览
近年来,中国数据合规法律体系已从单一的《网络安全法》(2017年)扩展为以"一法二条例多规章"为主体的完整体系。企业在引入AI工具时,将同时触发多部法律的合规审查:
法律法规 | 核心义务 | 违规处罚上限 |
《网络安全法》 | 数据本地化、网络运营者安全义务 | 最高100万元罚款,吊销营业执照 |
《数据安全法》 | 重要数据分类分级保护、数据出境安全评估 | 最高500万元罚款,情节严重可吊证 |
《个人信息保护法》 | 知情同意、最小必要原则、跨境传输限制 | 最高5000万元或上年营业额5% |
《生成式人工智能服务管理暂行办法》 | 使用方尽职调查、训练数据合规要求 | 责令整改,情节严重暂停服务 |
(二)《个人信息保护法》:最高频触发的合规红线
《个人信息保护法》(PIPL,2021年11月施行)是中国迄今为止对个人信息保护规定最为严格的专项立法。在AI使用场景下,员工极易触发以下违规情形:
1.未经授权处理员工、客户的个人信息
企业将含有员工绩效、薪酬、健康状况,或客户姓名、消费记录、联系方式等个人信息的文件上传至AI工具,即构成对个人信息的"处理"行为。PIPL第13条要求,处理个人信息须具备合法性基础(通常为取得当事人同意或符合合同必要性)。若未事先取得信息主体同意,将直接违反PIPL。
2.个人信息境外传输的严格限制
PIPL第38条至42条对个人信息出境作出了严格规定。向境外传输个人信息,须满足以下条件之一:通过国家网信部门组织的安全评估;经专业机构认证;依标准合同办理;依法律、行政法规规定处理。使用ChatGPT等境外AI服务时,若涉及个人信息上传,应被认定为个人信息出境,必须满足上述条件,否则将面临高额处罚。
3.敏感个人信息的额外保护义务
对于生物识别信息、医疗健康、金融账户、行踪轨迹等敏感个人信息,PIPL第28条要求"取得个人的单独同意,并应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响"。企业HR系统、医疗健康数据库若与AI工具对接,将直接触发这一更高层级的合规义务。
(三)《数据安全法》:重要数据与数据出境的双重管控
《数据安全法》(DSL,2021年9月施行)确立了以数据分类分级保护为核心的数据安全管理框架。其中两项制度对企业AI使用影响最为深远:
1.数据分类分级保护
DSL将数据分为"国家核心数据"、"重要数据"和"一般数据"三个层级。金融、能源、电信、交通、医疗等重点行业的企业,其业务数据极可能被认定为"重要数据",须按照更高安全标准进行保护。将重要数据输入AI工具,无论境内境外,均须事先评估其安全影响。
2.重要数据出境的安全评估
DSL第36条与国家互联网信息办公室2022年发布的《数据出境安全评估办法》共同构成了重要数据出境的管控体系。凡处理100万人以上个人信息的企业,或传输重要数据至境外的,均须向国家网信部门申报安全评估。这对使用境外AI服务的企业而言是极高的合规门槛,大多数企业并未意识到此类义务的存在,更遑论完成了合规申报。
(四)欧盟GDPR:不可忽视的域外效力
对于业务涉及欧盟的中国企业,欧盟《通用数据保护条例》(GDPR)的合规义务同样不可回避。GDPR最具影响力的特征在于其广泛的域外适用效力——凡向欧盟居民提供商品或服务,或监控欧盟居民行为的企业,无论其是否在欧盟境内,均须遵守GDPR。
1. 数据处理的合法性基础
GDPR第6条要求,所有个人数据的处理必须具备六类合法性基础之一(同意、合同、法定义务、重要利益、公共任务或合法利益)。当企业将欧盟员工或客户的数据输入AI工具时,若无法证明存在适用的合法基础,即构成违规。
2. 数据向第三国传输的限制
GDPR第44条至49条对个人数据向第三国(包括中国和美国)传输设置了严格限制,需通过充分性决定、标准合同条款(SCC)或约束性企业规则(BCR)等机制方可合法传输。中国企业若使用欧盟居民数据训练或输入AI工具,须完整评估传输合规性。
3. 自动化决策的特别规制
GDPR第22条赋予数据主体拒绝仅基于自动化处理(包括AI)而作出对其产生法律或重大影响的决策的权利。企业若使用AI进行员工绩效评估、信用审查、贷款审批等决策,须向当事人提供说明权、异议权及人工审核权。
4. 处罚力度:全球最严
GDPR的处罚标准在全球范围内首屈一指:一般违规罚款上限为1000万欧元或全球年营业额的2%(取较高者);严重违规罚款上限为2000万欧元或全球年营业额的4%(取较高者)。2023年,Meta因违反GDPR数据传输规定被爱尔兰监管机构处以12亿欧元罚款,创下GDPR史上最高罚款记录。
(五)《生成式人工智能服务管理暂行办法》的特殊要求
2023年8月,国家网信办等七部门联合发布《生成式人工智能服务管理暂行办法》(以下简称"《办法》")。虽然该《办法》主要针对生成式AI服务提供者,但其对服务使用方也有一定规范意义。
《办法》第7条要求生成式AI服务提供者使用具有合法来源的训练数据,不得侵犯个人信息权益;第14条要求提供者建立完善的数据保护机制。这意味着企业在选择AI工具时,也应尽到对服务商合规资质的尽职调查义务。如服务商不合规而导致数据泄露,企业也可能因"选任过失"承担相应责任。
四、风险全景:企业AI合规风险矩阵
综合以上分析,以下风险矩阵可帮助企业快速识别自身面临的核心法律风险:
风险类型 | 典型场景 | 适用法规 | 风险等级 |
商业秘密泄露 | 将客户资料、合同文本输入AI工具 | 《反不正当竞争法》 | ★★★★★ |
个人信息违规处理 | AI分析含个人信息的HR/CRM数据 | 《个人信息保护法》 | ★★★★☆ |
跨境数据传输违规 | 使用境外AI服务处理境内数据 | 《数据安全法》《网安法》 | ★★★★★ |
重要数据出境 | 含行业数据的文件上传至境外模型 | 数据出境安评规定 | ★★★★★ |
GDPR合规风险 | 处理欧盟客户/员工数据 | EU GDPR | ★★★★☆ |
知识产权侵权 | AI生成内容用于商业发布 | 《著作权法》 | ★★★☆☆ |
五、内部AI使用守则:从风险管控到制度建设
认识到风险的存在仅是第一步。对企业而言,更重要的是将风险认知转化为制度规范,建立一套切实可行的内部AI使用管理体系。以下从六个维度提供实操性建议:
(一)建立AI工具使用白名单制度
企业应明确区分"允许使用"与"禁止使用"的AI工具类别。原则上,仅经过企业合规审查的AI工具方可用于工作场景。
白名单准入标准建议:
审查维度应包括:(1)服务商数据处理协议(DPA)是否符合PIPL/GDPR要求;(2)数据是否存储于中国境内服务器(或符合出境合规要求);(3)服务商是否承诺不将用户输入用于模型训练;(4)是否提供企业级隐私保护模式;(5)服务商是否持有相应的国内AI服务许可资质。
对于被列入白名单的AI工具,企业应与服务商签订数据处理协议(DPA),明确数据使用范围、保密义务、安全措施、违约责任及数据删除机制,为后续追责保留合同依据。
(二)数据分级输入管理:划定信息红线
企业应根据自身数据分类分级体系,明确不同等级数据的AI处置规则:
绝密级/核心商业秘密(如技术配方、战略规划、并购方案):禁止输入任何AI工具;
保密级(如客户名单、合同文本、财务数据):仅可输入经批准的企业私有AI部署,禁止使用公共AI服务;
内部级(如内部报告初稿、工作流程文件):可使用白名单AI工具,但须脱敏处理个人信息后输入;
公开级(如产品介绍、市场宣传材料):可自由使用AI工具辅助生成。
(三)个人信息脱敏处理规范
对于不可避免需要借助AI处理的含个人信息数据,企业应建立标准化的脱敏处理流程。具体操作包括:将真实姓名替换为代号(如"客户A")、隐去身份证号码中的关键位数、用"**"替换手机号码后四位、删除精确地址信息等。
脱敏后的数据在输入AI工具时仍应遵守白名单制度,并在使用完毕后及时删除AI会话记录,防止AI服务商通过会话记录留存恢复原始数据。
(四)员工AI使用培训与签署知情承诺书
法律风险的最终防线在于人。企业应将AI合规知识纳入员工入职培训及年度合规培训体系,重点使员工理解:
什么是商业秘密,以及商业秘密泄露的法律后果;
哪些信息绝对禁止输入AI工具;
如何正确使用经批准的AI工具;
发现异常数据使用行为时的报告机制。
此外,企业应要求员工签署《AI工具使用知情承诺书》,明确违规使用AI工具将承担的法律责任,从事实层面固定员工知情义务,为后续追责提供书面依据。
(五)构建AI使用审计与监控机制
企业应在技术层面部署相应的AI使用监控能力:
网络层面:通过企业防火墙或代理服务器记录员工访问AI工具的行为日志;
终端层面:在公司设备上部署数据防泄露(DLP)软件,设置敏感信息关键词过滤规则;
应用层面:对于企业部署的AI工具,建立输入内容日志审计机制;
管理层面:设立定期AI使用合规审计,发现违规行为及时处置。
需要注意的是,员工监控本身也须符合PIPL的要求,企业应事先在员工手册或劳动合同中告知监控政策,并取得相应同意。
(六)建立AI合规事件应急响应机制
一旦发生疑似商业秘密泄露或数据合规事件,企业应能迅速启动应急响应程序:
立即隔离:停止相关AI工具使用,保全证据,防止损失扩大;
内部报告:第一时间向合规部门、法务部门及管理层汇报;
法律评估:由专业律师团队评估事件性质、法律风险及可能的监管报告义务;
监管报告:若涉及个人信息泄露,根据PIPL第57条及相关规定,在规定时间内向监管机构报告;
外部沟通:在律师指导下向受影响客户、合作方及监管机构进行必要的披露与沟通;
溯源与改进:调查事件成因,修补制度漏洞,防止类似事件再次发生。
六、对不同行业的特别提示
不同行业在引入AI工具时面临的合规重点有所差异,以下就若干高风险行业作特别提示:
金融行业
金融机构还须同时符合《中国人民银行业务领域数据安全管理办法》、《个人金融信息保护技术规范》(JR/T 0171-2020)以及银保监会、证监会的数据治理要求。金融信息属于敏感个人信息,金融机构使用AI处理客户金融账户信息、交易记录时,面临最高等级的合规义务。
医疗健康行业
医疗机构及相关企业在使用AI处理病历、基因检测结果、健康档案等健康信息时,须符合《信息安全技术—健康医疗数据安全指南》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》等行业规范。健康信息属PIPL下的敏感个人信息,其处理需取得单独同意,且须在具有国家认可资质的系统中进行。
涉外业务企业
对于在欧盟、美国、日本、韩国等地设有业务实体或服务当地客户的中国企业,除需遵守GDPR外,还须关注各地新兴的AI专项监管法规,包括欧盟《人工智能法案》(EU AI Act,已于2024年8月生效,将于2026年全面适用)及相关行业指南。EU AI Act将AI系统分为不可接受风险、高风险、有限风险和极小风险四类,对高风险AI应用(如HR招募、信贷评分、关键基础设施)设置了严格的准入与持续合规要求。
国有企业与政府关联企业
国有企业及政府关联企业除须遵守上述通用规范外,还须高度关注国家保密局及行业主管部门对涉密信息的管理要求。国家秘密、工作秘密及内部信息严禁输入任何AI工具,违者将依据《保守国家秘密法》追究法律责任。
七、结语:合规先行,方能行稳致远
生成式AI所带来的效率提升是真实的,但其法律风险同样不容小觑。我们注意到,目前国内绝大多数企业对员工AI使用行为缺乏系统性规范,对数据合规义务的认知仍停留在"注意隐私保护"的模糊层面,对商业秘密经由AI工具外泄的路径尚未建立有效防控机制。这一现状意味着:当监管执法趋严、竞争对手恶意利用、或数据泄露事件偶发时,缺乏合规体系的企业将毫无招架之力。
合规投入是对企业核心竞争力的保护,也是对企业可持续发展的护航。建立AI合规体系不应是一项被动应对监管的临时任务,而应成为企业在智能化转型过程中的战略主动。
🌟欢迎点赞、分享、关注我🌟
感谢阅读❤️
