Ronze Lecture丨数字化时代的企业法律与合规

2024年9月26日下午，Ronze Lecture系列讲座第十一期“数字化时代的企业法律与合规”线下研讨会在前滩中心顺利举办，本次研讨会由上海至融至泽律师事务所和LexisNexis律商联讯共同举办，由至融至泽律师事务所合伙人陈嘉伟律师、钟姝琦律师、张功俐律师主讲，旨在帮助企业构建完善的法律与合规体系，积极拥抱科技赋能法务的趋势，为企业提供切实可行的解决方案和策略建议，提升应对数字化时代挑战的能力。

本次研讨会由LexisNexis律商联讯的敬珂Kevin主持。

会议伊始，至融至泽律师事务所主任、复旦大学法学博士裴长利律师致欢迎词，向律商联讯对本次研讨会的支持表示感谢，对与会嘉宾的到来表示热烈欢迎，期待通过至融至泽三位深耕于知识产权和数据合规领域的杰出律师的主题分享和与会嘉宾的互动交流，将数据与法律进一步结合，精深数据领域法律专业化，为企业、为社会提供更专业、精准、完善的法律服务。

钟姝琦律师以“AI企业知识产权风险及应对”为主题进行分享。结合执业经验，钟律师从版权法上作品的分类角度对AIGC的类型进行了拆分，并对AIGC的相关原理进行了概述，拆解了AI生文、AI生图&视频以及AI生音乐的技术特征，并基于此展开第一项专题，即AI数据训练的版权问题。钟律师通过对国内外出现的几个较有代表性的AI训练数据版权侵权案例的介绍，引入到目前美国、欧盟、英国、日韩等国家和地区有关AI数据训练相关的合理使用及相关制度的介绍，向与会嘉宾阐述了目前针对AI数据训练环节，通过版权法进行维权存在的障碍，包括：针对作品须拆分维权，维权成本高；难以对AI训练使用了版权内容进行举证；如何论证AIGC与版权内容构成实质性相似。最后，钟律师还通过数据堂诉隐木公司一案，介绍了目前企业对于AI训练数据的维权思路范式。之后，为AI训练企业合规措施提出了建议，例如使用公共或公开数据并注重相关的适用情形限制、控制AIGC算法以尽量避免生成结果与训练数据表达的一致性、对训练数据来源进行标注等。

 

就AIGC的版权问题，钟律师围绕是否具有权利、如果有如何归属、如何行权等问题展开。通过对我国公开的三个判决：“基于数据形成的统计图是否具有独创性”的菲林诉百度案、“基于智能写作软件的研发及使用人员的选择而得到的文章能否享有著作权”的腾讯Dreamwriter案以及“对AI生成软件输入提示词、设置参数并不断调整从而最终生成图片是否享有著作权”的AI文生图第一案进行介绍，提出目前对于AIGC生成内容能否获得版权法下的保护的观点不一，但最后北互作出的该判决表明从产业角度，该案法官体现出了希望通过版权保护鼓励AI产业发展的倾向。此后，钟律师通过案例，介绍了美国版权局相关的相反观点，即运用AIGC并非人的创作，由于输入的文本被拆解后与图库进行比较，从而以用户不可控、不可预测的形式生成图像供用户选择，不足以满足独创性，因此不应予以权利保护。总而言之，AIGC只有在足以体现人的创作意志和具备独创性的情况下，才能够获得著作权保护；对于权利的归属，核心在于对最终形成的内容的实质性贡献和控制能力。

 

最后，钟律师依然通过案例的形式，向与会嘉宾阐述了AIGC平台应当承担的责任问题，我国的《生成式人工智能服务管理暂行办法》将AIGC平台的法律地位定义为网络信息内容生产者，对平台明确了一定的义务，包括要求以用户协议明确双方权利义务，强化个人信息保护，进行显著标识，事中强化监管，健全事后的投诉、举报机制等。目前也存在观点认为对AIGC可以建立类似平台避风港规则，促进AI产业的健康、有序发展。但无论通过何种方式对平台责任进行建构，现阶段平台企业都可以在以下几个环节，采取特定措施来降低自身风险:在大模型训练阶段留存数据来源、规模、类型、标注规则、算法机制等有关记录，在大模型使用阶段通过用户协议明确平台与用户责任、设置敏感词、完善投诉举报机制等，同时，对生成物进行显水印和暗水印的标识等。

陈嘉伟律师以“企业常见数据合规风险问题及应对”为主题，针对数据合规核查领域有待解决的问题进行了分享。关于数据风险评估，基于相关实施细则的出台，目前主要以试点的方式进行，但从相关法律法规和目前的监管趋势而言，企业应当主动进行重要数据识别认定，与监管部门沟通，进行重要数据目录备案和风险评估；关于备案评估流程、识别标准、第三方的选择，重点在于积极与地方监管进行沟通，了解报送要求和监管口径；关于作为重要数据处理者的核心义务，包括重要数据目录的备案和定期更新、定期进行数据安全风险评估、首席数据官关注企业内部数据合规和数据资产流通利用、建立更为严格和完善的数据处理全生命周期安全管理规范等。

 

对于大模型产品上线备案，经历了从互联网新技术新应用安全评估到生成式人工智能（大语言模型）上线备案的过程，陈律师主要就备案过程中的典型问题和实操口径进行了分享。对于属于“具有舆论属性或社会动员能力”范畴的大模型产品或服务TOC，应当进行备案，对于TOB则存在监管口径的不一致，在大模型备案开始之初，监管部门大多以面向客群的不固定性要求企业进行备案，但今年下半年开始逐渐出现口径的收敛。对于灰度测试期间是否需要进行备案，目前监管要求上线之前进行大模型备案，因此灰度测试可以和备案手续同步进行。关于基座大模型备案后，在此基础上形成的垂类大模型是否还要备案，目前大多监管均出于对生成内容的安全控制目的，要求企业分别进行备案，但也有个别地区存在口径的松动。对于境外模型，监管口径也存在一定的松动，从原先无论是调用还是基于境外模型进行优化都无法通过备案，到目前有些地方监管会沟通如何控制内容和生成物的安全，但短期内大概率仍然无法通过备案。而大模型备案流程，由于地方监管部门备案流程不一致，进行预沟通尤为重要。此外，大模型产品或服务上线还需要进行互联网信息服务算法备案和安全评估。

 

关于个人信息合规审计，由于《数据安全技术 个人信息保护合规审计要求》（征求意见稿）的出台，实操中可能会逐渐强化和细化，是企业应当予以关注的核查要点，企业应当根据自主审计和监管审计的相关报送要求，履行相关手续。就审计颗粒度的问题，鉴于合规审计的目的本身是对个人信息处理者的合规合法情况定期进行全面审查，分场景审计有违合规审计初衷，实操中企业应当按照相关的规范进行整体审计。

 

关于个人信息保护影响评估，相对合规审计更为日常和频繁，只要出现个人信息处理、使用、提供等规定情形就应当触发，这是企业法务进行企业合规的抓手，实操中的难点一是需要精准识别是否属于触发的场景，而法务并非一线对接，需要由业务人员进行识别，存在遗漏的可能；二是国标评估流程过于复杂、难以实操；三是评估报告应当包含的内容并无明确规定。针对上述难点，陈律师提出，一是分产品和业务进行评估，统一由一线业务人员发起评估，由法务等合规人士确认是否需要实质进行评估工作；二是逐步将个人信息保护影响评估线上化、流程化。

 

关于APP产品合规，主要包括隐私政策、用户协议等文件的内容和形式的合规，前端交互行为的合规，后端处理行为的合规；陈律师提出，可以通过设置不同模式，区分用户同意或不同意隐私政策使用的功能范围；通过设置弹窗申请，让用户主动触发和产品本身业务功能无关的权限；以设置用户主动勾选个人信息授权等明示方式获得权限；对多次输入错误设置合理的账号锁定，以提高产品安全性等。陈律师提出，可以参照中国网络空间安全协会发布的已经完成合规整改的APP清单的产品设置等，更好地进行APP产品合规。

 

关于数据合规组织架构，陈律师对个保负责人、网安负责人、数安负责人、CDO等人员的任职资格和职责做了简单介绍，对人员的任命和设置提出相关建议，如从与监管部门沟通的需求角度，由中国籍内部人士担任，从集团业务和组织形态考虑，避免共用负责人等。

 

关于员工个人信息保护，陈律师通过案例分享，对企业提出建议，如完善内部劳动规章制度、在员工与企业签署的文件中明确个人信息处理的相关条款、制定员工个人信息处理政策；从招聘到离职的全流程梳理员工个人信息处理场景，完善告知同意制度；对于人脸识别、指纹等敏感个人信息的获取和处理进行单独告知同意或提供替代方案；对于监控设备的使用进行事前告知同意并严守正当性和必要性等。

张功俐律师以“法律科技发展与企业法务数字化应用场景分享”为主题，基于自身律师及数字化咨询的复合经验，结合四个具体场景与嘉宾分享和讨论法律科技的应用现状以及作为法务的角色如何参与和推进数字化项目的落地。

 

场景一是从法务的角度，如何认识和推进法务数字化项目。其中主要包含三个方面，一是了解市场，包括现有的供应商、产品和解决方案，现有的国内外行业实践的经验，通过积极参加市场活动、研讨会等，系统了解市场的发展，和同行进行深入的专业化交流；二是了解需求，明确数字化项目的目的，包括法务内部需要如何通过数字化进行管理、设定工作流程，公司内部需要法务发挥的价值和作用、如何和其他部门进行协调协作，公司外部如律所、客户、供应商等需要如何通过数字化进行业务对接等；三是了解技术，通过对基本的技术概念的认知，更好地和负责数字化系统构建的技术人员进行有效交流。

 

在场景二项下，张律师对法务数字化项目落地的主要阶段和法务在其中需要承担的工作进行了阐述，包括在立项及招投标阶段，根据企业需要的效果和期待实现的价值，进行供应商选型，结合法务工作经验提出建议；在合同磋商及签约阶段，在技术部门明确技术需求的同时，从法律视角明确服务范围、交付程度、验收条件、付款周期、知识产权数据安全等核心条款；在项目实施阶段，和供应商团队和企业内部团队进行协作，多方就系统的构建、项目的理解和需求等进行交流，进行资料收集、方案设计、功能把关和确认等；在用户测试及验收以及后期上线后的运维阶段，进行系统的测试培训和知识转移、反馈需求和变更等。

 

场景三是对现在火热的AIGC与法律工作场景结合的探讨。法律大模型未来在公司法务工作中具有较为广泛的应用领域，如合同管理、法律合规研究、诉讼支持、报告生成、虚拟助手等。张律师通过模拟法律大模型在业务流程下的应用场景，和人工智能法律平台运作模式的视频样例介绍，生动展现了法律大模型的运用对法务工作效率和专业化、信息化、流程化的作用。与此同时，法律人对人工智能的运用也存在一定顾虑，如生成内容在没有来源标识的情况下需要法务专门识别真实性和可靠性，使用过程中的数据安全、数据泄露风险，产品的使用适应和调整过程对工作效率的影响等。对AI生成结果的认可度，目前美国律师协会认可其能够帮助律师提升工作效率，但对律师如何应用和评估提出更高的要求。新加坡近期出台了关于生成式AI在司法领域适用指南，不禁止诉讼参与人的使用，但提示了相关工具的局限性，提醒诉讼参与人即使使用生成式AI产品之后，发表意见、举证等责任后果还是由本人承担。

 

最后，关于法务如何适应数字化变革项下的法务管理新模式，张律师提出应当持开放的态度，主动了解AI的工作方式，尝试将日常重复性强、数量大的工作通过技术方式提升工作效率，同时保持批判态度对待AI的工作结果，将其转化为技术驱动的工具和优化工作模式的手段，更好地实现工作效率的提升。

分享结束后，与会嘉宾也就大模型备案、训练数据的隐私政策、数字化产品在法务工作的应用落地面临的问题等进行了沟通交流。