《人工智能法案》实施后,初创企业的知识产权、数据和商业秘密清单

Pine IP Firm
2026年5月14日

AI初创公司的知识产权策略不再止于“我们的模型能申请专利吗?”随着《人工智能发展与可信创造促进法》于2026年1月22日生效,AI服务已进入一个新阶段,除了技术保护,还需要审查数据来源、透明度、安全性、商业秘密管理和外包合同。

特别是对于生成式AI、应用于医疗、金融、招聘、教育、交通等敏感领域的AI,或持续利用客户数据进行训练的SaaS型AI服务,知识产权和合规性从一开始就不可分割。专利是披露技术和获得权利的手段,而商业秘密则通过不披露来维持其价值。训练数据和模型运营政策决定了公司在这两者之间的风险。

本文为AI公司在产品发布前提供了一份实用的检查清单。

首先区分三种资产

AI公司通常拥有多种不同特征的资产。

第一,可以披露的技术。这包括模型结构、数据预处理方法、推理速度改进技术、以及可申请专利的行业特定应用系统等技术。该领域需要审查在披露前是否申请专利。

第二,一旦披露其价值就会降低的技术。此类技术包括模型训练流程、数据标注标准、超参数调优知识、提示链、评估集以及客户特定优化规则。该领域应首先评估其作为商业秘密进行管理的潜力。

第三,公司不能自由使用的外部资产。这包括爬取的数据、客户提供的数据、开源代码、外部API、公共数据集、合作伙伴创建的模块以及员工使用个人账户创建的实验代码。该领域需要初步检查所有权和使用条件。

AI纠纷通常发生在第三类资产被当作第一类或第二类资产处理时。“我们训练了它,所以它是我们的”这句话只有在解决了合同、许可、个人信息、版权和商业秘密等问题后才有意义。

AI基本法生效后的检查项目

1. 确定我们的服务是否接近高风险AI

AI基本法要求对可能对人类生命、人身安全和基本权利产生重大影响的AI实行单独的管理制度。执行法令还要求确认在能源、饮用水、医疗保健、医疗设备、核能、刑事调查/逮捕、招聘/贷款筛选、交通、公共服务和教育等领域的应用。

即使初创公司认为其服务是“简单的推荐服务”,如果实际客户将其用于招聘、贷款申请、保险、医疗评估或教育评估,也可能出现与高风险AI相关的问题。因此,建议在产品描述和合同中明确界定AI的允许和禁止使用区域以及客户的责任范围。

检查清单问题:

  • 客户是否将AI结果用于人工招聘、贷款申请、诊断或安全判断?
  • AI结果是接近自动化决策,还是作为参考资料?
  • 客户是否拥有可解释和验证结果的日志和说明材料?
  • 产品描述是否夸大了实际功能?

2. 为训练数据创建数据源表

AI公司通常比技术文档更需要数据源表。数据源表不是一份详尽的文件,而是一个总结了数据来源、来源地以及使用条件等的表格。

最低要求项目如下:

项目 检查详情
数据名称 内部可识别名称
来源 自行生成、客户提供、公开数据、购买数据、爬取、外包交付
使用依据 合同、服务条款、许可、同意、法律依据
允许范围 训练、验证、产品内展示、转售、提供给第三方
限制 非商业用途、署名、禁止转售、禁止模型训练等
个人信息状态 包含、去标识化、匿名化、不包含
删除请求响应 客户终止或权利人请求时可移除的可能性

没有这张表,在投资尽职调查、客户安全审查、大型企业PoC或公共部门采用过程中,解释可能会出现问题。值得注意的是,“公开可用的数据”和“可自由用于训练的数据”并非同义词。

3. 在合同中包含生成式AI输出的所有权

在使用生成式AI的工作流程中,输出的所有权通常不明确。当外部供应商交付由AI创建的UI、营销文案、代码、图像或报告时,关于谁可以使用输出以及使用范围的模糊性可能导致未来出现问题。

合同应包含以下条款:

  • AI工具使用可用性
  • 客户的商业秘密或个人信息是否可输入
  • 输出包含侵犯第三方权利的元素时的责任
  • 修改、重用或创建输出的衍生作品的权利
  • 已使用的开源软件和外部模型的许可披露
  • 是否禁止在交付的产品中重用训练数据

仅仅包含禁止使用AI的条款可能不切实际。更重要的是,明确“不应包含哪些数据”以及“如果使用了哪些信息必须披露”至关重要。

4. 区分商业秘密和可专利发明

对于AI技术,并非所有技术都适合申请专利。专利是基于公开披露授予的,而商业秘密则依赖于不披露。因此,即使在同一个AI服务中也必须做出区分。

专利审查对象:

  • 模型结构或训练方法产生技术效果时
  • 存在解决特定行业问题的处理流程时
  • 与硬件、传感器、控制、诊断或安全等技术配置相结合时
  • 通过观察产品可以一定程度上推断出实现方式时

商业秘密管理对象:管理主题:

  • 数据清洗标准
  • 标注手册
  • 提示模板和评估集
  • 客户特定调优参数
  • 故障响应日志和操作知识
  • 定价算法和内部基准

要将某事物作为商业秘密进行管理,必须有效实施访问控制、出口限制、保密标记、日志管理、离职员工的检索以及与合作伙伴的NDA。仅仅认为某事物“重要”是不够的。

5. 分别管理开源和外部API

AI产品通常通过快速集成开源模型、向量数据库、框架、评估工具和外部API来构建。当PoC阶段使用的库在未经修改的情况下被纳入商业产品时,就会出现问题。

发布前,至少应验证以下内容:

  • 使用的开源软件列表
  • 每种许可证的类型
  • 是否进行了修改
  • 产品是分发版还是SaaS
  • 是否向客户提供安装文件或容器
  • 披露源代码、提供署名或提供许可证副本的义务
  • 外部API的条款是否允许存储、再训练或转售输出

当向企业客户交付本地解决方案或SDK时,开源软件的披露和遵守许可证义务变得更加重要。

内部发布前检查清单

  • 是否有数据源表?
  • 服务条款是否清楚说明客户数据是否用于训练?
  • 合同中是否包含生成式AI输出的所有权和责任?
  • 是否已审查了对高风险AI的适用性?
  • 在提交专利申请前是否披露了技术数据?
  • 作为商业秘密管理的数据是否有访问控制和出口管制?
  • 是否创建了开源许可证列表?
  • 是否有关于外部开发者创建的代码和模型的权利转让条款?
  • 提供给客户的说明材料是否夸大了实际功能?
  • 服务条款是否更新以反映对故障、错误或幻觉的责任?

常见问题解答

AI模型本身可以受到保护吗?

与其保护模型本身,不如将其保护范围扩展到模型结构、训练方法、数据处理流程、解决特定行业问题的系统配置以及用于改进推理速度或准确性的技术手段等方面。但是,必须区分易于在披露后复制的方面和必须保密的部分。

服务条款协议足以用于将客户数据用于训练吗?

服务条款仅仅是一个起点。根据数据的性质,可能会出现与个人信息、商业秘密、版权和合同保密义务相关的问题。对于B2B服务,通过单独的同意或合同将客户的内部数据用于再训练是更安全的选择。

生成式AI的输出公司可以立即商用吗?

这取决于所使用的AI工具的服务条款、输入数据的所有权、输出的相似性以及外包合同中的权利归属。特别是Logo、角色、广告图像、代码和数据集需要单独审查。

Pine IP Firm的实用建议

在产品发布前,AI公司必须全面考虑专利性、数据使用权、商业秘密管理、开源许可证和客户合同。只关注一个领域可能会导致忽略实际风险。

Pine IP Firm通过审查AI技术的专利性以及数据结构、商业秘密和合同,提供区分需要披露和需要保密的技术的策略。