◎文 《法治日報》記者 辛紅 《法人》見習記者 姚瑤
9月2日,機器人企業(yè)宇樹科技在社交平臺上宣布�,公司預計在2025年第四季度向證券交易所提交申報文件��,屆時相關運營數(shù)據(jù)將正式披露����。這意味著,這個曾在春晚爆火出圈的科技企業(yè)即將上市����。消息公開后,立即獲得市場關注�。
如今,我國具身機器人既能在世界人形機器人運動會中取得優(yōu)異成績����,也能在不同場景應用中落地。然而,在產(chǎn)業(yè)狂飆的背后����,具身機器人的數(shù)據(jù)安全問題隨之浮現(xiàn)。具身機器人依賴傳感器采集環(huán)境數(shù)據(jù)��,采集的內(nèi)容涉及人臉�、聲音、地理位置等敏感信息��,企業(yè)將如何面對其中的法律風險����?又應如何平衡具身機器人的技術創(chuàng)新與隱私保護����?
▲8月9日,以“讓機器人更智慧��,讓具身體更智能”為主題的2025世界機器人大會在北京舉行�,匯聚200余家企業(yè)、1500余件創(chuàng)新產(chǎn)品�,其中包括100余款首發(fā)新品。 CFP
近日�,《法人》記者采訪了北京盈科數(shù)字經(jīng)濟和人工智能研究會主任王風和、北京金誠同達(上海)律師事務所管理合伙人、高級合伙人張云燕以及北京市康達律師事務所高級合伙人茍博程三位專家��,談談具身機器人在數(shù)據(jù)安全和保護方面的法律熱點����。
開發(fā)企業(yè)面臨三重法律風險
記者:具身機器人在運行過程中需要采集環(huán)境數(shù)據(jù),其開發(fā)企業(yè)將可能面臨哪些法律風險��?
張云燕:目前來看��,最大的風險主要體現(xiàn)在個人隱私保護����、知識產(chǎn)權保護、數(shù)據(jù)跨境三個方面�。首先,在個人隱私保護方面�,如果企業(yè)在采集數(shù)據(jù)時未取得用戶的知情同意,或超出“最小必要”范圍�,就可能違反《中華人民共和國個人信息保護法》(以下簡稱“個人信息保護法”),不僅面臨行政處罰�,還可能引發(fā)大規(guī)模的人格權訴訟。
其次�,涉及知識產(chǎn)權保護,尤其是當機器人需要處理或存儲文本��、圖像、視頻等內(nèi)容時��,如果這些數(shù)據(jù)本身受到著作權��、商標權保護��,而企業(yè)未取得授權�,就可能構成知識產(chǎn)權侵權。
最后�,在數(shù)據(jù)跨境傳輸環(huán)節(jié),如果機器人依賴云端服務或跨境算力����,或有意與境外企業(yè)開展產(chǎn)學研合作����,企業(yè)若未經(jīng)安全評估就將數(shù)據(jù)傳出境,會觸碰《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“數(shù)據(jù)安全法”)《數(shù)據(jù)出境安全評估辦法》的合規(guī)紅線����。
王風和:為平衡AI數(shù)據(jù)采集需求與用戶隱私保護,企業(yè)應采取技術�、管理、法律等多維度措施�,強化數(shù)據(jù)保護、合規(guī)管理、技術倫理和問責機制����,實現(xiàn)AI技術的可持續(xù)發(fā)展與用戶隱私保護的平衡。
記者:在技術開源方面��,具身機器人企業(yè)是否會面臨一些容易被忽視的法律風險����?
張云燕:在技術開源方面,企業(yè)很有可能面臨知識產(chǎn)權風險�。很多機器人底層軟件、模型用的都是開源資源以節(jié)省成本��,用的比較多的就是大語言模型��,如DeepSeek��。但是大語言模型很多訓練用語料都來自于所謂的“公開資源”����,其本身就可能存在權利瑕疵。例如��,ChatGPT就是因為訓練時包含《紐約時報》的語料而被起訴索賠��。如果企業(yè)盲目使用開源模型制作產(chǎn)品,就可能侵犯他人權利����。
王風和:技術開源與知識產(chǎn)權風險是研發(fā)環(huán)節(jié)最典型的“內(nèi)嵌陷阱”,這個問題有點復雜��,經(jīng)營者要高度重視��,否則會帶來潛在的法律風險�。比如,開源協(xié)議并非意味著“免費隨意使用”�,例如,部分開源協(xié)議(如Apache 2.0)包含明確的專利授權條款��,貢獻者會授予使用者相關專利的許可����,但協(xié)議錯綜復雜��,可能存在未明確聲明的專利風險��。公司使用了某個開源組件�,但其功能可能無意侵犯了第三方的某項專利(該專利并未包含在開源協(xié)議的授權中),從而導致隱蔽的專利侵權����,其復雜性會給商業(yè)產(chǎn)品帶來巨大風險��。
數(shù)據(jù)合規(guī)是核心問題
記者:具身機器人企業(yè)應如何平衡數(shù)據(jù)采集需求與用戶隱私保護��?
王風和:數(shù)據(jù)采集與用戶隱私保護是一體兩面����,二者都要做好�,不能偏廢,需要構建平衡的機制����。這里的平衡并非意味著“犧牲業(yè)務保安全”,而是通過架構化��、流程化的設計�,將隱私保護內(nèi)嵌于業(yè)務流程之中,實現(xiàn)“合規(guī)驅(qū)動增長”的良好局面��。
具體來講�,首先在開發(fā)新產(chǎn)品、新功能的最初階段就引入法務�、合規(guī)、安全團隊��,進行隱私影響評估(PIA),而不是事后補救�。比如,建立數(shù)據(jù)分類分級制度����,因為不是所有數(shù)據(jù)都需要同等級別的保護。對企業(yè)收集的數(shù)據(jù)(如個人普通信息��、個人敏感信息�、非個人信息)進行分類和分級,并據(jù)此制定不同的采集�、存儲和訪問控制策略。同時建議設立數(shù)據(jù)保護官一職��,對于處理大量個人信息的企業(yè)�,應設立專職的數(shù)據(jù)保護負責人(DPO),負責監(jiān)督企業(yè)的數(shù)據(jù)合規(guī)工作����。
其實,數(shù)據(jù)的采集和隱私保護的核心是數(shù)據(jù)合規(guī)問題�,若希望企業(yè)行穩(wěn)致遠��,數(shù)據(jù)采集的合規(guī)性是必須要面對的課題�。企業(yè)過去不太重視數(shù)據(jù)的合規(guī)性����,企業(yè)須從根本上轉(zhuǎn)變思維�,數(shù)據(jù)資產(chǎn)的合規(guī)才是企業(yè)底層資產(chǎn)的信任基礎,數(shù)據(jù)資產(chǎn)的依法合規(guī)����、可持續(xù)增長才是品牌的核心競爭力。
記者:具身機器人企業(yè)應如何保護已采集的數(shù)據(jù)安全�?為滿足數(shù)據(jù)安全合規(guī)要求,企業(yè)應采取哪些措施��?
茍博程:可通過數(shù)據(jù)分類分級與加密技術����,對敏感數(shù)據(jù)進行識別,例如�,對視覺、語音����、生物特征等隱私數(shù)據(jù)進行分類分級,采用差分隱私(如添加噪聲)和聯(lián)邦學習技術(一種AI訓練方法)����,降低數(shù)據(jù)關聯(lián)性��。采用端到端加密�,確保數(shù)據(jù)鏈路安全�。例如,鴻道操作系統(tǒng)通過微內(nèi)核架構和加密通信協(xié)議保障數(shù)據(jù)傳輸安全�。
另外,還可將訪問控制與權限隔離����,限制數(shù)據(jù)訪問范圍,如通過角色權限管理(RBAC)和硬件隔離技術(如物理隔離開發(fā)環(huán)境)防止越權操作��?���?梢栽谶吘壴O備(如微控制器)中劃分安全區(qū)域,確保關鍵指令僅在內(nèi)核態(tài)執(zhí)行�。此外,還要注意數(shù)據(jù)生命周期的管理�,訓練數(shù)據(jù)集進行去標識化處理,明確數(shù)據(jù)保留期限����,定期安全擦除過期數(shù)據(jù),記錄數(shù)據(jù)操作日志,結(jié)合區(qū)塊鏈技術實現(xiàn)數(shù)據(jù)流轉(zhuǎn)可追溯����。
記者:有企業(yè)擔心��,對數(shù)據(jù)安全的要求可能會增加成本����,也可能限制產(chǎn)品功能實現(xiàn)。對此����,你怎樣看?
茍博程:可通過技術優(yōu)化降低成本�。例如,開發(fā)數(shù)據(jù)隱私影響評估(PIA)工具��,自動識別高風險數(shù)據(jù)處理場景并生成合規(guī)建議��。企業(yè)也可以僅采集必要數(shù)據(jù)����,通過語義理解減少冗余傳感器輸入,同時提供隱私設置界面�,允許用戶選擇關閉非必要功能。
政策引導和行業(yè)協(xié)作也較為重要,如果能推動統(tǒng)一的數(shù)據(jù)格式和共享協(xié)議����,則可降低企業(yè)重復開發(fā)成本。此外�,政府也可適當給予補貼與稅收優(yōu)惠,例如�,對采用隱私增強技術(PETs)的企業(yè)給予研發(fā)補貼。
建議構建數(shù)據(jù)安全保護屏障
記者:當前我國各地出臺的監(jiān)管細則標準不一��,是否應建立全國統(tǒng)一標準��,對此有何建議�?
茍博程:當前各地標準側(cè)重不同,導致企業(yè)跨區(qū)域合規(guī)成本高��,在技術壁壘方面也缺乏統(tǒng)一的測試認證體系����,無法實現(xiàn)產(chǎn)業(yè)鏈協(xié)同創(chuàng)新?!渡虾J芯呱碇悄墚a(chǎn)業(yè)發(fā)展實施方案》支持企業(yè)、高校和科研院所聯(lián)合研發(fā)多模態(tài)數(shù)據(jù)融合處理技術�,打造自主操作系統(tǒng),搭建模型����、數(shù)據(jù)����、算法�、操作系統(tǒng)�、工具鏈等全要素開源體系?�!逗贾菔写龠M具身智能機器人產(chǎn)業(yè)發(fā)展條例(草案)》提出��,探索構建分級分類監(jiān)管體系與沙盒監(jiān)管機制����,依法推動市政、交通�、文旅、自然資源等與具身智能機器人應用環(huán)境相關的重點領域公共數(shù)據(jù)開放共享����。建議設定框架性國家標準時參考《人形機器人分類分級應用指南》(L1-L4技術等級),制定數(shù)據(jù)安全����、倫理審查等基礎性標準。鼓勵上海、北京等地先行先試��,通過產(chǎn)業(yè)聯(lián)盟(如國家����、地方共建具身智能創(chuàng)新中心)推動標準互認。在國際標準對接方面��,建議融入ISO/IEC JTC1/SC42(人工智能標準委員會)框架����,提升國際話語權。
記者:如果具身機器人開發(fā)企業(yè)不注重這些風險����,可能帶來什么后果?尤其是初創(chuàng)企業(yè)����,哪些制度必不可少?
張云燕:企業(yè)在采集��、處理和存儲用戶數(shù)據(jù)時�,如果不嚴格遵守法律法規(guī),很容易觸碰個人信息保護法和數(shù)據(jù)安全法的紅線��。比如,沒有取得用戶同意就采集敏感信息��,或者數(shù)據(jù)存儲和跨境傳輸不符合要求�,都可能帶來行政處罰、民事賠償甚至商譽損害等風險����。所以企業(yè)要建立全流程數(shù)據(jù)管理機制,做到依法合規(guī)收集�、最小必要原則�、去標識化處理,同時明確用戶告知和授權流程��,讓數(shù)據(jù)利用在合規(guī)����、安全的前提下進行。
王風和:企業(yè)在擁抱科技浪潮的同時����,必須將“科技合規(guī)”與“法律風控”提升到戰(zhàn)略高度,將其內(nèi)化為企業(yè)核心競爭力����。
具體來說�,在數(shù)據(jù)安全方面����,要構建安全與隱私保護屏障,在產(chǎn)品架構中內(nèi)置安全模塊(如數(shù)據(jù)加密�、安全啟動、入侵檢測)�。優(yōu)先采用匿名化、聯(lián)邦學習等技術�,在源頭上減少數(shù)據(jù)風險。
同時�,建立AI科技公司雙層公司治理機制,落實全面風控�,開放合作共贏。建立在公司法基礎上更嚴格的公司治理體系����,進行全面科學AI知識產(chǎn)權布局,防止新科技��、新方法被侵犯��,積極申請核心專利�,構建專利池,逐漸自然形成技術壁壘和科技競爭優(yōu)勢��。
此外,應用開源技術�,應確保新產(chǎn)品不侵犯他人權利,也要防止開源協(xié)議隱含的合規(guī)風險��。企業(yè)運營者要建立危機應對機制����,制定詳細的數(shù)據(jù)泄露、安全事故����、產(chǎn)品召回等應急預案,并進行演練�,確保在危機發(fā)生時能夠迅速��、妥善地響應��,最大限度減少損失����。
審核|白馗 王婧 渠洋
校對|惠寧寧 張雪慧 張波
法治號
