当企业将敏感业务信息输入 ChatGPT、Claude 或 Gemini 等 AI 对话工具时,一个根本性问题常常被忽视:这些数据在法律上究竟归属于谁?2026 年 2 月纽约南区联邦地区法院审理的 U.S. v. Heppner 案(25 Cr. 503,SDNY)明确揭示了一个警示 —— 被告试图以律师 - 客户特权为由保护其与 Claude 的对话记录,但法院认定这些交流不受特权保护,理由之一正是 AI 厂商的数据披露政策明确表明用户无法合理预期对话的保密性。本文从主流 AI 厂商的执法请求披露政策切入,分析企业实际数据控制权,并给出可操作的参数与监控要点。
主流 AI 厂商执法请求披露政策对比
理解企业数据控制权的第一步,是明确 AI 厂商在执法机构索取用户数据时的实际政策。根据各厂商透明度报告与官方政策文件,主要 AI 厂商对政府数据请求的处理框架存在共性,但在披露细节上存在差异。
OpenAI 在其 2025 年上半年政府请求报告中明确区分了非内容数据与内容数据两类请求。非内容数据包括账户信息、电子邮箱、支付信息及交易记录,可通过传票(subpoena)等法律程序获取;内容数据如用户输入的文本或文件,则需要搜索令(search warrant)才能强制披露。此外,OpenAI 保留了在紧急情况下的自主披露权 —— 当其合理认为存在可能导致死亡或严重人身伤害的紧急情形时,可能在未收到法律程序前即向执法部门提供数据。值得注意的是,OpenAI 在 2025 年确认收到并配合了首例联邦 AI 搜索令,案件涉及儿童性剥削调查,OpenAI 被要求披露特定用户的 ChatGPT 对话内容。
Anthropic 的执法请求政策同样采用二分法,但其透明度报告的发布频率与详细程度相对较低。根据 Claude 帮助中心的官方指引,Anthropic 仅在符合服务条款且依据有效法律程序的情况下披露账户记录。政策文件中同样存在紧急例外条款 —— 当 Anthropic 合理认为存在即将发生的物理伤害或死亡风险时,可能在常规法律程序之外进行披露。2025 年有报道指出 Anthropic 拒绝联邦机构将 Claude 用于美国公民 surveillance 任务的请求,显示出其在特定场景下的主动限制意愿,但这一限制与其执法请求政策是两个层面的问题。
Google/Gemini 依托其多年运行的政府请求透明度报告体系,披露了更为详细的年度数据。Google 的报告按国家、请求类型和受影响账户进行分类,涵盖传票、搜索令、紧急披露等多种请求形式。2025 年数据显示,美国仍然是全球最大的政府数据请求来源国,Google 的整体配合率维持在较高水平。Gemini 作为 Google 的 AI 产品,其用户数据同样受 Google 统一的数据请求政策管辖。
Heppner 案的关键启示:保密预期与数据控制
U.S. v. Heppner 案的核心争议并非 AI 厂商是否会在执法请求下披露数据,而是当被告将策略性信息输入 AI 对话后,这些对话能否在刑事诉讼中主张律师 - 客户特权或工作成果保护。法院的裁判逻辑为企业使用 AI 工具提供了三条关键警示。
第一,AI 对话并非与律师的通信。律师 - 客户特权的基本要件之一是通信发生在客户与律师之间。法院明确指出,Claude 不是律师,因此被告与 Claude 的对话不满足特权保护的前提条件。这意味着企业若将法律策略、诉讼敏感信息或合规审查材料输入 AI 对话,不能简单假定这些对话自动获得特权保护。
第二,用户对 AI 对话的保密预期不被认可。法院在判决中特别引用了 AI 平台的服务条款与隐私政策,指出用户在使用 AI 时已知或应当知道其输入可能被厂商收集、存储甚至用于模型训练或应执法请求披露。OpenAI 的透明度报告明确载明其应执法请求提供内容数据,Anthropic 的政策同样表明在有效法律程序下可披露用户通信内容。这些政策的存在使得用户难以主张对 AI 对话存在 “合理保密预期”。
第三,工作成果保护同样受限。工作成果保护(work-product doctrine)通常适用于为诉讼准备的材料,但其保护范围不包括向第三方披露的内容。法院认为,当被告将策略信息输入一个不受其控制的第三方系统(AI 平台)时,这些信息已不符合工作成果保护所需的保密性要件。
企业数据控制权的现实边界
基于 AI 厂商政策与 Heppner 案例的分析,企业在使用 AI 工具时对数据的控制权可归纳为以下几个维度。
数据存储与访问权方面,主流 AI 厂商均不向企业客户提供数据删除的绝对权利。以 ChatGPT 企业版为例,虽然企业管理员可以管理对话历史的可见范围,但对话内容仍可能保留在厂商服务器以满足合规与安全审计需求。Anthropic 的企业策略同样规定在特定法律程序下可绕过企业客户的控制意愿披露数据。这意味着企业不能将 AI 工具等同于内部私有部署的系统来对待。
执法请求响应机制方面,AI 厂商的政策显示其会配合有效法律程序,但通常会在收到请求后进行内部法律审查。对于内容数据,厂商普遍要求执法部门提供搜索令而非传票;对于非内容数据,传票通常足够。企业应意识到,即使其是付费企业客户,在执法机构持有有效搜索令的情况下,厂商配合披露的可能性极高,且企业往往不会收到事先通知。
跨境数据传输与管辖方面,当 AI 厂商的服务器位于美国或其他司法管辖区时,外国执法机构的请求可能面临更大的法律障碍。但反过来,美国执法机构向美国 AI 厂商发出的请求在法律上不受企业客户所在国法律的直接约束。这一现实使得企业在涉及跨境敏感业务时需要特别审慎。
企业风险管理:可落地的参数与清单
基于上述分析,企业可从以下维度构建 AI 数据安全的管理框架。
在选择 AI 工具时,应优先评估厂商的透明度报告历史与执法请求政策成熟度。优先选择已建立正式透明度报告机制的厂商,并查看其历年报告中执法请求的配合率、披露数据类型分类是否清晰。OpenAI 自 2025 年起发布半年度政府请求报告,Google 的透明度报告历史最长且数据最为详尽,这两家在政策透明度上处于行业前列。
在数据输入策略上,企业应建立敏感信息分类标准。涉及法律策略、诉讼相关、知识产权核心内容、商业秘密或可识别个人身份信息的内容,不应直接输入至第三方 AI 对话工具。对于必须使用 AI 辅助的场景,应优先考虑私有部署方案或将敏感信息脱敏后再输入。
在合同与合规层面,企业在与 AI 厂商签订企业服务协议时,应明确询问数据保留期限、执法请求通知机制以及企业在收到执法请求时的参与权。虽然主流 AI 厂商的标准合同条款通常不允许企业客户干预执法请求的响应,但至少应在内部风险评估中明确这一限制。
在监控与审计层面,建议企业定期检索公开的执法请求披露信息,监控所用 AI 工具是否出现在重大执法请求案件中。OpenAI 的透明度报告为 PDF 格式每半年发布一次,Google 的政府请求报告支持按年份和地区在线查询,这些渠道应纳入企业的常规监控范围。
结语
AI 工具的数据控制权并非一个可以简单假设的问题,而是需要在采购决策、使用规范与合规框架中予以明确回应的现实议题。U.S. v. Heppner 案的核心教训在于:当企业将信息输入 AI 对话时,这些信息已脱离企业的直接控制,并受到 AI 厂商执法请求政策的约束。在法律程序面前,企业难以援引特权或保密义务来阻止披露。务实的管理策略不是假设 AI 对话 “应该是保密的”,而是建立明确的使用边界,将最敏感的信息隔离于第三方 AI 工具之外。
资料来源:OpenAI 2025 年上半年政府请求报告;Anthropic 执法请求政策;Google 政府请求透明度报告;U.S. v. Heppner, 25 Cr. 503 (SDNY, Feb. 10, 2026)。