日本深度学习协会(一般社团法人日本ディープラーニング協会,JDLA)于2026年2月3日公开了《法与技术检讨委员会报告II——关于AI利用的用例》(下称“报告II”)。这份报告围绕生成式AI在实际使用场景中的法律问题进行系统梳理,明确指出:
- 向生成式AI输入个人数据并非一概禁止,只要满足一定条件,在未取得本人同意的情况下也可能被视为合法利用;
- 关于AI生成内容的著作权侵权风险,相比逐一检查输出结果,更应重视“如何使用AI”以及内部运用规则和流程的设计。
从“开发”转向“利用”:以实际业务用例梳理法律焦点
报告II由JDLA旗下的“法与技术检讨委员会”编写,是继聚焦AI“开发”阶段的报告I之后,面向AI“利用”阶段的第二份系统性报告。
在生成式AI被迅速导入各类业务场景的背景下,企业和组织在日常实践中频繁遇到诸如“能否把客户数据输入AI”“生成内容是否侵权”等法律疑问。报告II的目的,就是通过具体、典型的业务用例,整理出这些在实务中高频出现的法律论点。
报告主要围绕两大法律框架展开:
- 《个人信息保护法》
- 《著作权法》
需要强调的是,报告II并非对法律问题给出最终、确定的结论,而是基于现行法律制度,对可能的理解路径和实务上的整理方式进行说明,为企业和实务人员提供参考视角。
向生成式AI输入个人数据:并非一律禁止,而是“有条件允许”
在报告II的 Case 1 中,委员会设定了这样一个典型场景:
某企业的市场营销人员,将客户的购买记录等数据输入生成式AI,用于构思营销方案和施策创意。
围绕这一场景,报告讨论了:在未取得客户本人同意的情况下,将包含个人数据的信息输入生成式AI,是否必然构成违法。
报告的结论是:
- 不能因为“没有本人同意”就直接认定为违法;
- 在满足一定条件的前提下,即便未取得本人同意,也有可能合法地向生成式AI输入个人数据。
在具体分析时,报告以 ChatGPT、Gemini、Microsoft 365 Copilot 等代表性生成式AI服务为例,结合其面向商业用途的使用条款、数据处理方式和运用条件,来评估在这些服务上输入个人数据的法律适合性。
换言之,是否可以输入个人数据,取决于:
- 服务提供方对输入数据的利用范围和保护措施;
- 企业自身的利用目的、必要性与内部管理体制;
- 是否符合《个人信息保护法》下的适当利用与安全管理要求。
著作权风险:比起逐条检查生成结果,更要设计好“使用方式”
报告II的 Case 2 聚焦于另一个备受关注的问题:
AI生成的内容与既有作品相似,是否会构成著作权侵权?应如何控制相关风险?
报告指出,仅依靠人工对每一份生成结果进行目视检查,存在明显局限:
- 在大规模、日常化使用生成式AI的场景中,逐条审查几乎不具可行性;
- 即便进行了事后检查,也难以完全排除风险。
因此,报告建议不要把风险管理的重心只放在“事后检查生成物”上,而应从源头和流程层面进行设计,包括:
- 通过提示词(Prompt)设计,尽量避免引导AI生成高度模仿特定作品或特定创作者风格的内容;
- 制定明确的AI使用规则和内部指引,例如:禁止将明显含有第三方权利的输出直接对外发布等;
- 在公司内部建立相应的运用流程和审批机制,对高风险用途(如对外广告、商品包装、对外发布资料等)设置额外的确认步骤。
报告强调,基于现行著作权法的框架,通过“使用方式”和“运用设计”来控制风险,更符合企业在实际业务中大规模使用生成式AI的现实需求。JDLA也呼吁,各组织应在理解法律基本思路的基础上,构建适合自身业务的AI运用规则,以推动生成式AI在实务中的稳健应用。
