Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Більше
«Лобстери» розмахують клешнями, як підприємствам безпечно «вирощувати лобстерів»? Ексклюзивне інтерв’ю з Бай Яохуа з адвокатської фірми De He Heng: потрібно встановити межі та правила для «цифрових співробітників»
(來源:每日經濟新聞)
每經記者:宋思艱 每經編輯:廖丹
當前,在各大互聯網巨頭紛紛推出OpenClaw(一款開源人工智能框架,俗稱“龍蝦”)產品、部分企業嘗試將其接入生產環境的背景下,“養蝦”所面臨的法律風險也逐漸被推上前台:“龍蝦”與普通大模型應用所面臨的法律風險有何不同?如果“龍蝦”在運行過程中,誤刪數據、錯誤下單,責任該由誰負擔?如果企業要“養蝦”,如何進行合規管理?
3月19日,《每日經濟新聞》記者(以下簡稱NBD)就上述問題,書面專訪了北京德和衡(上海)律師事務所人工智能與自動駕駛部門主任、高級合夥人白耀華律師。
白耀華律師 圖片來源:受訪者供圖
應遵循“最小必要”原則,並對高危操作設置“人工確認”強制環節
NBD:作為“開源智能體框架”,OpenClaw與普通大模型應用的法律風險有何不同?
白耀華:作為“開源人工智能體框架”,OpenClaw的法律風險較普通大模型應用更為複雜和前置,核心差異在於其“開源”屬性帶來的責任主體模糊,以及“智能體”屬性使其從“信息生成者”轉變為“行為執行者”,從而引入了操作失控與行為歸責的新風險。
具體分析,普通大模型應用(如對話機器人)的法律風險主要集中在生成內容的知識產權侵權、虛假信息傳播、個人信息處理合規等方面。而OpenClaw這類框架的風險則是復合與升級的:
第一,“開源”帶來的責任網絡化風險。開源框架允許全球開發者貢獻代碼、開發插件,這導致安全管理、數據保護的責任主體從單一的運營方擴散到一個鬆散的生態系。《中華人民共和國網絡安全法》要求網絡運營者制定並落實安全管理制度。在開源生態中,誰是“運營者”?框架的原始開發者、二次開發的企業、插件的提供者,都可能在不同環節承擔相應責任,這使得責任界定異常困難。
第二,“智能體”帶來的行為性風險。普通大模型主要是“說”,而智能體框架驅動的應用是“做”——它能自動操作外部系統(如下單、刪數據),這意味著風險從“言論與信息”領域,延伸到了“行為與操作”領域。一旦發生錯誤,可能直接造成財產損失、合同違約或系統破壞,其損害後果更直接、更實質。這要求開發者和使用者必須像管理一個“數字員工”一樣,為其設定嚴格的權限邊界和行為準則。
對於企業,我提出如下建議:企業在採用此類框架時,首要任務是理清技術供應鏈上的各個法律主體,並通過合同明確各方的安全義務與責任邊界;在內部治理上,須建立針對自動化執行工具的特殊管理制度,將其與普通的內容生成AI區分管理。
NBD:OpenClaw最大的特點,是它可能不僅能回答問題,還能自動操作網頁、系統和工具。這樣的能力在法律上意味著什麼?
白耀華:自動操作能力在法律上意味著OpenClaw驅動的智能體從“輔助工具”升級為“行為代理”,其法律意義核心在於“行為授權範圍”與“行為後果的可歸責性”,可能直接觸發合同履行、侵權責任及更嚴格的數據處理合規要求。
上述“行為代理”能力使其不再局限於提供建議,而是能代表用戶或開發者直接與第三方系統交互,產生法律效力。例如:
第一,可能成為合同行為的執行方。智能體的自動下單、報價等操作,在法律上可能被視為用戶或開發者發出的要約或承諾,一旦達成合意,即成立合同關係。若操作錯誤(如錯誤報價),可能引發合同糾紛。
第二,構成數據處理或訪問行為。自動操作必然涉及對系統數據的讀取、修改或刪除,這直接落入《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》的規制範圍。特別是,如果操作涉及自動化決策(例如根據用戶數據自動給出不同報價),個人信息處理者必須按照《個人信息保護法》第五十五條的規定,事前進行個人信息保護影響評估。
第三,侵權行為的潛在實施者。如果智能體越權訪問他人系統、誤刪他人數據或發布誹謗言論,其行為可能構成對網絡安全、財產權或名譽權的侵害,相關責任需要追溯至其控制者。
對於企業,我提出如下建議:企業必須為智能體劃定清晰、具體的操作權限清單,遵循“最小必要”原則,禁止其訪問與核心任務無關的系統或數據;對於涉及合同訂立、支付、數據刪除等高危操作,必須設置“人工確認”強制環節,不能完全交由智能體自動化處理。
NBD:如果OpenClaw驅動的智能體執行錯誤,比如誤刪數據、錯誤下單、錯誤報價、錯誤發言,責任應如何劃分?
白耀華:責任劃分無統一標準,需構建一個分層級的過錯分析框架,核心在於舉證證明損害後果與哪一方的過錯行為(如設計缺陷、管理疏忽、指令錯誤)存在因果關係。通常涉及框架提供者、智能體定制開發者、插件提供者及最終用戶等多方主體。
參考相關司法實踐,責任劃分可遵循以下思路:
第一,框架提供者/開源社區的責任基礎。其通常僅對框架本身存在的、已知且未修復的底層安全漏洞負責。違反開源協議與因框架缺陷導致民事侵權是兩個相對獨立的問題,如果錯誤並非源於框架的根本性缺陷,其責任可能有限。
第二,智能體定制開發者/集成商的責任,這是最可能承擔主要責任的環節。開發者負責具體的業務邏輯設計、權限配置和安全測試。如果因設計缺陷(如未對刪除操作設置二次確認)、對框架的誤用或測試不充分導致錯誤,其應承擔相應責任。
第三,插件或外部工具提供者的責任,即對其提供的特定功能模塊的安全性獨立負責。如果錯誤由某個惡意或有漏洞的插件直接引發,該提供者應承擔責任。
第四,最終企業用戶的責任。用戶負有最終的監督管理和合規使用義務,如果用戶發出了模糊、錯誤的指令,或無視安全警告強行部署,或未對智能體進行必要的權限管控,則需要承擔相應責任。
第五,損失範圍的認定。如果智能體是企業核心業務(如自動交易)不可或缺的組件,其錯誤操作導致的損失可能需按整體業務影響來評估,而非僅計算直接損失。
對此,我提出以下建議:企業在委託開發或採購智能體服務時,必須在合同中明確約定責任條款,特別是針對因設計缺陷、算法錯誤導致的損失,約定清晰的賠償機制;企業務必要建立並妥善保存全鏈條的操作日誌和審計記錄,這是事後進行過錯認定和責任劃分的關鍵證據。
若使用OpenClaw出現數據泄露,不排除企業將承擔連帶責任
NBD:OpenClaw這類框架通常依賴插件、外部工具、瀏覽器自動化和代碼執行環境,這會帶來哪些網絡安全法律風險?
白耀華:這種高度依賴外部組件的架構,會急劇擴大系統的“攻擊面”,主要帶來供應鏈安全風險、數據泄露風險、連帶合規責任風險以及對第三方的侵權風險,極易違反網絡安全等級保護制度。
具體分析四類主要風險:
第一,供應鏈攻擊風險。惡意插件或受污染的外部工具可能成為“特洛伊木馬”,導致數據被竊取、系統被控制。根據《中華人民共和國網絡安全法》第二十四條,“網絡產品、服務的提供者不得設置惡意程序”。使用者若因引入不安全組件導致自身或第三方受損,可能因未盡到審慎審查義務而承擔責任。
第二,數據泄露與違規處理風險。插件和自動化工具可能在用戶不知情下收集、傳輸敏感數據。若未單獨明示並取得用戶同意,將違反《中華人民共和國網絡安全法》第四十三條、第四十四條關於個人信息收集使用的規定。
第三,連帶合規責任風險。根據《中華人民共和國數據安全法》第二十七條,數據處理者應“建立健全全流程數據安全管理制度”。企業使用包含諸多外部組件的智能體,法律上可能視其為統一的“數據處理活動”。任何一個組件的安全漏洞導致數據泄露,企業作為整體活動的組織者都可能面臨行政處罰。
第四,對第三方的侵權風險。智能體的自動化操作(如批量爬取數據)可能超出合理範圍,構成對第三方網站或系統的未經授權訪問,甚至可能被認定為網絡攻擊行為。
對於企業,我提出以下建議:建立嚴格的插件“白名單”管理制度,只允許使用經過徹底安全審計的官方或可信來源插件;對智能體運行環境進行網絡隔離(沙盒化),限制其網絡訪問權限,防止一個插件的漏洞危及核心業務網絡。
NBD:對於企業用戶而言,若要使用OpenClaw,你有哪些合規方面的建議?
白耀華:企業應以“治理數字員工”的思維進行合規管理,構建覆蓋准入評估、權限管控、過程審計、應急響應全生命周期的風控體系,並將核心義務通過合同固化。
在准入階段,要進行深度盡職調查。仔細審查OpenClaw及其擬用插件的開源許可證,明確商用限制、代碼開源義務等;與定制開發方簽訂權責清晰的合同,明確功能標準、安全要求、知識產權歸屬、責任限制與賠償條款。
在部署階段,要貫徹最小權限與隔離原則。既要權限最小化,為智能體分配完成特定任務所需的最少系統權限和數據訪問權限,也要環境沙盒化,即在高風險操作場景中,使用隔離的測試環境運行,待充分驗證後再考慮有限部署。
在運行階段,要確保全程可審計與可干預。第一,要做好完備的日誌記錄,記錄智能體的每一個決策依據、執行動作和結果,日誌留存時間應符合《中華人民共和國網絡安全法》不少於六個月的要求;第二,對關鍵操作要進行人工復核,即對涉及資金、合同、核心數據刪除等操作,設置強制的人工審批或確認環節;第三,要定期進行安全評估,對智能體系統進行安全掃描和合規審計,特別是檢查第三方組件的安全更新情況。
此外,還要做好應急和兜底的準備。一方面是要制定應急預案,明確智能體發生異常行為(如瘋狂下單、泄露數據)時的緊急處置流程;另一方面可以考慮購買商業保險,比如投保網絡安全保險或產品責任險,以轉移部分潛在的巨額賠償風險。
我認為,OpenClaw所代表的技術方向充滿潛力,但其法律風險也呈幾何級數增長。企業擁抱創新時,必須同步構建與之匹配的、嚴謹的法律與合規框架,方能行穩致遠。