引 言

自2025年底至今，生成式人工智能技术（以下简称AI）实现跨越式发展，从以ChatGPT为代表的交互式问答服务，进化到以Open Claw、Claude为代表的AI Agent（智能体，全权代理使用者）集合式服务。AI已从单一功能工具升级为内嵌于办公全流程的完整工具链，可直接嵌入飞书、Microsoft Office等主流办公软件，实现代码执行、文件读写、数据库操作，甚至调用绑定的邮件、通讯软件完成自动化办公。AI从被动响应指令升级为主动介入业务，从单一执行命令进化为理解意图并延伸需求，在为企业降本增效、为员工办公提供便利的同时，也催生了商业秘密泄露、知识产权侵权、数据安全事件等一系列不容忽视的法律风险。

本文将从使用AI行为侵权责任主体、员工使用行为的责任归属划分、企业面临的核心法律风险三大维度展开分析，并为企业提供合规防范建议，助力企业在享受技术红利的同时，筑牢法律风险防火墙。

一、AI不具备民事主体资格，不承担侵权责任

根据《生成式人工智能服务管理暂行办法》（以下简称《暂行办法》）规定，生成式人工智能即AI是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术，其本质是技术工具，并非法律规定的民事主体。

依据《中华人民共和国民法典》关于民事主体资格的相关规定，自然人、法人、非法人组织具备民事主体资格，能够独立享有民事权利、承担民事义务。而AI无法独立承担民事责任，其生成内容引发的侵权责任，均需由对应的使用者、提供者承担。

二、员工使用AI辅助办公侵权，到底谁来担责？

员工使用AI辅助办公引发侵权，需要先区分行为性质，再结合合同约定与法律规定，最终确定责任主体，具体可分为两大场景：

（一）员工个人使用行为：员工本人为直接责任主体

个人使用行为，指员工并非为完成工作任务、执行岗位职责，而是出于个人目的使用AI服务，由此引发的侵权责任，由员工本人自行承担，责任来源分为合同约定与法律规定：

1.用户协议约定的直接责任

依据《暂行办法》第九条，AI服务提供者应当与注册使用者签订服务协议，明确双方权利义务。目前主流AI平台的用户协议，均对使用者的责任作出了明确约定，核心分为两点：

（1）使用者需保证输入内容的合法性，承诺输入内容享有知识产权或已获权利人合法授权，不侵犯他人著作权、商标权、商业秘密、个人信息等合法权益，若因输入内容违规引发侵权，由使用者自行承担全部责任；

（2）使用者需自行承担AI生成内容的使用风险，若因生成内容的发布、使用、传播引发侵权纠纷，除法律另有规定外，由使用者承担最终责任。

以豆包为例，其用户协议覆盖服务使用、账号管理、信息保护、行为规范等全方面内容，明确双方权利义务，强调用户自主承担使用风险，公司在法定范围内履行服务与监管责任。其中，就用户上传数据的处理，用户协议8.2条明确约定“用户理解并同意，用户使用本软件及相关服务过程中上传、发布的全部内容，用户授予豆包运营公司和/或关联方一项免费的、全球范围内的、可转让的、可分许可及再许可的使用权，在法律允许的范围内使用你的内容，例如用于模型服务优化、品牌推广与宣传。”根据本条约定，使用者将默认许可豆包将其输入的内容（包括但不限于文件、视频、照片等形式）用于模型训练中，并可向其他使用者提供。

注：用户协议内容为作者于2026年3月4日截取自https://www.doubao.com/legal/terms

用户协议8.3条约定，用户应保证输入内容的合法性“用户享有知识产权或已获取权利人合法授权的内容，不存在任何违反适用的法律法规、侵犯他人合法权益（包括但不限于著作权、专利权、商标权等知识产权及人格权、个人信息权益等其他权益）、违反公序良俗的内容。”根据本条约定，使用者需要承担输入内容的合规义务，向AI提供的内容不应侵犯他人权利，不得违法。

2.法定侵权责任

依据《中华人民共和国民法典》第一千一百六十五条，行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。员工作为AI的直接使用者，其输入内容、使用生成内容的行为，是引发侵权的直接原因，若该行为存在过错并造成他人权益损害，依法应当承担侵权责任。

（二）员工办公使用AI的行为按是否构成职务行为划分责任

员工使用AI的目的与工作相关、围绕岗位职责实施的AI辅助办公行为，需进一步判断是否构成职务行为，以此确定最终责任主体：

1.若构成职务行为，由公司承担侵权责任

依据《中华人民共和国民法典》第一千一百九十一条第一款规定，用人单位的工作人员因执行工作任务造成他人损害的，由用人单位承担侵权责任。用人单位承担侵权责任后，可以向有故意或者重大过失的工作人员追偿。

员工使用AI辅助办公的行为，同时满足以下要件的，将被认定为职务行为，侵权责任由公司承担：

（1）行为核心目的是完成公司分配的工作任务、执行岗位职责，行为成果归属于公司，符合“谁受益、谁担责”的核心归责逻辑；

（2）行为与员工的岗位职责存在内在关联，即便公司未明确授权员工使用特定AI软件，只要行为未超出岗位职责的合理范畴，仍可能被认定为职务行为。

公司作为企业主体，依法负有网络安全、数据安全与个人信息保护的法定义务，对员工使用AI办公的行为具有管控职责。若公司未建立AI使用规范、未履行风险防控义务，不仅需承担民事侵权责任，还将面临监管部门的行政处罚。

2.不构成职务行为，由员工本人承担责任

员工虽在办公场景、办公时间使用AI，但行为与岗位职责无关、并非为执行工作任务，甚至违反公司明确的AI使用禁令，由此引发的侵权责任，由员工本人自行承担。

三、企业面临的三大核心法律风险

员工使用AI辅助办公的核心风险，集中于数据上传与内容使用两大环节。以Open Claw 为例，截至2026年3月2日，Open Claw 已记录的暴露实例总数达到224,015个。已暴露记录包含IP地址和端口、助手名称、国家/地区、是否仍然活跃、是否需要认证、API凭据是否已泄露、组织信息、是否涉及数据泄露、关联的APT组织列表、存在的安全漏洞列表等信息。暴露实例包含AWS（Amazon Web Services）、阿里云、腾讯云、华为云等国内知名云服务商和数据中心。公网暴露意味着实例成为黑客狩猎场，一旦不法分子入侵已安装的Open Claw 程序，可轻易渗透企业内部，利用伪装工具窃取权限、开启远程后门。一旦企业核心数据通过员工上传至AI平台或未设置安全防护措施导致AI自动获取系统信息，极易引发数据泄露事件，给企业带来民事、行政、刑事三重法律风险。

（一）民事侵权赔偿风险

1.商业秘密侵权风险

员工未经脱敏处理，将公司招投标文件、财务计划、客户信息、技术算法、工艺配方等未公开信息上传至AI平台，若相关信息满足“不为公众所知悉、具有商业价值、权利人已采取相应保密措施”三大法定要件，即构成受法律保护的商业秘密。一旦发生泄露，企业不仅会丧失核心竞争优势，还可依据《中华人民共和国反不正当竞争法》向侵权员工主张赔偿；若该行为侵犯第三方商业秘密，企业还需向第三方承担侵权赔偿责任。

2.知识产权侵权风险

员工使用AI生成内容时，若输入内容未获得权利人授权，或直接将AI生成的侵权内容用于商业宣传、作品发布、产品开发等场景，将引发著作权、商标权、专利权等知识产权侵权纠纷，企业作为职务行为的受益主体，需向权利人承担停止侵害、赔偿损失等民事责任。

3.个人信息侵权风险

员工未经同意，将客户、员工的个人信息上传至AI平台导致泄露，依据《中华人民共和国民法典》《中华人民共和国个人信息保护法》相关规定，企业需向个人信息主体承担侵权赔偿责任，并可能受到刑事处罚。

（二）行政监管处罚风险

1.数据合规类行政处罚

若员工违规使用AI导致企业核心数据、个人信息泄露，企业将因未履行数据安全保护义务、个人信息保护义务，面临监管部门的行政处罚。依据《中华人民共和国个人信息保护法》第六十六条，情节严重的，企业将被处五千万元以下或者上一年度营业额百分之五以下罚款，还可能被责令暂停相关业务、停业整顿、吊销营业执照；直接负责的主管人员与直接责任人员，将被处十万元以上一百万元以下罚款，并可能被实施行业禁入。

同时，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《暂行办法》等相关规定，企业未建立AI使用管控机制、未履行数据安全保护义务的，还将被责令改正、给予警告、没收违法所得，情节严重的将被处罚款、责令暂停相关服务。

2.保密类行政处罚

若员工将国家秘密上传至AI平台导致泄露，依据《中华人民共和国保守国家秘密法》相关规定，企业及相关责任人将面临行政处分、警告、罚款、没收违法所得等行政处罚。

（三）刑事追责风险

员工违规使用AI的行为情节严重、触犯刑法的，相关责任人员与企业将面临刑事追责，核心常见罪名包括侵犯商业秘密罪、侵犯公民个人信息罪、 故意泄露国家秘密罪、过失泄露国家秘密罪。

除此之外，若员工违规使用AI的行为引发数据泄露、网络入侵等事件，还可能触犯非法侵入计算机信息系统罪、破坏计算机信息系统罪等相关罪名。

四、企业防范AI办公法律风险的核心措施

针对员工使用AI辅助办公的全链条风险，企业需摒弃粗放式管理模式，结合《数据安全法》《暂行办法》以及即将生效的《商业秘密保护规定》等法规要求，构建核心防控体系。

（一）建立AI使用合规管理制度，明确行为红线

制定企业内部AI辅助办公合规管理规则，建立外部AI服务白名单与使用审批流程，明确AI使用的合规场景与禁止输入的涉密信息、核心经营信息范围，同步建立违规使用的追责机制，清晰划定员工使用AI的行为边界。

（二）完善合同条款约束，厘清权责边界

在劳动合同、保密协议中增设AI使用合规义务与泄密赔偿责任条款，与合作的AI服务提供者签订补充协议，明确数据保密义务、安全防护责任与泄露追责规则，在对外业务合同中，厘清AI生成内容的知识产权归属与侵权责任划分，规避连带风险。

（三）强化技术防控，阻断数据泄露渠道

通过办公终端安全管控、网络数据流实时监测、核心数据分级加密与权限管理等技术手段，实现数据传输全流程可追溯，拦截违规数据传输，从技术层面阻断核心数据泄露渠道。

（四）开展合规培训，建立应急处置机制

常态化组织员工开展AI办公合规培训，结合典型案例强化员工的保密意识与合规意识；建立AI相关数据泄露、侵权纠纷等安全事件的应急处置预案，定期开展合规自查，动态优化风险防控措施。

结 语

集成式AI的发展，是企业办公效率升级的机遇，更是对企业合规管理能力的考验。企业唯有提前搭建核心合规防控体系，明确员工使用AI的权责边界，才能在充分享受技术红利的同时，有效规避法律风险，实现技术创新与合规经营的双向平衡。

 

作者介绍

马薛娇 • 律师

湖北楚尚律师事务所专职律师

专注知识产权、公司商事等民商事领域争议解决，兼具数据合规、刑事合规、劳动合规非诉服务经验。