国浩视点 | 使用ChatGPT会丧失律师特权吗？——美国两则相反判例及其对中国的启示

2026年2月的同一天，两家美国联邦地区法院对同一个问题给出了方向相反的答案：当事人把案件信息输入生成式AI，是在使用工具，还是在向第三方披露？所形成的记录，是否受到律师-当事人特权（attorney-client privilege）或工作成果保护（work product doctrine）的保护？其中，纽约南区联邦地区法院的Rakoff法官在United States v. Heppner案^[注1]中给出了否定答案——当事人与AI的对话，不受律师-当事人特权或工作成果保护。密歇根东区联邦地区法院的Patti治安法官则在Warner v. Gilbarco案^[注2]中拒绝了对方当事人要求开示原告AI使用记录的请求。

这不再是抽象的技术伦理问题，而是真实出现在法庭上的程序争议。对企业法务、外部律师乃至普通当事人而言，当案件事实、法律分析、谈判思路、抗辩方案等被输入公开AI时，这些内容究竟仍属于受保护的内部思考，还是已经构成向外部平台的披露？

本文拟从两案的基本事实与裁判理由出发，提炼其分歧背后的制度逻辑，并进一步讨论：在中国法语境下，这一问题将以何种形式出现；中国企业和律师又应如何构建更具现实操作性的AI使用与保密合规框架。

(一) Heppner案：把案件输入Claude，法院认定不受特权保护

Heppner案是一宗联邦刑事案件。被告Bradley Heppner为GWG Holdings等公司的高管，被控通过虚假陈述骗取GWG投资人逾1.5亿美元，涉及了证券欺诈、电信欺诈、虚假陈述及伪造公司记录等多项罪名。2025年11月4日，FBI依据搜查令在其住所扣押大量文件和电子设备，其中约31份文件记载了Heppner与Claude平台的对话记录（以下简称“AI对话记录”）。

依据辩护人的陈述，这些对话发生在2025年Heppner收到大陪审团传票之后、被正式起诉之前。Heppner在未经辩护人建议的情况下，自行向Claude输入了其从辩护人处获取的信息，以生成辩护策略、潜在指控应对思路、事实分析和法律论点的梳理文本。其后，他又将部分内容分享给了自己的辩护律师。面对政府要求调取这些材料，辩方主张其受律师-当事人特权以及工作成果保护。

Rakoff法官拒绝了上述主张。在其签发的备忘录中，法官明确指出，本案是美国首次正面处理“用户就未决刑事调查与公开可得的生成式AI平台进行交流，此类交流是否受律师-当事人特权或工作成果保护”的案件。法院的否定结论，主要建立在三个层面的论证之上：

第一，通信主体不符法律规定。法官强调，律师-当事人特权保护的是当事人与律师之间、以获取或提供法律意见为目的的保密通信。Claude并非律师，其在系统中亦明确表示“我不是律师，不能提供正式法律意见或建议。”因此，Heppner与Claude之间的交流，并不满足律师-当事人特权关于通信主体的基本要求。法院的态度十分明确：两个非律师主体之间围绕法律问题展开交流，原则上不受律师-当事人特权保护。

第二，保密期待的缺失。更有意思的是，Rakoff法官并未止步于“Claude不是律师”这一点，而是进一步援引Claude平台的隐私政策来否定Heppner的合理保密期待。法院指出，Claude的政策明确写明：用户输入和输出的数据可能被收集、用于模型训练，并可在一定情形下向第三方披露，包括政府监管机构。既然平台条款已经公开提示数据存在被读取、利用和披露的可能性，用户便无法主张其与Claude的交流具有可受法律保护的合理保密期待。Rakoff法官还在备忘录中回应了一种反对意见——“Claude是不是律师无关紧要，AI输入只是类似于使用云端文字处理软件”——并指出这一类比恰恰反而不利于主张特权：一方面，云端软件的使用本身就不具备内在的特权保护；另一方面，所有“公认的特权”都要求以"信赖性的人类关系"为前提，即与负有受托义务、受纪律约束的持牌专业人员之间的关系。AI用户与Claude这样的平台之间，不存在、也不可能存在这种关系。这一论证的意义在于，如果按照这种严格的尺度，即便未来AI平台把隐私政策改得更严格（如企业版中承诺绝不训练、绝不披露），也无法凭此绕过“人类信赖关系”这一底层要件——除非法律本身为AI特设一种新的特权类型。

第三，缺乏律师主导。法院还特别强调，Heppner使用Claude并非出于律师的明确指示，也不是在律师控制、监督之下完成。辩护人自己承认，Heppner是“自行”使用Claude的。因此，法院拒绝将Claude类比为Kovel规则下“受律师聘请、协助律师理解信息的第三方专业人士”。在法官看来，问题的关键不是Heppner最终是否把这些材料发给了律师，而是他最初是否意图从律师处获取法律意见，还是希望在一个公开平台上独立开展分析。当事人事后转发给律师的行为，不能倒过来改变这些材料形成时的法律性质。

关于工作成果保护，法官同样予以否定。法官认为，工作成果保护的核心，在于维护律师或其代理人为诉讼准备时所形成的法律分析、策略判断与思维过程。本案中，辩护人确认AI对话记录“由被告自行准备”，且在材料生成时并未反映辩护人的具体策略，因此不属于可受保护的工作成果。据此，法官认定AI对话记录不构成受保护的工作成果。

法官在其备忘录结尾总结到：“生成式人工智能在技术与法律的持续对话中开辟了新的疆域。时间将证明，生成式AI是否能如其他技术革新那样，真正革新我们处理信息的方式。但AI的新颖性并不意味着其使用可以豁免于既有的法律原则，包括关于律师-当事人特权和工作成果保护的规则”。

(二) Warner案：ChatGPT是工具，不是人

同样在2026年2月10日，密歇根东区联邦地区法院在Warner v. Gilbarco一案中，就AI使用记录的可开示性作出了看起来完全相反的裁定。该案是一宗联邦民事雇佣纠纷。原告Sohyon Warner以pro se（自行诉讼）方式起诉Gilbarco公司等雇主，双方进入证据开示阶段后发生多起程序争议。在证据开示阶段，被告要求法院命令原告披露其在本案中使用第三方AI工具的相关文件和信息，并主张原告因使用ChatGPT已放弃工作成果保护。

Patti法官驳回了被告的这一请求，理由主要是：其一，该动议提出时间已超出了证据开示的期限；其二，即便程序上适格，相关信息也不属于可开示范围——它们是为诉讼准备而形成的内容，落入《联邦民事诉讼规则》第26(b)(3)项下的工作成果保护框架，即便有一定的相关性，也不符合比例原则。

在论证过程中，Patti法官写下了那句被广泛引用的话：ChatGPT（以及其他生成式人工智能程序）是工具，而不是人。紧接着，法院进一步认可了原告的表述，指出这类内容本质上是“诉讼当事人的内部分析和思维印象，经由软件重新格式化后的表达”。既然受保护的是当事人或律师的思维过程，而不是其借助何种软件来表达这些思维，那么仅因使用了AI工具，并不会当然导致这种保护被击穿。

法院同时指出，工作成果保护的弃权标准本就不同于律师-当事人特权。前者通常要求向对手披露，或者以一种极有可能落入对手之手的方式披露，才会构成弃权；而单纯将内容输入ChatGPT，并不等于向对手披露。被告试图借由AI平台去追索原告“内部分析”“思维过程”的做法，在法院看来更像是一场偏离案件实体问题的“钓鱼式调查”。

有趣的是，Patti法官还在裁定中对被告作了直接批评。法院确认，被告并无证据证明原告曾将受保护或受保密令限制的材料上传至AI平台，但被告仍然对原告的AI使用行为进行了数量明显过度的盘问。法院甚至写道：被告对原告AI使用问题的痴迷需要停止。需要澄清的是，本案的“工具论”并非为AI工具的使用提供了无条件的豁免。Warner案裁定明确建立在两个事实前提之上：一是被告拿不出证据证明原告把受保密令限制的材料上传给了AI；二是被告要求开示的是原告“内部分析”的形成过程，而不是既存的客观证据。一旦事实发生变化——比如当事人把受保密义务约束的第三方文件直接输入给了AI——法院的结论很可能也会发生变化。

最终，法官以一段非常具有概括性的表述收尾：双方都在试图获取对方的思维过程，同时又想让自己的思维过程免于开示；法院将维护双方思维过程与诉讼策略所受的保护，对任何一方的此类材料均不命令披露。

(三) 案件对比小结

如果只看结果，两案似乎是在就“AI到底是不是单纯的工具”展开理念之争：纽约法院将AI平台视为一个足以击穿保密性的第三方；密歇根法院则将其视为不改变法律性质的工具。为便于快速把握两案的相同点与差异点，以下表格对关键事实与裁判要素予以对照：

概括而言，纽约法院的思路是：AI平台是外部主体，平台条款又明确表明数据可能被利用与披露，因此你把案件输入进去，就已经站到了特权保护的边缘之上。密歇根法院的思路则是：即便使用了AI，真正需要保护的仍然是人的思维过程；只要没有证据显示当事人把受保护信息以会落入相对方之手的方式外泄，法院就不应允许对这种内部分析进行穿透式的开示。

两案结论相反，表面上看起来是对AI定性的争议——第三方还是工具？但真正在起作用的，是三个更为基础的问题：使用者是谁？主张的是哪种保护？平台协议条款在裁判中扮演什么角色？

(一) 使用主体与使用情境的差异

一个容易被忽略的细节是：两案中的AI使用，实际上都不是由律师主导完成的。Heppner案中，辩护律师明确承认未指示被告使用Claude；Warner案中，原告甚至根本没有律师，而是自行诉讼。尽管如此，两个法院的处理方向仍然不同。这说明“是否由律师主导”并非唯一变量，但它很可能是最重要的变量之一。

如果AI使用由律师主导、为具体诉讼任务而展开，并留有律师指示的痕迹，未来主张工作成果保护的空间会大得多；反之，当事人自行把案情输进消费级AI，事后再包装为“与律师沟通前的准备”，法院接受的可能性就很低。

(二) 主张保护的对象不同

律师-当事人特权与工作成果保护常被并列提及，但保护对象并不相同。前者保护的是特定主体之间、以法律咨询为目的的保密通信，因此对于“通信对象是谁”“是否有第三方介入”高度敏感；后者保护的则是律师或当事人为诉讼而形成的思维过程、分析路径和策略准备，其关注点不是你向谁说了什么，而是对手能否借由程序规则强行触及你的思想。

正因为如此，Heppner案中围绕律师-当事人特权展开的分析，对AI的审视天然更严格。法院只要首先认定Claude不是律师，也不是在律师指导下协助法律服务的专业人员，那么“通信主体错误”几乎已经足以击穿特权。而Warner案所处的工作成果保护框架，则更容易接受“AI只是表达工具”的说法，因为真正应受保护的是内部分析与诉讼准备，而不是这种准备借助了何种软件完成。

(三) 隐私政策作为裁判依据的出现

Heppner案具有前瞻意义的论证，是法官将AI平台的隐私政策直接作为否定“合理保密期待”的依据。备忘录明确引用Claude平台的隐私政策条款，指出用户在点击同意的那一刻，就已经接受了输入和输出数据可能被用于训练模型、并可能被披露给第三方（包括政府机构）的现实。

这一论证路径将一个原本属于私法性质的服务条款，转化为公法性质的举证规则——当事人的“合理保密期待”不再由其主观意愿决定，而是由平台条款客观地“划定边界”。

反观Warner案，法院并未深入讨论ChatGPT的服务条款。这种处理方式的合理性在于：该案的争点是工作成果保护的弃权问题，而工作成果的弃权标准本不要求审查保密期待；但从另一个角度看，两家法院在“隐私政策能否进入裁判依据”这个问题上事实上尚未对齐（主要是密歇根法院并未进行深入探讨），未来不同法院对此的态度仍可能分化。

这意味着，未来围绕AI使用展开的争议，可能不再只是围绕“你有没有把信息说出去”，而会进一步演化为“在点击同意时，你是否已经被推定知晓其可能去向”。一旦这个思路被更多法院接受，合理期待、过错认定、商业秘密的保密措施审查等问题，都可能受到平台条款的影响。一份点击同意的用户协议，在诉讼中被解读出的分量，可能将远远超出了起草它的工程师和律师的预期。

(一) 中国法并无完整的“律师-当事人特权”制度，但问题并不会因此消失

与美国法不同，中国法下并不存在一套独立、完整、程序法上强有力的“律师-当事人特权”制度。我国现行规则更多体现为律师的保密义务^[注3]，而非律师或当事人可以据此对抗证据调取、拒绝披露的强特权。也正因为如此，如果简单照搬美国式提问——“用ChatGPT会不会丧失律师特权”——在中国法下并不能得到完全对称的回答。

但这并不意味着问题不存在。恰恰相反，在中国语境下，AI使用更可能通过商业秘密保护、个人信息保护、涉密信息管理等路径显现出来。也就是说，美国案件中的问题，在中国未必以“特权是否丧失”的形式出现，却很可能以“你是否已经失去了商业秘密保护”“是否构成违规数据出境”“是否违反内部保密义务”等方式出现。

(二) 若干需要关注的中国法要求

对中国企业而言，向境外（特定场景下也包括境内）AI平台输入涉诉或商业敏感信息，真正的风险点可能在于：

1.商业秘密的“保密措施”要件

《反不正当竞争法》第九条规定，商业秘密须同时满足秘密性、价值性和保密性三要件。其中“保密性”要求权利人“采取相应保密措施”。《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》第六条列举了若干典型的保密措施，并在实践中形成了较为稳定的审查标准。

将商业秘密信息输入公开可得的AI工具，在司法审查中很可能被认定为未采取合理的保密措施，从而导致权利人丧失商业秘密的法律保护地位。从这个视角来看，即便两者适用的法律制度不同，Heppner案中法官关于“用户对公开AI平台的对话不享有实质隐私利益”的判断，与中国法下“未采取保密措施即丧失商业秘密地位”的逻辑在结构上是相同的。

2.数据与个人信息的跨境合规

《数据安全法》《个人信息保护法》《网络安全法》等法律法规构建了中国的数据合规框架。向境外AI平台输入包含个人信息、重要数据的内容，可能触发数据跨境的对应合规要求。

实践中，企业员工、法务人员、外部律师出于便利，将合同、争议材料、证据摘要、客户信息甚至谈判底稿直接输入境外AI工具的情形，并不罕见。但这一行为在中国法下可能并不只是“保密不当”，还可能构成数据处理与跨境流动层面的合规问题。特别是当输入内容中包含个人信息、重要数据、尚未公开的经营数据或其他具有特定监管属性的信息时，企业面临的就不再只是民事上的秘密保护风险，而是更广泛的数据治理风险。

因此，对中国企业而言，AI合规不能仅仅由信息技术部门从效率角度处理，也不能只由法务部门在事后补救。它必须与数据分类分级、个人信息保护、数据跨进流动管理以及商业秘密保护等一起纳入治理。

3.泄露国家秘密、工作秘密的刑事风险

《保守国家秘密法》及相关法规对国家秘密的保护具有强制要求。我国《刑法》第三百九十八条（故意或过失泄露国家秘密罪）等条文为相关行为设定了刑事责任。涉密单位或知悉涉密信息的人员，向境外AI平台输入涉密信息，风险也是显而易见的。

即便是未达国家秘密级别但属于“工作秘密”的政府或国有企业内部信息，向AI平台的输入也可能触发《公务员法》及相关纪律规定下的责任。

(三) 隐私政策风险的中国侧面

Heppner案中的平台隐私政策被作为裁判依据，对中国企业和律师而言亦有启示。在中国语境下，平台服务条款能否成为否定商业秘密“保密措施”或其他保密主张的依据？

在目前的司法实践中，这一问题尚未形成明确规则，但有若干问题应当关注：

其一，最高人民法院关于商业秘密的司法解释及相关判例中，已有法院把“将信息上传至公开或半公开平台”作为否定保密措施的理由。逻辑上，向具有使用数据进行模型训练条款的AI平台输入信息，与上传到其他开放平台并无本质差异。

其二，企业内部是否建立了针对AI使用的审批、限制、培训和留痕机制，未来很可能成为法院审查“是否尽到了合理保密管理义务”的关键证据。缺乏AI使用规范的企业，更可能被认定为未尽到合理的保密管理义务^[注4]。

其三，AI平台服务条款作为格式条款，亦可能在证据法层面被用于推定用户对数据处理方式的“明知”，从而影响保密义务与过错认定。这也意味着，此时平台的隐私政策正在从合同规范转化为司法判断的重要事实依据。

面对上述多重风险，企业和律师需要建立一套系统化的AI使用治理框架。事实上，Heppner与Warner两案公布后，美国多家大型律所很快向客户发布提示。其核心几乎都传达出同一个信号：把诉讼相关内容输入公开AI，已经不再是随意做出的技术选择，而是需要提前评估法律后果的行为。他们提出的建议大致集中在四类：第一，避免在消费级AI工具中输入敏感事实、客户信息、未公开的业务数据和案件策略。第二，若确需借助AI协助法律事务，应优先使用企业版或经过特别合同安排的产品，以尽量降低输入被用于训练、披露或跨用途处理的风险。第三，AI的使用应纳入律师主导和项目流程管理，而不是由客户或员工自由发起或进行。第四，无论AI给出何种分析，其最终版本都必须经由律师或专业人员人工审核，不能将AI输出视为天然可直接采纳的法律文本。

这些建议之所以值得中国企业关注，不仅因为其内容本身具有普遍适用性，更因为它们反映了美国实务界已经形成的一种判断：AI问题不再只是“能不能用”，而是怎么用才不会把本来受保护的内容自己送出门。要降低风险，关键不在于一刀切的禁止，而在于建立一套可以被证明以及可以在争议发生后自圆其说的治理框架。

(一) 工具选择层面

企业首先应当在工具选择上做分层管理。对于涉及客户资料、争议应对、未公开业务信息或内部决策支持的场景，原则上应优先使用企业版AI、定制版AI或本地部署方案，而非直接采用公开消费级产品。原因并不复杂：不同产品在是否用输入训练模型、数据保留多久、是否可依合同免除训练、能否签署DPA等关键点上差异很大，法律风险远非同一量级。

此外，还有一个容易被忽视的实务问题：使用境外AI工具时，账号的稳定性与数据的可控性本身就是合规的重要组成部分。如果账号因各种原因被平台限制或注销，相关对话记录的归属与调取将完全超出用户的控制范围。从这个意义上说，能否持续、稳定、可控地管理AI使用记录，是企业评估工具合规性时不应忽略的维度——这也是优先选择有正式商业合同、有明确服务条款约束的企业版产品的另一个理由。

对于确需处理中国境内数据、特别是涉及个人信息或重要数据的业务场景，应当优先选择境内部署的AI工具或具备合规出境路径的境外工具，避免无意识的违规数据出境。对于涉及国家秘密、工作秘密、核心商业秘密的信息，则应明确限制不应输入任何公开AI平台，包括所谓“企业版”，而应使用内部自建、物理隔离或经特别审查的专用系统。

(二) 使用场景层面

许多风险并不是因为用了AI，而是因为输入方式过于粗暴。企业和律师完全可以通过技术性和流程性的安排明显减少风险：例如，对案件事实、交易数据、客户身份信息进行脱敏；将复杂问题拆分为多个互不对应的子问题；尽量以抽象问题替代原文上传；不直接输入合同原件、证据清单、谈判底稿和完整法律文书；对于涉及关键数字、关键条款和核心技术细节的部分，坚持由人工完成。

这些做法看似繁琐，但真正的价值有两个：第一，避免一次性把完整信息送出去；第二，一旦未来发生争议，企业（律师）至少能拿得出证据说明自己没有放任，而是有所控制。

(三) 流程管控层面

将AI工具的使用纳入标准化的工作流程，而非由个人自由决定。具体而言，借鉴Heppner案的教训，凡涉及诉讼、仲裁等争议解决事项的AI使用，应当坚持律师主导的原则，首先由承办律师主导发起，并留下书面指示的痕迹。这种做法在中国法下未必会直接产生美国法上的特权效果，但它能在发生争议、审计、调查或监管问询时，为企业提供重要的事实基础：即相关AI使用具有明确目的、受控流程和管理痕迹，而非员工随手将敏感信息丢进公开平台^[注5]。

其次，对AI使用的时间、使用者、输入内容概要、输出用途进行必要记录。既便于事后追溯，也是证明“采取了合理保密与管理措施”的客观依据。此外，对于由AI辅助生成的文书、分析，可以在内部版本中标注“由AI辅助生成，需经人工核验”等字样，避免AI生成内容未经复核直接对外。

(四) 制度建设层面

企业层面应当建立或者更新AI工具使用管理办法或将AI使用纳入现有的数据安全、商业秘密、知识产权管理制度，具体可以包括：允许使用的工具白名单；按信息敏感度划分的使用场景；审批、复核与例外机制；员工培训与承诺；违规责任与内部追责；与供应商合同和隐私政策的审查机制等。对于律所而言，也应在客户信息保密制度中设立AI使用章节，明确禁止将客户敏感信息输入未经批准的公开平台，同时为必要使用场景提供经过审查的工具选择和操作指引。

Heppner案与Warner案虽然结论相反，但指向的是同一件事：生成式AI已经成为新的信息流通通道。法律真正关心的，不是你有没有使用AI，而是你通过AI把信息带到了哪里、以什么方式带出去，以及能否还合理地主张这些信息仍然停留在受保护的空间之中。

从这个角度来看，两案并不是在争论“AI该不该用”，而是在重新划定“思考”与“披露”的边界。纽约法院更强调平台属性与条款风险，密歇根法院则更强调内部思维过程的可保护性；两者所展示的，不是技术判断的根本差异，而是传统保密制度在面对新型信息工具时的边界探索。

对中国企业和法律从业者而言，两则判例的价值不在于照搬结论，而在于提醒我们一件事：AI已经渗入合同审查、商业决策和日常争议应对，最危险的误解，是以为把信息输给AI，只是在自己脑子里打草稿。它不是草稿纸——它是一扇新的信息出口。如何管住这扇出口，将是下一阶段法律合规的真正考验。

【 特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。】