【摘要】本文以美国Heppner案为切入点，剖析AI大模型对话记录在刑事诉讼中的证据地位与法律定性。该案作为全球首个AI对话特权争议的联邦判例，明确当事人自行使用消费级开放式AI生成的法律分析材料不享有律师-客户特权保护。对比中美法律规定差异可见，中国法下AI对话属于法定电子数据，证据稳定性更强，且因缺乏特权保护与例外机制，平台对司法调取负有绝对配合义务，证据暴露性更高。研究表明，司法系统将传统证据规则直接延伸适用于AI场景，用户对AI的私密预期与刑事证据规则或存在根本性错位。

【关键词】Heppner案；AI对话；刑事证据；律师-客户特权；电子数据

2025年11月,美国联邦调查局在BradleyHeppner的住所执行搜查令。Heppner是已破产金融服务公司GWGHoldings的前CEO,于当年10月28日被美国检方起诉,其涉嫌证券欺诈、电信欺诈、共谋、向审计师做虚假陈述及伪造公司记录等多项罪名。搜查过程中,探员从其电子设备中扣押了约31份文档——全部系被告使用Anthropic的Claude消费版生成。

根据目前披露的庭审材料,这些文档并非一般性资料查询,而是Heppner在收到大陪审团传票、已经聘请律师之后,自行使用Claude系统整理案情、分析可能涉嫌的罪名、起草辩护思路所形成的产物。部分材料此后交给了辩护律师。

其辩护律师主张:这31份文档属于律师-客户特权与工作成果原则的保护范围,检方不得查阅。2026年2月10日,美国纽约南区联邦地区法院法官JedRakoff在预审会议上从庭上作出裁定,2月17日出具书面意见——31份文档不受任何特权保护,检方可以查阅并用作证据¹。

这是美国联邦法院首次就开放式AI对话的特权地位作出实质性裁决,业界将其评论为"AI与特权问题的里程碑案件"。

本案另外一个值得强调的事实是:检方取得这些材料的路径,不是向Anthropic调取云端数据,而是通过对住所的搜查扣押直接从被告本地设备取得。这一点决定了Heppner的警示意义远不限于美国管辖范围——即便抛开跨境数据协助问题,本地搜查扣押本身就足以让人洞穿大模型公司们宣扬的AI对话的表面私密性。

Rakoff法官的裁决建立在三段相互独立的论证之上,任何一段独立成立都冲着否定美国法中的律师特权。

第一,Claude不是律师。律师-客户特权要求存在一段"受信任的人类专业关系"——律师承担受信义务、受纪律约束、可被追责。AI与用户之间不存在、也不可能存在这种关系。Claude本身在被问及能否提供法律意见时,明确表示"我不是律师,不能提供正式法律意见"。这一回答被法院直接援引。

第二,对话不具保密性。Anthropic的隐私政策明示保留数据用于训练模型、并可能向监管机关及第三方披露的权利。用户在使用服务时已同意该政策。法院据此认定:用户对与Claude的对话不存在合理的保密期待——这相当于向第三方披露。

第三,使用目的不是获取律师法律意见。即便Heppner事后将相关材料交给律师讨论,也不能追溯性地将其转化为特权沟通。法院强调:判断特权的关键,是生成材料当下的意图,而不是事后的流向。

三段独立推理的累加意味着——即便将来有判例推翻其中一段,其余两段仍可独立支撑同一结论。翻盘难度极大。

但Rakoff也留了一扇门。如果律师指示客户使用AI,在Kovel原则下(Kovelv.UnitedStates,1961年判例,允许律师聘请的会计师等非律师专业人员落入特权保护范围),AI可能被视为律师的"高度专业化代理人"——此时相关对话可能受特权保护。此外,Rakoff的推理主要针对消费版Claude;如果使用的是企业版(不训练用户输入、提供保密承诺),"合理保密期待"仍可能成立。

换言之,Heppner的结论是:客户自行使用开放式公共AI 的对话不受特权保护。这句话的修饰语不能省略。

（一）风险一:形式上的保护已不存在

在美国传统刑事辩护中,客户与律师之间的沟通受到制度层面(特权)和事实层面(会见权、通信保密)双重保护。客户一旦把案情引入开放式AI,这两重保护同时失效。

制度层面,AI不是律师,不可能建立律师-客户关系;事后交给律师也不能追溯性地赋予特权地位。

合同层面,几乎所有开放式AI服务条款都包含训练、分析、合规披露的条款。这些条款在刑事程序中并不是被动存在的背景——它们会被检方与法院反向援引,作为否定用户保密期待的直接依据。用户在按下"我同意"的那一刻,就同时签署了一份"我承认对这段对话不存在合理保密期待"的声明。

客户对AI对话框的心理预期(“像聊天工具”),与法院认定的法律状态(“向可被读取的第三方持续输出陈述”)之间,存在根本性错位。这不是认知偏差,而是结构性错位——无论客户如何"正确使用"公共AI,都无法弥合。

（二）风险二:AI生成的内容,恰好是检方最理想的证据形态

金融类犯罪、尤其是证券类和非法集资类犯罪案件,真正的证明难点从来不是客观行为,而是主观明知——被告是否知道交易性质、信息重要性、法律风险。传统侦查中,检方需要通过岗位履历、会议纪要、通讯记录、证人陈述等间接证据拼凑明知;而这种拼凑过程的难度,恰恰是辩护的主要着力点之一。

AI对话证据的存在和引入可能改变这一攻守格局。被告为了让AI“帮我分析可能的罪名”、“评估我的抗辩路径”,可能会主动、详尽、自愿地向AI披露:他对交易性质的认知程度、知情的时间节点、对风险的判断过程、对可能被追责的担忧、甚至对潜在应对方案的权衡。每一段陈述都是结构化的、逻辑自洽的、日期可验证的——相当于让被告主动完成一份比日记更系统、比聊天更完整的主观状态自述。每一段都可以在之后被检方完整提取,直接作为主观要件的证据使用。

这是一种权力结构上的转移:AI对话的存在,无疑降低了检方证明主观要件的难度,同时极大提高了辩方否认明知的门槛。如果一段对话的主要用途是帮被告梳理案情,那么这段对话的最终效果,很可能是替检方梳理了指控。

顺带提一点,AI的"幻觉"问题在此语境下并非缓冲,而是加重风险——如果AI给出错误的法律分析并被当事人据以行动,检方不仅掌握事实陈述,还会掌握一条"曾被告知潜在风险仍继续实施"的完整心路证据链。

将Heppner一案呈现的问题移植到中国刑事诉讼语境,第一反应通常是"国内没有律师-客户特权的明确规定"。这个判断方向正确,但远不够精确。中国法下的问题不是"特权较弱",而是从证据种类、取证义务到排除规则,AI对话数据在每一个程序环节都处于更加暴露的位置。

(一)电子数据:一项独立的法定证据种类

《刑事诉讼法》第50条规定了八类证据,其中第(八)项为"视听资料、电子数据"。"电子数据"自2012年修法以来已作为独立的法定证据种类存在,不再依附于书证或视听资料。AI对话记录——无论是本地设备中的缓存,还是平台侧留存的日志——在形式上完全符合电子数据的特征。

这意味着AI对话进入中国刑事程序的证据体系不存在任何制度门槛:它不需要被解释为某种"类比于书证的材料",也不需要借助鉴定意见进行转化,其本身就是一项法定证据种类。

2016年《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》²进一步细化了电子数据的收集、提取、固定、审查规则。AI对话在这一框架下具有几个结构性特征,使其稳定性甚至高于传统即时通讯记录:

· 生成时间可通过平台侧日志精确确认;

· 内容完整性可通过哈希等技术手段固定;

· 本地设备缓存与平台侧记录可以相互印证,形成双向取证链;

· "用户输入—平台输出"的单向结构,取证链条短,认证争议空间小。

相较之下,微信等即时通讯记录的另一端当事人可以删除、平台保留期有限、双方陈述可能冲突;AI对话的证据稳定性反而更强,一旦进入程序,在证据能力层面动摇的可能性很低。

(二)取证配合义务:几乎不存在的例外

《刑事诉讼法》第54条规定:"人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。"这是一条总括性条款——任何单位、任何个人,在没有特别法定豁免的前提下,都负有向司法机关提供证据的一般义务。

对进行AI运营的平台而言,这一义务被进一步具体化:

1.《网络安全法》³第28条:“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”

2.《数据安全法》⁴第35条:“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。”

三条规范叠加的效果是:AI平台在收到合法调取要求时,不存在合法拒绝的空间。相较美国模式下平台至少还可能基于隐私政策、宪法第四修正案或程序性理由提出挑战,中国法下的配合义务是成文化的、直接的、几乎不留缝隙的。对当事人而言,这意味着:AI对话一旦被司法机关视为与案件相关,既无法通过合同条款阻断披露,也无法依赖平台的程序性抗辩为自己争取时间。

(三)“关门开窗”vs.“无门无窗”:律师代理人制度的缺位

在美国体系中,Heppner关上了一扇门——客户自行使用公共AI不受特权保护;但Kovel原则又为之开了一扇窗——律师指示下使用企业版AI,可能构成律师代理人,相关对话仍可能受特权保护。美国辩方因此仍保留一条受保护的AI使用路径。

中国法缺少的不仅是"关门"所需的特权概念,还缺少"开窗"所需的律师代理人制度。现行《刑事诉讼法》与《律师法》规定了律师的保密义务,但没有将律师-当事人通信确立为原则上不可强制调取的特权性材料;实务中的保护主要体现在程序层面(会见权保障、不得监听会见),而不是在实体层面将这类材料排除在证据之外。更关键的是,中国法不存在类似Kovel的机制——律师委托的第三方专业人员(会计师、技术专家、AI系统)的工作成果,没有任何途径可以纳入特权保护范围。

结果是:在AI使用问题上,中国法律体系内不存在"规范使用+律师指导=保留程序盾牌"的路径。所有使用方式都落在同一片开放地带。

(四)非法证据排除的局限

非法证据排除规则(《刑事诉讼法》第56条)主要围绕刑讯逼供、暴力取证等严重程序违法情形展开。对于通过合法调取程序(调取证据通知、搜查扣押、网络协作)取得的AI对话数据记录,实践中援引排除规则得以排除的难度将非常大。

Heppner案中援引的"合理保密期待"——即从用户一端论证期待是否合理——在中国法下也缺乏对应的抗辩路径。平台服务条款中普遍存在的数据使用与配合监管条款,反而会强化"对话可被使用"的默认预期。即便当事人主张自己对AI对话存在保密期待,这种期待在程序上也难以转化为任何可援引的排除规则。

Rakoff法官没有为AI设计任何新的保护层级,也没有创设任何新的披露豁免。他所做的事情,只是把现有的律师-客户特权规则、工作成果原则、合理保密期待标准——默认适用到AI场景。

从中国法的角度看,这种"既有规则默认延伸"的进路,比单纯的保护缺失更具根本意义:它意味着AI对话数据的证据地位,在中美均不需要任何新立法即可被完全确定。电子数据作为法定证据种类的规定、笼罩性的取证配合义务、非法证据排除的既有边界——这些规则都早已存在,只是在等待一个具体的AI案件进入司法程序时被顺手适用。

这个判断可以联想到所有"看似私密的第三方工具":微信、云盘、邮箱、协同办公软件。它们都曾在某个时间点被用户主观地当作"私人空间",但在刑事程序中并无任何特殊规定。AI只是这条序列上最新、也最具诱惑性的一个——它比聊天工具更像"顾问",比搜索引擎更像"对话",因此更容易让用户误以为自己身处一段受隐私保护甚至深不可测的交流当中。

司法系统面对新技术的默认反应,从来不是为使用者提供新保护,而是将既有的披露规则自然延伸。从按下Enter键的那一刻起,那段对话的法律地位就已经被既有规则决定。

附注:Heppner案的裁定在美国学理层面并非没有争议。HarvardLawReview与Lawfare的评论均指出Rakoff在"合理保密期待"部分走得过远,本可以仅以"Claude不是律师"结束分析。但这一学理争议不影响其对客户的现实警示——在可预见的未来,司法机关更倾向于援引而非质疑Rakoff的立场。