丁曉東：人工智能背景下個人信息保護制度的挑戰(zhàn)與應對

以下文章來源于政治與法律編輯部，作者丁曉東

人工智能背景下個人信息保護制度的挑戰(zhàn)與應對

丁曉東

（中國人民大學法學院教授）

[摘 要]

人工智能對個人信息保護制度提出了一系列挑戰(zhàn)。究其根源，個人信息保護制度起源于檔案化個人信息時代，其針對的典型場景是行政機構低頻處理少量檔案類個人信息。在以互聯(lián)網(wǎng)與信息技術為代表的前人工智能時代，個人信息處理的典型場景就已經(jīng)轉換為企業(yè)高頻處理大規(guī)模行為類個人信息。在人工智能背景下，個人信息處理的典型場景進一步演化為海量個人信息的融合匯聚型處理，其對數(shù)據(jù)的處理類似水庫對海量水滴的匯聚與融合利用。人工智能背景下的個人信息保護原理與制度應當與人工智能處理的典型場景對齊，其原則應從靜態(tài)預防邁向動態(tài)發(fā)展思維，從激化對抗邁向信任互惠，從個體主義邁向群體主義。在此基礎上，其具體制度模塊也應進行相應調整與重構。人工智能處理個人信息應成為個人信息保護制度改革的試驗田，個人信息保護的一般原理與制度也應借機進行改革與完善。

[關鍵詞]

人工智能；個人信息保護；發(fā)展與安全；個體控制；匯聚融合

一、問題的提出

近年來，人工智能尤其是生成式人工智能發(fā)展迅速，并且?guī)砹艘幌盗蟹商魬?zhàn)。在這些挑戰(zhàn)中，個人信息保護尤其具有現(xiàn)實性和緊迫性。例如2025年初，意大利數(shù)據(jù)保護局以DeepSeek的個人數(shù)據(jù)收集與處理違反歐盟《一般數(shù)據(jù)保護條例》為由對我國的DeepSeek進行封禁。2025年6月底，德國數(shù)據(jù)保護官員以DeepSeek違反歐盟個人數(shù)據(jù)跨境流動制度為由，要求蘋果和谷歌的應用商店下架DeepSeek。人工智能所帶來的個人信息保護挑戰(zhàn)不只是實踐中的少量議題。從制度上看，這些挑戰(zhàn)涉及了個人信息保護制度中的幾乎每個議題。

以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）的規(guī)定為例，涉及的議題就包括以下方面。

首先，人工智能背景下的個人信息處理對基礎問題或《個人信息保護法》的總則部分提出了挑戰(zhàn)。就個人信息保護的必要性與權益平衡而言，人工智能處理個人信息是否應當被特殊對待？目前，已有若干法律規(guī)范將人工智能利用個人信息研發(fā)與訓練排除在其適用范圍之外。就個人信息概念與范圍而言，生成式人工智能所收集的用戶輸入信息是否屬于個人信息？這些信息一般不包括個人的姓名、聯(lián)系方式等可以直接識別個人的信息。就個人信息處理原則而言，合法、正當、必要、誠信、公開透明、信息質量與準確性、責任與安全保障這些原則應當如何理解與適用？人工智能訓練與應用常常需要海量個人信息，且很難在事先就滿足特定目的、數(shù)據(jù)最小化等要求。并且人工智能重在實現(xiàn)輸出與預測的概率準確性，因而很難完全保障個人信息的質量與準確性。

其次，人工智能背景下的個人信息處理對《個人信息保護法》中的個人信息處理規(guī)則提出了挑戰(zhàn)。就個人信息處理的合法性基礎而言，很多個人信息的收集處理都無法得到個人授權，此時發(fā)展人工智能是否可以作為個人信息處理的合法性基礎或“正當利益”？就告知同意而言，人工智能處理的個人信息往往包含大量網(wǎng)絡公開信息，且很多個人信息常常沒有獲得個體的知情與同意。就自動化決策而言，人工智能具有典型的自動化決策特征，當其處理的數(shù)據(jù)包括個人信息時，是否需要完全遵守個人信息制度中有關自動化決策的規(guī)定？就公開個人信息、敏感個人信息、國家機關處理個人信息而言，人工智能背景下的這些制度如何適用，目前并無明確定論。就個人信息跨境制度而言，人工智能尤其是生成式人工智能天然具有跨國界性，面對全球人工智能與數(shù)據(jù)領域的競爭、合作與博弈，個人信息跨境制度也面臨爭議。

再次，人工智能也對個人信息處理中的權利與義務帶來了一系列挑戰(zhàn)。就個人信息權利而言，人工智能處理背景下的個人信息的混同性、變化性、不可預測性更強，這將導致個體更難行使知情決定權、查閱復制權（訪問權）、更正補充權、刪除權、算法相關權利、死者個人信息權利等權利。就處理者義務而言，人工智能處理的個人信息的混同性、變化性、不可預測性也會對處理者義務帶來影響。個人信息安全保障措施與隱私設計、專人保護制度、合規(guī)審計與影響評估制度、信息泄露及其保護制度、大型平臺義務都可能需要進行調整或制度升級。

最后，人工智能背景下的個人信息保護實施與法律責任也面臨挑戰(zhàn)。例如就監(jiān)管機構而言，人工智能背景下的個人信息處理常常面臨個人信息保護機構與其他監(jiān)管機構的雙重監(jiān)管，如何協(xié)調不同機構的監(jiān)管機制，設計合理的監(jiān)管原則就成為需要思考的問題。就司法救濟和公益訴訟而言，人工智能對個人信息的侵害往往具有大規(guī)模微型侵權、混同性侵害等特征，傳統(tǒng)侵權法往往難以對此類侵害進行有效救濟。此外，面對人工智能發(fā)展的需要，司法救濟和公益訴訟如何既能合理維護個人信息權益，又不至于阻礙人工智能的發(fā)展，也是亟需破解的難題。

筆者對人工智能背景下的個人信息保護制度進行全面分析，并指出上述挑戰(zhàn)之所以出現(xiàn)，是前人工智能時代個人信息保護問題與人工智能時代個人信息保護問題的疊加。個人信息保護制度起源于檔案類個人信息時代，其制度以行政機構低頻處理少量檔案類個人信息為典型場景。在以互聯(lián)網(wǎng)與信息科技為代表的前人工智能時代，個人信息處理的典型場景已經(jīng)轉換為企業(yè)高頻處理大規(guī)模行為類個人信息。在人工智能時代，個人信息處理的典型場景進一步轉換，人工智能處理個人信息的典型場景演化為海量個人信息的融合匯聚型處理，人工智能處理個人信息類似水庫對海量水滴的匯聚與融合利用。為了完成制度與場景的對齊與匹配，人工智能時代個人信息保護的原理與制度都應當進行重塑。同時本文指出，人工智能的個人信息保護問題也為改革與完善個人信息保護制度提供了契機。由于人工智能處理個人信息進一步凸顯了當代個人信息處理的特征，且人工智能發(fā)展又具有更為廣泛的社會共識，人工智能背景下的個人信息保護制度可以成為更一般性的個人信息保護制度的試驗田和改革參考模板。

在展開問題分析前，需要說明本文對個人信息保護具體制度的分類與關注重點。就較為宏觀的分類而言，筆者以《個人信息保護法》為基礎，將個人信息保護制度在宏觀上分為基礎原理（該法第一章）、個人信息處理規(guī)則（該法第二章）、個人信息權利與處理者義務（該法第四章、第五章）、履行個人信息保護職責的部門和法律責任（該法第六章、第七章）。就更微觀或更小顆粒度的關注重點而言，本文將分析個人信息保護中最為重要的若干制度模塊，例如個人信息概念與范圍、個人信息處理原則、個人信息處理的合法性基礎、告知同意、共同委托處理關系、自動化決策、公開個人信息、敏感個人信息、國家機關處理個人信息、個人知情決定權、查閱復制權、更正補充權、刪除權、算法相關權利、安全保障措施與隱私設計、專人保護制度、合規(guī)審計與影響評估制度、信息泄露及其保護制度、大型平臺義務、監(jiān)管機構協(xié)調與監(jiān)管原則、司法救濟和公益訴訟等。個人信息保護場景多元、制度復雜，通過此類宏觀分類與微觀聚焦，筆者努力兼顧個人信息保護的整體性與具體性。

二、個人信息保護制度新老問題的進一步分析

本文第一部分初步指出了人工智能背景下的個人信息保護挑戰(zhàn)，這一部分在此基礎上對其進行展開分析。相關分析表明，個人信息保護制度在前人工智能時代就已經(jīng)存在很多挑戰(zhàn)或老問題，人工智能的發(fā)展與應用則進一步強化了這些老問題，同時帶來了新問題。

（一）基礎問題

首先，個人信息保護制度是否應當適用于人工智能，這一問題的背后其實是科技發(fā)展與保護個人信息的平衡問題，這一問題在前人工智能時代就已經(jīng)存在。例如，《個人信息保護法》第1條將“保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用”作為該法的立法宗旨。這一平衡問題如何實現(xiàn)，在傳統(tǒng)個人信息保護制度上就面臨挑戰(zhàn)。整體而言，“保護個人信息權益，規(guī)范個人信息處理活動”的立法宗旨在制度中較易落實，“促進個人信息合理利用”的立法宗旨則往往很難操作。人工智能的發(fā)展已經(jīng)成為我國政府與社會的重要共識，在人工智能背景下，這一問題更為突出，因為人工智能的發(fā)展往往依賴海量包含個人信息的數(shù)據(jù)。

其次，個人信息的概念與范圍界定難題在前人工智能時代已存在。很多研究指出，個人信息概念與范圍界定高度依賴“識別性”，但“識別性”取決于誰來識別、何種概率的識別、識別后的用途、識別后的風險等多種功能因素。在互聯(lián)網(wǎng)與信息時代，絕大多數(shù)信息都屬于不能直接識別但可以結合其他信息進行識別的信息，例如各類不包括姓名的消費者行為信息。在人工智能訓練背景下，此類問題進一步凸顯。例如，很多網(wǎng)絡爬蟲所獲取的信息以及網(wǎng)絡用戶對話輸入的信息也都屬于此類信息。同時在輸出端，很多信息都屬于推論信息（inference information），即人工智能根據(jù)各類信息“猜”出來的有關個人的信息。這類信息有可能可以識別個人，但也可能是錯誤信息或誤導性信息，無法與其他信息結合識別個人。因此可以說，人工智能進一步強化了本來就存在的個人信息界定困難。

最后，個人信息處理原則的挑戰(zhàn)在前人工智能時代已經(jīng)存在。例如互聯(lián)網(wǎng)和大數(shù)據(jù)所收集的個人信息往往并不是為了當下的單次服務，而是為了通過數(shù)據(jù)分析而為未來的用戶和商業(yè)活動提供一系列服務。因此，互聯(lián)網(wǎng)與大數(shù)據(jù)分析往往會突破《個人信息保護法》第6條規(guī)定的“明確、合理的目的，并應當與處理目的直接相關”的“目的限制”原則，以及“收集個人信息，應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息”的“數(shù)據(jù)最小化”原則。同樣，互聯(lián)網(wǎng)與大數(shù)據(jù)要保證個人信息處理的公開透明、信息質量與準確性原則也非常困難，因為互聯(lián)網(wǎng)與大數(shù)據(jù)追求的是整體數(shù)據(jù)的概率性的質量與準確性，并非某一條個人信息的質量與準確性。人工智能大大強化了之前就存在的問題。人工智能所需要的數(shù)據(jù)體量往往呈現(xiàn)指數(shù)級增長，其算法與數(shù)據(jù)利用中的黑箱性問題更為顯著，其輸出結果和未來被利用的場景更加不確定。

（二）處理規(guī)則

就處理個人信息的合法性基礎而言，前人工智能時代也存在爭議。要求信息處理者在處理之前獲得個人同意或其他合法性基礎，這等于對個人信息處理進行“有罪推定”。但實際上，個人信息處理既可能帶來侵害風險，也可能給用戶和消費者帶來福利。尤其是一些不會侵犯傳統(tǒng)隱私權的個人信息處理，此類個人信息處理中的收益可能遠超風險。也正是因為個人信息處理的雙面性，歐盟等國家和地區(qū)引入了像《一般數(shù)據(jù)保護條例》第6條第1款第f項那樣的“正當利益”條款，為個人信息處理提供更為一般性的合法性基礎。例如社交網(wǎng)絡中基于通訊錄權限的好友推薦，這類商業(yè)模式常常很難建立在個人同意、合同必要等合法性基礎之上，但可以通過“正當利益”條款而獲得辯護。在人工智能的背景下，上述問題更為突出。目前，我國的人工智能發(fā)展處在中美競爭的關鍵階段，而《個人信息保護法》誕生于我國互聯(lián)網(wǎng)監(jiān)管最為嚴格的階段，其合法性基礎條款甚至沒有列入“正當利益”條款。人工智能是一種通用性科技和新質生產(chǎn)力的代表，如果完全以預防性的觀點看待個人信息處理，則人工智能的發(fā)展將會面臨重大限制。

就告知同意制度而言，前人工智能時代的告知同意問題已經(jīng)被廣泛討論。很多學者指出，個人既無時間興趣閱讀隱私政策，也無專業(yè)能力理解其中包含的個人信息處理規(guī)則。強化告知同意要求也無法解決這一問題。要求信息處理者進行更多的告知，以及要求信息處理者采取選擇加入（opt-in）等要求，只會讓用戶體驗更差。在人工智能背景下，告知同意制度的問題會進一步放大。正如前文所述，人工智能存在數(shù)據(jù)匯聚融合、算法黑箱、訓練結果不確定性等問題。面對這些問題，人工智能企業(yè)及其專家都很難預測與理解人工智能處理個人信息的具體情況。試圖通過告知同意制度讓用戶進行信息自我決定（information self-determination），其效果會更加流于形式。

就自動化決策而言，前人工智能時代就存在自動化決策是否更為危險的問題。以歐盟《一般數(shù)據(jù)保護條例》為代表的立法賦予個體以拒絕純粹自動化決策以及用戶畫像的權利，將自動化決策視為比非自動化決策更危險的活動。但這一前提假設存在疑問。自動化決策固然會帶來歧視、不公平交易等風險，但這類風險未必比非自動化決策更大。在非自動化決策中，各類歧視、不公平交易的侵害風險同樣顯著，在概率上也不會比自動化決策更低。因此，法律是否應當對自動化決策本身進行額外規(guī)制，包括賦予個人以拒絕純粹自動化決策的權利，在法理基礎上存在疑問。在人工智能處理個人信息的語境下，上述問題更為突出。因為人工智能本身就可以被視為一個高度自動化的決策系統(tǒng)。人工智能處理個人信息當然應當受到法律的規(guī)范，但將自動化決策本身視為更為危險的活動與規(guī)制對象，不僅會妨礙人工智能的正常發(fā)展與應用，而且會喪失對真實風險的關注與規(guī)制。例如非自動化決策可能存在嚴重不公或效率低下，人工智能自動化決策本來可以解決這類問題。但由于對自動化決策的規(guī)制與個人拒絕純粹自動化決策的權利，自動化決策可能無法統(tǒng)一部署與實施，從而造成更為嚴重的不公或效率低下。

在前人工智能時代，公開個人信息保護、敏感個人信息保護與國家機關處理個人信息也存在爭議與挑戰(zhàn)。公開個人信息的爭議在于是否應當對其進行一體保護或完全豁免保護。從制度設計看，以歐盟法為代表的完全一體保護模式存在較大弊端，因為公開個人信息很難獲得個人同意，對其進行處理的風險也與非公開個人信息完全不同；但以美國法為代表的排除公開個人信息保護模式也存在問題。在人工智能背景下，公開個人信息的合理使用問題將成為核心問題之一。因為人工智能訓練嚴重依賴從互聯(lián)網(wǎng)公開途徑獲取的包含了個人信息的公開數(shù)據(jù)，且很多生成式人工智能又會輸出此類數(shù)據(jù)。人工智能的這些特征既強化了公開個人信息處理的必要性，又對公開個人信息的保護提出了更高要求。敏感個人信息的傳統(tǒng)核心挑戰(zhàn)在于敏感個人信息與非敏感個人信息的二元劃分很難成立，個人信息的敏感性常常取決于不同場景化因素，且二者經(jīng)常可以輕松轉換。人工智能帶來的新問題在于個人信息敏感性的界定更不確定。人工智能通過對各類個人信息或非個人信息的處理，常常可以推論出各類信息，實現(xiàn)敏感與非敏感個人信息的轉換。國家機關處理個人信息的傳統(tǒng)問題則在于其既具有更強的正當性與必要性，又可能對個人與社會造成更大的影響，且常常得不到合理監(jiān)督。在人工智能背景下，國家機關處理個人信息更可能與行政決策相結合，對個人與社會造成影響。

個人信息的跨境流動問題在前人工智能時代也已經(jīng)存在。其核心爭議是我國應當采取何種個人信息跨境流通模式？如何看待歐盟模式、美國模式與我國在基礎理論方面的區(qū)別？從基礎原理看，歐盟模式以人權作為個人信息跨境的基礎，但暗含了歐盟優(yōu)越主義的立場，美國模式以數(shù)據(jù)自由貿(mào)易為基本原則，但同時包含了霸權主義。全球數(shù)據(jù)秩序建構伊始，傳統(tǒng)個人信息跨境流動制度就存在制度叢林問題，即各國對個人信息跨境流動采取完全不同的法律原理與制度。并且，我國在一段時間內也并未尋找到完全符合我國國情與基本立場的數(shù)據(jù)跨境制度。在人工智能發(fā)展特別是我國人工智能企業(yè)出海發(fā)展的背景下，上述問題將繼續(xù)存在并將進一步激化。目前，若干采納以歐盟為代表的數(shù)據(jù)跨境模式的國家和地區(qū)正對我國的很多人工智能企業(yè)發(fā)起個人信息跨境調查，美國則通過各種立法與行政命令將我國納入敵對國家范疇，限制某些類型的個人信息傳輸?shù)轿覈?/p>

（三）個人信息權利與處理者義務

在前人工智能時代，個人信息權利就面臨難以行使或實施的現(xiàn)實困境。除了上文在告知同意制度中已經(jīng)提及的個人信息知情決定權，其他個人信息權利的行使也面臨困境。首先，查詢復制權、轉移權、更正補充權、刪除權、解釋說明權等個人信息權利常常難以行使。很多和個人相關的信息介于完全可識別與不可識別之間，且此類個人信息常常以非結構化的形式存在或存儲，例如聊天記錄、圖片、視頻中常常包含了多人信息。對于個人信息特征并不明顯或以非結構化形式存在的信息，當個人對這類信息主張權利時，則可能帶來很多負面影響。例如當某人對其聊天記錄或合影圖片進行查詢復制、轉移，此類權利行使就可能侵害他人的隱私權。當個人對其聊天記錄或合影圖片中的個人信息進行更正、補充和刪除時，此類權利行使也很可能侵犯他人權益。除此之外，每種具體個人信息權利還會面臨各自獨特的問題。例如對于轉移權而言，轉移權的行使也可能面臨技術不可行、造成反競爭效應等問題。對于更正補充權而言，很多個人信息都是模糊性、概率性的，這類個人信息就很難進行更正補充。

人工智能的發(fā)展與應用使得個人信息權利行使面臨更大挑戰(zhàn)。從人工智能所處理個人信息的來源看，大量個人信息來自網(wǎng)絡公開數(shù)據(jù)或數(shù)據(jù)公司提供的數(shù)據(jù)，只有少量大型互聯(lián)網(wǎng)企業(yè)可能擁有可供訓練的自有數(shù)據(jù)。因此，人工智能所處理的個人信息具有明顯的混同性、非結構化特征，傳統(tǒng)個人信息權利所面臨的挑戰(zhàn)在人工智能處理的背景下將會更加明顯。此外，由于人工智能所處理的數(shù)據(jù)大部分并非自有數(shù)據(jù)，個人信息主體與人工智能之間往往缺乏交互界面，這使得個人將更難行使各類信息權利。相較之下，在具有交互界面的場景中，信息處理者與個人之間本來就有各類驗證和溝通渠道，個人信息主體所提出的各類信息權利請求將更容易行使。

信息處理者義務在前人工智能時代也面臨問題。信息處理者義務最為核心的問題是強制性監(jiān)管與自我監(jiān)管常常存在緊張關系。一部分觀點認為，信息處理者義務有利于強化對個人信息權益保護，應當成為個人信息處理者的強制性義務。但也有觀點指出，即使法律沒有規(guī)定個人信息處理者義務，企業(yè)也會對個人信息設置安全保障措施、防止個人信息泄露，并且會在產(chǎn)品、服務與商業(yè)模式中考慮保護用戶的隱私權益。因為個人信息一旦泄漏或違規(guī)使用、侵害用戶或消費者權益，那么受到最直接影響的將是企業(yè)。強制性地要求信息處理者設置個人信息安全保障措施、專人保護制度、合規(guī)審計與影響評估制度、信息泄露及其保護制度，以及在法律上設置大型平臺特殊保護義務，可能導致監(jiān)管中的形式主義、官僚主義，不但給企業(yè)增添不必要的成本，而且可能導致無法聚焦真正的個人信息處理風險。信息處理者可能為了滿足合規(guī)要求，將精力都放在應對各類檢查上面，而對真正的個人信息處理風險關注不足。

人工智能所帶來的新問題在于，其不但要承擔個人信息保護法中的信息處理者義務，而且要承擔算法合規(guī)、人工智能合規(guī)等高度相關的義務。以歐盟新制定的《人工智能法》為例，該法對人工智能風險進行分級，將其劃分為禁止性風險、高風險以及有限風險和最小風險。其中禁止性風險主要包括影響個人潛意識、危害弱勢群體、社會信用評估，以及在公共場所使用“實時”遠程生物識別系統(tǒng)進行執(zhí)法的人工智能系統(tǒng)。對這些禁止性風險進行分析，可以發(fā)現(xiàn)它們都與個人信息處理高度相關。我國也制定了《生成式人工智能服務管理暫行辦法》《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》等部門規(guī)章，對特定主體施加相應責任。在多重監(jiān)管背景下，人工智能的個人信息處理者責任可能面臨進一步的監(jiān)管形式主義、官僚主義問題。

（四）監(jiān)管與法律責任

在前人工智能時代，監(jiān)管部門設置與履職的核心問題是個人信息保護是應當進行統(tǒng)一監(jiān)管還是應當按不同行業(yè)部門進行分領域監(jiān)管。對此各國采取了不同模式，例如歐盟采取了統(tǒng)一監(jiān)管的模式，美國采取了分領域監(jiān)管，我國則采取了兼顧二者的監(jiān)管模式。統(tǒng)一監(jiān)管與分領域監(jiān)管各有其優(yōu)劣。其中統(tǒng)一監(jiān)管的優(yōu)勢在于可以對個人信息保護工作進行整體性協(xié)調、維持相對統(tǒng)一的執(zhí)法標準。但其問題也非常明顯，不同領域與行業(yè)的個人信息保護非常不同，即使制定統(tǒng)一的個人信息保護法，也常常需要借助不同部門對個人信息進行監(jiān)管。

一方面，人工智能處理個人信息延續(xù)了傳統(tǒng)問題。例如新聞領域、商業(yè)領域、勞動就業(yè)領域、自動駕駛領域的人工智能處理個人信息都非常不同，需要法律協(xié)調統(tǒng)一保護與分領域保護。另一方面，人工智能作為一種通用科技與顛覆性科技，機遇與風險也使得統(tǒng)一監(jiān)管與分領域監(jiān)管之間的緊張關系更為突出。這一點在我國的監(jiān)管模式下尤其明顯。目前，我國的網(wǎng)信、科技等部門均對人工智能監(jiān)管提出了方案，而不同部門的監(jiān)管導向非常不同。例如，網(wǎng)信部門側重于對內容和個人信息安全進行監(jiān)管，科技部則側重于人工智能的發(fā)展。在處理個人信息保護問題上，需要根據(jù)人工智能的特點協(xié)調不同監(jiān)管部門，設計合理的監(jiān)管原則。

在前人工智能時代，個人信息保護中救濟與實施的核心問題是如何有效地進行個人信息侵權救濟、公益訴訟和行政監(jiān)管。就侵權救濟而言，侵害個人信息往往具有大規(guī)模微型侵權的特征，面對此類侵權，個體所遭受的損害往往較為微小或不確定，但其人數(shù)可能是海量規(guī)模的。因此，各國的個人信息侵權之訴常常面對很大挑戰(zhàn)。例如，美國在一系列案件中將大部分違規(guī)處理個人信息排除在侵權訴訟之外，認定這類情形不存在侵權法上的具體損害（concrete harm），僅將個人信息泄露等少量情形納入侵權法保護。公益訴訟和行政處罰很大程度可以解決個人信息大規(guī)模侵權的問題。但個人信息合法合規(guī)與違法違規(guī)處理的邊界常常并不清晰，很多個人信息處理行為可能未能完全符合個人信息保護法的具體條文與制度，但未必對個人或社會造成侵害。公益訴訟與行政處罰如何看待此類形式違規(guī)、實質并不存在侵害的問題，是個人信息公益訴訟和行政處罰的一大難題。

在人工智能背景下，個人信息大規(guī)模微型侵權問題仍將存在，并且?guī)硇聠栴}。例如在人工智能訓練階段，人工智能可能大量使用未獲得個人授權的個人信息，甚至可能利用非公開的個人信息。但同時，此類個人信息處理又僅限于訓練目的，不會對個體產(chǎn)生實質性影響。在此背景下，此類個人信息處理既可能被認定為違規(guī)處理個人信息，也可能被認定為科學研究領域的責任“克減”或“合理使用”。此外，生成式人工智能所輸出的很多個人信息可能都存在錯誤甚至涉嫌誹謗，但人們也早就熟知了生成式人工智能的“一本正經(jīng)胡說八道”特征，且生成式人工智能一般會在其用戶協(xié)議中對其責任進行豁免。在此背景下，個人信息侵權中的損害將更難確定。至于公益訴訟和行政處罰，人工智能處理個人信息的上述特征也會帶來挑戰(zhàn)。由于人工智能的創(chuàng)新性與顛覆性特征，公益訴訟與行政處罰需要合理回應很多形式違規(guī)但實質不存在危害的個人信息處理。

三、人工智能背景下的個人信息保護原理重構

人工智能背景下個人信息保護之所以面臨挑戰(zhàn)，與個人信息保護制度的最初設計有關。早期的個人信息保護制度主要針對重點領域的少量個人信息進行保護，但個人信息處理早已經(jīng)從此類個人信息處理轉向大規(guī)模個人信息處理，而人工智能處理個人信息極大強化了這一轉變。人工智能的本質可以視為海量包含個人信息的數(shù)據(jù)匯聚與處理，與早期個人信息保護制度所針對的檔案類個人信息保護有著本質性不同。在人工智能背景下，個人信息保護制度的基礎原理應當進行轉型升級，以此應對個人信息處理的場景變遷。

（一）原理反思

從歷史看，個人信息保護制度誕生于行政機構處理檔案類個人信息。20世紀50年代、60年代，西方國家的政府規(guī)制機構大量收集個人信息，而此類個人信息收集與利用常常很難通過個體侵權訴訟來加以約束，這引發(fā)了社會與立法機構的擔心。在此背景下，美國的威斯丁等學者提出了隱私就是個人信息自我控制（control）的理念，德國法院提出了個人信息自我決定（information self-determination）的理念。在制度層面，公平信息實踐原則（fair information practices）被提出，這一原則要求個人信息處理應當保證公民的知情權、訪問權、更正權等權利，要求信息處理者遵守收集限制、使用限制、安全保障等規(guī)則。

在當時的背景下，公平信息實踐制度可以有效合理地應對檔案類個人信息處理。首先，彼時政府規(guī)制機構所收集與處理的檔案類個人信息都是一條一條的，如個人財務信息、稅收信息。對于檔案類個人信息，個體在行使其權利時不會直接對其他主體產(chǎn)生影響。其次，彼時政府規(guī)制機構收集個人信息都是重要類型的個人信息，且其數(shù)量與頻次都非常有限。這使得個人往往具有較強的意愿對個人信息處理進行自我管理。最后，政府規(guī)制機構收集與處理的個人信息往往與其目的一一對應，其收集的范圍與利用方式也可以事先確定，這使得個人信息處理須遵循正當、必要等原則。

但在信息處理方式發(fā)生變化的背景下，上述公平信息實踐制度或個人信息保護制度面臨很大挑戰(zhàn)。就個人信息所存儲與利用的狀態(tài)而言，個人信息的融合匯聚使得個人信息很難區(qū)分為一條一條的個人信息，當個人針對其個人信息行使相關權利時，就常常會對他人產(chǎn)生影響。就個人信息被收集的類型與頻次而言，數(shù)字時代的個人信息已經(jīng)包含了大量與個人相關的重要和不重要信息，且被收集的頻次已經(jīng)指數(shù)級增長，這都使得每個人很難有意愿和能力進行信息自我管理。就個人信息被收集的范圍與利用方式而言，市場化背景下的個人信息處理也很難事先確定，這使得以事前預防為基礎的個人信息保護很難適應市場化機制。在市場化機制下，企業(yè)可能會通過個人信息的二次挖掘與處理為消費者提供更多的產(chǎn)品與服務。

在人工智能背景下，這些問題被進一步放大甚至激化。因為人工智能的本質就是通過算法對海量數(shù)據(jù)進行訓練與利用，而此類數(shù)據(jù)又必然包含大量個人信息。如果進行類比的話，早期個人信息處理類似于銀行存款。每個人的存款都可以被區(qū)分，都具有重要性且可以在事先確定風險防范規(guī)則。人工智能個人信息處理則類似于水庫對每個人所貢獻的水滴進行處理。在此類處理中，每個人所貢獻的水滴都會被融合，但每個人都會被收集大量權益并不顯著的水滴，且水滴匯聚為水庫會同時帶來顯著收益與某些風險。對于類似水庫匯聚水滴的人工智能個人信息處理，傳統(tǒng)的公平信息實踐或傳統(tǒng)個人信息保護制度存在眾多不適應之處。特別是如果強化這一制度中的純粹預防、個體保護、個體控制等理念，則個人信息保護制度將與人工智能處理個人信息產(chǎn)生更大沖突。

（二）原理重構

為了回應本文所提到的挑戰(zhàn)，人工智能背景下的個人信息保護應當著重于以下方面。

首先，從靜態(tài)預防型保護轉向動態(tài)發(fā)展型保護。從哲學的世界觀來看，法律當然應當采取動態(tài)發(fā)展思維，以可以合理達到的發(fā)展狀態(tài)作為個人信息保護的基準，而非采取靜態(tài)預防思維和以現(xiàn)有狀態(tài)為基準。世界是不斷發(fā)展變化的，而非靜止不變的，故應以動態(tài)發(fā)展型的思維給個人信息保護設置基準。同時，在人工智能成為新質生產(chǎn)力代表和全球博弈關鍵技術的背景下，動態(tài)發(fā)展型思維也更有利于人工智能發(fā)展，為我國的科技發(fā)展與全球競爭提供新動能。

從動態(tài)發(fā)展型的個人信息保護理念出發(fā)，個人信息保護應當將個人信息利用可能帶來的發(fā)展收益與機遇作為計算成本收益，適用比例原則。目前，業(yè)界與學界對于個人信息保護的討論都會提到發(fā)展與保護的平衡，《個人信息保護法》也提到“保護個人信息權益，規(guī)范個人信息處理活動”與“促進個人信息合理利用”之間的平衡。但這類平衡的關鍵在于，其基準到底是以現(xiàn)有狀態(tài)為基礎，還是以本來可以合理達到的發(fā)展狀態(tài)為基準？在本文看來，一些討論都將現(xiàn)狀作為成本收益分析與比例原則適用的基準，這類思考使個人信息保護陷入了靜態(tài)預防型保護的陷阱。

在思維習慣上，靜態(tài)預防思維的形成有多重因素。從政治環(huán)境與公眾輿論看，近十年來全球很多國家和地區(qū)對互聯(lián)網(wǎng)等信息科技企業(yè)的態(tài)度開始從樂觀主義轉向批判主義。其中尤其突出的是歐盟，歐盟在喪失了互聯(lián)網(wǎng)等信息科技企業(yè)的產(chǎn)業(yè)競爭優(yōu)勢后，開始另尋出路，試圖在規(guī)則制定領域樹立布魯塞爾效應（Brussel Effect），重塑全球領導權。從法律制度與法律文化看，歐盟等區(qū)域將個人信息被保護權上升到憲法基本權利的層面。事實上，個人信息被保護權被上升為憲法基本權利，并不影響法律對個人信息保護采取動態(tài)發(fā)展的思維。個人信息被保護權并不意味著阻礙個人信息的合理利用，無論是我國還是歐盟，都將“個人信息合理利用”或“個人數(shù)據(jù)自由流動”作為其立法目標。就人工智能而言，其發(fā)展以及為用戶提供更好服務更依賴于數(shù)據(jù)的合理匯聚利用。以DeepSeek為例，其大語言模型包含670億參數(shù)，利用了包含2萬億token的數(shù)據(jù)集進行訓練，這些數(shù)據(jù)集中包含了大量混雜其中的個人信息。如果以靜態(tài)預防而非動態(tài)發(fā)展的視角看待人工智能訓練數(shù)據(jù)，則人工智能發(fā)展與用戶福利都將受到嚴重限制。

其次，人工智能處理個人信息的保護原理應當從激化信息處理者與個人之間的沖突對抗邁向鼓勵雙方互惠合作。對于互惠型關系，傳統(tǒng)法律制度可以通過合同法或市場社會自治型法律加以應對；對于沖突型關系，傳統(tǒng)法律制度則可以通過侵權法或強制型法律加以應對。但人工智能處理個人信息同時存在侵害沖突與互惠合作關系，且這種侵害沖突與互惠合作關系往往密切交織，難以簡單區(qū)分。為回應上述問題，法律應促進人工智能處理者與個人之間邁向互惠合作，避免激化矛盾與走向沖突對抗。法律應當允許人工智能處理者對個人信息進行合理收集，尤其應當允許人工智能處理者對公開個人信息的合理收集，同時對個人信息利用進行合理規(guī)范。如果在收集端就對網(wǎng)絡公開個人信息等類型的數(shù)據(jù)進行過多限制，則大量數(shù)據(jù)將無法得到有效匯聚和利用。在缺乏數(shù)據(jù)的情形下，人工智能的發(fā)展不僅會受到嚴重限制，而且可能會因為數(shù)據(jù)缺乏而產(chǎn)生偏見、歧視等問題。從規(guī)制理念來看，這也意味著法律應當從側重事前規(guī)制轉向側重事中事后規(guī)制，從強制型規(guī)制轉向市場社會自治型規(guī)制。此種制度設計將使人工智能處理個人信息接近版權保護中的合理使用制度。與版權保護中的合理使用類似，允許人工智能對個人信息進行合理收集與利用，同時要求人工智能對個人信息訓練與安全承擔相應責任，可以有效實現(xiàn)人工智能處理者與個人和社會之間的互惠。

在原理層面，促進人工智能處理者與個人互惠合作還應當對傳統(tǒng)制度進行升級。在人工智能處理者和信息主體具有合同或準合同關系的場景下，法律應當采取基于信義義務（fiduciary duty）的法律保護原理。信義義務制度要求人工智能處理者承擔更多的保密義務（duty of confidentiality）、謹慎義務（duty of care）和忠誠義務（duty of loyalty）。與基于意思自治的合同制度相比，這一制度更能應對信息能力不平等，并兼顧具有互惠與侵害風險特征的關系。在人工智能處理者和信息主體沒有合同或陌生關系的場景下，法律則可以對侵權法與規(guī)制法進行轉型升級，以促進人工智能處理者與個人的互利互惠。在法律原理層面，侵權法可以更多借鑒侵擾法（nuisance law）中的相關的制度，以應對人工智能違規(guī)處理個人信息中所產(chǎn)生的大規(guī)模微型侵權問題。規(guī)制法則可以更多借鑒基于“規(guī)制下的自我規(guī)制”（regulated self-regulation）、韌性規(guī)制（resilient regulation）的理念，一方面為人工智能處理個人信息提供空間，另一方面對其可能造成的侵害進行規(guī)制。

最后，人工智能處理個人信息的保護原理應當從個體保護邁向群體保護。一方面，個人信息保護的對象應當注重對群體權益的保護，而非僅僅關注個體或個體集合權益。其原因在于，在人工智能匯聚融合的背景下，人工智能所產(chǎn)生的侵害往往是群體性或不特定性的。如果進行類比，人工智能違規(guī)處理所產(chǎn)生的侵害類似于水庫污染或工廠排污所造成的侵害，其侵害常常不以某一特定個體或某些特定個體為對象。另一方面，個人信息相關權益的保護者也應當依賴國家、社會、市場、企業(yè)、個體等多元主體，而非僅僅依賴個體。個人信息自我管理的問題，本文和學界已有眾多論述，此處不再贅述。這里需要進一步強調的是，在人工智能處理個人信息的場景中，個人信息自我管理更難實現(xiàn)。這里并不是要完全放棄個人在人工智能處理個人信息中的作用，而是要將個人的作用嵌入國家、社會、市場、企業(yè)、個體等多元主體合作治理的框架。在多元治理框架中，國家、社會、市場、企業(yè)可以分別借助其國家力量、社會聲譽機制、市場競爭機制、企業(yè)自我規(guī)制機制而發(fā)揮作用。例如就個人信息的知情決定權、查閱復制權（訪問權）、更正補充權、刪除權、算法相關權利、死者個人信息權利等而言，如果僅僅依靠個人一方，就可能出現(xiàn)本文所說的流于形式與帶來問題的雙重悖論。但如果將個人權利的行使嵌入多元主體合作治理的框架，將個人的作用視為多元治理的一個環(huán)節(jié)，則個人信息權利就可以發(fā)揮其溝通治理功能。

四、人工智能背景下的個人信息保護制度重構

從前文的原理反思與重構出發(fā)，可以有效解決本文前兩部分所提出與分析的問題。個人信息保護的相關制度應當與人工智能背景下的個人信息處理場景相匹配，實現(xiàn)制度與場景的對齊。

（一）基礎問題

首先，就個人信息保護制度在人工智能問題上的適用性而言，要從人工智能的政策特殊性過渡到對個人信息保護制度的一般性反思和完善。人工智能作為我國當下新質生產(chǎn)力的代表和重點發(fā)展技術，在政策層面確實常常被特殊對待，這種政策層面的特殊對待也常常會導致法律規(guī)范的特殊設計。國家網(wǎng)信辦頒布的《人臉識別技術應用安全管理辦法》將人工智能排除在外，就是一個典型例子。但從制度角度看，人工智能的特殊性恰巧是其普遍性，即人們對于人工智能處理個人信息往往能夠更為理性，更加能夠從靜態(tài)預防型保護轉向動態(tài)發(fā)展型保護。就此而言，人工智能場景下的個人信息保護應當作為一般個人信息保護制度的“試驗田”或“特區(qū)”。當某些個人信息保護制度在人工智能領域得到有效檢驗時，這些制度可以為其他領域甚至是一般領域的個人信息保護提供借鑒與參照，避免從靜態(tài)預防型保護的視角看待個人信息保護。

其次，就個人信息概念與范圍界定而言，需要在制度設計上超越個人信息與非個人信息的簡單二分。個人信息保護制度起源于對檔案類的個人信息進行保護，個人信息與非個人信息的二元劃分非常明晰。但在人工智能背景下，此類二元劃分很難成立。無論是用于人工智能訓練的輸入數(shù)據(jù)，還是人工智能訓練后的輸出數(shù)據(jù)，常常都屬于無法直接識別個人，但又具有一定概率可以識別個人的信息。因此，個人信息的界定應當超越二元劃分與全有或全無的保護。即使是可以直接識別個人的信息，個人信息保護法中的若干制度也未必適用；同樣，即使是不能直接識別或識別概率很低的信息，個人信息保護法中的若干制度也可以適用于對其保護。

最后，就個人信息處理原則而言，應對其進行整體性解釋與制度建構。以正當必要原則為例，個人信息處理的正當目的應當解釋或建構為不違反個人與社會的合理預期，其處理的必要性應當以是否造成侵害風險為判斷標準，避免以單條個人信息、單次收集、單次利用的思維方式對其進行理解。個人信息的準確性與質量原則也具有類似性，由于人工智能對個人信息的匯聚型利用，其準確性與質量原則應當從整體上進行判斷。法律需要著重對人工智能的算法體系進行合理監(jiān)管，而非對某一個人信息是否準確進行監(jiān)管。例如當人工智能算法所輸出的信息整體上公平公正時，即使少量與個人相關的信息存在不準確性，也不應簡單認定人工智能處理個人信息違反了準確性與質量原則。相反，如果人工智能算法所輸出的信息存在系統(tǒng)性歧視或不公正，則此時應認定其違反了準確性與質量原則。

（二）處理規(guī)則

就處理個人信息的合法性基礎而言，也可對這一制度進行適度寬松解釋。如前所述，《個人信息保護法》制定于監(jiān)管最嚴格的時期，因此沒有將“正當利益”納入個人信息處理的合法性基礎，這導致個人信息處理在合法性基礎方面存在一些解釋性障礙。在人工智能的背景下，相關信息處理者除了可以通過告知同意、“法律、行政法規(guī)規(guī)定的其他情形”獲得合法性基礎，也可以對《個人信息保護法》中第13條第2款和第5款進行擴張性解釋。如果人工智能處理個人信息具有高度必要性，此類處理又不會對個人權益造成侵害，則此時可以將人工智能處理個人信息視為第2款所規(guī)定的“為訂立、履行個人作為一方當事人的合同所必需”，或者視為第5款所規(guī)定的“為公共利益實施”而進行的處理。人工智能處理個人信息可以視為信息處理者與海量個體簽訂合同，實現(xiàn)海量個體的公共利益。

就告知同意制度而言，人工智能背景下的這一制度應當從個體知情同意轉向多維告知制度。告知同意制度雖然流于形式，尤其難以應對人工智能背景下的個人信息處理，但其仍然可以作為人工智能信息處理者與個體、企業(yè)內部機構、社會組織、市場主體與執(zhí)法者的信息披露與溝通機制。尤其是企業(yè)內部機構、社會組織、市場主體與執(zhí)法者，這些主體比個體具有更強的專業(yè)能力，可以更好地對人工智能處理個人信息進行監(jiān)督。人工智能信息處理者的隱私政策將更接近于產(chǎn)品說明書與自我承諾聲明，不同主體都可以對其進行監(jiān)督。此外，對于和個體有直接交互關系的人工智能，例如聊天類的生成式人工智能，要求此類人工智能處理者對個體進行告知并獲取其同意，也仍然有較大的意義。這類場景中的人工智能常常需要獲取大量個人信息用于交互性服務，包括大量敏感個人信息，此時個體的同意可以有效行使，且可以增強用戶對于人工智能處理的信任。

就利用個人信息進行自動化決策而言，其制度應當與消費者保護法等法律的基本制度保持一致，而非對自動化決策本身進行規(guī)制。以《個人信息保護法》第24條所規(guī)定的要求為例，其第1款要求自動化決策避免差別待遇，“保證決策的透明度和結果公平、公正”；其第2款要求信息處理者對自動化的信息推送、商業(yè)營銷提供拒絕權；其第3款要求賦予個體對具有重大影響的自動化決策的解釋說明權與拒絕純粹自動化決策的權利。對于這些法律規(guī)定與要求，應當認識到即使存在非自動化決策，如果利用個人信息的相關決策產(chǎn)生不合理的差別待遇或重大不利影響，相關主體也應當擁有相關權利。簡言之，法律不應對自動化決策與非自動化決策進行過多區(qū)別對待。

對于公開個人信息保護、敏感個人信息保護與國家機關處理個人信息，相關制度也應根據(jù)人工智能的特點進行調整。就公開個人信息而言，我國的制度介于美歐之間，整體更具合理性。《個人信息保護法》允許信息處理者“在合理的范圍內處理個人自行公開或者其他已經(jīng)合法公開的個人信息”，同時將“個人明確拒絕”和“對個人權益有重大影響”排除在外。這一制度整體符合人工智能對于公開個人信息收集與訓練的需求。就敏感個人信息而言，人工智能的數(shù)據(jù)轉換與推理能力使得敏感個人信息與非敏感個人信息的轉換更為容易。因此，人工智能背景下的敏感個人信息保護也應通過場景化的方式進行確定，同時超越敏感個人信息與非敏感個人信息二元保護框架。就國家機關利用人工智能處理個人信息而言，此類處理往往具有行政決策屬性，此類場景中的個人信息保護應當保證個人在行政法上的相關權利。

就個人信息跨境制度而言，人工智能背景下的個人信息跨境應當超越歐盟模式與美國模式，通過多邊主義與重疊共識建構相關制度。以歐盟模式為代表的個人信息跨境流動制度將個人信息被保護權視為基本權利，且將歐盟標準視為普適性標準，這就造成了個人信息基本上只能從其他國家和地區(qū)傳輸?shù)綒W盟，而歐盟的個人信息很難傳輸?shù)狡渌麌液偷貐^(qū)。美國模式則一方面強調個人信息全球自由流通，另一方面又采取霸權主義和單邊主義立場，對我國等國家和地區(qū)設置不合理限制。我國歷來強調對外交往與國際合作中的多邊主義，歐美的這些立場與制度都與我國不符。在人工智能的背景下，上述問題會進一步突出，因為人工智能既需要更自由便捷的個人信息跨境流動與匯聚融合，又可能遭遇各國更多的關切與限制。在此背景下，我國應進一步貫徹多邊主義的立場，通過雙邊協(xié)議與多邊協(xié)議合理回應各國對個人信息跨境的安全關切，不斷擴大個人信息自由便捷跨境流動的朋友圈。

（三）個人信息權利與處理者義務

人工智能背景下的個人信息權利應當弱化其個人信息控制屬性，強化其溝通治理屬性。作為絕對性、實體性的控制性權利，個人信息權利的行使可能會影響他人和社會利益，或者流于形式與無法有效行使。但是如果將個人信息權利視為非絕對性、程序性的制度工具，則不同的個人信息權利就可以扮演溝通治理的橋梁，促進海量個人信息主體與信息處理者之間的信任與合作。此外，個人信息權利中的知情決定權、查詢復制權、轉移權、更正補充權、刪除權、解釋說明權等不同權利具有不同的治理功能。例如知情決定權的功能側重于實現(xiàn)個人信息處理的信息機制；查詢復制權側重于實現(xiàn)個人權益便捷性；轉移權側重于實現(xiàn)個人權益便捷性和促進公平競爭；刪除權側重于預防數(shù)字時代的永久記憶問題；解釋說明權側重于實現(xiàn)信息處理黑箱背景下的不信任問題。作為溝通治理型的權利，個人信息權利中不同權利的行使應當與這些權利的制度目標相對齊。

人工智能背景下的信息處理者義務首先應按照動態(tài)發(fā)展的原則，同時分析個人信息處理所可能帶來的風險與收益。對于信息處理者義務中的某些后端責任，例如要求人工智能處理者對個人信息采取安全保護措施、防止個人信息泄露，此類責任一般不會對人工智能發(fā)展造成太大阻礙，人工智能信息處理者也應當承擔此類義務。但對于某些前端和中端責任，例如類似歐盟《人工智能法》所進行風險分類分級規(guī)制，以及我國《個人信息保護法》所規(guī)定的個人信息影響評估與合規(guī)審計，人工智能信息處理者的責任應當與其發(fā)展機遇相匹配。法律在對人工智能處理者所造成的個人信息風險進行評估時，也應當同時對其可能帶來的收益與發(fā)展機遇進行評估與審計。

此外，信息處理者義務還應遵循監(jiān)管下自我監(jiān)管的原則，力戒形式主義監(jiān)管。在監(jiān)管方式方面，這意味著監(jiān)管機構應為信息處理者責任提供自我監(jiān)管空間，減少各類穿透式監(jiān)管。在責任判斷方面，監(jiān)管機構應按照人工智能處理所可能帶來的預期風險、預期收益、可替代性方案、治理成本等要素進行整體性判斷。人工智能處理個人信息帶來的可能風險越大、預期收益越小、越難找到可替代性方案、治理成本越高，則人工智能處理個人信息的責任越大。反之，則人工智能處理個人信息的責任越小。

（四）監(jiān)管與法律責任

就監(jiān)管部門的制度設計而言，人工智能背景下的監(jiān)管機制應當在統(tǒng)一監(jiān)管與分領域監(jiān)管協(xié)調的基礎上，注重統(tǒng)籌動態(tài)發(fā)展下的個人信息處理。我國的二元監(jiān)管模式具有其合理性。一方面，人工智能訓練所依賴的海量數(shù)據(jù)，除了部分企業(yè)的自由數(shù)據(jù)和一些數(shù)據(jù)企業(yè)所提供的數(shù)據(jù)，大部分數(shù)據(jù)都依賴于互聯(lián)網(wǎng)機制。從這個意義上說，由網(wǎng)信部門統(tǒng)籌協(xié)調個人信息保護與相關監(jiān)督管理工作，具有其合理性。另一方面，人工智能處理個人信息有很強的場景性，不同行業(yè)個人信息處理的風險往往非常不同，不同行業(yè)對于發(fā)展與安全的要求也非常不同。但無論是統(tǒng)一監(jiān)管還是分領域的個人信息監(jiān)管，其監(jiān)管都應當從動態(tài)發(fā)展出發(fā)，而非從本部門的固有習慣出發(fā)進行監(jiān)管。例如網(wǎng)信部門傳統(tǒng)上更注重安全與風險預防，但對于人工智能處理個人信息，也應當更加注重從動態(tài)發(fā)展的原則出發(fā)。從網(wǎng)信部門制定的《人臉識別技術應用安全管理辦法》等規(guī)范來看，網(wǎng)信部門也已經(jīng)敏銳認識到了人工智能處理個人信息的特殊性。未來，網(wǎng)信部門應進一步將人工智能處理個人信息視為檢驗、調整與完善個人信息制度的窗口，實現(xiàn)法治與改革的統(tǒng)一。

就侵害救濟而言，人工智能處理個人信息應當從傳統(tǒng)侵權法下的救濟補償邁向舉報治理。人工智能處理個人信息可能帶來大規(guī)模微型侵權，針對這類侵害，傳統(tǒng)以損害、過錯或過錯推定、因果關系、補償為基礎的侵權法制度難以發(fā)揮作用。作為替代，法律應將個體提起的個人信息權利訴訟與個人信息侵權訴訟都視為舉報機制。法院在接到此類訴訟后，應當根據(jù)人工智能處理者的個人信息治理狀態(tài)判斷其責任，例如人工智能處理者是否為慣犯、其行為情節(jié)是否嚴重、涉及人群有多大規(guī)模、是否采取了補救措施等。并且，法院還應按照上文提到的動態(tài)發(fā)展原則，分析人工智能處理個人信息的必要性或預期收益，綜合個人信息處理的風險與機遇判斷人工智能處理者責任。公益訴訟與行政處罰可以直接從公共性的角度對人工智能個人信息處理者進行監(jiān)管，但也應采取同樣的責任判斷標準。

五、結語

人工智能背景下個人信息保護面臨新的挑戰(zhàn)，其根源在于個人信息保護誕生之初所面臨的場景與現(xiàn)代個人信息保護的典型場景并不匹配。個人信息保護制度誕生于20世紀60年代、70年代，其主要針對行政機構對少量可以單獨區(qū)分的檔案類個人信息的低頻處理，而互聯(lián)網(wǎng)與信息科技時代的個人信息早已經(jīng)演化為企業(yè)為主體對大量個人信息的融合性高頻處理。人工智能處理個人信息大大強化了上述趨勢，其個人信息處理呈現(xiàn)大規(guī)模融合匯聚性、黑箱性、不確定性等特征。針對這一挑戰(zhàn)，筆者指出人工智能處理個人信息的理念應當從靜態(tài)預防轉向動態(tài)發(fā)展，從激化矛盾沖突走向合作互惠，從個體主義走向群體主義。與此相應，個人信息保護法中的一般原理與制度也應進行相應重構。在筆者看來，這種原理與制度重構不僅可以有效回應人工智能背景下的個人信息保護，而且可以為個人信息保護的一般制度提供參考。由于人工智能問題的戰(zhàn)略性，從政府到社會到個人，不同主體都能認識到人工智能發(fā)展的必要、數(shù)據(jù)融合匯聚的必要，也對個人信息保護形成了更為理性的思考與反思。在人工智能問題之外的個人信息保護問題上，這些思考與反思也應成為個人信息保護制度改革與完善的一部分。

—— EDN ——

本文章來自《政治與法律》2026年第1期，本文章僅限學習交流使用，版權歸原作者所有。

Serving national strategies, focusing on university research and the transformation of scientific and technological achievements