風(fēng)險(xiǎn)、困境與對(duì)策：生成式人工智能帶來(lái)的個(gè)人信息安全挑戰(zhàn)與法律規(guī)制

王大志，張 挺

(杭州師范大學(xué) 沈鈞儒法學(xué)院，浙江 杭州 310000)

自生成式人工智能聊天機(jī)器人ChatGPT發(fā)布以來(lái)，生成式人工智能法律風(fēng)險(xiǎn)規(guī)制問(wèn)題便成為了學(xué)界的討論熱點(diǎn)。2023年3月24日，OpenAI公司表示因其開(kāi)源數(shù)據(jù)庫(kù)可能存在的錯(cuò)誤導(dǎo)致ChatGPT緩存出現(xiàn)問(wèn)題，部分用戶可能看到其他用戶的個(gè)人信息，大約1.2%的用戶會(huì)受此次漏洞事件影響(1)參見(jiàn)March 20 ChatGPT outrage，“Here is what happend”，https：//openai.com/blog/march-20-chatgpt-outage，最后訪問(wèn)日期：2023年7月20日。。據(jù)此，許多學(xué)者都表達(dá)了對(duì)ChatGPT用戶數(shù)據(jù)隱私以及個(gè)人信息存在泄露風(fēng)險(xiǎn)的擔(dān)憂[1]。生成式人工智能可以通過(guò)學(xué)習(xí)海量的人類創(chuàng)造的內(nèi)容來(lái)生成新的內(nèi)容[2]，與傳統(tǒng)人工智能相比，其創(chuàng)造能力得到了大幅度提升。生成式人工智能的運(yùn)行十分依賴數(shù)據(jù)和算法的支持，因此，如何合理規(guī)制其數(shù)據(jù)處理和算法運(yùn)行是預(yù)防其個(gè)人信息法律風(fēng)險(xiǎn)的關(guān)鍵所在。本文就生成式人工智能運(yùn)用過(guò)程中可能引發(fā)的個(gè)人信息安全法律風(fēng)險(xiǎn)及規(guī)制困境進(jìn)行分析，并結(jié)合我國(guó)及其他國(guó)家和地區(qū)的生成式人工智能立法現(xiàn)狀提出生成式人工智能個(gè)人信息安全風(fēng)險(xiǎn)規(guī)制的可行對(duì)策。

一、生成式人工智能技術(shù)導(dǎo)致的個(gè)人信息安全風(fēng)險(xiǎn)

(一)生成式人工智能技術(shù)原理

目前，生成式人工智能主要有兩種技術(shù)類型：第一種是生成式對(duì)抗網(wǎng)絡(luò)(Generative Adversarial Network，GAN)。GAN是一種常用的生成建模人工智能技術(shù)，廣泛應(yīng)用于工業(yè)設(shè)計(jì)、游戲場(chǎng)景、動(dòng)畫(huà)設(shè)計(jì)等領(lǐng)域。例如，F(xiàn)aceApp和ZAO兩款知名應(yīng)用程序?yàn)橛脩籼峁┑木庉嬅娌勘砬榕c換臉功能，均得益于對(duì)GAN的應(yīng)用。第二種是生成式預(yù)訓(xùn)練轉(zhuǎn)化器(Generative Pre-trained Transformer，GPT)[3]。以ChatGPT為例：其技術(shù)架構(gòu)可分為“語(yǔ)料數(shù)據(jù)收集”“預(yù)訓(xùn)練”和“微調(diào)”三個(gè)階段：第一，語(yǔ)料體系是語(yǔ)言模型的基礎(chǔ)，ChatGPT通過(guò)各種渠道收集數(shù)據(jù)信息，形成海量文本數(shù)據(jù)基礎(chǔ)；第二，預(yù)訓(xùn)練階段，在具備了充分的語(yǔ)料基礎(chǔ)上通過(guò)算法對(duì)大規(guī)模語(yǔ)言模型進(jìn)行訓(xùn)練，賦予其理解自然語(yǔ)言、學(xué)習(xí)上下文生成自然語(yǔ)言的能力；第三，微調(diào)，即通過(guò)OpenAI研發(fā)的Codex模型，賦予GPT模型生成和理解代碼的能力，使其生成的答案更加合理[4]。ChatGPT的內(nèi)容生成能力會(huì)隨著新數(shù)據(jù)的不斷涌入而升級(jí)，同時(shí)，也會(huì)產(chǎn)生一系列伴生風(fēng)險(xiǎn)。

(二)生成式人工智能個(gè)人信息安全風(fēng)險(xiǎn)來(lái)源

生成式人工智能對(duì)數(shù)據(jù)的動(dòng)態(tài)利用過(guò)程、算法機(jī)制、生成屬性都決定了其個(gè)人信息安全風(fēng)險(xiǎn)的多階段性。因此，對(duì)于生成式人工智能的個(gè)人信息安全風(fēng)險(xiǎn)的探究可以圍繞數(shù)據(jù)、算法、生成性內(nèi)容三個(gè)要素展開(kāi)。

1.個(gè)人數(shù)據(jù)層面。主要包括以下兩個(gè)方面：

(1)個(gè)人數(shù)據(jù)來(lái)源合法性風(fēng)險(xiǎn)?！吨腥A人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)第13條規(guī)定了個(gè)人信息收集處理知情同意規(guī)則。無(wú)論是一般的互聯(lián)網(wǎng)應(yīng)用還是生成式人工智能應(yīng)用，在對(duì)用戶個(gè)人信息進(jìn)行收集時(shí)，都需要通過(guò)隱私政策或個(gè)人信息法律保護(hù)政策向用戶告知其個(gè)人信息收集行為，再由個(gè)人信息主體決定是否允許個(gè)人信息被收集。特殊的是，生成式人工智能采取多階段的數(shù)據(jù)收集方式，每個(gè)階段都會(huì)存在個(gè)人數(shù)據(jù)混同收集的情況。因此，其個(gè)人數(shù)據(jù)來(lái)源合法性存在更大的法律風(fēng)險(xiǎn)。

第一，預(yù)訓(xùn)練階段。ChatGPT類的生成式人工智能在預(yù)訓(xùn)練階段需要對(duì)海量的數(shù)據(jù)進(jìn)行收集。此階段對(duì)個(gè)人數(shù)據(jù)的收集幾乎完全脫離了《個(gè)人信息保護(hù)法》基本的“通知—同意”結(jié)構(gòu)，導(dǎo)致知情同意原則在其預(yù)訓(xùn)練階段失去了約束力。除此之外，通過(guò)網(wǎng)絡(luò)爬蟲(chóng)技術(shù)獲得他人個(gè)人信息還可能違反我國(guó)《網(wǎng)絡(luò)安全法》第27條禁止個(gè)人非法獲取個(gè)人信息的規(guī)定，甚至可能觸犯侵犯公民個(gè)人信息罪。

第二，運(yùn)行階段。以ChatGPT為例：生成式人工智能會(huì)對(duì)用戶的賬戶信息、通信信息、社交媒體等個(gè)人信息進(jìn)行收集(2)參見(jiàn)openAI，“Privacy policy”，https：//openai.com/policies/privacy-policy.，若拒絕提供個(gè)人信息，則無(wú)法獲得其完整服務(wù)。目前互聯(lián)網(wǎng)市場(chǎng)上的大多數(shù)應(yīng)用程序都需要用戶在進(jìn)行注冊(cè)時(shí)同意其隱私協(xié)議，否則就無(wú)法使用該軟件。被迫同意已經(jīng)成為一種常見(jiàn)現(xiàn)象，這實(shí)質(zhì)上是對(duì)用戶信息進(jìn)行不當(dāng)收集的表現(xiàn)[5]。

第三，內(nèi)容生成階段。OpenAI公司在其發(fā)布的隱私策略中指出，用戶在與應(yīng)用進(jìn)行對(duì)話過(guò)程中所提出的問(wèn)題與應(yīng)用生成內(nèi)容也將作為一種數(shù)據(jù)被其自動(dòng)收集，用戶與應(yīng)用對(duì)話的過(guò)程實(shí)際上就是被收集信息的過(guò)程。在此過(guò)程中，用戶自身的個(gè)人信息可能會(huì)以生成內(nèi)容的形式而被其再次收集，該行為并未在用戶使用的過(guò)程中告知用戶。

(2)個(gè)人數(shù)據(jù)非法使用風(fēng)險(xiǎn)。除嚴(yán)守“知情同意”原則外，《個(gè)人信息保護(hù)法》第6條規(guī)定的“目的限制”原則要求信息處理者在收集處理個(gè)人信息時(shí)應(yīng)當(dāng)有“具體、清晰和正當(dāng)?shù)哪康摹?，并且在后續(xù)處理個(gè)人信息的過(guò)程中不違反初始目的[6]。因此，生成式人工智能對(duì)個(gè)人數(shù)據(jù)進(jìn)行收集之后，仍存在非法使用個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)。

第一，個(gè)人數(shù)據(jù)泄漏風(fēng)險(xiǎn)。生成式人工智能的技術(shù)性錯(cuò)誤引發(fā)個(gè)人數(shù)據(jù)泄露。個(gè)人數(shù)據(jù)的存儲(chǔ)措施是否合規(guī)是保障其的關(guān)鍵。目前，OpenAI公司并未提供向用戶個(gè)人提供檢查其個(gè)人數(shù)據(jù)存儲(chǔ)庫(kù)的方式，其信息使用條款也未對(duì)用戶個(gè)人信息的數(shù)據(jù)存儲(chǔ)期限以及具體保護(hù)措施進(jìn)行詳細(xì)的說(shuō)明。根據(jù)我國(guó)《個(gè)人信息保護(hù)法》第17條第2款之規(guī)定(3)參見(jiàn)《中華人民共和國(guó)個(gè)人信息保護(hù)法》第十七條第2款規(guī)定。，個(gè)人信息并非可以無(wú)限期地保留，其存儲(chǔ)時(shí)間應(yīng)當(dāng)受到限制。實(shí)踐中，ChatGPT這種對(duì)信息存儲(chǔ)期限曖昧不明的做法，顯然不利于用戶的個(gè)人信息權(quán)益的保護(hù)。

第二，個(gè)人數(shù)據(jù)非法商業(yè)利用風(fēng)險(xiǎn)。OpenAI公司隱私策略關(guān)于個(gè)人信息的公開(kāi)條款中指出，除法律要求外，仍會(huì)在用戶不知情的情況下將其個(gè)人信息提供給第三方，包括相關(guān)供應(yīng)商和服務(wù)提供商等，其中包括用戶的商業(yè)信息以及網(wǎng)絡(luò)活動(dòng)信息。這些帶有消費(fèi)傾向性的個(gè)人信息進(jìn)一步加劇了人工智能決策的算法歧視問(wèn)題。

第三，個(gè)人數(shù)據(jù)跨境流動(dòng)風(fēng)險(xiǎn)。數(shù)據(jù)已經(jīng)成為國(guó)際競(jìng)爭(zhēng)與合作的重要資源，個(gè)人數(shù)據(jù)不僅僅只包含著公民的個(gè)體利益，大范圍的公民個(gè)人信息傳輸還會(huì)觸及國(guó)家數(shù)據(jù)主權(quán)安全。首先，任何一個(gè)國(guó)家對(duì)他國(guó)公民的人信息進(jìn)行非法收集都可能會(huì)引發(fā)數(shù)據(jù)壟斷與數(shù)字霸權(quán)等問(wèn)題。其次，個(gè)人信息的大范圍傳播很可能會(huì)引發(fā)國(guó)家情報(bào)安全問(wèn)題，一旦大量的敏感個(gè)人信息被人工智能非法傳輸，就很可能引發(fā)“數(shù)據(jù)竊取”以及“數(shù)據(jù)攻擊”等安全問(wèn)題。以ChatGPT為例：其用戶的個(gè)人信息以及后續(xù)對(duì)應(yīng)用提出的問(wèn)題都會(huì)被傳輸?shù)矫绹?guó)的OpenAI公司，以便其利用該數(shù)據(jù)與美國(guó)的第三方主體進(jìn)行合作。若我國(guó)用戶所提的問(wèn)題涉及個(gè)人信息、敏感信息甚至涉及國(guó)家安全、公共健康和安全等方面的重要數(shù)據(jù)，則存在著極大的法律風(fēng)險(xiǎn)。鑒于我國(guó)政府嚴(yán)格的互聯(lián)網(wǎng)準(zhǔn)入與審查制度，中國(guó)大陸公民并不能直接注冊(cè)ChatGPT賬號(hào)。我國(guó)政府對(duì)ChatGPT能否進(jìn)入我國(guó)互聯(lián)網(wǎng)市場(chǎng)還未有明確態(tài)度。目前，非授權(quán)地區(qū)用戶一般通過(guò)使用VPN“翻墻”或者通過(guò)“中間商”提供轉(zhuǎn)接的方式，購(gòu)買國(guó)外手機(jī)號(hào)碼注冊(cè)ChatGPT賬號(hào)以獲取ChatGPT服務(wù)。該行為違反了我國(guó)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等相關(guān)行政法律規(guī)定，轉(zhuǎn)接服務(wù)提供者使用OpenAI、ChatGPT等具有辨識(shí)性名稱的行為，還可能違反《中華人民共和國(guó)商標(biāo)法》(4)參見(jiàn)《中華人民共和國(guó)商標(biāo)法》第五十七條規(guī)定?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》(5)參見(jiàn)《中華人民共和國(guó)個(gè)人信息保護(hù)法》第三十八條規(guī)定。等法律規(guī)定。可見(jiàn)，ChatGPT對(duì)非授權(quán)區(qū)域的個(gè)人信息進(jìn)行收集并不具備法律上的正當(dāng)性。

2.算法運(yùn)行層面。如前文所述，若在數(shù)據(jù)收集階段未能對(duì)個(gè)人數(shù)據(jù)收集及處理行為進(jìn)行必要的規(guī)制，其不良影響必定會(huì)延續(xù)到生成式人工智能的算法運(yùn)行階段。人工智能算法歧視問(wèn)題由來(lái)已久，算法將人們?cè)诰W(wǎng)絡(luò)世界中的網(wǎng)絡(luò)習(xí)慣與喜好、購(gòu)物記錄、GPS位置數(shù)據(jù)等各種網(wǎng)絡(luò)足跡和活動(dòng)，轉(zhuǎn)變?yōu)楦鞣N可預(yù)測(cè)的數(shù)據(jù)，個(gè)人信息主體無(wú)可避免地成了生成式人工智能計(jì)算的客體，隨著我國(guó)《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》(以下簡(jiǎn)稱《算法推薦管理規(guī)定》)(6)參見(jiàn)《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》第三十一條規(guī)定。的發(fā)布，其算法法律風(fēng)險(xiǎn)將進(jìn)一步加劇。

(1)算法黑箱侵犯?jìng)€(gè)人數(shù)據(jù)主體權(quán)利。生成式人工智能能力的飛躍性提升帶來(lái)了更加復(fù)雜的人工智能算法黑箱問(wèn)題。算法黑箱是指算法模型運(yùn)行過(guò)程中存在的技術(shù)盲區(qū)，我們無(wú)法從算法模型的外部直接觀察或者打開(kāi)其那日不了解數(shù)據(jù)的處理過(guò)程[7]。簡(jiǎn)言之，很大程度上我們無(wú)法回答諸如“為什么人工智能會(huì)做出這樣的判斷”的問(wèn)題。因此，司法實(shí)踐中也就難以對(duì)其生成性內(nèi)容的合法性做出準(zhǔn)確的判斷，在違背“知情同意”原則的同時(shí)，還會(huì)產(chǎn)生潛在的個(gè)人信息損害問(wèn)題。

(2)數(shù)據(jù)偏見(jiàn)引發(fā)的算法偏見(jiàn)與算法歧視。人工智能的歧視性問(wèn)題根本上取決于其背后算法訓(xùn)練的數(shù)據(jù)，個(gè)人數(shù)據(jù)的不當(dāng)收集和處理行為是引發(fā)生成式人工智能算法偏見(jiàn)或算法歧視的根本原因。ChatGPT是基于語(yǔ)料數(shù)據(jù)喂養(yǎng)和RLHF強(qiáng)化訓(xùn)練的產(chǎn)物，它所輸出的內(nèi)容仍然是原始文本數(shù)據(jù)、算法模型和系統(tǒng)設(shè)計(jì)者的價(jià)值取向。其文本輸出看似客觀中立，但本質(zhì)上仍體現(xiàn)著其背后操控者的意志[8]。因此，其算法偏見(jiàn)與算法歧視規(guī)制問(wèn)題也需要進(jìn)行討論。與傳統(tǒng)算法模型相比，ChatGPT算法不僅依靠其內(nèi)在的機(jī)器學(xué)習(xí)，還介入了許多人為因素[9]。人工促進(jìn)算法糾偏雖然能夠提升ChatGPT的智能化程度與文本的準(zhǔn)確性，使其在交互過(guò)程中產(chǎn)生的內(nèi)容更易于理解。但因?yàn)槿斯?biāo)注受標(biāo)注者偏好的影響，機(jī)器學(xué)習(xí)的算法框架本身便存在偏見(jiàn)，二者一旦疊加便會(huì)導(dǎo)致算法偏見(jiàn)的負(fù)面效應(yīng)倍增。因此，生成式人工智能算法偏見(jiàn)的產(chǎn)生渠道更加多樣，風(fēng)險(xiǎn)也更加難以預(yù)防。

3.生成性內(nèi)容層面。與傳統(tǒng)決策式的人工智能相比，生成式人工智能的能力并不是簡(jiǎn)單的“分析—決策”過(guò)程，更體現(xiàn)在其迭代發(fā)展的“創(chuàng)新”能力。以ChatGPT為例：openAI公司最新發(fā)布的ChatGPT-4不僅能夠依據(jù)存儲(chǔ)和重復(fù)的知識(shí)進(jìn)行推理和決策，還展示出了比以往人工智能更強(qiáng)的創(chuàng)造性和協(xié)作性。例如，GPT-4不僅可以創(chuàng)作歌曲、編寫(xiě)劇本、生成各類符合用戶要求的文本，而且其編程能力也得到了進(jìn)一步提升(7)參見(jiàn)Microsoft Research,“Sparks of Artificial General Intelligence：Early experiments with GPT-4”，https://www.microsoft.com/en-us/research/publication/sparks-of-artificial-general-intelligence-early-experiments-with-gpt-4/.。其生成能力的提升，同樣會(huì)引發(fā)個(gè)人信息安全風(fēng)險(xiǎn)：一是生成式內(nèi)容泄露個(gè)人信息。如前文所述，用戶在與應(yīng)用進(jìn)行對(duì)話過(guò)程中所提出的問(wèn)題與應(yīng)用生成內(nèi)容也將作為一種數(shù)據(jù)被其自動(dòng)收集。因此，用戶自身的個(gè)人信息與交互內(nèi)容可能會(huì)以新的生成內(nèi)容的形式被泄露。二是非法利用生成式人工智能生成惡意盜取個(gè)人信息。GPT-4極大程度地降低了攻擊代碼編寫(xiě)的技術(shù)門檻，具備了無(wú)代碼編程能力。在此過(guò)程中，個(gè)人信息也面臨著被生成的惡意程序盜取的巨大風(fēng)險(xiǎn)，成為第三方盜取個(gè)人信息的工具。

二、生成式人工智能法律規(guī)制的基本現(xiàn)狀

(一)國(guó)內(nèi)外生成式人工智能個(gè)人信息風(fēng)險(xiǎn)法律立法實(shí)踐

1.國(guó)外生成式人工智能立法實(shí)踐。歐盟、美國(guó)等國(guó)外生成式人工智能立法實(shí)踐表現(xiàn)如下：

(1)歐盟方面。歐盟對(duì)于人工智能的立法討論仍集中于傳統(tǒng)人工智能領(lǐng)域，尚未針對(duì)生成式人工智能進(jìn)行單獨(dú)立法，但其人工智能立法與實(shí)踐仍處于世界前列，形成了以立法引領(lǐng)人工智能發(fā)展的基本格局。2023年6月14日，歐洲議會(huì)投票通過(guò)《人工智能法案》草案(8)參見(jiàn)澎湃新聞:《第一部AI監(jiān)管法案要來(lái)了？歐洲議會(huì)通過(guò)〈人工智能法案〉草案》，https://www.thepaper.cn/newsDetail_forward_23507218，最后訪問(wèn)日期：2023年7月21日。(以下簡(jiǎn)稱《法案》)，形成了基本的人工智能法律治理體系。《法案》采取了寬泛的AI系統(tǒng)定義(9)參見(jiàn)歐盟《人工智能法案》草案第三條第(1)款規(guī)定。，保證了《法案》對(duì)包括生成式人工智能在內(nèi)的未來(lái)新興人工智能系統(tǒng)的廣泛適用性，第三條第(9)—(33)款對(duì)人工智能所涉及的數(shù)據(jù)類型進(jìn)行了分類與解釋與《GDPR通用數(shù)據(jù)條例》(以下簡(jiǎn)稱GDPR)中對(duì)個(gè)人數(shù)據(jù)的解釋保持一致(10)參見(jiàn)《GDPR 通用數(shù)據(jù)保護(hù)條例》第一章第4條第(1)款規(guī)定。?？梢?jiàn)，從對(duì)個(gè)人數(shù)據(jù)的定義以及個(gè)人數(shù)據(jù)的處理方式來(lái)看，歐盟在人工智能個(gè)人信息風(fēng)險(xiǎn)治理層面最大限度地促使《法案》與《通用數(shù)據(jù)條例》接軌；同時(shí)，歐盟部分地區(qū)也已經(jīng)采取了相應(yīng)措施應(yīng)對(duì)ChatGPT產(chǎn)生的風(fēng)險(xiǎn)。例如，意大利個(gè)人數(shù)據(jù)保護(hù)局(DPA)針對(duì)ChatGPT平臺(tái)出現(xiàn)的用戶對(duì)話數(shù)據(jù)和付款服務(wù)支付信息丟失情況做出了回應(yīng)，DPA認(rèn)為平臺(tái)并未履行收集處理用戶信息的告知義務(wù)，其收集和存儲(chǔ)個(gè)人數(shù)據(jù)的行為缺乏法律依據(jù)，宣布從2023年3月31日起禁止使用ChatGPT，限制OpenAI公司隨意對(duì)意大利用戶數(shù)據(jù)進(jìn)行收集與處理，同時(shí)對(duì)此次事件進(jìn)行立案調(diào)查(11)參見(jiàn)澎湃新聞：《意大利要求ChatGPT公開(kāi)數(shù)據(jù)處理邏輯，滿足才能重新上線》，https：//www.thepaper.cn/newsDetail_forward_22681327，最后訪問(wèn)日期：2023年6月25日。。

(2)美國(guó)方面。作為最早對(duì)人工智能進(jìn)行探索和ChatGPT的產(chǎn)生地，美國(guó)為確保自身在人工智能領(lǐng)域的全球領(lǐng)導(dǎo)地位，在立法層面也做了許多嘗試。在傳統(tǒng)人工智能層面，美國(guó)主要采取人工智能+具體領(lǐng)域的法律規(guī)制方法。例如，人臉識(shí)別領(lǐng)域，《加州人臉識(shí)別技術(shù)法》強(qiáng)調(diào)在保障公民隱私及自由與發(fā)揮人臉識(shí)別技術(shù)的公共服務(wù)優(yōu)勢(shì)方面尋求平衡(12)參見(jiàn)環(huán)球律師事務(wù)所：《關(guān)于〈加州人臉識(shí)別技術(shù)法案〉的亮點(diǎn)評(píng)析》，https：//www.lexology.com/library/detail.aspx？g=d3f245f8-d1dc-491b-9e6e-37cd6793a8a6，最后訪問(wèn)日期：2023年6月25日。。生成式人工智能方面，2020年5月，美國(guó)《生成人工智能網(wǎng)絡(luò)安全法案》((GAINS)Act)發(fā)布。該法案要求相關(guān)部門明確人工智能在美國(guó)的應(yīng)用優(yōu)勢(shì)和障礙，積極比較美國(guó)與其他國(guó)家的人工智能戰(zhàn)略，評(píng)估供應(yīng)鏈風(fēng)險(xiǎn)并向國(guó)會(huì)提供解決風(fēng)險(xiǎn)的方案。2023年4月13日，美國(guó)商務(wù)部下設(shè)的國(guó)家遠(yuǎn)程通信和信息管理局(NTIA)發(fā)布了一項(xiàng)有關(guān)AI可歸責(zé)性政策的征求意見(jiàn)通知(AI Accountability Policy Request for Comment)，其中就包括生成式人工智能生成性內(nèi)容的治理問(wèn)題。該征求意見(jiàn)通知指出，傳統(tǒng)的AI審計(jì)已無(wú)法覆蓋生成式AI的威脅，如信息扭曲、虛假信息、深度偽造、隱私入侵等(13)參見(jiàn)U.S.Department of Commerce，“Department of Commerce Establishes National Artificial Intelligence Advisory Committee”，https：//www.commerce.gov/news/press-releases/2021/09/department-commerce-establishes-national-artificial-intelligence.。2023年5月，基于最新的人工智能技術(shù)發(fā)展現(xiàn)狀，美國(guó)白宮更新發(fā)布了《人工智能研究和發(fā)展戰(zhàn)略計(jì)劃：2023年更新版》，其主要內(nèi)容就包括理解并解決人工智能應(yīng)用引發(fā)的倫理、法律和社會(huì)問(wèn)題。

(3)其他國(guó)家和地區(qū)。雖然已有的生成式人工智能的法律成形較少，但為了應(yīng)對(duì)ChatGPT帶來(lái)的風(fēng)險(xiǎn)沖擊，許多國(guó)家和地區(qū)都已經(jīng)采取了相應(yīng)的管控措施，其中不乏保障個(gè)人信息安全之舉。例如，法國(guó)、德國(guó)、愛(ài)爾蘭等國(guó)家已經(jīng)開(kāi)始效仿意大利的做法，加強(qiáng)對(duì)ChatGPT的管控。除此之外，加拿大、韓國(guó)、日本等國(guó)家同樣在人工智能領(lǐng)域采取了一系列規(guī)范和限制措施(14)參見(jiàn)王衛(wèi):《歐洲人工智能技術(shù)立法邁出關(guān)鍵一步》，http：//epaper.legaldaily.com.cn/fzrb/content/20230522/Articel05002GN.htm，最后訪問(wèn)日期：2023年6月25日。。值得一提的是，2023年5月25日，新西蘭信息專員辦公室(OPC)發(fā)布《生成式人工智能指南》(15)參見(jiàn)Privacy Commissioner，“Generative Artificial Intelligence-15 June 2023 Update”,https：//www.privacy.org.nz/publications/guidance-resources/generative-artificial-intelligence-15-june-2023-update/.，指出生成式人工智能對(duì)新西蘭公民個(gè)人信息的使用應(yīng)當(dāng)受新西蘭《2020隱私法》保護(hù)，公民如果認(rèn)為自己的隱私受到了侵犯，可以向OPC投訴。

2.我國(guó)生成式人工智能立法中個(gè)人信息安全治理。宏觀層面，我國(guó)人工智能治理已經(jīng)初步形成了從法律、部門規(guī)章到地方性法規(guī)的多層次規(guī)范治理結(jié)構(gòu)。生成式人工智能治理方面，2023年7月10日，國(guó)信辦公布《生成式人工智能服務(wù)管理暫行辦法》(下稱《人工智能服務(wù)管理暫行辦法》)，旨在促進(jìn)生成式AI健康發(fā)展和規(guī)范應(yīng)用。該辦法共21條，主要對(duì)辦法的適用范圍、生成式人工智能定義、責(zé)任主體認(rèn)定進(jìn)行了規(guī)定，除此之外還為生成式人工智能服務(wù)主體設(shè)置了數(shù)據(jù)合規(guī)責(zé)任。生成式人工智能服務(wù)主體在一定程度上也是算法服務(wù)提供主體和深度合成技術(shù)服務(wù)提供主體。因此，與生成式人工智能治理密切相關(guān)的法律還可以追溯到此前頒布的兩項(xiàng)部門規(guī)章，《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》和《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》(以下簡(jiǎn)稱《深度合成管理規(guī)定》)之中。至此，我國(guó)形成了對(duì)人工智能法律治理框架的基本雛形。在個(gè)人信息數(shù)據(jù)治理方面，《人工智能服務(wù)暫行管理辦法》設(shè)置了一系列轉(zhuǎn)致性條款，將生成式人工智能個(gè)人信息數(shù)據(jù)的監(jiān)督檢查和法律責(zé)任歸攏到我國(guó)網(wǎng)絡(luò)安全和數(shù)據(jù)隱私保護(hù)領(lǐng)域的三部基礎(chǔ)性法律，即《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》之中。《算法推薦管理規(guī)定》與《深度合成管理規(guī)定》雖然沒(méi)有直接對(duì)生成式人工智能做出規(guī)定，但其內(nèi)容仍可成為對(duì)生成式人工智能個(gè)人信息數(shù)據(jù)治理的重要補(bǔ)充。

總體而言，我國(guó)對(duì)生成式人工智能的法律規(guī)制走在世界前列，無(wú)論是對(duì)生成式人工智能本身的規(guī)制，還是與其息息相關(guān)的算法和深度合成技術(shù)都不乏法律指引。就個(gè)人信息保護(hù)方面來(lái)說(shuō)，雖然相關(guān)條款散列分布于不同的法律文件中，但在法律層面仍能夠做到與《個(gè)人信息保護(hù)法》等相關(guān)法律的有效銜接。

(二)生成式人工智能法律治理特點(diǎn)

從具體的法律規(guī)范中可以瞥見(jiàn)，各國(guó)法律對(duì)生成式人工智能持相對(duì)謹(jǐn)慎的態(tài)度。就已有的人工智能立法實(shí)踐來(lái)看，大部分國(guó)家都在其立法中設(shè)置了一系列責(zé)任性條款，確定了以限制為主的基本方向。對(duì)比歐盟、美國(guó)、中國(guó)和其他國(guó)家地區(qū)的立法來(lái)看，不同法域的人工智能立法內(nèi)容仍存在共通之處。

1.以個(gè)人信息數(shù)據(jù)及隱私保護(hù)為核心。各國(guó)人工智能法律規(guī)制皆旨在保護(hù)自身的數(shù)據(jù)安全及國(guó)民的個(gè)人信息權(quán)利，個(gè)人信息數(shù)據(jù)及隱私保護(hù)的理念在人工智能法律中具有十分突出的體現(xiàn)。歐盟《人工智能法案》重點(diǎn)關(guān)注AI系統(tǒng)的透明度以及個(gè)人數(shù)據(jù)保障義務(wù)。法案第四編對(duì)AI系統(tǒng)的透明性義務(wù)做出了具體規(guī)定，第五編第54條對(duì)AI監(jiān)管沙箱中的個(gè)人數(shù)據(jù)的合法采集、風(fēng)險(xiǎn)管控、保留期限，以及技術(shù)公開(kāi)進(jìn)行了明確規(guī)定。美國(guó)的《加州消費(fèi)者隱私法》(CCPA)、《紐約隱私法》和《紐約禁止黑客攻擊和改善電子數(shù)據(jù)安全(SHIELD)法》，盡管沒(méi)有直接明確生成式人智能這一責(zé)任主體，但有些條款包含了與自動(dòng)決策相關(guān)的條款，對(duì)人工智能的個(gè)人數(shù)據(jù)治理具有很大的作用。我國(guó)《生成式人工智能管理暫行辦法》亦十分重視對(duì)生成式人工智能個(gè)人信息收集階段的數(shù)據(jù)來(lái)源合法性審查，直接對(duì)生成式人工智能服務(wù)提供者的個(gè)人信息安全責(zé)任及義務(wù)進(jìn)行了規(guī)定。《算法推薦管理規(guī)定》中明確了對(duì)數(shù)據(jù)保護(hù)、算法透明度以及算法歧視的相關(guān)要求(16)參見(jiàn)《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》第7條、第17條規(guī)定。。在生成式人工智能的生成性內(nèi)容方面，《深度合成管理規(guī)定》對(duì)深度合成服務(wù)提供者的個(gè)人信息安全保障義務(wù)做出了相應(yīng)規(guī)定(17)參見(jiàn)《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》第7條規(guī)定。，第三章對(duì)深度合成技術(shù)的數(shù)據(jù)和技術(shù)管理規(guī)范做出了相應(yīng)要求，涉及個(gè)人信息數(shù)據(jù)的，應(yīng)獲得個(gè)人信息主體的同意(18)參見(jiàn)《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》第14條規(guī)定。。

2.以風(fēng)險(xiǎn)防控為根本目標(biāo)。相較于傳統(tǒng)的司法救濟(jì)模式，各國(guó)都不約而同地采取了以風(fēng)險(xiǎn)預(yù)防為目的的立法模式，重視對(duì)人工智能的過(guò)程性監(jiān)管。歐盟《人工智能法案》的核心內(nèi)容在于建立人工智能系統(tǒng)的風(fēng)險(xiǎn)分級(jí)體系，將其系統(tǒng)風(fēng)險(xiǎn)分為不能接受的風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)、有限風(fēng)險(xiǎn)、最小風(fēng)險(xiǎn)，依據(jù)不同風(fēng)險(xiǎn)采取不同的人工智能規(guī)范標(biāo)準(zhǔn)，并對(duì)高風(fēng)險(xiǎn)人工智能系統(tǒng)的數(shù)據(jù)治理標(biāo)準(zhǔn)進(jìn)行了特別規(guī)定(19)參見(jiàn)《人工智能法案》草案第一編第10條第1款規(guī)定。。我國(guó)《生成式人工智能管理辦法》第7條規(guī)定，生成式人工智能服務(wù)提供者應(yīng)當(dāng)對(duì)生成式人工智能產(chǎn)品的預(yù)訓(xùn)練數(shù)據(jù)、優(yōu)化訓(xùn)練數(shù)據(jù)來(lái)源的合法性負(fù)責(zé)，將生成式人工智能的個(gè)人數(shù)據(jù)安全風(fēng)險(xiǎn)的規(guī)制提前到了預(yù)訓(xùn)練階段，形成了從數(shù)據(jù)收集到內(nèi)容生成全階段式的法律規(guī)制。除此之外，《辦法》第6條對(duì)生成式人工智能產(chǎn)品提供前需要進(jìn)行的安全評(píng)估與算法備案作了具體要求，預(yù)先對(duì)生成式人工智能進(jìn)行安全評(píng)估。

3.以“知情同意”為基本原則。從整體上看，生成式人工智能對(duì)個(gè)人數(shù)據(jù)的收集及利用都必須處于個(gè)人信息保護(hù)法律體系規(guī)制之下，因此“知情同意”原則仍是其個(gè)人數(shù)據(jù)處理的基本原則。對(duì)人工智能的個(gè)人信息數(shù)據(jù)收集及利用提出了知情同意的要求，甚至比一般行業(yè)更加嚴(yán)格的規(guī)定，如歐盟《人工智能法案》草案對(duì)高風(fēng)險(xiǎn)AI系統(tǒng)的透明度及告知義務(wù)做出了單獨(dú)規(guī)定(20)參見(jiàn)歐盟《人工智能法案》草案第13條第(3)款規(guī)定。。我國(guó)《人工智能管理辦法》第7條第3款規(guī)定生成式人工智能收集的數(shù)據(jù)涉及個(gè)人數(shù)據(jù)的，應(yīng)當(dāng)征得個(gè)人信息主體的同意。

與一般的個(gè)人信息侵權(quán)案件相比，生成式人工智能引發(fā)的個(gè)人信息風(fēng)險(xiǎn)可能是顛覆性且無(wú)法挽回的，生成式人工智能對(duì)個(gè)人信息數(shù)據(jù)的濫用會(huì)產(chǎn)生知識(shí)產(chǎn)權(quán)侵權(quán)、算法歧視等問(wèn)題。因此，對(duì)于生成式人工智能個(gè)人信息安全的規(guī)制不能完全依賴傳統(tǒng)的事后救濟(jì)模式，而要以風(fēng)險(xiǎn)預(yù)防為重點(diǎn)。

三、生成式人工之智能個(gè)人信息風(fēng)險(xiǎn)法律規(guī)制困境

雖然我國(guó)對(duì)于人工智能治理的立法正處于穩(wěn)步推進(jìn)階段，在生成式人工智能以及深度合成等領(lǐng)域甚至處于領(lǐng)先地位。但是，從實(shí)然的角度來(lái)說(shuō)，我國(guó)目前以個(gè)人信息保護(hù)為核心的生成式人工智能個(gè)人信息風(fēng)險(xiǎn)的規(guī)制仍然存在著許多困難。

(一)規(guī)范構(gòu)建缺位：生成式人工智能個(gè)人信息保護(hù)法律規(guī)范仍未完善

1.生成式人工智能領(lǐng)域個(gè)人信息保護(hù)立法專業(yè)化程度欠缺。我國(guó)目前的人工智能立法在引導(dǎo)人工智能發(fā)展的同時(shí)并未忽視個(gè)人信息及數(shù)據(jù)安全的保護(hù)(21)參見(jiàn)《生成式人工智能服務(wù)管理辦法(征求意見(jiàn)稿)》第4條第5款規(guī)定。。但從具體規(guī)范來(lái)看，人工智能領(lǐng)域立法對(duì)于個(gè)人信息安全的保護(hù)條款屬于較為空泛，專業(yè)性仍有欠缺，并未充分發(fā)揮風(fēng)險(xiǎn)預(yù)防的作用。在數(shù)據(jù)治理層面，《人工智能服務(wù)管理暫行辦法》對(duì)生成式人工智能服務(wù)提供主體的個(gè)人數(shù)據(jù)來(lái)源合法性義務(wù)進(jìn)行了規(guī)定，但互聯(lián)網(wǎng)數(shù)據(jù)混同的現(xiàn)狀很難得到改變，對(duì)生成式人工智能所收集的個(gè)人數(shù)據(jù)的來(lái)源合法性進(jìn)行追溯并不具有可期待性。在生成性內(nèi)容的治理層面，《人工智能服務(wù)管理暫行辦法》第4條雖然規(guī)定利用生成式人工智能生成的內(nèi)容應(yīng)當(dāng)真實(shí)準(zhǔn)確，卻并未對(duì)其真實(shí)準(zhǔn)確的標(biāo)準(zhǔn)進(jìn)行解釋，也并未明確生成式人工智能服務(wù)提供者的過(guò)錯(cuò)認(rèn)定標(biāo)準(zhǔn)。

2.責(zé)任主體的復(fù)雜性與重合性導(dǎo)致監(jiān)管難問(wèn)題。深度合成技術(shù)，是指利用以深度學(xué)習(xí)、虛擬現(xiàn)實(shí)為代表的生成合成制作文本、圖像、音頻、視頻、虛擬場(chǎng)景等信息的技術(shù)[10]，生成式人工智能的生成性內(nèi)容依靠的就是深度合成技術(shù)，生成式人工智能實(shí)際上是數(shù)據(jù)、算法與深度合成技術(shù)相結(jié)合的綜合體。因此，在生成式人工智能個(gè)人信息侵權(quán)行為發(fā)生時(shí)，會(huì)產(chǎn)生監(jiān)管責(zé)任主體競(jìng)合的問(wèn)題。當(dāng)前，我國(guó)對(duì)人工智能的監(jiān)管主要呈現(xiàn)出多渠道、多部門的現(xiàn)狀，有關(guān)部門包括國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、科技部等。多監(jiān)管主體的設(shè)置有利于規(guī)制多領(lǐng)域的人工智能法律風(fēng)險(xiǎn)，相反地，過(guò)多的主體參與到治理過(guò)程中也會(huì)產(chǎn)生新的問(wèn)題。例如，監(jiān)管責(zé)任的競(jìng)合會(huì)導(dǎo)致監(jiān)管部門之間的不良競(jìng)爭(zhēng)，在一定程度上還會(huì)產(chǎn)生利益沖突，阻礙執(zhí)法工作；面對(duì)情況復(fù)雜、涉及范圍廣的情況，各個(gè)監(jiān)管主體則可能會(huì)相互推諉。

3.生成式人工智能治理規(guī)范仍存在法律漏洞。當(dāng)前的人工智能治理規(guī)范尚不完備，存在法律漏洞。就《辦法》的具體規(guī)定來(lái)看，雖然對(duì)生成式人工智能服務(wù)提供者的主體責(zé)任進(jìn)行了規(guī)定，明確了生成式人工智能產(chǎn)品的技術(shù)研發(fā)商、應(yīng)用開(kāi)發(fā)商、提供API接口等接入服務(wù)的提供商均需要為其生成的內(nèi)容承擔(dān)責(zé)任，但卻并未對(duì)生成式人工智能服務(wù)的用戶責(zé)任進(jìn)行明確[11]。如前文所述，生成式人工智能的法律風(fēng)險(xiǎn)不僅表現(xiàn)在生成式人工智能服務(wù)內(nèi)部，其外部風(fēng)險(xiǎn)，即遭受非法利用的風(fēng)險(xiǎn)也需要進(jìn)行法律規(guī)制。

(二)規(guī)則適用困境：個(gè)人信息保護(hù)規(guī)則適用困難

1.生成式人工智能對(duì)“知情同意”規(guī)則的消解。我國(guó)《個(gè)人信息保護(hù)法》采取賦權(quán)的方法，確立了自然人的個(gè)人信息權(quán)，個(gè)人信息主體在個(gè)人信息的處理過(guò)程中享有知情權(quán)、決定權(quán)(22)參見(jiàn)《中華人民共和國(guó)個(gè)人信息保護(hù)法》第44條規(guī)定。。在大數(shù)據(jù)與人工智能技術(shù)的沖擊下，以個(gè)體控制權(quán)為核心構(gòu)建起來(lái)的知情同意規(guī)則逐漸失靈，從而導(dǎo)致我國(guó)個(gè)人信息保護(hù)法式微。首先，從信息主體層面來(lái)說(shuō)，個(gè)人信息控制權(quán)以個(gè)體對(duì)個(gè)人信息支配的理性為前提，實(shí)際上，個(gè)體對(duì)人工智能信息收集存在理解上的壁壘，無(wú)法真正知悉人工智能對(duì)個(gè)人信息的收集范圍與利用程度。作為信息收集一方的人工智能主體架空了個(gè)體的權(quán)利，導(dǎo)致個(gè)人無(wú)法支配自身的個(gè)人信息。因此，大多數(shù)人也已經(jīng)接受了“數(shù)據(jù)裸奔”的狀態(tài)，其知情同意權(quán)也成了一種可有可無(wú)的權(quán)利。其次，就以ChatGPT為代表的生成式人工智能來(lái)說(shuō)，其隱私政策將收集用戶個(gè)人信息作為一種理所當(dāng)然的權(quán)利，對(duì)其處理信息的范圍、目的方式、保存期限、算法推薦方法都未進(jìn)行有效通知，用戶既無(wú)法完全知曉個(gè)人信息被收集后的用途，也不存在真正意義上的同意，從而直接削弱了或剝奪個(gè)人信息的自決權(quán)。

2.生成式人工智能個(gè)人數(shù)據(jù)處理的目的限制原則標(biāo)準(zhǔn)統(tǒng)一難。我國(guó)《個(gè)人信息保護(hù)法》第6條對(duì)目的限制原則做出了規(guī)定。個(gè)人信息處理者在處理個(gè)人信息之前，需要明確其處理該信息的目的，且目的必須是適當(dāng)?shù)?、相關(guān)的和必要的，其處理行為不能超出信息主體初始的授權(quán)范圍。但生成式人工智能對(duì)于個(gè)人數(shù)據(jù)的利用范圍及邊界仍未明確。例如，OpenAI公司隱私策略關(guān)于個(gè)人信息的公開(kāi)條款中指出，除法律要求外，某些情況下會(huì)將用戶的個(gè)人信息提供給第三方，在此情況下目的限制原則難以得到嚴(yán)格貫徹。

(三)治理手段乏力：司法救濟(jì)缺位

反觀立法現(xiàn)狀，我國(guó)的生成式人工智能主要依靠行政監(jiān)管，在人工智能以及大數(shù)據(jù)的沖擊下，個(gè)人信息損害的無(wú)形性、潛伏性、未知性、難以評(píng)估等特征更加突出[12]。除此之外，ChatGPT類的生成式人工智能對(duì)侵權(quán)責(zé)任制度產(chǎn)生了巨大影響，生成式人工智能侵權(quán)具有侵權(quán)主體復(fù)雜化、侵權(quán)行為智能化、因果關(guān)系多元化的特點(diǎn)[13]。雖然現(xiàn)有個(gè)人信息侵權(quán)適用過(guò)錯(cuò)推定責(zé)任，在一定程度上減輕了數(shù)據(jù)弱勢(shì)群體舉證責(zé)任，加強(qiáng)了相關(guān)信息處理平臺(tái)的注意義務(wù)。但即使如此，生成式人工智能對(duì)個(gè)人信息造成的損害仍不易被察覺(jué)，進(jìn)一步加劇了“舉證難”的問(wèn)題。在此情況下，如何確定生成式人工智能的個(gè)人信息損害標(biāo)準(zhǔn)，將司法作為其個(gè)人信息風(fēng)險(xiǎn)治理的一種兜底方式就顯得尤其重要。

四、生成式人工智能個(gè)人信息風(fēng)險(xiǎn)法律規(guī)制策略

(一)規(guī)范構(gòu)建：完善多維度生成式人工智能個(gè)人信息法律保障體系

與歐盟《法案》相比，我國(guó)立法仍未能充分發(fā)揮風(fēng)險(xiǎn)預(yù)防的作用。因此，在后續(xù)的生成式人工智能立法中應(yīng)當(dāng)繼續(xù)強(qiáng)化法律的風(fēng)險(xiǎn)預(yù)防作用。

1.個(gè)人數(shù)據(jù)來(lái)源合法化治理。通過(guò)立法明確生成式人工智能收集個(gè)人數(shù)據(jù)來(lái)源的合法性標(biāo)準(zhǔn)，構(gòu)建數(shù)據(jù)分類分級(jí)治理結(jié)構(gòu)。第一，對(duì)于不同來(lái)源的個(gè)人數(shù)據(jù)采取不同的處理方法：一是如果生成式人工智能獲取的個(gè)人數(shù)據(jù)來(lái)自生成式人工智能應(yīng)用對(duì)公民個(gè)人信息的直接收集，則其收集行為需要嚴(yán)格遵守《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，以個(gè)人信息主體的同意為前提，并明確相應(yīng)的存儲(chǔ)期限與利用目的，在后續(xù)的數(shù)據(jù)處理利用過(guò)程中接受目的原則的限制；二是如果生成式人工智能個(gè)人信息來(lái)自已經(jīng)公開(kāi)的數(shù)據(jù)，此時(shí)生成式人工智能開(kāi)發(fā)者雖然可以根據(jù)《人信息保護(hù)法》第27條的規(guī)定處理已公開(kāi)的個(gè)人信息，但對(duì)其對(duì)于此類個(gè)人信息的利用要受目的限制原則的限制；三是禁止生成式通過(guò)爬蟲(chóng)手段非法獲取數(shù)據(jù)的行為，避免生成式人工智能的個(gè)人數(shù)據(jù)收集脫離法律的監(jiān)管。第二，進(jìn)一步完善生成式人工智能個(gè)人數(shù)據(jù)的收集、處理規(guī)范程序，改善個(gè)人數(shù)據(jù)與其他數(shù)據(jù)混同治理的局面。生成式人工智能對(duì)于數(shù)據(jù)的收集及處理并不局限于個(gè)人數(shù)據(jù)范圍，互聯(lián)網(wǎng)中其他的海量數(shù)據(jù)也是生成式人工智能訓(xùn)練數(shù)據(jù)的來(lái)源。因此，在對(duì)數(shù)據(jù)進(jìn)行收集和處理時(shí)，應(yīng)當(dāng)對(duì)個(gè)人數(shù)據(jù)的來(lái)源進(jìn)一步進(jìn)行審查，并采取更加嚴(yán)格的保密及存儲(chǔ)措施對(duì)收集到的個(gè)人信息進(jìn)行保護(hù)。第三，以類型為區(qū)分標(biāo)準(zhǔn)，對(duì)不同的個(gè)人信息采取不同程度的法律保護(hù)策略。首先，生成式人工智能的個(gè)人信息保護(hù)立法應(yīng)當(dāng)進(jìn)一步強(qiáng)化對(duì)敏感個(gè)人信息的法律保護(hù)，審慎評(píng)估生成式人工智能的風(fēng)險(xiǎn)等級(jí)。例如，在醫(yī)療健康、人臉識(shí)別、生物基因檢測(cè)等領(lǐng)域，應(yīng)當(dāng)直接禁止或者設(shè)置更為嚴(yán)格的備案制度及準(zhǔn)入門檻，限制生成式人工智能對(duì)此類個(gè)人信息的收集與利用，避免敏感個(gè)人信息的損害對(duì)個(gè)人信息主體帶來(lái)不可挽回的“災(zāi)難”。其次，促進(jìn)生成式人工智能個(gè)人數(shù)據(jù)的去識(shí)別化管理。對(duì)生成式人工智能服務(wù)提供主體提出個(gè)人數(shù)據(jù)匿名化處理要求，在利于保障個(gè)人信息主體個(gè)人信息權(quán)益的同時(shí)，也能夠促進(jìn)生成式人工智能數(shù)據(jù)的個(gè)人數(shù)據(jù)治理，明確區(qū)分個(gè)人信息權(quán)與企業(yè)個(gè)人數(shù)據(jù)所有權(quán)之間不同的權(quán)利話語(yǔ)體系[14]。

2.優(yōu)化責(zé)任承擔(dān)及監(jiān)管主體結(jié)構(gòu)。在責(zé)任主體層面，生成式人工智能用戶不應(yīng)被排除在侵權(quán)責(zé)任承擔(dān)主體之外。通過(guò)立法完善生成式人工智能用戶的責(zé)任，對(duì)惡意利用生成式人工智能盜取個(gè)人信息，破壞生成式人工智能個(gè)人數(shù)據(jù)安全生態(tài)進(jìn)行打擊，切割平臺(tái)責(zé)任與個(gè)人責(zé)任，減輕生成式人工智能服務(wù)提供主體的負(fù)擔(dān)，形成生成式人工智能服務(wù)提供者、技術(shù)開(kāi)發(fā)者、服務(wù)使用者的三方權(quán)責(zé)機(jī)制，促進(jìn)生成式人工智能風(fēng)險(xiǎn)責(zé)任承擔(dān)權(quán)利義務(wù)的有效、合理分配。與此同時(shí)，適當(dāng)簡(jiǎn)化生成式人工智能監(jiān)管主體，明確生成式人工智能數(shù)據(jù)、算法、生成性內(nèi)容的監(jiān)管責(zé)任主體，構(gòu)建多層級(jí)、分階段的監(jiān)管體系，有利于各部門在監(jiān)管過(guò)程中各司其職，相互配合，形成監(jiān)管合力。

3.生成式人工智能個(gè)人數(shù)據(jù)跨境流通的漏洞彌補(bǔ)。個(gè)人數(shù)據(jù)跨境流通會(huì)引發(fā)國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)，生成式人工智能個(gè)人數(shù)據(jù)的跨境問(wèn)題仍需要立法進(jìn)一步明確。第一，完善生成式人工智能的數(shù)據(jù)出境評(píng)估機(jī)制。個(gè)人數(shù)據(jù)的跨境流通應(yīng)當(dāng)經(jīng)過(guò)相關(guān)組織和監(jiān)督機(jī)關(guān)的安全評(píng)估，針對(duì)不同性質(zhì)的數(shù)據(jù)，采取差異化的管理評(píng)估方法，嚴(yán)格保障敏感個(gè)人信息跨境流動(dòng)安全。國(guó)家互聯(lián)網(wǎng)信息辦公室審議通過(guò)的《數(shù)據(jù)出境安全評(píng)估辦法》對(duì)出境數(shù)據(jù)的類型、數(shù)量以及評(píng)估辦法等方面作出了規(guī)定，個(gè)人數(shù)據(jù)出境需要經(jīng)過(guò)初步安全評(píng)估，并且對(duì)涉及國(guó)家數(shù)據(jù)安全、個(gè)人數(shù)據(jù)權(quán)利保護(hù)等不同風(fēng)險(xiǎn)類型的數(shù)據(jù)出境采取了不同的管控措施。第二，除了合理設(shè)定的各方權(quán)利義務(wù)、滿足相應(yīng)的標(biāo)準(zhǔn)和程序外，個(gè)人數(shù)據(jù)出境還需經(jīng)原數(shù)據(jù)主體的單獨(dú)同意和明確授權(quán)，建立多階段式的個(gè)人數(shù)據(jù)跨境流動(dòng)監(jiān)管機(jī)制。

(二)規(guī)則適用階段：知情同意與目的限制原則的完善

1.知情同意規(guī)則完善。第一，健全通知規(guī)則。除了對(duì)用戶個(gè)人信息收集行為進(jìn)行通知以外，生成式人工智能后續(xù)的個(gè)人數(shù)據(jù)利用以及人工智能自動(dòng)化處理的情形也應(yīng)向用戶披露，告知用戶處理其個(gè)人信息的重要性以及處理行為可能造成的影響，增加生成式人工智能服務(wù)提供者的風(fēng)險(xiǎn)通知義務(wù)。第二，完善同意機(jī)制。無(wú)論數(shù)據(jù)控制者通過(guò)何種方式對(duì)用戶的個(gè)人信息進(jìn)行利用，都應(yīng)當(dāng)取得用戶的明示同意；同時(shí)，還應(yīng)依據(jù)個(gè)人信息的敏感程度區(qū)分個(gè)人信息的類型，對(duì)個(gè)人敏感信息的處理設(shè)置更加嚴(yán)苛的同意要件。例如，對(duì)于對(duì)涉及兒童個(gè)人信息的收集及處理的，應(yīng)當(dāng)以取得其監(jiān)護(hù)人同意為前置條件[15]。

2.目的限制規(guī)則完善。由于不同的生成式人工智能對(duì)于數(shù)據(jù)利用的目的與程度各有不同，建立一套具有廣泛適用性的范式規(guī)范生成式人工智能個(gè)人數(shù)據(jù)利用邊界十分困難。未來(lái)，生成式人工智能會(huì)被應(yīng)用于現(xiàn)代社會(huì)的各個(gè)領(lǐng)域，不同領(lǐng)域之間的數(shù)據(jù)類型及敏感程度亦不相同。因此，建立場(chǎng)景化的生成式人工智能個(gè)人數(shù)據(jù)利用標(biāo)準(zhǔn)，限制生成式人工智能服務(wù)提供者個(gè)人數(shù)據(jù)的使用目的，目的的變更以知情同意原則為前置條件，可以有效避免個(gè)人信息完全脫離信息主體的控制范圍。

(三)監(jiān)管階段：平臺(tái)審查與行政監(jiān)管相結(jié)合

1.統(tǒng)一隱私政策規(guī)范標(biāo)準(zhǔn)。一方面，推進(jìn)生成式人工智能企業(yè)成立行業(yè)協(xié)會(huì)，發(fā)布統(tǒng)一的個(gè)人數(shù)據(jù)收集、處理行業(yè)技術(shù)指南，統(tǒng)一生成式人工智能個(gè)人數(shù)據(jù)處理的基礎(chǔ)性標(biāo)準(zhǔn)。通過(guò)行業(yè)規(guī)范的建立，完善生成式人工智能應(yīng)用的個(gè)人信息保護(hù)機(jī)制，建立可信賴的人工智能體系[16]。另一方面，相關(guān)部門應(yīng)當(dāng)對(duì)生成式人工智能的隱私政策進(jìn)行審查，促進(jìn)其隱私政策與個(gè)人信息使用條款合法合規(guī)。隱私條款本質(zhì)仍然是格式條款，條款提供方會(huì)具備天然的信息優(yōu)勢(shì)和締約地位，往往具有明顯的利益偏向性[17]。預(yù)先確立隱私政策的標(biāo)準(zhǔn)，嵌入個(gè)人信息權(quán)益保障條款，可以有效矯正知情同意的虛化現(xiàn)狀，以保障用戶對(duì)其個(gè)人信息利用的知情權(quán)不受侵害。

2.審查監(jiān)管促進(jìn)算法糾偏。我國(guó)《算法推管理規(guī)定》第8條對(duì)算法推薦服務(wù)提供者的算法模型審查等法律義務(wù)做出了規(guī)定。在此規(guī)范的指引下，生成式人工智能在投入應(yīng)用之前應(yīng)該接受嚴(yán)格的法律審查，避免算法模型在機(jī)器學(xué)習(xí)的過(guò)程中被人為地滲入算法偏見(jiàn)，將規(guī)范文件的要求以技術(shù)標(biāo)準(zhǔn)的形式編入算法程序中，可以有效地預(yù)防其法律風(fēng)險(xiǎn)。除此之外，加強(qiáng)對(duì)人工標(biāo)注的算法偏見(jiàn)的審查與監(jiān)管亦是規(guī)范生成式人工智能算法的重要措施。人工標(biāo)注行為會(huì)帶有強(qiáng)烈的個(gè)人性偏向，平臺(tái)應(yīng)當(dāng)事先設(shè)定人工標(biāo)注的標(biāo)準(zhǔn)，規(guī)范人工標(biāo)注行為，促使其合法合規(guī)，并及時(shí)對(duì)明顯帶有算法偏見(jiàn)的標(biāo)注進(jìn)行糾正。

(四)救濟(jì)階段：強(qiáng)化生成式人工智能個(gè)人信息侵權(quán)司法救濟(jì)

司法救濟(jì)同樣是生成式人工智能風(fēng)險(xiǎn)預(yù)防的重要組成部分，發(fā)揮司法救濟(jì)在生成式人工智能個(gè)人信息風(fēng)險(xiǎn)治理的兜底作用，有利于形成“平臺(tái)審查—行政監(jiān)管—司法救濟(jì)”的多元主體治理體系。

1.明確生成式人工智能侵權(quán)的歸責(zé)機(jī)制。當(dāng)前，我國(guó)立法并未對(duì)生成式人工智能侵權(quán)做出特殊規(guī)定，從現(xiàn)有的侵權(quán)理論來(lái)看，生成式人工智能是否能夠成為獨(dú)立的侵權(quán)法律主體，仍存在爭(zhēng)議。有學(xué)者認(rèn)為其侵權(quán)責(zé)任的承擔(dān)可以透過(guò)“人工智能的面紗”尋找背后的侵權(quán)責(zé)任承擔(dān)主體[18]。在個(gè)人信息侵權(quán)方面，其潛在的侵權(quán)主體包括生成式人工智能服務(wù)提供者、生成式人工智能用戶以及生成式人工智能技術(shù)開(kāi)發(fā)者。在侵權(quán)歸責(zé)原則方面，因生成式人工智能責(zé)任主體的復(fù)雜性與多元性，其侵權(quán)責(zé)任承擔(dān)有必要依據(jù)其具體的侵權(quán)場(chǎng)景做出區(qū)分，就一般侵權(quán)而言，其歸責(zé)原則仍可依據(jù)我國(guó)《民法典》侵權(quán)責(zé)任編的一般規(guī)定采取過(guò)錯(cuò)責(zé)任原則。在個(gè)人信息侵權(quán)方面，考慮到個(gè)人信息主體與生成式人工智能的主體差異性，在采取無(wú)過(guò)錯(cuò)責(zé)任原則減輕個(gè)人信息主體舉證責(zé)任的同時(shí)，仍需考慮生成式人工智能平臺(tái)是否履行了基本個(gè)人信息安全的注意義務(wù)，更好地保障數(shù)據(jù)權(quán)主體的基本權(quán)益。

2.發(fā)揮個(gè)人信息公益訴訟的作用。公民個(gè)人作為弱勢(shì)群體在維護(hù)自身數(shù)據(jù)權(quán)過(guò)程中的不利地位，今后應(yīng)適時(shí)引入集體訴訟機(jī)制。例如，可以將生成式人工智能行政監(jiān)管責(zé)任主體或者技術(shù)行業(yè)協(xié)會(huì)作為訴訟代表，向不當(dāng)收集利用個(gè)人數(shù)據(jù)的生成式人工智能企業(yè)提起訴訟，從而彌補(bǔ)個(gè)人數(shù)據(jù)權(quán)主體在生成式人工智能數(shù)據(jù)治理中的劣勢(shì)，保障個(gè)人信息主體的合法權(quán)益。

五、結(jié)語(yǔ)

生成式人工智能引發(fā)的個(gè)人信息安全風(fēng)險(xiǎn)具有多層面、多階段的特點(diǎn)，從預(yù)訓(xùn)練階段的個(gè)人數(shù)據(jù)收集到算法運(yùn)行再到最后的生成性內(nèi)容輸出階段所產(chǎn)生的風(fēng)險(xiǎn)，都會(huì)不同程度地對(duì)個(gè)人信息主體的合法權(quán)益產(chǎn)生影響，只有通過(guò)構(gòu)建分階段的個(gè)人信息風(fēng)險(xiǎn)規(guī)制體系，才能夠保障生成式人工智能的合規(guī)運(yùn)行。ChatGPT為代表的生成式人工智能是人類數(shù)字化社會(huì)發(fā)展的重要成就，在為生產(chǎn)生活提供便利的同時(shí)，其伴生風(fēng)險(xiǎn)也會(huì)引發(fā)社會(huì)公眾對(duì)于科技的信任危機(jī)，法律風(fēng)險(xiǎn)只是其發(fā)展風(fēng)險(xiǎn)的組成部分之一，其所反映的深層次問(wèn)題是如何平衡人與科技的發(fā)展沖突。生成式人工智能的發(fā)展究竟能否促進(jìn)人類的進(jìn)步還是進(jìn)一步擠壓人類的社會(huì)生存空間，仍需要從法律、道德倫理等多個(gè)維度進(jìn)行審慎考量。