【资政场】

　　作者：卫子豪（清华大学国家治理研究院研究员）

　　党的二十届四中全会通过的《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》明确要求：“深化网络空间安全综合治理，加强个人信息保护。”个人信息权益作为数字社会运行的基石，直接关系到每个公民的尊严、自由与福祉。尽管个人信息保护法已为此奠定了法律基础，但技术的迭代速度正不断考验着现有保护框架的韧性。生成式人工智能（基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的人工智能技术分支）应用的爆发式增长，标志着AI从分析决策迈向了自主创造的新纪元，然而其依赖海量数据训练、生成内容不可控等特性，也在个人信息收集、使用与泄露环节引发了全新风险。如何在生成式人工智能浪潮中，通过构建动态、安全且可控的数据治理体系来筑牢个人信息保护防线，已成为推动数字时代健康发展必须直面和解决的关键命题。

　　构建分级分类保护路径

　　生成式人工智能技术的广泛运用，对个人信息权益保护提出新要求。传统统一规则主导的保护模式在应对模型训练、数据生成及跨场景应用等动态处理活动时存在不足，需探索基于风险分类、处理阶段差异化调整的保护路径，以契合技术实际，平衡保护与发展关系。保护措施需考量适当性与实效性，具体如下：

　　强化数据收集环节的目的约束与范围管控。生成式人工智能开发依托大规模数据收集，易出现收集范围不明确或超限情况，如部分大型语言模型训练数据含未充分去标识化的个人文本信息。应坚持并细化目的明确与最小必要原则，要求运营者披露数据收集类型与用途，建立独立机构定期评估机制审查收集相关性，依法纠正无关或冗余收集行为。

　　依据信息敏感度与使用场景实施差异化保护。个人信息风险随内容、上下文及处理方式动态变化，当前法律分类可进一步细化以应对生成式人工智能组合信息生成新内容的情况。例如医疗健康领域生成诊断建议时，个人健康数据应适用更严格标准，包括单独明确同意、高级别加密，算法设计嵌入数据脱敏或本地化处理等隐私增强技术。

　　重点规范与持续监督高风险处理活动。针对生成式人工智能常见的大规模、自动化及可能跨境的数据处理活动，法律应设置具体要求：模型运行中监控输出是否泄露训练数据特征或产生有偏结果；为个人提供质疑自动化决策、申请人工复查的渠道。监管需从单一事后处置拓展至全流程常态关注。

　　上述措施构建的分级分类保护路径有助于集中资源，提升高风险环节的保护针对性，既应对生成式人工智能新问题，也为技术在法律框架内有序发展提供指引，平衡个人信息权益保护与技术创新。

　　以技术手段“赋能”个人信息保护机制

　　生成式人工智能运行具有一定自主性与不透明性，传统以事后追责为主的法律规制模式，在应对其快速迭代及内部“黑箱”特性时，或难以实施及时有效的干预。因此，个人信息权益保护需向前端延伸，探索通过技术性手段将法律保护目标转化为人工智能系统运行的内在约束。

　　其一，模型开发阶段倡导并规范“通过设计保护隐私”原则，在系统初始架构设计时即考量隐私保护要求，推动采用联邦学习、差分隐私、同态加密等隐私增强技术，例如利用差分隐私技术在数据训练中添加噪声以降低信息泄露风险，通过技术标准制定使隐私保护成为系统开发默认选项。

　　其二，数据处理与生成阶段探索部署可审计的技术性约束机制，集成敏感信息过滤工具、模型决策解释技术，为用户提供关键词屏蔽、数据禁用范围设置等控制接口。

　　其三，系统运行全周期鼓励采用自动化合规监测工具，对数据处理行为持续追踪记录并与法律规则比对，识别潜在风险点并生成合规报告，提升监管及时性与覆盖范围。

　　将法律要求转化为系统内在运行逻辑，是使保护措施贴合技术特性的方式，为法律落实提供直接稳定的实现路径，有助于在技术发展背景下持续保障个人信息权益。

　　形成政府、企业、社会多元协同规范体系

　　生成式人工智能的应用可能扩大个体与信息处理者的能力差距。技术复杂性下，个体对个人信息的控制与理解能力或趋弱化，而开发者与运营者凭借模型和数据流掌控具有一定影响力。单一主体规制模式存在局限，宜构建政府、企业、社会多方参与、各负其责的规范实施框架，形成稳定有效的治理格局。

　　构建该框架旨在整合主体优势与责任，推动个人信息保护法律规范充分转化为实践，其有效运行依赖多层面协同。

　　明确政府规则供给与监管执行的核心职能。政府需设定清晰底线规则，提供稳定监管预期，针对生成式人工智能技术特性细化个人信息收集、训练、生成等环节的合法性基础与透明度要求；监管方式可依据模型用户规模、信息敏感程度及场景风险等级实施分类分级管理，集中资源于高风险活动，提升监管精准度。

　　推动企业完善内部治理机制。企业作为技术开发者与应用者，需设立伦理或合规评估程序，在产品开发部署前识别评估个人信息影响；融入隐私设计理念，建立便捷的用户行权与投诉反馈渠道。

　　引导专业社会力量发挥监督作用。学术机构与行业组织可开展风险研究、制定伦理指南或实践标准；技术成熟时，第三方机构可探索算法影响评估或数据保护认证；普及知识提升公众数字素养与权利意识，营造理性监督环境。

　　通过明确政府监管边界与重点、落实企业内控责任、吸纳社会力量参与，形成多元协同规范实施路径，有助于缩小法律与技术实践差距。在生成式人工智能时代，应寻求技术发展与权利保护之间的动态平衡。唯有在个人信息保护的范围、边界和实现路径上形成更加清晰的制度安排和广泛共识，才能更好应对新业态发展带来的新情况新问题，推动数字经济健康有序发展，为人工智能时代个人信息权益提供坚实保障。

　　《光明日报》（2026年02月28日 05版）