論生成式人工智能服務提供者的個人信息合理使用

內容提要 生成式人工智能的運行需要海量數據，生成式人工智能服務提供者可能會未經同意處理大量個人信息，在構成個人信息合理使用時主要有以下三個問題：合理的范圍不明確，現有履行告知義務的方式阻礙其合理使用個人信息，在提供服務階段處理個人信息的具體行為與履行內容審核等安保義務的處理目的相分離?；谏墒饺斯ぶ悄艿倪\行機理，從其運行的研發階段和提供服務階段，來分析生成式人工智能服務提供者適用個人信息合理使用規則產生的問題。以合理的目的和個人信息公開時對個人信息權益影響的程度限定合理的范圍；以公示的方式履行告知義務，促進個人信息合理使用；基于履行內容審核等安保義務的處理目的，整體性評價其在提供服務階段未經同意處理個人信息的行為。從而破解生成式人工智能服務提供者合理使用個人信息的困境的同時保護個人信息權益。

關鍵詞 生成式人工智能 個人信息 合理使用 合理的范圍 告知義務 GAI

胡宏濤，對外經濟貿易大學法學院博士研究生

2022年12月，《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》明確將數字經濟作為我國經濟發展的新動能?！皞€人信息的價值不斷被挖掘利用并逐漸成為數字經濟發展的核心生產要素之一”[1]，數字經濟的發展也依賴于生成式人工智能（以下簡稱GAI）等新興技術的發展?！吧墒饺斯ぶ悄苁且环N根據提示生成全新內容的人工智能技術”[2]，是基于生成式人工智能服務提供者（以下簡稱GAI提供者）架構的語料庫、規則、算法等的自動化運行，其做出的行為均應被視為GAI提供者的行為，由GAI提供者享有權利、負有義務和承擔責任。GAI的完整運行可分為兩個階段：研發階段和提供服務階段，即在向用戶提供服務之前構建大模型的研發階段和構建大模型完成后投入市場向用戶提供服務階段。GAI的運行需要海量數據，其提供者不可避免地要處理大量個人信息。此等語境下，造成個人信息權益損害或許需要承擔侵權責任，但構成合理使用個人信息的，應免于承擔民事責任?！叭欢?，當前的合理使用原則要么阻礙機器學習的發展，要么剝奪讓機器學習成為可能的人類創造者的權利”[1]。因此，如何在保護個人信息權益的同時促進GAI提供者合理使用個人信息這一問題亟待解決。本文主要聚焦GAI提供者的個人信息合理使用，根據GAI的運行機理和個人信息合理使用規則，破解GAI提供者合理使用個人信息的困境，以促進數字經濟的健康發展。造成個人信息權益損害涉及的侵權責任不屬于本文探討范圍，在此不贅述。

一、GAI提供者合理使用個人信息的具體適用

1.不適用情形

GAI提供者合理使用個人信息主要適用《中華人民共和國民法典》（以下簡稱民法典）第1036條和《中華人民共和國個人信息保護法》（以下簡稱個人信息保護法）第13條。個人信息保護法作為民法典的特別法豐富了有關規則[2]，當二者產生沖突時，應優先適用前者。個人信息保護法第13條規定了處理個人信息的合法性基礎：“知情同意規則”和“合理使用規則”，第1款第1項規定的“知情同意規則”承繼于民法典第1036條第1項的規定?！靶畔⒆詻Q權的本質是信息主體對其自身信息的選擇和控制?！盵3]在“知情同意規則”中，處理個人信息的合法性源于自然人（或其監護人）基于信息自決權做出的同意，“‘同意是一種對于個人信息權益的處分”[4]?！罢怯辛诉@種同意，個人信息處理行為才不是非法的行為，具有了合法根據?！盵5]而在“合理使用規則”中信息處理者無需取得同意，在滿足法定條件后即具備處理個人信息的合法性基礎。因此，個人信息保護法第13條第1款第1項不屬于個人信息合理使用范疇，不在本文論證范疇，不再贅述。

根據個人信息保護法第13條第2款規定，符合該條第1款第2項規定的“訂立合同所必需”[6]情形的，無需取得同意即可處理個人信息。然而，“這種情形下，處理者也是在取得自然人的同意的基礎上處理個人信息的，而非僅因締結合同或履行合同本身就可以直接處理個人信息”[7]。此條款屬于“知情同意規則”，不屬于個人信息合理使用范疇?！啊馐亲杂梢庵镜捏w現，是經自由意志思考、判斷和衡量之后形成的決策，并將這種決策以明示或默示的方式進行表達?！盵8]在提供服務階段，基于合同關系，用戶輸入內容的行為是主動同意GAI提供者處理其輸入的個人信息?！皞鶛嗪贤兴耐馀c《個保法》第13條第1款第1項中的知情同意具有評價上的等值性?！盵9]因此，個人信息保護法第13條第1款第2項屬于“知情同意規則”，不屬于個人信息合理使用范疇，同前述一致。

個人信息保護法第13條第1款第4項和第5項規定的“為維護公共利益所需要”[10]的情形承繼于民法典第1036條第3項的規定，立法目的在于維護公共利益?！吧墒饺斯ぶ悄艿拇笠幠C器學習往往是為了企業后續盈利做鋪墊”[11]，目的是商業盈利而非維護公共利益。故GAI提供者未經同意處理個人信息不適用個人信息保護法第13條第1款第4項和第5項規定。個人信息保護法第13條第1款第7項屬于兜底性條款，為不符合該款前6項的情形留出適用空間，不是本文論證重點，不再贅述。

2.研發階段GAI提供者合理使用個人信息

在研發階段，GAI提供者合理使用個人信息主要適用民法典第1036條第2項、個人信息保護法第13條第1款第6項和第27條的規定。個人信息保護法第13條第1款第6項承繼于民法典第1036條第2項的規定。個人信息保護法第27條進行了詳細規定，核心在于規制“自行公開或者其他已經合法公開的個人信息”，即“已合法公開的個人信息”。探討GAI提供者在研發階段如何構成個人信息的合理使用，需要分析語料庫中個人信息的來源。語料庫中個人信息主要來源于以下兩個渠道：

其一，在提供服務階段用戶輸入的個人信息。此類個人信息留存在神經網絡中，用于產品的更新迭代[1]。例如，ChatGPT模型依托海量數據進行訓練，其中包括大量用戶輸入的個人信息，ChatGPT模型可將其納入自身的語料庫并留存在神經網絡中[2]。用戶輸入的個人信息可分為三類：自身個人信息，未合法公開的他人個人信息，已合法公開的他人個人信息。當用戶輸入“自身個人信息”時，信息主體基于合同關系做出真實意思表示，即同意GAI提供者處理其個人信息，是基于“知情同意規則”行使信息自決權，不屬于合理使用個人信息范疇；當用戶輸入“未合法公開的他人個人信息”時，用戶無權行使他人信息自決權，不構成對他人個人信息的知情同意，也不符合個人信息保護法第13條第1款第6項的規定。因此，GAI提供者可能構成合理使用個人信息的情形限于處理用戶輸入的“合法公開的他人個人信息”這一種情況。

其二，從互聯網公開獲取的個人信息主要有兩類：已合法公開的個人信息，非法公開的個人信息。當處理非法公開的個人信息時，由于信息來源不合法，不構成個人信息合理使用。因此，GAI提供者可能構成合理使用個人信息的情形只限于處理從互聯網獲取的“已合法公開的個人信息”。

以上兩種情況均是GAI提供者未經同意處理的個人信息可能構成合理使用的情形限于處理“已合法公開的個人信息”的情形。此等語境下，個人信息的來源具有合法性，是合理使用個人信息的必要條件。當使用語料庫進行預訓練或優化訓練時，處理已合法公開的個人信息的根本目的在于訓練、優化并形成接近人類自然語言等應用場景的大模型。GAI提供者的初衷是利用語料庫而非利用個人信息來訓練模型，本意不在于“個性化分析”[3]信息主體，與傳統網絡平臺存在本質不同?！案鞣N網絡平臺通過分析和利用海量的個人信息，對目標群體做人格畫像，實施精準營銷，甚至行為操縱，嚴重危害自然人的人格尊嚴，妨害人格的自由發展?！盵4]因此，GAI提供者處理已合法公開的個人信息對信息主體的影響遠低于傳統網絡平臺為了精準營銷處理個人信息對信息主體的影響，其符合在合理的范圍內處理個人信息，可以適用個人信息保護法第13條第1款第6項的規定，構成個人信息的合理使用。

3.提供服務階段GAI提供者合理使用個人信息

個人信息保護法第13條第1款第3項規定了兩種合理使用個人信息的情形：“法定職責”和“法定義務”。其一“，履行‘法定職責的主體，一般應限定為具有處理個人信息權限的國家公權力機關”[5]，而GAI提供者不屬于國家公權力機關，不能基于履行“法定職責”合理使用個人信息。其二，“法定義務是指信息處理者依據法律法規的規定而負有的義務”[1]?！叭魝€人信息處理者的處理行為有明確的法律法規作為依據，則該處理行為合法?！盵2]2022年，國家互聯網信息辦公室等三部門聯合發布的《互聯網信息服務深度合成管理規定》第10條第1款規定，深度合成服務提供者應對使用者的輸入數據和合成結果進行審核。此規定屬于部門規章而非法律法規，但該規定第10條第1款規定的內容審核義務是對民法典第1038條和《中華人民共和國網絡安全法》第42條的“信息安全保障義務”[3]的具體規定。例如，在申某與支付寶（中國）網絡技術有限公司等侵權責任糾紛案中，法院認定網絡服務提供者應當對用戶的個人信息負有安全保障的法定義務[4]。安全保護義務包括內容審核義務，平臺有義務對用戶發布的內容進行審核，從而有效應對網絡違法犯罪行為[5]?；诼男袃热輰徍说劝脖Ａx務的需要，GAI提供者可能會未經同意處理個人信息。因此，在提供服務階段，審核用戶輸入的內容和合成結果時，GAI提供者未經同意處理個人信息可基于履行內容審核等安保義務構成個人信息的合理使用。

二、GAI提供者合理使用個人信息的困境

在具體適用“合理使用規則”時，GAI提供者合理使用個人信息主要有以下三個困境，本文結合GAI的運行機理進行具體分析，闡述其內在邏輯和痛點。

1.“合理的范圍”不明確

研發階段，GAI提供者未經同意處理個人信息主要適用個人信息保護法第13條第1款第6項的規定，需滿足“已合法公開的個人信息”和“合理的范圍”兩個條件，才能構成個人信息的合理使用。但現有法律對“合理的范圍”并未做明確界定，學界也未形成共識。如何界定GAI提供者未經同意處理個人信息的行為是否超出“合理的范圍”含糊不清，不利于GAI合法健康發展和個人信息權益保護。

在法律層面上，個人信息保護法第13條第1款第6項和第27條均出現“合理的范圍”，但法律或司法解釋未對其進行有效界定。有學者認為，個人信息保護法第27條規定了已公開的個人信息合理使用以“重大影響”“明確拒絕”等作為判斷依據[6]，但“合理的范圍”的兩個限定條件可以視為不存在。其一，此種做法看似以對個人權益是否產生“重大影響”為標準界定處理行為是否在“合理的范圍”內，實際是將一個抽象概念引向另一個更抽象概念，并未明確界定何為“重大影響”和有效限定“合理的范圍”。其二，從文義解釋，“明確拒絕”是信息主體明示不同意，即信息主體行使“拒絕信息被處理權”[7]，其是基于“知情同意規則”而非“合理使用規則”，更無從談起“合理使用規則”中“合理的范圍”的限定條件。個人信息保護法第27條是對已公開個人信息的特殊規制，即“合理使用規則”和“知情同意規則”并行，因此，其并未實質性對“合理的范圍”進行有效界定。

在理論層面上，關于“合理的范圍”的界定標準未形成共識。程嘯認為，可以借鑒個人信息保護法（草案二次審議稿）第28條第1款的規定，將“合理的范圍”限制在個人信息被公開時的用途[8]。確立“合理使用規則”的立法目的在于促進個人信息的合理使用，但GAI提供者處理大部分已合法公開的個人信息并非基于個人信息被公開時的用途，屬于變更處理目的，須適用“知情同意規則”取得同意，與確立“合理使用規則”的立法目的相違背。同時，由于訓練GAI需要海量數據，要求征求每位信息主體同意的做法將嚴重限制科技發展，不利于維護公共利益和提升社會價值。另有學者認為，“即便是結合具體場景有時也難以判斷信息到底是什么用途，徒增其不確定性，而以‘合理范圍對處理方式進行限制已然足夠”[1]。采用“合理的范圍”對法律的適用具有更大的調節性，但導致界定過于模糊，自由裁量范圍過大，不利于法律適用中“法的穩定性”。有學者認為，“我們不妨從反面理解何為合理范圍，亦即第三方的處理數據行為符合個人隱私預期、未對個人帶來重大不利負擔、不對數據原始處理者財產利益帶來重大不利影響”[2]。采用三個模糊限定條件對“合理的范圍”進行界定過于寬泛和抽象化。在實踐中，信息處理者和法院需要進一步確定何為“個人隱私預期”和“重大”，徒增經營和司法成本。

以上觀點均有局限性，并未提供合理標準去界定“合理的范圍”，這極大地限制了GAI提供者合理使用個人信息。與傳統網絡服務提供者個性化分析信息主體不同的是，如果經濟和技術上可行，絕大部分GAI提供者希望匿名化個人信息，以減輕或者避免承擔個人信息保護責任，減少經營成本?！叭欢?，在實踐中，不可匿的匿名化是非常困難的，甚至是不可能的?！盵3]因此，規制GAI提供者合理使用個人信息，難以借鑒法律對傳統網絡平臺基于“精準營銷”目的處理個人信息行為的治理。

2.履行告知義務的方式阻礙個人信息的合理使用

基于保障信息主體知情權的立法目的，個人信息保護法第17條詳細規定了告知義務?！靶畔⑻幚碚摺侠硖幚硪压_的個人信息時雖無需取得個人同意，但并不意味著他們的告知義務被當然地豁免?！盵4]告知是處理個人信息的前置程序，“不具有基于意思自治的協商空間，自然也具有公法屬性”[5]。GAI提供者仍須將履行告知義務作為合理使用個人信息的前置程序。同時，合法公開個人信息的目的是為維護公共利益實行輿論監督、提供公共服務和履行法定職責等，但GAI提供者合理使用這些個人信息并未基于以上公開時的目的，屬于變更處理目的，應當履行告知義務并取得同意。因此，即使GAI提供者構成合理使用個人信息，仍須履行告知義務，但這幾乎無法實現。

履行告知義務的方式可分為兩種：第一種是逐一告知，即通過一對一的方式向用戶告知；第二種是統一告知，即通過制定統一的個人信息處理規則向用戶告知[6]。GAI提供者從互聯網獲取已合法公開的個人信息屬于間接獲取，并非從信息主體直接獲取，很難同信息主體建立有效聯系，甚至無法適用以上兩種方式履行告知義務“。個人信息保護法旨在促進個人信息的合理利用”[7]，但現有履行告知義務的方式嚴重限制了GAI提供者合理使用個人信息。GAI的訓練參數已達千億級規模，如果以上述兩種方式履行告知義務，要分析海量個人信息并精準識別信息主體，同其建立有效聯系，這將耗費巨量時間和經濟成本。當合規成本高于違法成本，信息處理者會鋌而走險，忽視信息主體知情權，直接處理已合法公開的個人信息?！安还芴幚碚咴谑占瘋€人信息時是否取得同意，只要處理者的處理目的是新的、尚未告知個人的，那么該處理者所從事的這一處理活動都將構成對個人信息絕對權的侵害?！盵1]因此，即使GAI提供者具備合理使用個人信息的合法性基礎，現有履行告知義務的方式也將嚴重阻礙其合理使用個人信息，或加重損害個人信息權益。

3.履行內容審核等安保義務的處理目的與具體處理行為分離

在提供服務階段，GAI輸出結果的基本運行模式為：用戶輸入內容—審核用戶輸入內容—處理用戶輸入內容形成結果—審核合成結果—輸出結果。在“審核用戶輸入內容”和“審核合成結果”兩個階段，基于個人信息保護法第13條第1款第3項規定的“法定義務”，GAI提供者具備處理個人信息的合法性基礎，但這并不代表在其他階段未經同意處理個人信息仍然具有合法性基礎。此時，在“處理用戶輸入內容形成結果”階段，GAI提供者未經同意處理個人信息要符合個人信息保護法第13條第1款第6項的規定，才能構成合理使用個人信息，這導致GAI提供者合理使用個人信息的困境又回到前兩節討論的問題，且產生新問題：在“處理用戶輸入內容形成結果”階段，GAI提供者處理已合法公開個人信息的行為是否在“合理的范圍”內，從具體處理行為和輸出結果判斷，將產生截然相反的結論。

具體而言，在“處理用戶輸入內容形成結果”階段，GAI提供者處理已合法公開的個人信息的具體處理行為本身無非在或不在“合理的范圍”內兩種情況。其一，具體處理行為并未超出“合理的范圍”，具備處理個人信息的合法性基礎，符合“合理使用規則”，適用民法典第1036條第2項的規定，免于承擔民事責任，審核行為將毫無價值。其二，具體處理行為超出“合理的范圍”，無論輸出的結果如何，都喪失處理個人信息的合法性基礎，不構成個人信息的合理使用。但是，由于審核行為反復進行糾偏，具體處理行為被糾正到“合理的范圍”內，合成結果也被糾正到合法范圍內。此時，輸出結果并未損害個人信息權益，從輸出結果判斷，具體處理行為在“合理的范圍”內，具備合法性外觀，構成個人信息的合理使用。因此，從具體處理行為和輸出結果判斷，GAI提供者處理已合法公開的個人信息的具體處理行為是否超出“合理的范圍”，將產生截然相反的結論。

綜上，產生以上問題的根源在于GAI提供者處理已合法公開的個人信息的具體處理行為與基于履行內容審核等安保義務處理個人信息的行為相分離，即履行內容審核等安保義務的處理目的與具體處理行為相分離。在提供服務階段，當具體分析每個環節處理個人信息的具體行為時，履行內容審核等安保義務的處理目的無法涵蓋整個提供服務階段的所有處理個人信息的具體行為，導致在“處理用戶輸入內容形成結果”階段，GAI提供者無法基于履行內容審核等安保義務構成個人信息的合理使用，而需要對其進行單獨判斷?！啊秱€人信息保護法》中的合理使用規則可被抽象定義為‘基于某種利益保護所生，并在合理范圍內處理信息的同意豁免行為?！盵2]因此，在提供服務階段，GAI提供者未經同意處理個人信息是否構成合理使用的關鍵在于如何將具體處理行為與履行內容審核等安保義務的處理目的相結合，應使GAI提供者明確個人信息的合理使用規則，進而促進個人信息的合法有效利用。

三、GAI提供者合理使用個人信息的困境的破解措施

1.“合理的范圍”限定

GAI提供者處理已合法公開個人信息的行為是否在“合理的范圍”內，應采用處理目的和處理行為是否具有合理性的標準進行雙重判斷。GAI運轉機理在于：根據人類現實生活的真實場景，模擬人類學習過程，向量化儲存海量數據，再通過語料庫進行預訓練和優化訓練，形成獨特的神經網絡。此過程中，GAI提供者處理個人信息的目的并非個性化分析信息主體，而是構建“具有工具屬性”[1]的GAI大模型，屬于科學研究的范疇。需要特別說明的是，基于服務的完整性，GAI提供者會設定GAI匯總輸出公眾人物已合法公開的個人信息，但不會個性化分析公眾人物[2]。在歐盟《一般數據保護條例》（GDPR）第5條第1款第b項的規定中，將基于科學研究目的進一步處理個人數據視為與最初目的不矛盾[3]。GAI提供者對個性化分析信息主體毫無興趣，無需將其處理已合法公開的個人信息的合理目的限定在個人信息被公開時的目的范圍內?！皯鶕煌那榫?，盡可能設置特定、明確的個人信息處理目的?！盵4]因此，根據目的限制原則，在研發階段，可以將GAI提供者處理已合法公開個人信息的合理目的限定為構建大模型等計算機技術開發利用的科學研究目的，無論個人信息被合法公開時是基于何種目的，均應認定其處理目的具有合理性。

GAI提供者處理已合法公開的個人信息的行為是否處于“合理的范圍”內，需根據處理行為對個人信息權益的影響程度來判斷。一旦個人信息公開，就意味著其能被其他主體查詢獲取，甚至加工處理，這可能會對信息主體的人格權利益產生減損。這種減損如果已經發生，或持續發生，并不會因其他處理者做出相同的處理行為而造成更大的減損。個人信息碎片化地分散在語料庫中，GAI提供者處理已合法公開的個人信息并不會個性化分析信息主體，因此對個人信息權益的減損微乎其微，遠低于個人信息合法公開時已經對個人信息權益造成的減損。如果個性化分析特定主體，對構建GAI大模型無任何幫助，反而浪費大量的時間和金錢去承擔更重的保護個人信息權益的責任，違背其商業目的。因此，當GAI提供者處理已合法公開的個人信息對個人信息權益的減損并未超過個人信息合法公開時對個人信息權益的減損，應當認定其處理行為具有合理性。

綜上，在研發階段，GAI提供者未經同意處理已合法公開的個人信息是為了構建大模型等計算機技術開發利用的科學研究，且處理行為對個人信息權益的減損未超越個人信息被公開時對個人信息權益的減損，應認定其處理行為屬于“合理的范圍”內，構成個人信息的合理使用。

2.以公示方式履行告知義務

基于個人信息保護法第18條第1款和第35條規定，符合“法律、行政法規規定應當保密或者不需要告知”的，或“告知將妨礙國家機關履行法定職責”的，可以免除告知義務。但GAI提供者處理已合法公開個人信息時很難適用這三種情形，并未解決履行告知義務阻礙GAI提供者合理使用個人信息的問題?！皶r代進步和創新意味著法律必須做出改變，甚至是放棄原有的思路，以實現對新興事物有效的法律規范?！盵5]因此，可將個人信息保護法第17條第3款的規定作擴大解釋，將“通過制定個人信息處理規則”的告知方式解釋為兩種情形：第一，原有通常做法；第二，擴大解釋的做法，通過官網和媒體長期公示獲取已合法公開個人信息的具體來源和處理規則，向不特定自然人履行告知義務[6]。

具體而言，GAI提供者應在官方網站以及其他媒體向互聯網長期公示其獲取已合法公開的個人信息的具體來源和處理規則。所謂處理規則，現有規定已經足夠明確，本文不再贅述。所謂具體來源是指GAI提供者獲取已合法公開的個人信息的具體渠道，獲取的內容、時間和范圍，等等。具體公示標準應達到：任何不特定的自然人可以隨時根據公開的內容和自身參與網絡活動的情形，判斷個人信息是否被獲取或被獲取的程度。信息主體可根據公示內容判斷自己能否應向信息處理者主張權利，如果擁有權利可選擇是否主張權利。告知選擇可以保障信息主體擁有撤回其選擇從而干預信息處理者自由的權利，同時又可以最大限度活躍信息流動[1]。以公示方式履行告知義務可以使GAI提供者在構成合理使用個人信息時有效履行告知義務，同時也可保障信息主體的知情權。

3.基于履行內容審核等安保義務合理使用個人信息

在提供服務階段，由于數據數量龐大、算法復雜和計算機領域具有高度專業性，履行內容審核等安保義務的糾偏行為與具體處理個人信息的行為錯綜交織，糾偏過程始終貫穿具體處理行為，實踐中很難嚴格區分。同時，現有的司法制度也無法做到對GAI的后臺算法或運行架構進行具體分析，往往依據輸出結果判斷具體處理行為是否在“合理的范圍”內。如果將二者分離判斷，將浪費大量司法資源，甚至阻礙司法有效運行。因此，應從輸出結果判斷，將GAI提供者在提供服務階段未經同意處理個人信息的所有具體行為視為一個整體行為，歸于履行內容審核等安保義務的處理目的下。換言之，在提供服務階段，GAI提供者未經同意處理個人信息可以適用個人信息保護法第13條第1款第3項的規定，基于履行內容審核等安保義務構成個人信息的合理使用。

在提供服務階段，GAI提供者未經同意處理個人信息只有基于履行內容審核等安保義務，而非其他法定義務，才能構成合理使用個人信息?！皞€人信息的合理使用之所以是合法的行為，是因為法律基于公共利益等利益考量而對自然人的個人信息權益作出了限制?！盵2]GAI提供者的法定義務包括版權保護義務、合規經營義務、保密義務等，如果不對其合理使用個人信息基于的法定義務進行限制，可能導致其以過度減損個人信息權益的方式履行法定義務。將具體處理行為納入基于履行法定義務合理使用個人信息的范圍內的做法，擴大了GAI提供者合理使用個人信息中處理行為的范圍。但將法定義務限定在履行內容審核等安保義務時，GAI提供者須采取必要的措施維護個人信息權益，以合理限制其對個人信息權益的減損，進而在保障個人信息權益的同時又能促進GAI提供者合理使用個人信息。

四、結語

GAI屬于智能化工具，現有的各種計算機處理工具也能生成GAI深度合成的內容，只是需要專業人員基于專業知識進行制作。GAI的出現讓這種復雜的操作簡單化，其帶來的各種問題根源在于整個互聯網尚未形成體系化的法律規制。GAI提供者處理個人信息的行為對信息主體的影響遠遠低于傳統的網絡服務提供者基于精準營銷進行個性化分析對信息主體的影響。在我國文化中，信息主體注重的是處理個人信息對其產生的社會評價影響，而不是具體的個人信息處理行為?！霸谥贫▊€人信息保護策略時，應兼顧生成式人工智能的經濟和社會價值”[3]，平衡相關主體的核心需求才是解決問題的關鍵。應在保障信息主體核心需求的同時促進GAI提供者合理使用個人信息，進而促進數字經濟的發展。

〔責任編輯：玉水〕

[1]張夢蝶：《數字經濟時代的個人信息特征與行政監管保護需求》，《學?！?022年第1期。

[2]張凌寒、于琳：《從傳統治理到敏捷治理：生成式人工智能的治理范式革新》，《電子政務》2023年第9期。

[1]B. L. W. Sobel， "Artificial Intelligences Fair Use Crisis"， Columbia Journal of Law & the Arts， 2017， 41（1）， p.45.

[2]王利明、丁曉東：《論〈個人信息保護法〉的亮點、特色與適用》，《法學家》2021年第6期。

[3]方明：《個人信息多元保護模式探究》，《學?！?018年第6期。

[4]萬方：《個人信息處理中的“同意”與“同意撤回”》，《中國法學》2021年第1期。

[5]程嘯：《論個人信息處理中的個人同意》，《環球法律評論》2021年第6期。

[6][10]夏偉：《論數據犯罪的立法重塑》，《法制與社會發展》2023年第4期。

[7]程嘯：《論我國民法典中的個人信息合理使用制度》，《中外法學》2020年第4期。

[8]張薇薇：《公開個人信息處理的默認規則——基于〈個人信息保護法〉第27條第1分句》，《法律科學（西北政法大學學報）》2023年第3期。

[9]施鴻鵬：《任意撤回權與合同拘束力的沖突與協調》，《政治與法律》2022年第10期。

[11]朱鴻軍、李辛揚：《ChatGPT生成內容的非版權性及著作權侵權風險》，《新聞記者》2023年第6期。

[1]需要特別說明的是，在第一代GAI的研發階段，由于未投入市場向用戶提供服務，語料庫中不存在用戶輸入的個人信息，隨著產品更新迭代，語料庫中才會出現用戶輸入的內容。為了論證的嚴謹性，本文將對這兩類來源的個人信息進行分析。

[2]孫祁：《規范生成式人工智能產品提供者的法律問題研究》，《政治與法律》2023年第7期。

[3]個性化分析是指，信息處理者根據收集的個人信息精準識別信息主體，并通過深度剖析信息主體的性格、行為特性、社會關系、偏好等形成用戶畫像，并依此實現精準營銷。

[4]程嘯：《論我國個人信息保護法中的個人信息處理規則》，《清華法學》2021年第3期。

[5]江必新、李占國主編：《中華人民共和國個人信息保護法條文解讀與法律適用》，中國法制出版社2021年版，第47頁。

[1][8]程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第132頁，第253頁。

[2]龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第59頁。

[3]中國審判理論研究會民事審判理論專業委員會編著：《民法典人格權編條文理解與司法適用》，法律出版社2020年版，第291頁。

[4]北京市朝陽區人民法院（2018）京0105民初36658號民事判決書。

[5]單勇：《數字看門人與超大平臺的犯罪治理》，《法律科學（西北政法大學學報）》2022年第2期。

[6]王冉冉：《已公開的個人信息的合理使用及其縮限》，《現代法學》2023年第4期。

[7]馬新彥、劉睿佳：《已公開個人信息弱化保護的解釋論矯正》，《吉林大學社會科學學報》2022年第3期。

[1]龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第122頁。

[2]包曉麗：《數據四象限分類確權規則研究》，《法學雜志》2023年第6期。

[3]F. Z. Borgesius， J. Gray， M. van Eechoud， "Open Data， Privacy， and Fair Information Principles： Towards a Balancing Framework"， Berkeley Technology Law Journal， 2015， 30（3）， p.2120.

[4]解正山：《論已公開個人信息的“合理處理”》，《學習與探索》2022年第9期。

[5]喻文光、鄭子璇：《數字時代政府機關處理個人信息告知義務制度的公法建構》，《人權》2022年第3期。

[6]程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第176頁。

[7]何松威：《論領域法的私法研究范式——以〈個人信息保護法〉研究為例》，《當代法學》2022年第4期。

[1]阮神裕：《個人信息權益的二元構造論》，《法制與社會發展》2023年第4期。

[2]吳國喆、王文文：《數據共享視域下個人信息“合理使用”的場景化判定》，《西安交通大學學報（社會科學版）》2023年第3期。

[1]張欣：《生成式人工智能的數據風險與治理路徑》，《法律科學（西北政法大學學報）》2023年第5期。

[2]此種匯總輸出不同于個性化分析，只是對公眾人物的個人信息進行聚集排列和整合輸出，后續審核輸出結果，這會降低此種基本整合對公眾人物的影響。

[3]《歐盟〈一般數據保護條例〉（GDPR）：漢英對照》，瑞栢律師事務所譯，法律出版社2018年版，第45頁。

[4]劉權：《論個人信息處理的合法、正當、必要原則》，《法學家》2021年第5期。

[5]彭中禮、劉世杰：《從“特殊性”到“去特殊性”——人工智能法律規制路徑審視》，《濟南大學學報（社會科學版）》2019年第4期。

[6]國家市場監督管理總局、國家標準化管理委員會發布的《信息安全技術個人信息處理中告知和同意的實施指南》（GB/T 42574—2023）第8.1條第a項第4目規定：“當向個人逐一告知的成本過高或者有顯著困難時，可以通過公告的形式發布個人信息保護政策?！贝藰藴适峭扑]性國家標準，不具有強制約束力，且公告的方式、時間、具體標準等均未詳細規定。

[1]彭誠信、史曉宇：《論個人信息財產價值外化路徑的重構》，《當代法學》2023年第2期。

[2]程嘯：《論我國民法典中的個人信息合理使用制度》，《中外法學》2020年第4期。

[3]鈄曉東：《風險與控制：論生成式人工智能應用的個人信息保護》，《政法論叢》2023年第4期。