生成式人工智能(基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的人工智能技术分支)应用的爆发式增长，标志着AI从分析决策迈向自主创造的新纪元，然而其依赖海量数据训练、生成内容不可控等特性，也在个人信息收集、使用与泄露环节引发全新风险。如何在生成式人工智能浪潮中，通过构建动态、安全且可控的数据治理体系来筑牢个人信息保护防线，已成为推动数字时代健康发展的关键命题。

　　构建分级分类保护路径

　　生成式人工智能技术的广泛运用，对个人信息权益保护提出新要求。传统统一规则主导的保护模式在应对模型训练、数据生成及跨场景应用等动态处理活动时存在不足，需探索基于风险分类、处理阶段差异化调整的保护路径。保护措施需考量适当性与实效性，具体如下：

　　强化数据收集环节的目的约束与范围管控。生成式人工智能开发依托大规模数据收集，易出现收集范围不明确或超限情况，如部分大型语言模型训练数据含未充分去标识化的个人文本信息。应坚持并细化目的明确与最小必要原则，要求运营者披露数据收集类型与用途，依法纠正无关或冗余收集行为。

　　依据信息敏感度与使用场景实施差异化保护。个人信息风险随内容、上下文及处理方式动态变化，当前法律分类可进一步细化以应对生成式人工智能组合信息生成新内容的情况。例如医疗健康领域生成诊断建议时，个人健康数据应适用更严格标准，包括单独明确同意、高级别加密，算法设计嵌入数据脱敏或本地化处理等隐私增强技术。

　　重点规范与持续监督高风险处理活动。针对生成式人工智能常见的大规模、自动化及可能跨境的数据处理活动，法律应设置具体要求：模型运行中监控输出是否泄露训练数据特征或产生有偏结果;为个人提供质疑自动化决策、申请人工复查的渠道。监管需从单一事后处置拓展至全流程常态关注。

　　以技术手段赋能个人信息保护

　　生成式人工智能运行具有一定自主性与不透明性，以事后追责为主的法律规制模式，在应对其快速迭代及内部“黑箱”特性时，难以实施及时有效的干预。因此，个人信息权益保护需向前端延伸，探索通过技术性手段将法律保护目标转化为人工智能系统运行的内在约束。

　　其一，模型开发阶段倡导并规范“通过设计保护隐私”原则，在系统初始架构设计时即考量隐私保护要求，例如利用差分隐私技术在数据训练中添加噪声以降低信息泄露风险，通过技术标准制定使隐私保护成为系统开发默认选项。

　　其二，数据处理与生成阶段探索部署可审计的技术性约束机制，集成敏感信息过滤工具、模型决策解释技术。

　　其三，系统运行全周期鼓励采用自动化合规监测工具，对数据处理行为持续追踪记录并与法律规则比对，识别潜在风险点并生成合规报告。

　　形成多元协同规范体系

　　生成式人工智能的应用可能扩大个体与信息处理者的能力差距。技术复杂性下，个体对个人信息的控制与理解能力或趋弱化，而开发者与运营者凭借模型和数据流掌控具有一定影响力。单一主体规制模式存在局限，宜构建政府、企业、社会多方参与、各负其责的规范实施框架，形成稳定有效的治理格局。

　　明确政府规则供给与监管执行的核心职能。政府需设定清晰底线规则，提供稳定监管预期，针对生成式人工智能技术特性细化个人信息收集、训练、生成等环节的合法性基础与透明度要求;监管方式可依据模型用户规模、信息敏感程度及场景风险等级分类分级管理，集中资源于高风险活动。

　　推动企业完善内部治理机制。企业作为技术开发者与应用者，需设立伦理或合规评估程序，在产品开发部署前识别评估个人信息影响;融入隐私设计理念，建立用户行权与投诉反馈渠道。

　　引导专业社会力量发挥监督作用。学术机构与行业组织可开展风险研究、制定伦理指南或实践标准;技术成熟时，第三方机构可探索算法影响评估或数据保护认证;普及知识提升公众数字素养与权利意识，营造理性监督环境。

　　据2月28日《光明日报》