论生成式人工智能服务提供者的个人信息合理使用

内容提要 生成式人工智能的运行需要海量数据，生成式人工智能服务提供者可能会未经同意处理大量个人信息，在构成个人信息合理使用时主要有以下三个问题：合理的范围不明确，现有履行告知义务的方式阻碍其合理使用个人信息，在提供服务阶段处理个人信息的具体行为与履行内容审核等安保义务的处理目的相分离。基于生成式人工智能的运行机理，从其运行的研发阶段和提供服务阶段，来分析生成式人工智能服务提供者适用个人信息合理使用规则产生的问题。以合理的目的和个人信息公开时对个人信息权益影响的程度限定合理的范围；以公示的方式履行告知义务，促进个人信息合理使用；基于履行内容审核等安保义务的处理目的，整体性评价其在提供服务阶段未经同意处理个人信息的行为。从而破解生成式人工智能服务提供者合理使用个人信息的困境的同时保护个人信息权益。

关键词 生成式人工智能 个人信息 合理使用 合理的范围 告知义务 GAI

胡宏涛，对外经济贸易大学法学院博士研究生

2022年12月，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确将数字经济作为我国经济发展的新动能。“个人信息的价值不断被挖掘利用并逐渐成为数字经济发展的核心生产要素之一”[1]，数字经济的发展也依赖于生成式人工智能（以下简称GAI）等新兴技术的发展。“生成式人工智能是一种根据提示生成全新内容的人工智能技术”[2]，是基于生成式人工智能服务提供者（以下简称GAI提供者）架构的语料库、规则、算法等的自动化运行，其做出的行为均应被视为GAI提供者的行为，由GAI提供者享有权利、负有义务和承担责任。GAI的完整运行可分为两个阶段：研发阶段和提供服务阶段，即在向用户提供服务之前构建大模型的研发阶段和构建大模型完成后投入市场向用户提供服务阶段。GAI的运行需要海量数据，其提供者不可避免地要处理大量个人信息。此等语境下，造成个人信息权益损害或许需要承担侵权责任，但构成合理使用个人信息的，应免于承担民事责任。“然而，当前的合理使用原则要么阻碍机器学习的发展，要么剝夺让机器学习成为可能的人类创造者的权利”[1]。因此，如何在保护个人信息权益的同时促进GAI提供者合理使用个人信息这一问题亟待解决。本文主要聚焦GAI提供者的个人信息合理使用，根据GAI的运行机理和个人信息合理使用规则，破解GAI提供者合理使用个人信息的困境，以促进数字经济的健康发展。造成个人信息权益损害涉及的侵权责任不属于本文探讨范围，在此不赘述。

一、GAI提供者合理使用个人信息的具体适用

1.不适用情形

GAI提供者合理使用个人信息主要适用《中华人民共和国民法典》（以下简称民法典）第1036条和《中华人民共和国个人信息保护法》（以下简称个人信息保护法）第13条。个人信息保护法作为民法典的特别法丰富了有关规则[2]，当二者产生冲突时，应优先适用前者。个人信息保护法第13条规定了处理个人信息的合法性基础：“知情同意规则”和“合理使用规则”，第1款第1项规定的“知情同意规则”承继于民法典第1036条第1项的规定。“信息自决权的本质是信息主体对其自身信息的选择和控制。”[3]在“知情同意规则”中，处理个人信息的合法性源于自然人（或其监护人）基于信息自决权做出的同意，“‘同意是一种对于个人信息权益的处分”[4]。“正是有了这种同意，个人信息处理行为才不是非法的行为，具有了合法根据。”[5]而在“合理使用规则”中信息处理者无需取得同意，在满足法定条件后即具备处理个人信息的合法性基础。因此，个人信息保护法第13条第1款第1项不属于个人信息合理使用范畴，不在本文论证范畴，不再赘述。

根据个人信息保护法第13条第2款规定，符合该条第1款第2项规定的“订立合同所必需”[6]情形的，无需取得同意即可处理个人信息。然而，“这种情形下，处理者也是在取得自然人的同意的基础上处理个人信息的，而非仅因缔结合同或履行合同本身就可以直接处理个人信息”[7]。此条款属于“知情同意规则”，不属于个人信息合理使用范畴。“‘同意是自由意志的体现，是经自由意志思考、判断和衡量之后形成的决策，并将这种决策以明示或默示的方式进行表达。”[8]在提供服务阶段，基于合同关系，用户输入内容的行为是主动同意GAI提供者处理其输入的个人信息。“债权合同中所包含的同意与《个保法》第13条第1款第1项中的知情同意具有评价上的等值性。”[9]因此，个人信息保护法第13条第1款第2项属于“知情同意规则”，不属于个人信息合理使用范畴，同前述一致。

个人信息保护法第13条第1款第4项和第5项规定的“为维护公共利益所需要”[10]的情形承继于民法典第1036条第3项的规定，立法目的在于维护公共利益。“生成式人工智能的大规模机器学习往往是为了企业后续盈利做铺垫”[11]，目的是商业盈利而非维护公共利益。故GAI提供者未经同意处理个人信息不适用个人信息保护法第13条第1款第4项和第5项规定。个人信息保护法第13条第1款第7项属于兜底性条款，为不符合该款前6项的情形留出适用空间，不是本文论证重点，不再赘述。

2.研发阶段GAI提供者合理使用个人信息

在研发阶段，GAI提供者合理使用个人信息主要适用民法典第1036条第2项、个人信息保护法第13条第1款第6项和第27条的规定。个人信息保护法第13条第1款第6项承继于民法典第1036条第2项的规定。个人信息保护法第27条进行了详细规定，核心在于规制“自行公开或者其他已经合法公开的个人信息”，即“已合法公开的个人信息”。探讨GAI提供者在研发阶段如何构成个人信息的合理使用，需要分析语料库中个人信息的来源。语料库中个人信息主要来源于以下两个渠道：

其一，在提供服务阶段用户输入的个人信息。此类个人信息留存在神经网络中，用于产品的更新迭代[1]。例如，ChatGPT模型依托海量数据进行训练，其中包括大量用户输入的个人信息，ChatGPT模型可将其纳入自身的语料库并留存在神经网络中[2]。用户输入的个人信息可分为三类：自身个人信息，未合法公开的他人个人信息，已合法公开的他人个人信息。当用户输入“自身个人信息”时，信息主体基于合同关系做出真实意思表示，即同意GAI提供者处理其个人信息，是基于“知情同意规则”行使信息自决权，不属于合理使用个人信息范畴；当用户输入“未合法公开的他人个人信息”时，用户无权行使他人信息自决权，不构成对他人个人信息的知情同意，也不符合个人信息保护法第13条第1款第6项的规定。因此，GAI提供者可能构成合理使用个人信息的情形限于处理用户输入的“合法公开的他人个人信息”这一种情况。

其二，从互联网公开获取的个人信息主要有两类：已合法公开的个人信息，非法公开的个人信息。当处理非法公开的个人信息时，由于信息来源不合法，不构成个人信息合理使用。因此，GAI提供者可能构成合理使用个人信息的情形只限于处理从互联网获取的“已合法公开的个人信息”。

以上两种情况均是GAI提供者未经同意处理的个人信息可能构成合理使用的情形限于处理“已合法公开的个人信息”的情形。此等语境下，个人信息的来源具有合法性，是合理使用个人信息的必要条件。当使用语料库进行预训练或优化训练时，处理已合法公开的个人信息的根本目的在于训练、优化并形成接近人类自然语言等应用场景的大模型。GAI提供者的初衷是利用语料库而非利用个人信息来训练模型，本意不在于“个性化分析”[3]信息主体，与传统网络平台存在本质不同。“各种网络平台通过分析和利用海量的个人信息，对目标群体做人格画像，实施精准营销，甚至行为操纵，严重危害自然人的人格尊严，妨害人格的自由发展。”[4]因此，GAI提供者处理已合法公开的个人信息对信息主体的影响远低于传统网络平台为了精准营销处理个人信息对信息主体的影响，其符合在合理的范围内处理个人信息，可以适用个人信息保护法第13条第1款第6项的规定，构成个人信息的合理使用。

3.提供服务阶段GAI提供者合理使用个人信息

个人信息保护法第13条第1款第3项规定了两种合理使用个人信息的情形：“法定职责”和“法定义务”。其一“，履行‘法定职责的主体，一般应限定为具有处理个人信息权限的国家公权力机关”[5]，而GAI提供者不属于国家公权力机关，不能基于履行“法定职责”合理使用个人信息。其二，“法定义务是指信息处理者依据法律法规的规定而负有的义务”[1]。“若个人信息处理者的处理行为有明确的法律法规作为依据，则该处理行为合法。”[2]2022年，国家互联网信息办公室等三部门联合发布的《互联网信息服务深度合成管理规定》第10条第1款规定，深度合成服务提供者应对使用者的输入数据和合成结果进行审核。此规定属于部门规章而非法律法规，但该规定第10条第1款规定的内容审核义务是对民法典第1038条和《中华人民共和国网络安全法》第42条的“信息安全保障义务”[3]的具体规定。例如，在申某与支付宝（中国）网络技术有限公司等侵权责任纠纷案中，法院认定网络服务提供者应当对用户的个人信息负有安全保障的法定义务[4]。安全保护义务包括内容审核义务，平台有义务对用户发布的内容进行审核，从而有效应对网络违法犯罪行为[5]。基于履行内容审核等安保义务的需要，GAI提供者可能会未经同意处理个人信息。因此，在提供服务阶段，审核用户输入的内容和合成结果时，GAI提供者未经同意处理个人信息可基于履行内容审核等安保义务构成个人信息的合理使用。

二、GAI提供者合理使用个人信息的困境

在具体适用“合理使用规则”时，GAI提供者合理使用个人信息主要有以下三个困境，本文结合GAI的运行机理进行具体分析，阐述其内在逻辑和痛点。

1.“合理的范围”不明确

研发阶段，GAI提供者未经同意处理个人信息主要适用个人信息保护法第13条第1款第6项的规定，需满足“已合法公开的个人信息”和“合理的范围”两个条件，才能构成个人信息的合理使用。但现有法律对“合理的范围”并未做明确界定，学界也未形成共识。如何界定GAI提供者未经同意处理个人信息的行为是否超出“合理的范围”含糊不清，不利于GAI合法健康发展和个人信息权益保护。

在法律层面上，个人信息保护法第13条第1款第6项和第27条均出现“合理的范围”，但法律或司法解释未对其进行有效界定。有学者认为，个人信息保护法第27条规定了已公开的个人信息合理使用以“重大影响”“明确拒绝”等作为判断依据[6]，但“合理的范围”的两个限定条件可以视为不存在。其一，此种做法看似以对个人权益是否产生“重大影响”为标准界定处理行为是否在“合理的范围”内，实际是将一个抽象概念引向另一个更抽象概念，并未明确界定何为“重大影响”和有效限定“合理的范围”。其二，从文义解释，“明确拒绝”是信息主体明示不同意，即信息主体行使“拒绝信息被处理权”[7]，其是基于“知情同意规则”而非“合理使用规则”，更无从谈起“合理使用规则”中“合理的范围”的限定条件。个人信息保护法第27条是对已公开个人信息的特殊规制，即“合理使用规则”和“知情同意规则”并行，因此，其并未实质性对“合理的范围”进行有效界定。

在理论层面上，关于“合理的范围”的界定标准未形成共识。程啸认为，可以借鉴个人信息保护法（草案二次审议稿）第28条第1款的规定，将“合理的范围”限制在个人信息被公开时的用途[8]。确立“合理使用规则”的立法目的在于促进个人信息的合理使用，但GAI提供者处理大部分已合法公开的个人信息并非基于个人信息被公开时的用途，属于变更处理目的，须适用“知情同意规则”取得同意，与确立“合理使用规则”的立法目的相违背。同时，由于训练GAI需要海量数据，要求征求每位信息主体同意的做法将严重限制科技发展，不利于维护公共利益和提升社会价值。另有学者认为，“即便是结合具体场景有时也难以判断信息到底是什么用途，徒增其不确定性，而以‘合理范围对处理方式进行限制已然足够”[1]。采用“合理的范围”对法律的适用具有更大的调节性，但导致界定过于模糊，自由裁量范围过大，不利于法律适用中“法的稳定性”。有学者认为，“我们不妨从反面理解何为合理范围，亦即第三方的处理数据行为符合个人隐私预期、未对个人带来重大不利负担、不对数据原始处理者财产利益带来重大不利影响”[2]。采用三个模糊限定条件对“合理的范围”进行界定过于宽泛和抽象化。在实践中，信息处理者和法院需要进一步确定何为“个人隐私预期”和“重大”，徒增经营和司法成本。

以上观点均有局限性，并未提供合理标准去界定“合理的范围”，这极大地限制了GAI提供者合理使用个人信息。与传统网络服务提供者个性化分析信息主体不同的是，如果经济和技术上可行，绝大部分GAI提供者希望匿名化個人信息，以减轻或者避免承担个人信息保护责任，减少经营成本。“然而，在实践中，不可匿的匿名化是非常困难的，甚至是不可能的。”[3]因此，规制GAI提供者合理使用个人信息，难以借鉴法律对传统网络平台基于“精准营销”目的处理个人信息行为的治理。

2.履行告知义务的方式阻碍个人信息的合理使用

基于保障信息主体知情权的立法目的，个人信息保护法第17条详细规定了告知义务。“信息处理者‘合理处理已公开的个人信息时虽无需取得个人同意，但并不意味着他们的告知义务被当然地豁免。”[4]告知是处理个人信息的前置程序，“不具有基于意思自治的协商空间，自然也具有公法属性”[5]。GAI提供者仍须将履行告知义务作为合理使用个人信息的前置程序。同时，合法公开个人信息的目的是为维护公共利益实行舆论监督、提供公共服务和履行法定职责等，但GAI提供者合理使用这些个人信息并未基于以上公开时的目的，属于变更处理目的，应当履行告知义务并取得同意。因此，即使GAI提供者构成合理使用个人信息，仍须履行告知义务，但这几乎无法实现。

履行告知义务的方式可分为两种：第一种是逐一告知，即通过一对一的方式向用户告知；第二种是统一告知，即通过制定统一的个人信息处理规则向用户告知[6]。GAI提供者从互联网获取已合法公开的个人信息属于间接获取，并非从信息主体直接获取，很难同信息主体建立有效联系，甚至无法适用以上两种方式履行告知义务“。个人信息保护法旨在促进个人信息的合理利用”[7]，但现有履行告知义务的方式严重限制了GAI提供者合理使用个人信息。GAI的训练参数已达千亿级规模，如果以上述两种方式履行告知义务，要分析海量个人信息并精准识别信息主体，同其建立有效联系，这将耗费巨量时间和经济成本。当合规成本高于违法成本，信息处理者会铤而走险，忽视信息主体知情权，直接处理已合法公开的个人信息。“不管处理者在收集个人信息时是否取得同意，只要处理者的处理目的是新的、尚未告知个人的，那么该处理者所从事的这一处理活动都将构成对个人信息绝对权的侵害。”[1]因此，即使GAI提供者具备合理使用个人信息的合法性基础，现有履行告知义务的方式也将严重阻碍其合理使用个人信息，或加重损害个人信息权益。

3.履行内容审核等安保义务的处理目的与具体处理行为分离

在提供服务阶段，GAI输出结果的基本运行模式为：用户输入内容—审核用户输入内容—处理用户输入内容形成结果—审核合成结果—输出结果。在“审核用户输入内容”和“审核合成结果”两个阶段，基于个人信息保护法第13条第1款第3项规定的“法定义务”，GAI提供者具备处理个人信息的合法性基础，但这并不代表在其他阶段未经同意处理个人信息仍然具有合法性基础。此时，在“处理用户输入内容形成结果”阶段，GAI提供者未经同意处理个人信息要符合个人信息保护法第13条第1款第6项的规定，才能构成合理使用个人信息，这导致GAI提供者合理使用个人信息的困境又回到前两节讨论的问题，且产生新问题：在“处理用户输入内容形成结果”阶段，GAI提供者处理已合法公开个人信息的行为是否在“合理的范围”内，从具体处理行为和输出结果判断，将产生截然相反的结论。

具体而言，在“处理用户输入内容形成结果”阶段，GAI提供者处理已合法公开的个人信息的具体处理行为本身无非在或不在“合理的范围”内两种情况。其一，具体处理行为并未超出“合理的范围”，具备处理个人信息的合法性基础，符合“合理使用规则”，适用民法典第1036条第2项的规定，免于承担民事责任，审核行为将毫无价值。其二，具体处理行为超出“合理的范围”，无论输出的结果如何，都丧失处理个人信息的合法性基础，不构成个人信息的合理使用。但是，由于审核行为反复进行纠偏，具体处理行为被纠正到“合理的范围”内，合成结果也被纠正到合法范围内。此时，输出结果并未损害个人信息权益，从输出结果判断，具体处理行为在“合理的范围”内，具备合法性外观，构成个人信息的合理使用。因此，從具体处理行为和输出结果判断，GAI提供者处理已合法公开的个人信息的具体处理行为是否超出“合理的范围”，将产生截然相反的结论。

综上，产生以上问题的根源在于GAI提供者处理已合法公开的个人信息的具体处理行为与基于履行内容审核等安保义务处理个人信息的行为相分离，即履行内容审核等安保义务的处理目的与具体处理行为相分离。在提供服务阶段，当具体分析每个环节处理个人信息的具体行为时，履行内容审核等安保义务的处理目的无法涵盖整个提供服务阶段的所有处理个人信息的具体行为，导致在“处理用户输入内容形成结果”阶段，GAI提供者无法基于履行内容审核等安保义务构成个人信息的合理使用，而需要对其进行单独判断。“《个人信息保护法》中的合理使用规则可被抽象定义为‘基于某种利益保护所生，并在合理范围内处理信息的同意豁免行为。”[2]因此，在提供服务阶段，GAI提供者未经同意处理个人信息是否构成合理使用的关键在于如何将具体处理行为与履行内容审核等安保义务的处理目的相结合，应使GAI提供者明确个人信息的合理使用规则，进而促进个人信息的合法有效利用。

三、GAI提供者合理使用个人信息的困境的破解措施

1.“合理的范围”限定

GAI提供者处理已合法公开个人信息的行为是否在“合理的范围”内，应采用处理目的和处理行为是否具有合理性的标准进行双重判断。GAI运转机理在于：根据人类现实生活的真实场景，模拟人类学习过程，向量化储存海量数据，再通过语料库进行预训练和优化训练，形成独特的神经网络。此过程中，GAI提供者处理个人信息的目的并非个性化分析信息主体，而是构建“具有工具属性”[1]的GAI大模型，属于科学研究的范畴。需要特别说明的是，基于服务的完整性，GAI提供者会设定GAI汇总输出公众人物已合法公开的个人信息，但不会个性化分析公众人物[2]。在欧盟《一般数据保护条例》（GDPR）第5条第1款第b项的规定中，将基于科学研究目的进一步处理个人数据视为与最初目的不矛盾[3]。GAI提供者对个性化分析信息主体毫无兴趣，无需将其处理已合法公开的个人信息的合理目的限定在个人信息被公开时的目的范围内。“应根据不同的情境，尽可能设置特定、明确的个人信息处理目的。”[4]因此，根据目的限制原则，在研发阶段，可以将GAI提供者处理已合法公开个人信息的合理目的限定为构建大模型等计算机技术开发利用的科学研究目的，无论个人信息被合法公开时是基于何种目的，均应认定其处理目的具有合理性。

GAI提供者处理已合法公开的个人信息的行为是否处于“合理的范围”内，需根据处理行为对个人信息权益的影响程度来判断。一旦个人信息公开，就意味着其能被其他主体查询获取，甚至加工处理，这可能会对信息主体的人格权利益产生减损。这种减损如果已经发生，或持续发生，并不会因其他处理者做出相同的处理行为而造成更大的减损。个人信息碎片化地分散在语料库中，GAI提供者处理已合法公开的个人信息并不会个性化分析信息主体，因此对个人信息权益的减损微乎其微，远低于个人信息合法公开时已经对个人信息权益造成的减损。如果个性化分析特定主体，对构建GAI大模型无任何帮助，反而浪费大量的时间和金钱去承担更重的保护个人信息权益的责任，违背其商业目的。因此，当GAI提供者处理已合法公开的个人信息对个人信息权益的减损并未超过个人信息合法公开时对个人信息权益的减损，应当认定其处理行为具有合理性。

综上，在研发阶段，GAI提供者未经同意处理已合法公开的个人信息是为了构建大模型等计算机技术开发利用的科学研究，且处理行为对个人信息权益的减损未超越个人信息被公开时对个人信息权益的减损，应认定其处理行为属于“合理的范围”内，构成个人信息的合理使用。

2.以公示方式履行告知义务

基于个人信息保护法第18条第1款和第35条规定，符合“法律、行政法规规定应当保密或者不需要告知”的，或“告知将妨碍国家机关履行法定职责”的，可以免除告知义务。但GAI提供者处理已合法公开个人信息时很难适用这三种情形，并未解决履行告知义务阻碍GAI提供者合理使用个人信息的问题。“时代进步和创新意味着法律必须做出改变，甚至是放弃原有的思路，以实现对新兴事物有效的法律规范。”[5]因此，可将个人信息保护法第17条第3款的规定作扩大解释，将“通过制定个人信息处理规则”的告知方式解释为两种情形：第一，原有通常做法；第二，扩大解释的做法，通过官网和媒体长期公示获取已合法公开个人信息的具体来源和处理规则，向不特定自然人履行告知义务[6]。

具体而言，GAI提供者应在官方网站以及其他媒体向互联网长期公示其获取已合法公开的个人信息的具体来源和处理规则。所谓处理规则，现有规定已经足够明确，本文不再赘述。所谓具体来源是指GAI提供者获取已合法公开的个人信息的具体渠道，获取的内容、时间和范围，等等。具体公示标准应达到：任何不特定的自然人可以随时根据公开的内容和自身参与网络活动的情形，判断个人信息是否被获取或被获取的程度。信息主体可根据公示内容判断自己能否应向信息处理者主张权利，如果拥有权利可选择是否主张权利。告知选择可以保障信息主体拥有撤回其选择从而干预信息处理者自由的权利，同时又可以最大限度活跃信息流动[1]。以公示方式履行告知义务可以使GAI提供者在构成合理使用个人信息时有效履行告知义务，同时也可保障信息主体的知情权。

3.基于履行内容审核等安保义务合理使用个人信息

在提供服务阶段，由于数据数量庞大、算法复杂和计算机领域具有高度专业性，履行内容审核等安保义务的纠偏行为与具体处理个人信息的行为错综交织，纠偏过程始终贯穿具体处理行为，实践中很难严格区分。同时，现有的司法制度也无法做到对GAI的后台算法或运行架构进行具体分析，往往依据输出结果判断具体处理行为是否在“合理的范围”内。如果将二者分离判断，将浪费大量司法资源，甚至阻碍司法有效运行。因此，应从输出结果判断，将GAI提供者在提供服务阶段未经同意处理个人信息的所有具体行为视为一个整体行为，归于履行内容审核等安保义务的处理目的下。换言之，在提供服務阶段，GAI提供者未经同意处理个人信息可以适用个人信息保护法第13条第1款第3项的规定，基于履行内容审核等安保义务构成个人信息的合理使用。

在提供服务阶段，GAI提供者未经同意处理个人信息只有基于履行内容审核等安保义务，而非其他法定义务，才能构成合理使用个人信息。“个人信息的合理使用之所以是合法的行为，是因为法律基于公共利益等利益考量而对自然人的个人信息权益作出了限制。”[2]GAI提供者的法定义务包括版权保护义务、合规经营义务、保密义务等，如果不对其合理使用个人信息基于的法定义务进行限制，可能导致其以过度减损个人信息权益的方式履行法定义务。将具体处理行为纳入基于履行法定义务合理使用个人信息的范围内的做法，扩大了GAI提供者合理使用个人信息中处理行为的范围。但将法定义务限定在履行内容审核等安保义务时，GAI提供者须采取必要的措施维护个人信息权益，以合理限制其对个人信息权益的减损，进而在保障个人信息权益的同时又能促进GAI提供者合理使用个人信息。

四、结语

GAI属于智能化工具，现有的各种计算机处理工具也能生成GAI深度合成的内容，只是需要专业人员基于专业知识进行制作。GAI的出现让这种复杂的操作简单化，其带来的各种问题根源在于整个互联网尚未形成体系化的法律规制。GAI提供者处理个人信息的行为对信息主体的影响远远低于传统的网络服务提供者基于精准营销进行个性化分析对信息主体的影响。在我国文化中，信息主体注重的是处理个人信息对其产生的社会评价影响，而不是具体的个人信息处理行为。“在制定个人信息保护策略时，应兼顾生成式人工智能的经济和社会价值”[3]，平衡相关主体的核心需求才是解决问题的关键。应在保障信息主体核心需求的同时促进GAI提供者合理使用个人信息，进而促进数字经济的发展。

〔责任编辑：玉水〕

[1]张梦蝶：《数字经济时代的个人信息特征与行政监管保护需求》，《学海》2022年第1期。

[2]张凌寒、于琳：《从传统治理到敏捷治理：生成式人工智能的治理范式革新》，《电子政务》2023年第9期。

[1]B. L. W. Sobel， "Artificial Intelligences Fair Use Crisis"， Columbia Journal of Law & the Arts， 2017， 41（1）， p.45.

[2]王利明、丁晓东：《论〈个人信息保护法〉的亮点、特色与适用》，《法学家》2021年第6期。

[3]方明：《个人信息多元保护模式探究》，《学海》2018年第6期。

[4]万方：《个人信息处理中的“同意”与“同意撤回”》，《中国法学》2021年第1期。

[5]程啸：《论个人信息处理中的个人同意》，《环球法律评论》2021年第6期。

[6][10]夏伟：《论数据犯罪的立法重塑》，《法制与社会发展》2023年第4期。

[7]程啸：《论我国民法典中的个人信息合理使用制度》，《中外法学》2020年第4期。

[8]张薇薇：《公开个人信息处理的默认规则——基于〈个人信息保护法〉第27条第1分句》，《法律科学（西北政法大学学报）》2023年第3期。

[9]施鸿鹏：《任意撤回权与合同拘束力的冲突与协调》，《政治与法律》2022年第10期。

[11]朱鸿军、李辛扬：《ChatGPT生成内容的非版权性及著作权侵权风险》，《新闻记者》2023年第6期。

[1]需要特别说明的是，在第一代GAI的研发阶段，由于未投入市场向用户提供服务，语料库中不存在用户输入的个人信息，随着产品更新迭代，语料库中才会出现用户输入的内容。为了论证的严谨性，本文将对这两类来源的个人信息进行分析。

[2]孙祁：《规范生成式人工智能产品提供者的法律问题研究》，《政治与法律》2023年第7期。

[3]个性化分析是指，信息处理者根据收集的个人信息精准识别信息主体，并通过深度剖析信息主体的性格、行为特性、社会关系、偏好等形成用户画像，并依此实现精准营销。

[4]程啸：《论我国个人信息保护法中的个人信息处理规则》，《清华法学》2021年第3期。

[5]江必新、李占国主编：《中华人民共和国个人信息保护法条文解读与法律适用》，中国法制出版社2021年版，第47页。

[1][8]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第132页，第253页。

[2]龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021年版，第59页。

[3]中国审判理论研究会民事审判理论专业委员会编著：《民法典人格权编条文理解与司法适用》，法律出版社2020年版，第291页。

[4]北京市朝阳区人民法院（2018）京0105民初36658号民事判决书。

[5]单勇：《数字看门人与超大平台的犯罪治理》，《法律科学（西北政法大学学报）》2022年第2期。

[6]王冉冉：《已公开的个人信息的合理使用及其缩限》，《现代法学》2023年第4期。

[7]马新彦、刘睿佳：《已公开个人信息弱化保护的解释论矫正》，《吉林大学社会科学学报》2022年第3期。

[1]龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021年版，第122页。

[2]包晓丽：《数据四象限分类确权规则研究》，《法学杂志》2023年第6期。

[3]F. Z. Borgesius， J. Gray， M. van Eechoud， "Open Data， Privacy， and Fair Information Principles： Towards a Balancing Framework"， Berkeley Technology Law Journal， 2015， 30（3）， p.2120.

[4]解正山：《论已公开个人信息的“合理处理”》，《学习与探索》2022年第9期。

[5]喻文光、郑子璇：《数字时代政府机关处理个人信息告知义务制度的公法建构》，《人权》2022年第3期。

[6]程啸：《个人信息保护法理解与适用》，中国法制出版社2021年版，第176页。

[7]何松威：《论领域法的私法研究范式——以〈个人信息保护法〉研究为例》，《当代法学》2022年第4期。

[1]阮神裕：《个人信息权益的二元构造论》，《法制与社会发展》2023年第4期。

[2]吴国喆、王文文：《数据共享视域下个人信息“合理使用”的场景化判定》，《西安交通大学学报（社会科学版）》2023年第3期。

[1]张欣：《生成式人工智能的数据风险与治理路径》，《法律科学（西北政法大學学报）》2023年第5期。

[2]此种汇总输出不同于个性化分析，只是对公众人物的个人信息进行聚集排列和整合输出，后续审核输出结果，这会降低此种基本整合对公众人物的影响。

[3]《欧盟〈一般数据保护条例〉（GDPR）：汉英对照》，瑞栢律师事务所译，法律出版社2018年版，第45页。

[4]刘权：《论个人信息处理的合法、正当、必要原则》，《法学家》2021年第5期。

[5]彭中礼、刘世杰：《从“特殊性”到“去特殊性”——人工智能法律规制路径审视》，《济南大学学报（社会科学版）》2019年第4期。

[6]国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术个人信息处理中告知和同意的实施指南》（GB/T 42574—2023）第8.1条第a项第4目规定：“当向个人逐一告知的成本过高或者有显著困难时，可以通过公告的形式发布个人信息保护政策。”此标准是推荐性国家标准，不具有强制约束力，且公告的方式、时间、具体标准等均未详细规定。

[1]彭诚信、史晓宇：《论个人信息财产价值外化路径的重构》，《当代法学》2023年第2期。

[2]程啸：《论我国民法典中的个人信息合理使用制度》，《中外法学》2020年第4期。

[3]钭晓东：《风险与控制：论生成式人工智能应用的个人信息保护》，《政法论丛》2023年第4期。