生成式人工智能个人信息安全的风险治理研究

文 | 公安部第三研究所 姚迁 盛小宝 刘晋名

目前，全球人工智能的竞争已经从技术层面扩展到监管治理层面。经济合作与发展组织（OECD）人工智能政策观察站的数据显示，全球已有70多个国家和地区出台了超过800项人工智能治理相关政策，其中，最为关键的一项议题即为如何加强人工智能应用过程中的个人信息保护。

在国内层面，我国首部针对生成式人工智能监管的专门立法《生成式人工智能服务管理暂行办法》（以下简称《暂行办法》），在多处条款强调了生成式人工智能服务提供者和用户的个人信息保护义务。例如，《暂行办法》第四条明确要求，提供与使用生成式人工智能服务不得侵害个人信息权益；第七条针对训练数据处理提出合法来源等合规要求，并强调处理涉及个人信息的数据应当取得个人同意或者符合其他法定情形；第九条则明确了服务提供者应当依法承担个人信息处理者责任，并在第十一条等条款中细化了对“使用者输入信息和使用记录”的个人信息保护义务。在行政法规层面，《网络数据安全管理条例》也首次提出要加强训练数据及相关处理活动的安全管理。上述立法与政策动向，清晰地表明了将生成式人工智能纳入规范轨道的紧迫性与广泛共识。

一、现存问题

目前，有关行政主管部门对生成式人工智能的个人信息安全风险治理未能与生成式人工智能技术逻辑、产业特殊性以及当下“多头监管”的特殊性相关联，主要存在以下问题。

（一）风险认知不足

准确把握生成式人工智能全生命周期可能产生的个人信息安全风险，是有关风险治理的逻辑起点。生成式人工智能技术引发的个人信息安全风险具有高度复杂性和多阶段性特征，目前对其认知主要存在以下问题。

一是风险全链路的系统性认知仍需完善。当前，从数据收集、模型训练到推理应用的完整技术链条中，各环节如何相互影响、风险如何传导与演化，有关行政主管部门对此的系统性认知仍在构建过程中。生成式人工智能自身复杂的技术逻辑，也为治理工作更精准地前置部署、防范风险带来了现实挑战。

二是抽象的法律规范难以与具体风险要点相对应。我国以《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）为核心的个人信息权益保护法规体系形成于生成式人工智能兴起之前，未能考量生成式人工智能可能带来的侵犯个人信息的新形式与新问题。《暂行办法》相关条款更多体现的是原则性强调与责任衔接，针对具体风险点的操作性规则仍有待进一步细化与配套完善。在生成式人工智能爬取公开个人信息、跨境流转个人信息等新场景下，如何将“最小必要原则”“知情同意原则”等个人信息保护原则落实到实践执法过程中，以及如何将抽象的法律要件转化为具体的执法指引，仍待进一步研究。

三是应对生成式人工智能独特风险的效率有待提升。相较于传统信息安全风险，生成式人工智能模型的工作机制更为复杂。目前，各类攻击手法（如数据溯源、训练数据提取、属性推理、成员推理等）正不断演化且形式多样。在执法资源有限的条件下，基层执法通常需要与外部技术力量协作应对，此种模式在风险发现的及时性和处置过程的效率方面，仍需进一步优化。

（二）治理对象确定难与归责难

《暂行办法》将生成式人工智能服务明确为服务而非产品，并规定由生成式人工智能服务提供者承担个人信息处理者责任。在《暂行办法》框架下，如何精准把握作为个人信息处理者的生成式人工智能服务提供者范围，提高治理归责的精准性，则显得尤为关键。

不同于《互联网信息服务深度合成管理规定》（以下简称《深度合成管理规定》）区分“技术支持者”与“服务提供者”，《暂行办法》并未作二元主体划分。由此也产生了争议，即不面向公众提供服务的基础模型开发者、专业模型提供者是否属于“生成式人工智能服务提供者”，从而需要承担全链条的个人信息处理者责任。

在模型即服务的新型产业模式下，生成式人工智能的个人信息处理活动受开发者、部署者、用户以及第三方供应商等多方主体与不同开发模式的影响，“基础模型—专业模型—服务应用”的分层结构导致各层主体功能交叉融合。在这种复杂的产业业态以及治理与创新双轮驱动的大背景下，厘清责任主体并进行精准归责成为当下亟待解决的难题。

（三）治理权力边界待进一步明晰

在生成式人工智能安全与个人信息保护治理上，我国的监管体制在法律层面设计为中央网信部门统筹协调、相关主管部门各负其责的“统分结合”模式。这一顶层设计为协同共治提供了制度基础。

与此同时，鉴于生成式人工智能技术迭代快、应用场景广、风险外溢性强等特点，相关监管事项在实践中往往需要多部门在职责范围内协同推进，客观上形成了多部门共同监管的格局。在这种格局下，虽然突破了单一监管可能存在的视野局限，但也逐渐暴露出执法标准不一、执法协调不足等问题。虽然我国在个人信息保护领域已经开始探索联合执法模式，但在生成式人工智能个人信息保护这一新领域，各行政主管部门之间的协同分工机制、各自的关注重点差异，仍需进一步厘清与明确。

二、策略研究

生成式人工智能个人信息的安全风险治理，亟须从全生命周期视角提出具体可操作的制度与机制方案。为此，策略研究将从风险梳理、责任配置与监管模式优化三个层面展开。

（一）系统梳理生成式人工智能个人信息风险

为增强后续治理策略的针对性，以下将生成式人工智能个人信息风险按全生命周期划分为三个阶段。

一是数据收集与预处理阶段。生成式人工智能技术的数据收集与预处理阶段是个人信息安全风险的首要环节。一方面，由于生成式人工智能依赖于自监督或无监督学习范式，其对原始数据的需求量显著高于传统人工智能系统，海量多元异构数据往往难以得到彻底过滤和清洗，其中就包括导致数据获取过程中包含银行卡号、个人住址、生物特征数据等个人信息；另一方面，大模型开发者、数据标注服务提供商等主体内部个人信息保护制度不完善，也会导致个人信息泄露。

二是模型训练与优化阶段。在模型训练与优化阶段，生成式人工智能的技术特性加剧了个人信息泄露风险。随着模型参数规模的扩大和性能的提升，模型展现出的强大记忆能力带来了隐私泄露的隐患。例如，GPT、BERT、RoBERTa等主流生成式模型，均已被研究证实存在隐私泄露问题。DeepMind研究团队发现ChatGPT存在重大安全漏洞，该漏洞导致训练数据和个人信息（包括姓名、工作地址、职位、邮箱和电话等）泄露。利用其攻击方式，可以提取出大约1GB的训练数据，而且随着模型的不断训练，提取到的训练数据也越多。

三是模型应用阶段。首先，模型应用本身可能引起个人信息安全风险。为提升生成内容质量，生成式人工智能在与用户交互时会存储记录包含个人信息在内的用户数据，其中既包括服务使用者主动提供的文档，也包括通过设备读取的个人资料。在对该等交互数据进行传输和处理过程中，可能导致个人或企业服务使用者的私有数据对外泄露。例如，检索增强生成（RAG）技术的应用进一步扩大了风险范围，当系统调用外部知识库时，可能误检索包含他人隐私的数据条目。此外，生成内容可能携带隐式身份标识，如人工智能绘图中的数字水印、语音合成中的声纹特征等，这些信息可能被用于跨平台用户画像构建，形成“数据再识别”风险链。其次，存在生成式人工智能的服务提供者违规获取用户个人信息的风险。数据是生成式人工智能的核心驱动要素，而个人信息无疑是目前最有价值的一类数据。生成式人工智能服务提供者可能违规收集用户交互过程中的个人信息，进行个人画像，以实现广告精准投放、模型优化训练等目的。此外，外部攻击者通过诱导大模型从而引发的个人信息泄露事件也层出不穷。一方面，可通过训练数据提取攻击、成员推理攻击、属性推理攻击等攻击方式获取训练数据中的个人信息；另一方面，在专业模型定制化开发场景下，攻击者会根据开发者为用户定制的提示词实现泄露攻击，泄露的提示词中就有可能包含用户画像相关的个人信息。

（二）构建生成式人工智能个人信息保护主体责任矩阵

通过梳理生成式人工智能在不同阶段的个人信息安全风险不难发现，其风险成因和表现形式会随着技术环节的变化而有所不同。因此，需要依据不同主体在各个阶段对风险的实际控制能力，合理分配相应的责任。

一是需要明确区分开发者和服务提供者的责任边界。主流观点认为，服务提供者排除仅提供技术支持的主体。在算法备案实践层面，“生成合成类”算法需区分“服务提供者”与“技术支持者”并进行分类管理。在规范层面，生成合成算法服务提供者、深度合成服务提供者、生成式人工智能服务提供者存在较大交叉重叠，而《深度合成管理规定》明确进行了二元主体划分，应遵循该规定以避免主体划分逻辑矛盾。

二是在区分开发者与服务提供者基础上，需进一步结合生成式人工智能的产业链条，清晰定位上中下游各环节的行动主体，每一主体应承担与之对应的个人信息保护义务。结合生成式人工智能的研发、部署、运行等生命周期，面向其产业链的个人信息保护主体责任矩阵（如表所示）。

表 生成式人工智能个人信息保护主体责任矩阵

（三）坚持违法犯罪预防导向，明确治理权力边界

在生成式人工智能技术快速发展的当下，个人信息安全风险越发凸显，因此，亟须我国行政主管部门坚持违法犯罪预防导向，结合技术风险特性完善治理架构，并在协同监管框架下明确治理权力边界。这里的权力边界不仅是部门权限的静态划分，更包括对监管对象、监管强度与协同机制的规则化安排，通过风险识别界定“管什么”的重点，通过分级分类明确“怎么管”的尺度，以及通过协同共治划定“谁来管”的职责。

一是准确识别风险，明确治理对象及其重点。生成式人工智能技术应用场景众多，其数据来源、流转途径以及利用形式存在很大差别，个人信息面临的安全风险呈现隐蔽性高、难以识别、影响面广等特征。对此，有关行政主管部门应结合生成式人工智能具体应用场景，深入分析个人信息在收集、存储、使用、共享、转移等环节的数据处理活动，厘清其技术架构、算法模型与平台功能可能存在的安全漏洞。

值得注意的是，鉴于生成式人工智能技术的数据收集与预处理阶段在个人信息安全风险防护中的重要性，有关行政主管部门应特别关注数据服务供应链安全问题。生成式人工智能开发者往往因经济考量以及庞大的数据需求选择第三方供应商进行数据资源支持。这种基于成本控制与资源整合的协作模式，虽有效缓解了企业自主收集数据的压力，却使数据要素的流转范围从封闭式研发环境延伸至开放式供应链网络，形成数据主权归属模糊、多主体权责交叉的新型风险场域。

对此，有关行政主管部门应从数据资源整合、工具与算法安全、交付渠道防护（如SaaS/PaaS）以及数据合规要求等维度，重点检查数据需方、供方、二级供应商等主体是否通过技术、管理和合规手段确保数据在供应链全生命周期中的安全可控等。

二是分类分级实施管控举措，塑造多层次立体防护系统。人工智能治理的趋势是采取基于风险导向方法（risk-based approach），强调构建人工智能分类分级治理体系。基于风险的方法核心是根据风险的高低、性质、级别等配置规制活动的优先次序，以实现最优的资源分配和效果达成。根据汉德公式，生成式人工智能的开放式架构导致预期损失（PL）在多场景中趋近无限大，而风险预防成本（B）受技术可行性制约（如消除算法幻觉需持续高额研发投入）。当B/PL趋近于1时，过错责任框架可避免严格责任导致的预防成本过载，尤其考虑到生成式人工智能系统的“长尾风险”不可穷尽特性。

基于此，有关行政主管部门应根据侵害公民个人信息违法犯罪行为的不同风险等级，采用差异化的管控手段，根据不同个人信息安全风险等级的生成式人工智能应用，制定差异化的责任分配规则。例如，当个人信息泄露可能涉及公共安全、国家安全等高风险领域时，有关行政主管部门需实施严格监管，落实穿透式问责，开展重点防护。对于一般风险，则应以软性执法为主，加强日常风险检测评估。

三是加强多元共治。根据我国人工智能安全监管与个人信息保护行政执法体制从协调到整合的过渡阶段特征，结合生成式人工智能领域特殊性，建议重点推进以下工作：第一，树立“安全与发展共同体”理念。突破传统部门化监管思维，在人工智能安全监管与个人信息权益保护等交叉融合新领域，引导培育整体性行政执法理念共同体。第二，推动地方监管创新试验。在北京、上海、杭州等生成式人工智能前沿地区开展监管试点。整合“算法检查”“个人信息保护”等执法事项，尝试构建“综合执法”机制。第三，强化法治顶层设计。通过高位阶法律文件明确在生成式人工智能个人信息保护领域中的跨部门联合执法机制。

三、结 语

目前，我国对生成式人工智能个人信息的安全风险治理正在从单一领域监管逻辑向多元领域监管逻辑进阶。有关行政主管部门应以自身使命与职责为指导，立足于人工智能安全监管与个人信息保护安全监管双重规范体系，为生成式人工智能的有序发展提供坚实支撑。

展望未来，为推动生成式人工智能个人信息风险治理体系走向成熟，制度建设的重心宜在既有法律原则框架之上进一步转向精细化、可操作的配套供给。具体而言，一是可研究制定面向生成式人工智能场景的《个人信息保护合规指引》或配套标准，将《个人信息保护法》的一般义务细化为可核验的操作规范与证据规则。二是可探索建立与分级分类监管相衔接的“监管沙盒”机制，通过明确准入条件、过程监测与退出评估，在限定场景、限定对象与限定期限内为创新应用提供风险可控的测试空间。三是可通过试点推动建设跨部门的人工智能安全风险评估与应急响应支撑平台，在中央统筹协调下统一风险评测方法、事件分级标准、线索共享、处置反馈与复盘整改机制。

通过上述更具可落地性的制度与能力建设，方能在鼓励技术创新的同时守住个人信息权益底线，提升监管的可预期性与可问责性，推动生成式人工智能在安全、可信的轨道上持续发展。【本文系中央级公益性科研院所基本科研业务费专项资金项目“公安机关对生成式人工智能的个人信息安全的风险治理”（项目编号：C25340）的阶段性研究成果】

（本文刊登于《中国信息安全》杂志2026年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。