优化知情同意规则促进生成式人工智能向善发展

第55次《中国互联网络发展状况统计报告》显示，截至2024年12月，中国生成式人工智能产品用户规模达2.49亿人。生成式人工智能通过数据分析、技术处理、逻辑推演，能够具备人类的思考、推理、分析和交互等能力，在很多行业领域应用广泛。随着数字经济的发展，以及人们对隐私权、人格权保护的日益重视，如何实现法律规制与技术创新相协调，进一步防范生成式人工智能的风险，促使生成式人工智能领域治理的法治化、规范化、科学化，成为一项重要课题。在此背景下，优化立法中的知情同意规则尤为关键。

从发展渊源看，知情同意规则源起于医疗领域，最初是指患者在对健康状况、治疗方案、医疗风险充分了解的基础上，进行自我决定和决策，体现的是对患者人格尊严的尊重和健康利益的保护。在信息领域，知情同意规则发挥着重要作用，强调在获得信息主体的同意和确认后，个人信息的使用、处理行为方具有正当性基础，注重对信息主体的人格尊严及信息自决的尊重、保护。大数据时代，知情同意规则对信息自决权和隐私保护的重要性毋庸置疑。

实践中，在个人信息的获取、使用、流转等环节，信息主体的知情同意授权已成为常规操作，但受一些因素影响，知情同意的“强同意”在诸多领域逐步衍变为“弱同意”，权利保护和信息利用的平衡治理亟待关注。一是同意的形式化。知情同意协议长篇累牍，专业术语生涩、难以理解，信息主体出于迫切性和时间考量，不得不选择全部同意。二是捆绑性选择。即不同意就无法继续使用相关服务，信息主体需在授权与退出之间二选一。三是后续监管难。信息主体一键授权，同意即为永久有效，后续信息的使用者和使用环节不确定或不可控，面临扩展性使用和泄露的风险，监管治理难度较大。

数据资源是生成式人工智能训练的来源和养料，而知情同意规则是生成式人工智能确保数据溯源可信、使用合规的重要基石。国家发展改革委等六部门2025年1月6日印发的《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》，从事前安全治理、事中安全支撑、事后安全保障等方面对数据流通进行了全方位规划，强调个人数据流通中取得个人同意的合法性。生成式人工智能应具备法律规则的规范性、技术应用的安全性，可以通过优化知情同意规则，形成发展向善、安全可信、治理可靠、救济有效、规范完备的法律体系，以促进其向善发展。

一是树立合理限度、最小必要的治理理念。我国发布的《全球人工智能治理倡议》提出了“以人为本、智能向善”的人工智能发展方向。最小必要是生成式人工智能收集个人信息、获得授权同意所需要遵循的基本理念，在立法和司法过程中需要秉承这一理念，加强对立法完善及司法实践的引导。生成式人工智能涉及全方位、深层次挖掘个人信息的处理过程，在利用数据信息的各环节中，对数据信息的收集、处理应秉持合理、必要的限度，避免过分收集、提取私密的个人信息，通过加强算法规则的技术审查、预先评估风险、严格执行备案机制等方式，尽可能降低信息泄露的风险，在数字经济发展与个人信息保护之间寻求有效的平衡点。

二是落实分级分类的治理模式，差异化配置不同的同意模式。一方面，区分不同信息的保护边界和保护方式。例如，对个人普通信息，获得信息主体默示同意；个人敏感信息，需要获得信息主体明示同意；人脸信息、金融信息等识别特征、私密特征强的信息，需要获得信息主体明确的书面同意。另一方面，告知方式不仅应当简洁、明晰、容易理解，而且如后续用于生成式人工智能的数据训练、人机交互等用途还应明示告知，对于可能改变数据处理范围或向其他机构提供的情形，则需动态获得信息主体的同意，进行二次授权确认，保证处理过程的透明度。此外，信息主体需要掌握信息控制的灵活性与主动权，如享有删除、更正、撤回同意的退出性权利，使得生成式人工智能利用信息的风险更加可控。

三是促进数据信息的合规流通，实现知情同意等全流程的可追溯式监管。运用区块链等技术手段对信息利用、流转的环节进行监管，使得每个环节能够实现可追溯管理，建立动态的治理体系，坚守数据安全底线。利用自动化检测程序、工具加强对数据流通的实时监管，保证每一阶段的处理合规、透明，并建立识别和预警机制，实现流程化操作的留痕，确保过程可追溯、责任可界定。破除监管壁垒，各部门形成常态化的监管合力，实现监管部门的联动性、一致性、协调性，打造多元共治的格局。构建治理闭环，通过行政监管、企业自治、社会参与、第三方监督等多方协同，形成监管机构主导、企业强化自律、公众积极参与、外部独立监督的有效治理机制。

四是适用举证责任的倒置，细化司法程序，推进生成式人工智能权益救济的法律路径更加有效。由于生成式人工智能运行过程主要涉及电子证据，其具有易变性、多样性、技术依赖性等特点，适用“谁主张谁举证”的一般证据规则可能会引发取证难等问题。信息处理者是具有地位优势和技术优势的一方，负责信息的收集、存储、使用、加工等环节，举证能力强，在司法程序中应当举证倒置，加大其举证责任，从而降低信息主体的维权难度和成本，以弥补技术优势等因素在信息主体和信息处理者之间造成的差距和不足。

五是推进统合式立法，助力生成式人工智能法律体系更加完备。当前，网络安全法、数据安全法、个人信息保护法以及《生成式人工智能服务管理暂行办法》等法律法规，为加强对人工智能的监管提供了制度支撑，体现了多维度、多层次性的特点，明确了人工智能发展的规则和秩序，但法律法规之间存在一定交叉，需要结合生成式人工智能复杂、多样的发展趋势进行整合，形成系统、规范的人工智能法律体系。生成式人工智能的良好发展既要技术赋能，又要受到法律规则的约束，进而筑牢数字信任体系基础，助推数字经济发展。

（作者：叶欣，系武汉大学国际教育学院副教授）