【摘要】我国通过算法推荐、深度合成、生成式人工智能、拟人化人工智能等一系列专项治理规则,逐步形成以敏捷治理为特征的人工智能治理路径。这种问题导向、场景驱动的治理模式,在快速回应技术演进的同时,也为产业发展提供制度弹性,并在实践中积累了丰富的监管经验。在现有治理框架下,人工智能专项规则与现有以数据为焦点的狭义法律体系之间的关系,仍主要停留在法律依据层面,在规则协调与适用路径方面的衔接,有待进一步强化。在人工智能专门立法尚未形成系统框架之前,亟需推动人工智能专项规则与《个人信息保护法》深度衔接,通过明确规则接口、强化适用与激活既有法律原则,提升治理体系的整体协调性,为人工智能立法奠定坚实基础。
【关键词】人工智能 个人信息保护 人工智能立法
【中图分类号】D92 【文献标识码】A
生成式人工智能技术的快速发展,正在重塑信息生产、传播与利用方式。当前,大模型训练、智能推荐和内容生成等应用场景不断扩展,人工智能在数据采集、模型训练与内容输出等多个环节,深度嵌入个人信息处理过程,使个人信息保护面临一系列挑战。2026年政府工作报告提出“完善人工智能治理”。①《中华人民共和国国民经济和社会发展第十五个五年规划纲要》提出,“完善互联网内容管理、网络平台治理等法规。严厉打击网络违法犯罪行为,加强个人信息保护……完善人工智能领域法律法规、政策制度、应用规范、伦理准则,健全算法备案、透明度管理、安全评估等制度”。②我国采取以部门规章和专项规则为主的敏捷治理路径,围绕算法推荐、深度合成、生成式人工智能等关键技术领域,逐步构建起一套具有实践导向的人工智能治理体系。随着人工智能专门立法逐步进入议程,如何在既有法律体系框架下实现规则整合,尤其是如何在延续《中华人民共和国个人信息保护法》制度基础的同时,吸纳近年来人工智能治理实践所积累的经验,成为一个值得关注的问题。
我国人工智能治理在专项规则与基础法律衔接上面临的挑战
近年来,我国人工智能治理已初步形成以快速响应为导向的敏捷治理路径。③在人工智能技术快速演进的背景下,我国通过部门规章和专项规则,在算法推荐、深度合成、生成式人工智能等重点领域持续推进制度建设,从而使监管及时回应技术变化,为产业发展提供必要的试验空间,在实践中不断积累治理经验。从效果上看,敏捷治理不仅提升监管的灵活性,而且使我国在全球人工智能治理体系中逐步形成具有自身特色的制度路径。一方面,这种模式能够在发展与安全之间保持动态平衡;另一方面,也为后续更高层级的立法提供丰富的实践基础。
在上述多层次结构中,基础法律体系发挥着支撑作用。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),为我国网络数据安全管理提供了规范依据。其中,《个人信息保护法》确立了合法性基础、目的限制、最小必要、公开透明、责任追究等一整套原则,为各类数据处理活动提供基础框架。
可以说,在人工智能领域,治理体系逐步形成以基础法律为支撑、专项规则为补充、未来专门立法为方向的多层次结构。随着人工智能应用场景的拓展,现有规则体系的结构性问题逐渐显现。尤其是在个人信息保护领域,人工智能专项治理规则虽以《个人信息保护法》为制度基础,但在具体制度设计、规则适用和责任配置上,二者之间的衔接仍存在一些环节有待完善。例如,人工智能专项规则快速扩展,但整体统合不足;《个人信息保护法》在人工智能场景中的适用边界和实施路径有待明确,部分制度工具尚未有效激活;在专项规则与基础法律关系尚未理顺的情况下,执法标准、企业合规和司法裁判均面临一定不确定性,影响治理效能与产业预期。
从治理逻辑看,《个人信息保护法》以个人信息处理活动为中心,强调数据处理的合法性基础与个人权益保护,其核心是一套围绕“数据”的规范体系;而人工智能专项规则,更多以技术服务提供者为监管对象,围绕模型、算法及内容生成展开,形成以技术应用为导向的治理逻辑。二者在规则出发点和规范重心上的差异,使得同一治理对象在不同规则体系下呈现出不同的规制方式。
从合规机制看,在算法备案、安全评估、内容标识等领域,不同规则体系均提出相应要求,在适用条件、监管主体及具体程序上并未形成统一标准,容易导致企业在实践中面临重复备案、重复评估、标准不一致等问题。
从风险覆盖看,随着大模型技术的发展,数据抓取、模型训练和内容输出所带来的新型风险不断显现,但这些风险尚未在《个人信息保护法》的既有框架中得到充分回应。尽管该法已确立最小必要、公开透明、可问责等基本原则,并在自动化决策等方面提供具体规则,但在模型层面和系统性风险治理方面如何适用尚待进一步明确。
上述三方面问题对监管实践、企业合规及司法适用的现实影响,可以从三个方面加以分析:
专项规则中“一般义务嵌入特殊场景”的问题。以拟人化人工智能等专项治理规则为例,其中涉及的能力建设、风险防控和安全评估等要求,本质上具有跨场景的普遍适用性,并非仅限于特定技术类型或者应用场景。然而,这类规则往往针对特定应用场景,其制度效力往往局限在一定范围之内。一方面,一些具有一般意义的治理要求未能上升为统一规则;另一方面,由于《个人信息保护法》并未明确规定类似义务,其法律基础难以追溯,也难以对其正当性和有效性进行全面评估。
不同位阶规则的适用顺序和关系问题。当前,人工智能专项规则在立法目的上与《个人信息保护法》保持一致,但实践中,当专项规则与基础法律在适用范围或义务要求上出现交叉时,缺乏清晰的优先适用标准,容易导致执法与合规中的不确定性。有学者提出,应当对《个人信息保护法》进行针对性扩展或细化,以回应人工智能场景中的新型问题。④无论采取何种路径,明确两类规则之间的关系,是十分必要的。
整体规则体系的系统整合问题。从发展路径看,我国人工智能治理仍处于“边探索、边完善”的阶段,现有规则既包括基于具体技术类型的专项规制,如《互联网信息服务深度合成管理规定》,又包括横向适用于多个场景的一般性治理措施,如《人工智能生成合成内容标识办法》,同时还存在针对特定应用场景的差异化要求,如《人工智能拟人化互动服务管理暂行办法》。这种多路径并行的发展方式有助于快速回应现实需求,但随着规则数量不断增加,碎片化特征也日益突出。这需要在保持灵活性的同时,推动规则体系实现结构性整合,在条件成熟时探索体系化的可能路径。
人工智能专项规则与《个人信息保护法》的衔接协调具有多方面重要意义。在监管层面,容易出现职责交叉与标准不一的情况;在合规层面,企业在理解和执行规则时面临较高的不确定性,合规成本显著上升;在司法层面,则难以形成稳定一致的裁判标尺。
在制定之初,《个人信息保护法》并未针对大模型训练、数据抓取、模型输出等人工智能特有问题作出专门设计,而是以一般性个人信息处理活动为核心。尽管其原则体系具有一定前瞻性,具备适用于人工智能场景的制度潜力,但是在具体落地层面,相关规则尚未得到充分展开和系统适用。人工智能专项规则在实践中不断细化具体义务,在一定程度上弥补了基础法律在特定场景中的不足。由于两类规则在适用方式上的差异,其协同关系仍有待进一步明确。因此,我国人工智能治理体系虽已经形成基本结构,但在人工智能技术持续演进的背景下,如何推动这一多层次制度体系实现有效整合,尤其是强化与《个人信息保护法》的制度协同,已成为重要课题。
立足《个人信息保护法》优化人工智能治理规则体系
当前,在人工智能立法逐步提上议程的背景下,首先需回答的一个关键问题是:人工智能立法是否就能解决上述体系衔接问题?
需要强调的是,人工智能治理的核心问题并未脱离数据治理范畴。无论是大模型训练中的数据来源,还是模型输出引发的隐私风险,都围绕个人信息的收集、处理与使用展开。即便在模型层面出现新型风险,很大程度上仍需回溯至数据层加以回应。因此,《个人信息保护法》所确立的合法性基础、目的限制、最小必要及可问责等制度原则,不仅没有因人工智能技术的发展而失效,反而成为人工智能治理的重要基础。《个人信息保护法》中关于自动化决策、信息透明及责任追究等制度安排,均具有在人工智能场景中进一步适用和落实的空间。如果在制度尚未被充分运用的情况下即转向全新的立法框架,容易陷入重复构建规则体系的窠臼。
从全球治理经验看,人工智能治理格局仍处于高度不稳定发展阶段。各国在治理路径上的探索尚未形成稳定共识,围绕原则性规范与专项规则之间关系的制度安排仍在持续调整。人工智能技术呈现出高度不确定性和快速迭代特征,关键性突破的发生路径与时间节点难以预判,规则在实践中往往呈现出反复调整甚至被动回调的状态,⑤部分制度不得不通过延后实施或降低监管强度加以修正。以欧盟为代表的人工智能治理路径采取“新立法叠加既有体系”的模式,凸显出现行治理模式与技术发展之间的深层错位。欧盟的《人工智能法》与《通用数据保护条例》,在适用范围、风险分类与权利结构上,仍存在一定程度的交叉与张力。这种并行推进的方式,虽有助于应对技术风险,但也存在规则适用边界不清、合规路径复杂化等问题,反映出协调机制方面的不足。
我国目前通过既有法律框架的延展与嵌入来实现规制目标,在自动化决策、信息透明、个体权利与责任配置等方面,《个人信息保护法》提供了较为系统的法律依据。在人工智能专门立法尚未出台之前,可以优先强化其与算法推荐、深度合成、生成式人工智能等专项规则之间的衔接,实现对新技术场景的有效覆盖。一方面,通过提升规则之间的协调性与可预期性,可降低企业在多重规范体系下的合规不确定性,稳定技术创新的制度预期;另一方面,通过激活《个人信息保护法》既有的权利保护与风险控制机制,在不降低保护水平的前提下实现对人工智能应用的动态治理。若能够在既有法律体系基础上实现规则协同与制度整合,形成清晰稳定的法律预期,不仅可为产业发展提供有力的制度支撑,而且有助于在国际治理中形成具有辨识度的制度路径,产生国际政策影响力。相较于单纯依赖新增立法,更为关键的挑战是在现有法律体系内部理顺逻辑,将已形成的原则、工具与机制转化为可操作的治理能力。这既是避免制度重复建设的必要路径,又是推动人工智能治理从规则扩张走向体系成熟的关键一步。
打通制度接口,推动基础法律与专项规则形成治理合力
《个人信息保护法》所确立的一系列原则与制度工具,在人工智能治理中仍然具有不可替代的适用价值,但尚未得到充分激活。当前的关键路径,是在既有法律框架内推动规则整合,明确制度接口,使基础法律与专项规则形成合力。
在具体制度层面打通人工智能专项规则与《个人信息保护法》的制度接口。人工智能内容标识义务如何与《个人信息保护法》中的透明度原则形成对应关系?算法备案制度如何与问责机制相衔接?安全评估等横向义务如何在不同规则体系中实现统一适用?规则与规则之间并非简单叠加关系,部分人工智能专项规则中所确立的义务,本身已经具有明显的可迁移性。例如,内容标识、风险评估及责任追溯等机制,往往不局限于单一技术场景,而是可以作为应用范围更广的人工智能治理工具,加以提炼和延展。在既有规则基础上进行沉淀和总结,有望逐步形成具有统一逻辑的人工智能治理规则体系。
明确制度接口,打通基础法律与人工智能专项规则之间的适用关系。针对《个人信息保护法》与人工智能专项规则之间接口不清的问题,可以通过司法解释、判例及执法案例,明确相关制度在人工智能场景中的适用方式。例如,可围绕信息透明、风险评估、可问责等制度工具,明确其在模型训练、算法推荐和内容生成等场景中的具体适用路径。同时,推动形成一批具有示范意义的执法与司法案例,将原则性规则转化为可操作的合规标准,为不同主体提供法律确定性。
在人工智能专项规则发展到一定程度后,整合优化已有规范,系统梳理算法备案、安全评估、内容标识等制度,明确其适用边界,避免在不同规则体系中重复设置义务。以《个人信息保护法》确立的原则体系为底线,将分散在不同专项规则中的一般性义务进行提炼与整合,形成统一融贯的规则框架,减少冗余、提升规则协同度。
总结既有实践经验,可从两方面应对规则体系碎片化难题。一方面,通过标准制定、行业规范及合规工具建设,自下而上从操作层面促进规则统一适用;另一方面,在条件成熟时,通过对《个人信息保护法》的修缮或配套实施细则的制定,为人工智能治理提供更明确的制度授权,从而实现有效衔接。
【注释】
①《政府工作报告——二〇二六年三月五日在第十四届全国人民代表大会第四次会议上》,《人民日报》,2026年3月14日。
②《中华人民共和国国民经济和社会发展第十五个五年规划纲要》,《人民日报》,2026年3月14日。
③张凌寒、于琳:《从传统治理到敏捷治理:生成式人工智能的治理范式革新》,《电子政务》,2023年第9期。
④高富平:《AI时代的“个保法”失灵与制度重塑》,《上海法治报》,2026年3月2日。
⑤许可:《包容审慎2.0范式:化解人工智能的“步调难题”》,《行政法学研究》,2026年第2期。
责编/靳佳 美编/王梦雅
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。
