內(nèi)容提要 生成式人工智能的運(yùn)行需要海量數(shù)據(jù)，生成式人工智能服務(wù)提供者可能會(huì)未經(jīng)同意處理大量個(gè)人信息，在構(gòu)成個(gè)人信息合理使用時(shí)主要有以下三個(gè)問題：合理的范圍不明確，現(xiàn)有履行告知義務(wù)的方式阻礙其合理使用個(gè)人信息，在提供服務(wù)階段處理個(gè)人信息的具體行為與履行內(nèi)容審核等安保義務(wù)的處理目的相分離?；谏墒饺斯ぶ悄艿倪\(yùn)行機(jī)理，從其運(yùn)行的研發(fā)階段和提供服務(wù)階段，來分析生成式人工智能服務(wù)提供者適用個(gè)人信息合理使用規(guī)則產(chǎn)生的問題。以合理的目的和個(gè)人信息公開時(shí)對個(gè)人信息權(quán)益影響的程度限定合理的范圍；以公示的方式履行告知義務(wù)，促進(jìn)個(gè)人信息合理使用；基于履行內(nèi)容審核等安保義務(wù)的處理目的，整體性評價(jià)其在提供服務(wù)階段未經(jīng)同意處理個(gè)人信息的行為。從而破解生成式人工智能服務(wù)提供者合理使用個(gè)人信息的困境的同時(shí)保護(hù)個(gè)人信息權(quán)益。

關(guān)鍵詞 生成式人工智能 個(gè)人信息 合理使用 合理的范圍 告知義務(wù) GAI

胡宏濤，對外經(jīng)濟(jì)貿(mào)易大學(xué)法學(xué)院博士研究生

2022年12月，《中共中央國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》明確將數(shù)字經(jīng)濟(jì)作為我國經(jīng)濟(jì)發(fā)展的新動(dòng)能?！皞€(gè)人信息的價(jià)值不斷被挖掘利用并逐漸成為數(shù)字經(jīng)濟(jì)發(fā)展的核心生產(chǎn)要素之一”[1]，數(shù)字經(jīng)濟(jì)的發(fā)展也依賴于生成式人工智能（以下簡稱GAI）等新興技術(shù)的發(fā)展?！吧墒饺斯ぶ悄苁且环N根據(jù)提示生成全新內(nèi)容的人工智能技術(shù)”[2]，是基于生成式人工智能服務(wù)提供者（以下簡稱GAI提供者）架構(gòu)的語料庫、規(guī)則、算法等的自動(dòng)化運(yùn)行，其做出的行為均應(yīng)被視為GAI提供者的行為，由GAI提供者享有權(quán)利、負(fù)有義務(wù)和承擔(dān)責(zé)任。GAI的完整運(yùn)行可分為兩個(gè)階段：研發(fā)階段和提供服務(wù)階段，即在向用戶提供服務(wù)之前構(gòu)建大模型的研發(fā)階段和構(gòu)建大模型完成后投入市場向用戶提供服務(wù)階段。GAI的運(yùn)行需要海量數(shù)據(jù)，其提供者不可避免地要處理大量個(gè)人信息。此等語境下，造成個(gè)人信息權(quán)益損害或許需要承擔(dān)侵權(quán)責(zé)任，但構(gòu)成合理使用個(gè)人信息的，應(yīng)免于承擔(dān)民事責(zé)任?！叭欢?，當(dāng)前的合理使用原則要么阻礙機(jī)器學(xué)習(xí)的發(fā)展，要么剝奪讓機(jī)器學(xué)習(xí)成為可能的人類創(chuàng)造者的權(quán)利”[1]。因此，如何在保護(hù)個(gè)人信息權(quán)益的同時(shí)促進(jìn)GAI提供者合理使用個(gè)人信息這一問題亟待解決。本文主要聚焦GAI提供者的個(gè)人信息合理使用，根據(jù)GAI的運(yùn)行機(jī)理和個(gè)人信息合理使用規(guī)則，破解GAI提供者合理使用個(gè)人信息的困境，以促進(jìn)數(shù)字經(jīng)濟(jì)的健康發(fā)展。造成個(gè)人信息權(quán)益損害涉及的侵權(quán)責(zé)任不屬于本文探討范圍，在此不贅述。

一、GAI提供者合理使用個(gè)人信息的具體適用

1.不適用情形

GAI提供者合理使用個(gè)人信息主要適用《中華人民共和國民法典》（以下簡稱民法典）第1036條和《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱個(gè)人信息保護(hù)法）第13條。個(gè)人信息保護(hù)法作為民法典的特別法豐富了有關(guān)規(guī)則[2]，當(dāng)二者產(chǎn)生沖突時(shí)，應(yīng)優(yōu)先適用前者。個(gè)人信息保護(hù)法第13條規(guī)定了處理個(gè)人信息的合法性基礎(chǔ)：“知情同意規(guī)則”和“合理使用規(guī)則”，第1款第1項(xiàng)規(guī)定的“知情同意規(guī)則”承繼于民法典第1036條第1項(xiàng)的規(guī)定。“信息自決權(quán)的本質(zhì)是信息主體對其自身信息的選擇和控制。”[3]在“知情同意規(guī)則”中，處理個(gè)人信息的合法性源于自然人（或其監(jiān)護(hù)人）基于信息自決權(quán)做出的同意，“‘同意是一種對于個(gè)人信息權(quán)益的處分”[4]?！罢怯辛诉@種同意，個(gè)人信息處理行為才不是非法的行為，具有了合法根據(jù)?！盵5]而在“合理使用規(guī)則”中信息處理者無需取得同意，在滿足法定條件后即具備處理個(gè)人信息的合法性基礎(chǔ)。因此，個(gè)人信息保護(hù)法第13條第1款第1項(xiàng)不屬于個(gè)人信息合理使用范疇，不在本文論證范疇，不再贅述。

根據(jù)個(gè)人信息保護(hù)法第13條第2款規(guī)定，符合該條第1款第2項(xiàng)規(guī)定的“訂立合同所必需”[6]情形的，無需取得同意即可處理個(gè)人信息。然而，“這種情形下，處理者也是在取得自然人的同意的基礎(chǔ)上處理個(gè)人信息的，而非僅因締結(jié)合同或履行合同本身就可以直接處理個(gè)人信息”[7]。此條款屬于“知情同意規(guī)則”，不屬于個(gè)人信息合理使用范疇。“‘同意是自由意志的體現(xiàn)，是經(jīng)自由意志思考、判斷和衡量之后形成的決策，并將這種決策以明示或默示的方式進(jìn)行表達(dá)?！盵8]在提供服務(wù)階段，基于合同關(guān)系，用戶輸入內(nèi)容的行為是主動(dòng)同意GAI提供者處理其輸入的個(gè)人信息?！皞鶛?quán)合同中所包含的同意與《個(gè)保法》第13條第1款第1項(xiàng)中的知情同意具有評價(jià)上的等值性?！盵9]因此，個(gè)人信息保護(hù)法第13條第1款第2項(xiàng)屬于“知情同意規(guī)則”，不屬于個(gè)人信息合理使用范疇，同前述一致。

個(gè)人信息保護(hù)法第13條第1款第4項(xiàng)和第5項(xiàng)規(guī)定的“為維護(hù)公共利益所需要”[10]的情形承繼于民法典第1036條第3項(xiàng)的規(guī)定，立法目的在于維護(hù)公共利益?！吧墒饺斯ぶ悄艿拇笠?guī)模機(jī)器學(xué)習(xí)往往是為了企業(yè)后續(xù)盈利做鋪墊”[11]，目的是商業(yè)盈利而非維護(hù)公共利益。故GAI提供者未經(jīng)同意處理個(gè)人信息不適用個(gè)人信息保護(hù)法第13條第1款第4項(xiàng)和第5項(xiàng)規(guī)定。個(gè)人信息保護(hù)法第13條第1款第7項(xiàng)屬于兜底性條款，為不符合該款前6項(xiàng)的情形留出適用空間，不是本文論證重點(diǎn)，不再贅述。

2.研發(fā)階段GAI提供者合理使用個(gè)人信息

在研發(fā)階段，GAI提供者合理使用個(gè)人信息主要適用民法典第1036條第2項(xiàng)、個(gè)人信息保護(hù)法第13條第1款第6項(xiàng)和第27條的規(guī)定。個(gè)人信息保護(hù)法第13條第1款第6項(xiàng)承繼于民法典第1036條第2項(xiàng)的規(guī)定。個(gè)人信息保護(hù)法第27條進(jìn)行了詳細(xì)規(guī)定，核心在于規(guī)制“自行公開或者其他已經(jīng)合法公開的個(gè)人信息”，即“已合法公開的個(gè)人信息”。探討GAI提供者在研發(fā)階段如何構(gòu)成個(gè)人信息的合理使用，需要分析語料庫中個(gè)人信息的來源。語料庫中個(gè)人信息主要來源于以下兩個(gè)渠道：

其一，在提供服務(wù)階段用戶輸入的個(gè)人信息。此類個(gè)人信息留存在神經(jīng)網(wǎng)絡(luò)中，用于產(chǎn)品的更新迭代[1]。例如，ChatGPT模型依托海量數(shù)據(jù)進(jìn)行訓(xùn)練，其中包括大量用戶輸入的個(gè)人信息，ChatGPT模型可將其納入自身的語料庫并留存在神經(jīng)網(wǎng)絡(luò)中[2]。用戶輸入的個(gè)人信息可分為三類：自身個(gè)人信息，未合法公開的他人個(gè)人信息，已合法公開的他人個(gè)人信息。當(dāng)用戶輸入“自身個(gè)人信息”時(shí)，信息主體基于合同關(guān)系做出真實(shí)意思表示，即同意GAI提供者處理其個(gè)人信息，是基于“知情同意規(guī)則”行使信息自決權(quán)，不屬于合理使用個(gè)人信息范疇；當(dāng)用戶輸入“未合法公開的他人個(gè)人信息”時(shí)，用戶無權(quán)行使他人信息自決權(quán)，不構(gòu)成對他人個(gè)人信息的知情同意，也不符合個(gè)人信息保護(hù)法第13條第1款第6項(xiàng)的規(guī)定。因此，GAI提供者可能構(gòu)成合理使用個(gè)人信息的情形限于處理用戶輸入的“合法公開的他人個(gè)人信息”這一種情況。

其二，從互聯(lián)網(wǎng)公開獲取的個(gè)人信息主要有兩類：已合法公開的個(gè)人信息，非法公開的個(gè)人信息。當(dāng)處理非法公開的個(gè)人信息時(shí)，由于信息來源不合法，不構(gòu)成個(gè)人信息合理使用。因此，GAI提供者可能構(gòu)成合理使用個(gè)人信息的情形只限于處理從互聯(lián)網(wǎng)獲取的“已合法公開的個(gè)人信息”。

以上兩種情況均是GAI提供者未經(jīng)同意處理的個(gè)人信息可能構(gòu)成合理使用的情形限于處理“已合法公開的個(gè)人信息”的情形。此等語境下，個(gè)人信息的來源具有合法性，是合理使用個(gè)人信息的必要條件。當(dāng)使用語料庫進(jìn)行預(yù)訓(xùn)練或優(yōu)化訓(xùn)練時(shí)，處理已合法公開的個(gè)人信息的根本目的在于訓(xùn)練、優(yōu)化并形成接近人類自然語言等應(yīng)用場景的大模型。GAI提供者的初衷是利用語料庫而非利用個(gè)人信息來訓(xùn)練模型，本意不在于“個(gè)性化分析”[3]信息主體，與傳統(tǒng)網(wǎng)絡(luò)平臺(tái)存在本質(zhì)不同?！案鞣N網(wǎng)絡(luò)平臺(tái)通過分析和利用海量的個(gè)人信息，對目標(biāo)群體做人格畫像，實(shí)施精準(zhǔn)營銷，甚至行為操縱，嚴(yán)重危害自然人的人格尊嚴(yán)，妨害人格的自由發(fā)展?！盵4]因此，GAI提供者處理已合法公開的個(gè)人信息對信息主體的影響遠(yuǎn)低于傳統(tǒng)網(wǎng)絡(luò)平臺(tái)為了精準(zhǔn)營銷處理個(gè)人信息對信息主體的影響，其符合在合理的范圍內(nèi)處理個(gè)人信息，可以適用個(gè)人信息保護(hù)法第13條第1款第6項(xiàng)的規(guī)定，構(gòu)成個(gè)人信息的合理使用。

3.提供服務(wù)階段GAI提供者合理使用個(gè)人信息

個(gè)人信息保護(hù)法第13條第1款第3項(xiàng)規(guī)定了兩種合理使用個(gè)人信息的情形：“法定職責(zé)”和“法定義務(wù)”。其一“，履行‘法定職責(zé)的主體，一般應(yīng)限定為具有處理個(gè)人信息權(quán)限的國家公權(quán)力機(jī)關(guān)”[5]，而GAI提供者不屬于國家公權(quán)力機(jī)關(guān)，不能基于履行“法定職責(zé)”合理使用個(gè)人信息。其二，“法定義務(wù)是指信息處理者依據(jù)法律法規(guī)的規(guī)定而負(fù)有的義務(wù)”[1]?！叭魝€(gè)人信息處理者的處理行為有明確的法律法規(guī)作為依據(jù)，則該處理行為合法?！盵2]2022年，國家互聯(lián)網(wǎng)信息辦公室等三部門聯(lián)合發(fā)布的《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》第10條第1款規(guī)定，深度合成服務(wù)提供者應(yīng)對使用者的輸入數(shù)據(jù)和合成結(jié)果進(jìn)行審核。此規(guī)定屬于部門規(guī)章而非法律法規(guī)，但該規(guī)定第10條第1款規(guī)定的內(nèi)容審核義務(wù)是對民法典第1038條和《中華人民共和國網(wǎng)絡(luò)安全法》第42條的“信息安全保障義務(wù)”[3]的具體規(guī)定。例如，在申某與支付寶（中國）網(wǎng)絡(luò)技術(shù)有限公司等侵權(quán)責(zé)任糾紛案中，法院認(rèn)定網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)對用戶的個(gè)人信息負(fù)有安全保障的法定義務(wù)[4]。安全保護(hù)義務(wù)包括內(nèi)容審核義務(wù)，平臺(tái)有義務(wù)對用戶發(fā)布的內(nèi)容進(jìn)行審核，從而有效應(yīng)對網(wǎng)絡(luò)違法犯罪行為[5]?；诼男袃?nèi)容審核等安保義務(wù)的需要，GAI提供者可能會(huì)未經(jīng)同意處理個(gè)人信息。因此，在提供服務(wù)階段，審核用戶輸入的內(nèi)容和合成結(jié)果時(shí)，GAI提供者未經(jīng)同意處理個(gè)人信息可基于履行內(nèi)容審核等安保義務(wù)構(gòu)成個(gè)人信息的合理使用。

二、GAI提供者合理使用個(gè)人信息的困境

在具體適用“合理使用規(guī)則”時(shí)，GAI提供者合理使用個(gè)人信息主要有以下三個(gè)困境，本文結(jié)合GAI的運(yùn)行機(jī)理進(jìn)行具體分析，闡述其內(nèi)在邏輯和痛點(diǎn)。

1.“合理的范圍”不明確

研發(fā)階段，GAI提供者未經(jīng)同意處理個(gè)人信息主要適用個(gè)人信息保護(hù)法第13條第1款第6項(xiàng)的規(guī)定，需滿足“已合法公開的個(gè)人信息”和“合理的范圍”兩個(gè)條件，才能構(gòu)成個(gè)人信息的合理使用。但現(xiàn)有法律對“合理的范圍”并未做明確界定，學(xué)界也未形成共識(shí)。如何界定GAI提供者未經(jīng)同意處理個(gè)人信息的行為是否超出“合理的范圍”含糊不清，不利于GAI合法健康發(fā)展和個(gè)人信息權(quán)益保護(hù)。

在法律層面上，個(gè)人信息保護(hù)法第13條第1款第6項(xiàng)和第27條均出現(xiàn)“合理的范圍”，但法律或司法解釋未對其進(jìn)行有效界定。有學(xué)者認(rèn)為，個(gè)人信息保護(hù)法第27條規(guī)定了已公開的個(gè)人信息合理使用以“重大影響”“明確拒絕”等作為判斷依據(jù)[6]，但“合理的范圍”的兩個(gè)限定條件可以視為不存在。其一，此種做法看似以對個(gè)人權(quán)益是否產(chǎn)生“重大影響”為標(biāo)準(zhǔn)界定處理行為是否在“合理的范圍”內(nèi)，實(shí)際是將一個(gè)抽象概念引向另一個(gè)更抽象概念，并未明確界定何為“重大影響”和有效限定“合理的范圍”。其二，從文義解釋，“明確拒絕”是信息主體明示不同意，即信息主體行使“拒絕信息被處理權(quán)”[7]，其是基于“知情同意規(guī)則”而非“合理使用規(guī)則”，更無從談起“合理使用規(guī)則”中“合理的范圍”的限定條件。個(gè)人信息保護(hù)法第27條是對已公開個(gè)人信息的特殊規(guī)制，即“合理使用規(guī)則”和“知情同意規(guī)則”并行，因此，其并未實(shí)質(zhì)性對“合理的范圍”進(jìn)行有效界定。

在理論層面上，關(guān)于“合理的范圍”的界定標(biāo)準(zhǔn)未形成共識(shí)。程嘯認(rèn)為，可以借鑒個(gè)人信息保護(hù)法（草案二次審議稿）第28條第1款的規(guī)定，將“合理的范圍”限制在個(gè)人信息被公開時(shí)的用途[8]。確立“合理使用規(guī)則”的立法目的在于促進(jìn)個(gè)人信息的合理使用，但GAI提供者處理大部分已合法公開的個(gè)人信息并非基于個(gè)人信息被公開時(shí)的用途，屬于變更處理目的，須適用“知情同意規(guī)則”取得同意，與確立“合理使用規(guī)則”的立法目的相違背。同時(shí)，由于訓(xùn)練GAI需要海量數(shù)據(jù)，要求征求每位信息主體同意的做法將嚴(yán)重限制科技發(fā)展，不利于維護(hù)公共利益和提升社會(huì)價(jià)值。另有學(xué)者認(rèn)為，“即便是結(jié)合具體場景有時(shí)也難以判斷信息到底是什么用途，徒增其不確定性，而以‘合理范圍對處理方式進(jìn)行限制已然足夠”[1]。采用“合理的范圍”對法律的適用具有更大的調(diào)節(jié)性，但導(dǎo)致界定過于模糊，自由裁量范圍過大，不利于法律適用中“法的穩(wěn)定性”。有學(xué)者認(rèn)為，“我們不妨從反面理解何為合理范圍，亦即第三方的處理數(shù)據(jù)行為符合個(gè)人隱私預(yù)期、未對個(gè)人帶來重大不利負(fù)擔(dān)、不對數(shù)據(jù)原始處理者財(cái)產(chǎn)利益帶來重大不利影響”[2]。采用三個(gè)模糊限定條件對“合理的范圍”進(jìn)行界定過于寬泛和抽象化。在實(shí)踐中，信息處理者和法院需要進(jìn)一步確定何為“個(gè)人隱私預(yù)期”和“重大”，徒增經(jīng)營和司法成本。

以上觀點(diǎn)均有局限性，并未提供合理標(biāo)準(zhǔn)去界定“合理的范圍”，這極大地限制了GAI提供者合理使用個(gè)人信息。與傳統(tǒng)網(wǎng)絡(luò)服務(wù)提供者個(gè)性化分析信息主體不同的是，如果經(jīng)濟(jì)和技術(shù)上可行，絕大部分GAI提供者希望匿名化個(gè)人信息，以減輕或者避免承擔(dān)個(gè)人信息保護(hù)責(zé)任，減少經(jīng)營成本?！叭欢?，在實(shí)踐中，不可匿的匿名化是非常困難的，甚至是不可能的。”[3]因此，規(guī)制GAI提供者合理使用個(gè)人信息，難以借鑒法律對傳統(tǒng)網(wǎng)絡(luò)平臺(tái)基于“精準(zhǔn)營銷”目的處理個(gè)人信息行為的治理。

2.履行告知義務(wù)的方式阻礙個(gè)人信息的合理使用

基于保障信息主體知情權(quán)的立法目的，個(gè)人信息保護(hù)法第17條詳細(xì)規(guī)定了告知義務(wù)?！靶畔⑻幚碚摺侠硖幚硪压_的個(gè)人信息時(shí)雖無需取得個(gè)人同意，但并不意味著他們的告知義務(wù)被當(dāng)然地豁免。”[4]告知是處理個(gè)人信息的前置程序，“不具有基于意思自治的協(xié)商空間，自然也具有公法屬性”[5]。GAI提供者仍須將履行告知義務(wù)作為合理使用個(gè)人信息的前置程序。同時(shí)，合法公開個(gè)人信息的目的是為維護(hù)公共利益實(shí)行輿論監(jiān)督、提供公共服務(wù)和履行法定職責(zé)等，但GAI提供者合理使用這些個(gè)人信息并未基于以上公開時(shí)的目的，屬于變更處理目的，應(yīng)當(dāng)履行告知義務(wù)并取得同意。因此，即使GAI提供者構(gòu)成合理使用個(gè)人信息，仍須履行告知義務(wù)，但這幾乎無法實(shí)現(xiàn)。

履行告知義務(wù)的方式可分為兩種：第一種是逐一告知，即通過一對一的方式向用戶告知；第二種是統(tǒng)一告知，即通過制定統(tǒng)一的個(gè)人信息處理規(guī)則向用戶告知[6]。GAI提供者從互聯(lián)網(wǎng)獲取已合法公開的個(gè)人信息屬于間接獲取，并非從信息主體直接獲取，很難同信息主體建立有效聯(lián)系，甚至無法適用以上兩種方式履行告知義務(wù)“。個(gè)人信息保護(hù)法旨在促進(jìn)個(gè)人信息的合理利用”[7]，但現(xiàn)有履行告知義務(wù)的方式嚴(yán)重限制了GAI提供者合理使用個(gè)人信息。GAI的訓(xùn)練參數(shù)已達(dá)千億級(jí)規(guī)模，如果以上述兩種方式履行告知義務(wù)，要分析海量個(gè)人信息并精準(zhǔn)識(shí)別信息主體，同其建立有效聯(lián)系，這將耗費(fèi)巨量時(shí)間和經(jīng)濟(jì)成本。當(dāng)合規(guī)成本高于違法成本，信息處理者會(huì)鋌而走險(xiǎn)，忽視信息主體知情權(quán)，直接處理已合法公開的個(gè)人信息。“不管處理者在收集個(gè)人信息時(shí)是否取得同意，只要處理者的處理目的是新的、尚未告知個(gè)人的，那么該處理者所從事的這一處理活動(dòng)都將構(gòu)成對個(gè)人信息絕對權(quán)的侵害?！盵1]因此，即使GAI提供者具備合理使用個(gè)人信息的合法性基礎(chǔ)，現(xiàn)有履行告知義務(wù)的方式也將嚴(yán)重阻礙其合理使用個(gè)人信息，或加重?fù)p害個(gè)人信息權(quán)益。

3.履行內(nèi)容審核等安保義務(wù)的處理目的與具體處理行為分離

在提供服務(wù)階段，GAI輸出結(jié)果的基本運(yùn)行模式為：用戶輸入內(nèi)容—審核用戶輸入內(nèi)容—處理用戶輸入內(nèi)容形成結(jié)果—審核合成結(jié)果—輸出結(jié)果。在“審核用戶輸入內(nèi)容”和“審核合成結(jié)果”兩個(gè)階段，基于個(gè)人信息保護(hù)法第13條第1款第3項(xiàng)規(guī)定的“法定義務(wù)”，GAI提供者具備處理個(gè)人信息的合法性基礎(chǔ)，但這并不代表在其他階段未經(jīng)同意處理個(gè)人信息仍然具有合法性基礎(chǔ)。此時(shí)，在“處理用戶輸入內(nèi)容形成結(jié)果”階段，GAI提供者未經(jīng)同意處理個(gè)人信息要符合個(gè)人信息保護(hù)法第13條第1款第6項(xiàng)的規(guī)定，才能構(gòu)成合理使用個(gè)人信息，這導(dǎo)致GAI提供者合理使用個(gè)人信息的困境又回到前兩節(jié)討論的問題，且產(chǎn)生新問題：在“處理用戶輸入內(nèi)容形成結(jié)果”階段，GAI提供者處理已合法公開個(gè)人信息的行為是否在“合理的范圍”內(nèi)，從具體處理行為和輸出結(jié)果判斷，將產(chǎn)生截然相反的結(jié)論。

具體而言，在“處理用戶輸入內(nèi)容形成結(jié)果”階段，GAI提供者處理已合法公開的個(gè)人信息的具體處理行為本身無非在或不在“合理的范圍”內(nèi)兩種情況。其一，具體處理行為并未超出“合理的范圍”，具備處理個(gè)人信息的合法性基礎(chǔ)，符合“合理使用規(guī)則”，適用民法典第1036條第2項(xiàng)的規(guī)定，免于承擔(dān)民事責(zé)任，審核行為將毫無價(jià)值。其二，具體處理行為超出“合理的范圍”，無論輸出的結(jié)果如何，都喪失處理個(gè)人信息的合法性基礎(chǔ)，不構(gòu)成個(gè)人信息的合理使用。但是，由于審核行為反復(fù)進(jìn)行糾偏，具體處理行為被糾正到“合理的范圍”內(nèi)，合成結(jié)果也被糾正到合法范圍內(nèi)。此時(shí)，輸出結(jié)果并未損害個(gè)人信息權(quán)益，從輸出結(jié)果判斷，具體處理行為在“合理的范圍”內(nèi)，具備合法性外觀，構(gòu)成個(gè)人信息的合理使用。因此，從具體處理行為和輸出結(jié)果判斷，GAI提供者處理已合法公開的個(gè)人信息的具體處理行為是否超出“合理的范圍”，將產(chǎn)生截然相反的結(jié)論。

綜上，產(chǎn)生以上問題的根源在于GAI提供者處理已合法公開的個(gè)人信息的具體處理行為與基于履行內(nèi)容審核等安保義務(wù)處理個(gè)人信息的行為相分離，即履行內(nèi)容審核等安保義務(wù)的處理目的與具體處理行為相分離。在提供服務(wù)階段，當(dāng)具體分析每個(gè)環(huán)節(jié)處理個(gè)人信息的具體行為時(shí)，履行內(nèi)容審核等安保義務(wù)的處理目的無法涵蓋整個(gè)提供服務(wù)階段的所有處理個(gè)人信息的具體行為，導(dǎo)致在“處理用戶輸入內(nèi)容形成結(jié)果”階段，GAI提供者無法基于履行內(nèi)容審核等安保義務(wù)構(gòu)成個(gè)人信息的合理使用，而需要對其進(jìn)行單獨(dú)判斷。“《個(gè)人信息保護(hù)法》中的合理使用規(guī)則可被抽象定義為‘基于某種利益保護(hù)所生，并在合理范圍內(nèi)處理信息的同意豁免行為?！盵2]因此，在提供服務(wù)階段，GAI提供者未經(jīng)同意處理個(gè)人信息是否構(gòu)成合理使用的關(guān)鍵在于如何將具體處理行為與履行內(nèi)容審核等安保義務(wù)的處理目的相結(jié)合，應(yīng)使GAI提供者明確個(gè)人信息的合理使用規(guī)則，進(jìn)而促進(jìn)個(gè)人信息的合法有效利用。

三、GAI提供者合理使用個(gè)人信息的困境的破解措施

1.“合理的范圍”限定

GAI提供者處理已合法公開個(gè)人信息的行為是否在“合理的范圍”內(nèi)，應(yīng)采用處理目的和處理行為是否具有合理性的標(biāo)準(zhǔn)進(jìn)行雙重判斷。GAI運(yùn)轉(zhuǎn)機(jī)理在于：根據(jù)人類現(xiàn)實(shí)生活的真實(shí)場景，模擬人類學(xué)習(xí)過程，向量化儲(chǔ)存海量數(shù)據(jù)，再通過語料庫進(jìn)行預(yù)訓(xùn)練和優(yōu)化訓(xùn)練，形成獨(dú)特的神經(jīng)網(wǎng)絡(luò)。此過程中，GAI提供者處理個(gè)人信息的目的并非個(gè)性化分析信息主體，而是構(gòu)建“具有工具屬性”[1]的GAI大模型，屬于科學(xué)研究的范疇。需要特別說明的是，基于服務(wù)的完整性，GAI提供者會(huì)設(shè)定GAI匯總輸出公眾人物已合法公開的個(gè)人信息，但不會(huì)個(gè)性化分析公眾人物[2]。在歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）第5條第1款第b項(xiàng)的規(guī)定中，將基于科學(xué)研究目的進(jìn)一步處理個(gè)人數(shù)據(jù)視為與最初目的不矛盾[3]。GAI提供者對個(gè)性化分析信息主體毫無興趣，無需將其處理已合法公開的個(gè)人信息的合理目的限定在個(gè)人信息被公開時(shí)的目的范圍內(nèi)。“應(yīng)根據(jù)不同的情境，盡可能設(shè)置特定、明確的個(gè)人信息處理目的。”[4]因此，根據(jù)目的限制原則，在研發(fā)階段，可以將GAI提供者處理已合法公開個(gè)人信息的合理目的限定為構(gòu)建大模型等計(jì)算機(jī)技術(shù)開發(fā)利用的科學(xué)研究目的，無論個(gè)人信息被合法公開時(shí)是基于何種目的，均應(yīng)認(rèn)定其處理目的具有合理性。

GAI提供者處理已合法公開的個(gè)人信息的行為是否處于“合理的范圍”內(nèi)，需根據(jù)處理行為對個(gè)人信息權(quán)益的影響程度來判斷。一旦個(gè)人信息公開，就意味著其能被其他主體查詢獲取，甚至加工處理，這可能會(huì)對信息主體的人格權(quán)利益產(chǎn)生減損。這種減損如果已經(jīng)發(fā)生，或持續(xù)發(fā)生，并不會(huì)因其他處理者做出相同的處理行為而造成更大的減損。個(gè)人信息碎片化地分散在語料庫中，GAI提供者處理已合法公開的個(gè)人信息并不會(huì)個(gè)性化分析信息主體，因此對個(gè)人信息權(quán)益的減損微乎其微，遠(yuǎn)低于個(gè)人信息合法公開時(shí)已經(jīng)對個(gè)人信息權(quán)益造成的減損。如果個(gè)性化分析特定主體，對構(gòu)建GAI大模型無任何幫助，反而浪費(fèi)大量的時(shí)間和金錢去承擔(dān)更重的保護(hù)個(gè)人信息權(quán)益的責(zé)任，違背其商業(yè)目的。因此，當(dāng)GAI提供者處理已合法公開的個(gè)人信息對個(gè)人信息權(quán)益的減損并未超過個(gè)人信息合法公開時(shí)對個(gè)人信息權(quán)益的減損，應(yīng)當(dāng)認(rèn)定其處理行為具有合理性。

綜上，在研發(fā)階段，GAI提供者未經(jīng)同意處理已合法公開的個(gè)人信息是為了構(gòu)建大模型等計(jì)算機(jī)技術(shù)開發(fā)利用的科學(xué)研究，且處理行為對個(gè)人信息權(quán)益的減損未超越個(gè)人信息被公開時(shí)對個(gè)人信息權(quán)益的減損，應(yīng)認(rèn)定其處理行為屬于“合理的范圍”內(nèi)，構(gòu)成個(gè)人信息的合理使用。

2.以公示方式履行告知義務(wù)

基于個(gè)人信息保護(hù)法第18條第1款和第35條規(guī)定，符合“法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知”的，或“告知將妨礙國家機(jī)關(guān)履行法定職責(zé)”的，可以免除告知義務(wù)。但GAI提供者處理已合法公開個(gè)人信息時(shí)很難適用這三種情形，并未解決履行告知義務(wù)阻礙GAI提供者合理使用個(gè)人信息的問題?！皶r(shí)代進(jìn)步和創(chuàng)新意味著法律必須做出改變，甚至是放棄原有的思路，以實(shí)現(xiàn)對新興事物有效的法律規(guī)范?！盵5]因此，可將個(gè)人信息保護(hù)法第17條第3款的規(guī)定作擴(kuò)大解釋，將“通過制定個(gè)人信息處理規(guī)則”的告知方式解釋為兩種情形：第一，原有通常做法；第二，擴(kuò)大解釋的做法，通過官網(wǎng)和媒體長期公示獲取已合法公開個(gè)人信息的具體來源和處理規(guī)則，向不特定自然人履行告知義務(wù)[6]。

具體而言，GAI提供者應(yīng)在官方網(wǎng)站以及其他媒體向互聯(lián)網(wǎng)長期公示其獲取已合法公開的個(gè)人信息的具體來源和處理規(guī)則。所謂處理規(guī)則，現(xiàn)有規(guī)定已經(jīng)足夠明確，本文不再贅述。所謂具體來源是指GAI提供者獲取已合法公開的個(gè)人信息的具體渠道，獲取的內(nèi)容、時(shí)間和范圍，等等。具體公示標(biāo)準(zhǔn)應(yīng)達(dá)到：任何不特定的自然人可以隨時(shí)根據(jù)公開的內(nèi)容和自身參與網(wǎng)絡(luò)活動(dòng)的情形，判斷個(gè)人信息是否被獲取或被獲取的程度。信息主體可根據(jù)公示內(nèi)容判斷自己能否應(yīng)向信息處理者主張權(quán)利，如果擁有權(quán)利可選擇是否主張權(quán)利。告知選擇可以保障信息主體擁有撤回其選擇從而干預(yù)信息處理者自由的權(quán)利，同時(shí)又可以最大限度活躍信息流動(dòng)[1]。以公示方式履行告知義務(wù)可以使GAI提供者在構(gòu)成合理使用個(gè)人信息時(shí)有效履行告知義務(wù)，同時(shí)也可保障信息主體的知情權(quán)。

3.基于履行內(nèi)容審核等安保義務(wù)合理使用個(gè)人信息

在提供服務(wù)階段，由于數(shù)據(jù)數(shù)量龐大、算法復(fù)雜和計(jì)算機(jī)領(lǐng)域具有高度專業(yè)性，履行內(nèi)容審核等安保義務(wù)的糾偏行為與具體處理個(gè)人信息的行為錯(cuò)綜交織，糾偏過程始終貫穿具體處理行為，實(shí)踐中很難嚴(yán)格區(qū)分。同時(shí)，現(xiàn)有的司法制度也無法做到對GAI的后臺(tái)算法或運(yùn)行架構(gòu)進(jìn)行具體分析，往往依據(jù)輸出結(jié)果判斷具體處理行為是否在“合理的范圍”內(nèi)。如果將二者分離判斷，將浪費(fèi)大量司法資源，甚至阻礙司法有效運(yùn)行。因此，應(yīng)從輸出結(jié)果判斷，將GAI提供者在提供服務(wù)階段未經(jīng)同意處理個(gè)人信息的所有具體行為視為一個(gè)整體行為，歸于履行內(nèi)容審核等安保義務(wù)的處理目的下。換言之，在提供服務(wù)階段，GAI提供者未經(jīng)同意處理個(gè)人信息可以適用個(gè)人信息保護(hù)法第13條第1款第3項(xiàng)的規(guī)定，基于履行內(nèi)容審核等安保義務(wù)構(gòu)成個(gè)人信息的合理使用。

在提供服務(wù)階段，GAI提供者未經(jīng)同意處理個(gè)人信息只有基于履行內(nèi)容審核等安保義務(wù)，而非其他法定義務(wù)，才能構(gòu)成合理使用個(gè)人信息。“個(gè)人信息的合理使用之所以是合法的行為，是因?yàn)榉苫诠怖娴壤婵剂慷鴮ψ匀蝗说膫€(gè)人信息權(quán)益作出了限制?！盵2]GAI提供者的法定義務(wù)包括版權(quán)保護(hù)義務(wù)、合規(guī)經(jīng)營義務(wù)、保密義務(wù)等，如果不對其合理使用個(gè)人信息基于的法定義務(wù)進(jìn)行限制，可能導(dǎo)致其以過度減損個(gè)人信息權(quán)益的方式履行法定義務(wù)。將具體處理行為納入基于履行法定義務(wù)合理使用個(gè)人信息的范圍內(nèi)的做法，擴(kuò)大了GAI提供者合理使用個(gè)人信息中處理行為的范圍。但將法定義務(wù)限定在履行內(nèi)容審核等安保義務(wù)時(shí)，GAI提供者須采取必要的措施維護(hù)個(gè)人信息權(quán)益，以合理限制其對個(gè)人信息權(quán)益的減損，進(jìn)而在保障個(gè)人信息權(quán)益的同時(shí)又能促進(jìn)GAI提供者合理使用個(gè)人信息。

四、結(jié)語

GAI屬于智能化工具，現(xiàn)有的各種計(jì)算機(jī)處理工具也能生成GAI深度合成的內(nèi)容，只是需要專業(yè)人員基于專業(yè)知識(shí)進(jìn)行制作。GAI的出現(xiàn)讓這種復(fù)雜的操作簡單化，其帶來的各種問題根源在于整個(gè)互聯(lián)網(wǎng)尚未形成體系化的法律規(guī)制。GAI提供者處理個(gè)人信息的行為對信息主體的影響遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的網(wǎng)絡(luò)服務(wù)提供者基于精準(zhǔn)營銷進(jìn)行個(gè)性化分析對信息主體的影響。在我國文化中，信息主體注重的是處理個(gè)人信息對其產(chǎn)生的社會(huì)評價(jià)影響，而不是具體的個(gè)人信息處理行為。“在制定個(gè)人信息保護(hù)策略時(shí)，應(yīng)兼顧生成式人工智能的經(jīng)濟(jì)和社會(huì)價(jià)值”[3]，平衡相關(guān)主體的核心需求才是解決問題的關(guān)鍵。應(yīng)在保障信息主體核心需求的同時(shí)促進(jìn)GAI提供者合理使用個(gè)人信息，進(jìn)而促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。

〔責(zé)任編輯：玉水〕

[1]張夢蝶：《數(shù)字經(jīng)濟(jì)時(shí)代的個(gè)人信息特征與行政監(jiān)管保護(hù)需求》，《學(xué)?！?022年第1期。

[2]張凌寒、于琳：《從傳統(tǒng)治理到敏捷治理：生成式人工智能的治理范式革新》，《電子政務(wù)》2023年第9期。

[1]B. L. W. Sobel， "Artificial Intelligences Fair Use Crisis"， Columbia Journal of Law & the Arts， 2017， 41（1）， p.45.

[2]王利明、丁曉東：《論〈個(gè)人信息保護(hù)法〉的亮點(diǎn)、特色與適用》，《法學(xué)家》2021年第6期。

[3]方明：《個(gè)人信息多元保護(hù)模式探究》，《學(xué)?！?018年第6期。

[4]萬方：《個(gè)人信息處理中的“同意”與“同意撤回”》，《中國法學(xué)》2021年第1期。

[5]程嘯：《論個(gè)人信息處理中的個(gè)人同意》，《環(huán)球法律評論》2021年第6期。

[6][10]夏偉：《論數(shù)據(jù)犯罪的立法重塑》，《法制與社會(huì)發(fā)展》2023年第4期。

[7]程嘯：《論我國民法典中的個(gè)人信息合理使用制度》，《中外法學(xué)》2020年第4期。

[8]張薇薇：《公開個(gè)人信息處理的默認(rèn)規(guī)則——基于〈個(gè)人信息保護(hù)法〉第27條第1分句》，《法律科學(xué)（西北政法大學(xué)學(xué)報(bào)）》2023年第3期。

[9]施鴻鵬：《任意撤回權(quán)與合同拘束力的沖突與協(xié)調(diào)》，《政治與法律》2022年第10期。

[11]朱鴻軍、李辛揚(yáng)：《ChatGPT生成內(nèi)容的非版權(quán)性及著作權(quán)侵權(quán)風(fēng)險(xiǎn)》，《新聞?dòng)浾摺?023年第6期。

[1]需要特別說明的是，在第一代GAI的研發(fā)階段，由于未投入市場向用戶提供服務(wù)，語料庫中不存在用戶輸入的個(gè)人信息，隨著產(chǎn)品更新迭代，語料庫中才會(huì)出現(xiàn)用戶輸入的內(nèi)容。為了論證的嚴(yán)謹(jǐn)性，本文將對這兩類來源的個(gè)人信息進(jìn)行分析。

[2]孫祁：《規(guī)范生成式人工智能產(chǎn)品提供者的法律問題研究》，《政治與法律》2023年第7期。

[3]個(gè)性化分析是指，信息處理者根據(jù)收集的個(gè)人信息精準(zhǔn)識(shí)別信息主體，并通過深度剖析信息主體的性格、行為特性、社會(huì)關(guān)系、偏好等形成用戶畫像，并依此實(shí)現(xiàn)精準(zhǔn)營銷。

[4]程嘯：《論我國個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》，《清華法學(xué)》2021年第3期。

[5]江必新、李占國主編：《中華人民共和國個(gè)人信息保護(hù)法條文解讀與法律適用》，中國法制出版社2021年版，第47頁。

[1][8]程嘯：《個(gè)人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第132頁，第253頁。

[2]龍衛(wèi)球主編：《中華人民共和國個(gè)人信息保護(hù)法釋義》，中國法制出版社2021年版，第59頁。

[3]中國審判理論研究會(huì)民事審判理論專業(yè)委員會(huì)編著：《民法典人格權(quán)編條文理解與司法適用》，法律出版社2020年版，第291頁。

[4]北京市朝陽區(qū)人民法院（2018）京0105民初36658號(hào)民事判決書。

[5]單勇：《數(shù)字看門人與超大平臺(tái)的犯罪治理》，《法律科學(xué)（西北政法大學(xué)學(xué)報(bào)）》2022年第2期。

[6]王冉冉：《已公開的個(gè)人信息的合理使用及其縮限》，《現(xiàn)代法學(xué)》2023年第4期。

[7]馬新彥、劉睿佳：《已公開個(gè)人信息弱化保護(hù)的解釋論矯正》，《吉林大學(xué)社會(huì)科學(xué)學(xué)報(bào)》2022年第3期。

[1]龍衛(wèi)球主編：《中華人民共和國個(gè)人信息保護(hù)法釋義》，中國法制出版社2021年版，第122頁。

[2]包曉麗：《數(shù)據(jù)四象限分類確權(quán)規(guī)則研究》，《法學(xué)雜志》2023年第6期。

[3]F. Z. Borgesius， J. Gray， M. van Eechoud， "Open Data， Privacy， and Fair Information Principles： Towards a Balancing Framework"， Berkeley Technology Law Journal， 2015， 30（3）， p.2120.

[4]解正山：《論已公開個(gè)人信息的“合理處理”》，《學(xué)習(xí)與探索》2022年第9期。

[5]喻文光、鄭子璇：《數(shù)字時(shí)代政府機(jī)關(guān)處理個(gè)人信息告知義務(wù)制度的公法建構(gòu)》，《人權(quán)》2022年第3期。

[6]程嘯：《個(gè)人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第176頁。

[7]何松威：《論領(lǐng)域法的私法研究范式——以〈個(gè)人信息保護(hù)法〉研究為例》，《當(dāng)代法學(xué)》2022年第4期。

[1]阮神裕：《個(gè)人信息權(quán)益的二元構(gòu)造論》，《法制與社會(huì)發(fā)展》2023年第4期。

[2]吳國喆、王文文：《數(shù)據(jù)共享視域下個(gè)人信息“合理使用”的場景化判定》，《西安交通大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2023年第3期。

[1]張欣：《生成式人工智能的數(shù)據(jù)風(fēng)險(xiǎn)與治理路徑》，《法律科學(xué)（西北政法大學(xué)學(xué)報(bào)）》2023年第5期。

[2]此種匯總輸出不同于個(gè)性化分析，只是對公眾人物的個(gè)人信息進(jìn)行聚集排列和整合輸出，后續(xù)審核輸出結(jié)果，這會(huì)降低此種基本整合對公眾人物的影響。

[3]《歐盟〈一般數(shù)據(jù)保護(hù)條例〉（GDPR）：漢英對照》，瑞栢律師事務(wù)所譯，法律出版社2018年版，第45頁。

[4]劉權(quán)：《論個(gè)人信息處理的合法、正當(dāng)、必要原則》，《法學(xué)家》2021年第5期。

[5]彭中禮、劉世杰：《從“特殊性”到“去特殊性”——人工智能法律規(guī)制路徑審視》，《濟(jì)南大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2019年第4期。

[6]國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息處理中告知和同意的實(shí)施指南》（GB/T 42574—2023）第8.1條第a項(xiàng)第4目規(guī)定：“當(dāng)向個(gè)人逐一告知的成本過高或者有顯著困難時(shí)，可以通過公告的形式發(fā)布個(gè)人信息保護(hù)政策?！贝藰?biāo)準(zhǔn)是推薦性國家標(biāo)準(zhǔn)，不具有強(qiáng)制約束力，且公告的方式、時(shí)間、具體標(biāo)準(zhǔn)等均未詳細(xì)規(guī)定。

[1]彭誠信、史曉宇：《論個(gè)人信息財(cái)產(chǎn)價(jià)值外化路徑的重構(gòu)》，《當(dāng)代法學(xué)》2023年第2期。

[2]程嘯：《論我國民法典中的個(gè)人信息合理使用制度》，《中外法學(xué)》2020年第4期。

[3]鈄曉東：《風(fēng)險(xiǎn)與控制：論生成式人工智能應(yīng)用的個(gè)人信息保護(hù)》，《政法論叢》2023年第4期。