【作者】李川（東南大學法學院教授、東南大學人權(quán)研究院研究人員，法學博士）

【來源】北大法寶法學期刊庫《華東政法大學學報》2025年第6期（文末附本期期刊目錄）。因篇幅較長，已略去原文注釋。

內(nèi)容提要：生成式人工智能大規(guī)模處理個人信息所引發(fā)的侵害個人信息的新型風險，有待刑法有效規(guī)制。然而，生成式人工智能的特質(zhì)在認定個人信息犯罪時存在行為區(qū)分定性、主體歸責分配、前置法違反認定、對象范圍邊界、因果關(guān)系判斷等多方面難題，這些難題引發(fā)了刑法規(guī)制困境。追溯困境原因可以發(fā)現(xiàn)，刑法個人信息犯罪設(shè)立于生成式人工智能產(chǎn)生之前，基于刑法先行的特點，形成了個人信息有限賦權(quán)的規(guī)制模式，該模式難以適應(yīng)生成式人工智能場景化處理個人信息的定制式、一體式、關(guān)聯(lián)式特征，從而造成規(guī)制難題。因此個人信息刑法規(guī)制應(yīng)根據(jù)生成式人工智能的特質(zhì)轉(zhuǎn)型為場景治理模式，相應(yīng)確立危險現(xiàn)實化、信息類型化、結(jié)合識別目標、規(guī)范因果與義務(wù)違反結(jié)合的歸責路徑與認定基準。

關(guān)鍵詞：生成式人工智能；個人信息；侵犯公民個人信息罪；場景治理

目次 一、問題的提出 二、生成式人工智能背景下個人信息的刑法規(guī)制困境 三、基于生成式人工智能特質(zhì)的個人信息刑法規(guī)制模式轉(zhuǎn)型 四、場景治理模式下個人信息刑法歸責的路徑展開 五、余論

一

問題的提出

以DeepSeek、ChatGPT為代表的通用型生成式人工智能以多模態(tài)、具身化的強大內(nèi)容生成能力引發(fā)互聯(lián)網(wǎng)的新一輪科技革命，指數(shù)級提升網(wǎng)絡(luò)社會的集成化與數(shù)智化水平。然而生成式人工智能在飛速演進與廣泛應(yīng)用的同時，帶來大規(guī)模侵害個人信息的新型危險。例如，ChatGPT自發(fā)布以來，多次出現(xiàn)未曾預(yù)料的個人信息泄露與濫用問題，既有語料訓練階段個人信息的不當獲取，也有用戶互動階段個人數(shù)據(jù)的隨機泄露。為此，其曾遭到意大利等國家的臨時封禁調(diào)查，所屬公司也多次道歉整改?？梢娺@種生成式人工智能帶來的個人信息侵害危險并不只是偶發(fā)現(xiàn)象或未來可能，而是已經(jīng)成為現(xiàn)實大規(guī)模存在的信息安全挑戰(zhàn)。

就本義而言，生成式人工智能就是以內(nèi)容生成為特征的人工智能技術(shù)應(yīng)用。就此定義而言，以DeepSeek為代表的通用型人工智能已經(jīng)是生成式人工智能發(fā)展的第三代形式。在此之前，生成式人工智能經(jīng)歷了初代機器學習模式與第二代深度學習模式的迭代演化。因此，在通用型人工智能出現(xiàn)之前，具備文本、圖片、音視頻等內(nèi)容生成能力的生成式人工智能技術(shù)早已在商業(yè)和生產(chǎn)領(lǐng)域得到廣泛部署與應(yīng)用。早期應(yīng)用中已出現(xiàn)AI換臉、AI撞號等侵犯個人信息的諸多問題。而通用型人工智能的出現(xiàn)，以其前所未有的算法能力和算力規(guī)模，使這些問題進一步復(fù)雜化和嚴重化，誘發(fā)了對個人信息的新型全鏈條侵害風險，從而全面凸顯了生成式人工智能帶來的個人信息保護危機。

刑法作為社會安全的底線保護規(guī)范，需應(yīng)對數(shù)字技術(shù)變化帶來的安全保護挑戰(zhàn)。就個人信息領(lǐng)域而言，雖然刑法早已形成了以侵犯公民個人信息罪為核心的個人信息專門保護范式，卻因?qū)θ斯ぶ悄苄录夹g(shù)的適配不足，難以有效遏制生成式人工智能背景下的侵犯個人信息風險。生成式人工智能的全面部署，會引發(fā)愈演愈烈的全局性個人信息保護困境。無論從解決個人信息保護的當前問題還是實現(xiàn)未來保障的意義上，都必須全面檢視當前生成式人工智能場景下個人信息刑法規(guī)制困境的真正所在，并根據(jù)生成式人工智能處理個人信息的新型特征更新有效歸責路徑，在個人信息保護領(lǐng)域真正實現(xiàn)刑法意義上的“良法善治”。

二

生成式人工智能背景下個人信息的刑法規(guī)制困境

無論是部署前的語料訓練還是應(yīng)用后的內(nèi)容生成，生成式人工智能都需要大量收集和處理個人信息，以便提供定制化、交互式的個性化服務(wù)。然而，由于生成式人工智能具有高度自主性與算法黑箱的特質(zhì)，用戶往往難以在復(fù)雜封閉的運行過程中掌握其個人信息的加工、使用和存儲。一旦出現(xiàn)個人信息被人工智能濫用或過度處理的情況，就可能導(dǎo)致嚴重的侵害風險。進一步而言，生成式人工智能在快速演進中已發(fā)展到接近人類認知水平的深度理解與運算能力，其對個人信息的采集和挖掘能力也空前增強。這種未經(jīng)授權(quán)的深度信息挖掘，使個人信息面臨的侵害風險更容易轉(zhuǎn)化為實際損害。如AI可大規(guī)模將普通的個人靜態(tài)照片轉(zhuǎn)化為包含眨眼、點頭等動作的活體視頻。這一能力能直接用于騙過人臉識別系統(tǒng)，導(dǎo)致身份被冒用、財產(chǎn)被盜等嚴重損害。然而，這類由生成式人工智能帶來的新型個人信息侵害，目前還難以直接被前人工智能時代的刑法規(guī)范所規(guī)制。這導(dǎo)致在認定侵犯公民個人信息罪時出現(xiàn)諸多困難，進而造成個人信息刑法保護的實際失靈。此類問題在“超授權(quán)用戶畫像”場景中尤為典型：生成式人工智能基于已授權(quán)信息，通過交叉分析推斷出未授權(quán)的個人信息。例如，通過分析用戶行蹤軌跡、停留時長和地圖信息，可以推斷其工作單位、住址和生活習慣等不屬于初始授權(quán)范圍內(nèi)的信息。一旦此類超授權(quán)用戶畫像被大規(guī)模自動化應(yīng)用，就可能出現(xiàn)大量未經(jīng)授權(quán)獲取個人信息的情形，進而可能構(gòu)成刑法中的侵犯公民個人信息罪。然而，認定該罪時基于刑法滯后性卻存在諸多爭議，例如，盡管用戶畫像生成的信息未經(jīng)授權(quán)，但其源于內(nèi)部推斷而非外部非法轉(zhuǎn)讓，是否屬于“非法獲取”存疑；而對此類推斷信息的再次提供行為，是否構(gòu)成“非法提供”亦難以認定。受生成式人工智能獨特運行方式的影響，不僅侵犯公民個人信息罪的行為類型認定困難，該罪在歸責主體、前置法規(guī)定、行為對象、因果關(guān)系等其他構(gòu)成要素方面也面臨全面適用困境。

（一）行為區(qū)分定性困難

當前，作為個人信息專屬罪名的侵犯公民個人信息罪，在行為上僅涉及非法獲取或提供（含出售）個人信息的非法轉(zhuǎn)移型行為，并未涉及濫用、不當加工等其他非法處理個人信息的行為類型。由于僅規(guī)制非法轉(zhuǎn)移型行為，侵犯公民個人信息罪的適用范圍相較于《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等前置法明顯限縮。后者還包括非法存儲、使用、加工、傳輸?shù)纫幌盗衅渌麄€人信息處理行為。在網(wǎng)絡(luò)時代初期，非法獲取、提供個人信息等轉(zhuǎn)移行為，與其他處理行為較易區(qū)分，該罪的行為認定一般不存在困難。但隨著生成式人工智能的發(fā)展，其處理個人信息具有自主性與一體性特征，并不明確區(qū)分獲取、加工、使用等不同行為階段或類型，導(dǎo)致難以清晰界分非法轉(zhuǎn)移行為與使用、加工等其他處理行為，從而在認定本罪行為時產(chǎn)生困境。如生成式人工智能挖掘生成個人信息的行為，同加工處理行為一體化，外在不涉及從他方轉(zhuǎn)讓，與傳統(tǒng)侵犯公民個人信息罪中“從他方獲取”的轉(zhuǎn)移型方式[2]存在明顯差異，能否將其認定為該罪中的“非法獲取”行為存在爭議。如在英國DeepMind醫(yī)療數(shù)據(jù)糾紛案中，DeepMind作為人工智能，在處理個人信息時生成了遠超原始醫(yī)療需求的大量病人數(shù)據(jù)，難以判斷該行為構(gòu)成非法獲取數(shù)據(jù)還是正常的數(shù)據(jù)加工，從而產(chǎn)生是否侵害個人信息權(quán)益的爭議。

（二）主體歸責分配爭議

生成式人工智能存在侵害個人信息情形時，往往在刑事責任問題上引發(fā)應(yīng)歸屬于提供者還是使用者的爭議。在相關(guān)服務(wù)場景中，生成式人工智能的提供者是指擁有并部署該人工智能的平臺，而使用者則指注冊并使用該平臺服務(wù)的不特定主體。生成式人工智能的預(yù)訓練與內(nèi)容生成依賴四面八方的網(wǎng)絡(luò)數(shù)據(jù)交互，其運行過程需要保持網(wǎng)絡(luò)開放。因此，與提供者相對固定不同，生成式人工智能的使用者具有多元、隨機和非固定的特征。

當生成式人工智能在運行中發(fā)生侵害個人信息的情形，例如，使用者濫用該技術(shù)挖掘生成他人未授權(quán)的信息時，便產(chǎn)生刑事責任應(yīng)歸屬于使用者還是提供者的爭議。由于使用者的非固定性與隨機性，其與平臺之間通常缺乏共謀甚至意思聯(lián)絡(luò)，不具備實施侵害個人信息行為的共同故意，因而難以依據(jù)共同犯罪原理進行共同歸責。在非共犯情形下，行為主體的認定直接決定刑事責任主體的確定。歸責問題主要取決于誰是生成式人工智能實行行為的歸屬主體，即在多元主體參與運行的情況下，侵害個人信息的行為應(yīng)認定為平臺的實行行為，還是使用者的實行行為。然而，在多方主體共同參與運行的場景中，生成內(nèi)容與方向取決于平臺與使用者的互動情況，難以判斷誰的行為直接構(gòu)成造成侵害結(jié)果的實行行為，并應(yīng)承擔相應(yīng)的刑事責任。例如，在Clearview AI案中，Clearview利用抓取的200億公開圖片為用戶智能尋人而遭到多國調(diào)查，其辯稱用戶是非法獲取個人信息的責任承擔者，自己只是委托引導(dǎo)者，監(jiān)管部門則認為其應(yīng)承擔責任，從而引發(fā)AI平臺是否擔責的爭議。

（三）前置法違反認定缺失

侵犯公民個人信息罪屬于法定犯，其成立以“違反國家有關(guān)規(guī)定”這一要件為前提。盡管我國已形成以《個人信息保護法》為核心的個人信息保護法律體系為前置法，但針對生成式人工智能這類新生技術(shù)的具體規(guī)范仍相對欠缺。盡管我國出臺了《生成式人工智能服務(wù)管理暫行辦法》，但該辦法對個人信息保護的規(guī)定較為原則化，主要重申了《個人信息保護法》的基本要求，并未結(jié)合生成式人工智能的技術(shù)特點進行具體規(guī)制，因而難以作為有效的刑法前置法依據(jù)，來解決該場景下的法律認定缺失問題。具體而言，前置法認定的困境體現(xiàn)在以下兩個層面。

在生成過程層面，智能處理個人信息的過程是否違反前置法存在判斷困境。當前立法對生成式人工智能的復(fù)雜算法過程尚缺乏具體實質(zhì)的規(guī)范。雖然《個人信息保護法》第24條第3款對生成式人工智能所涉及的自動化決策設(shè)有原則性規(guī)定，明確了涉及重大影響決定時個人的知情權(quán)與選擇權(quán)，但這種相對概要的知情權(quán)與拒絕權(quán)的規(guī)定難以穿透生成式人工智能的技術(shù)壁壘與運行黑箱而有效落實。因此，其處理過程是否合法仍缺乏清晰的判斷標準，導(dǎo)致難以認定是否“違反國家有關(guān)規(guī)定”。

在生成結(jié)果層面，生成式人工智能挖掘產(chǎn)生的個人信息結(jié)果是否“違反國家有關(guān)規(guī)定”，同樣難以認定。當前，生成式人工智能平臺在輸入端通常會遵循法定原則，通過授權(quán)協(xié)議等方式獲取用戶同意，滿足個人信息處理的合法性要求。然而，輸出端的個人信息結(jié)果是否必然合法尚存爭議。如前述DeepMind案所示，生成式人工智能基于合法獲取的體檢記錄、搜索歷史等數(shù)據(jù)，推斷用戶潛在的疾病風險。此類推斷出的健康信息屬于敏感個人信息，但并未經(jīng)過信息主體的再次明確授權(quán)。這種智能挖掘生成的個人信息難以判定是否存在違反知情同意的非法性獲取。

（四）對象范圍邊界不清

刑法中侵犯公民個人信息罪的行為對象是個人信息，因此如何界定個人信息，直接關(guān)系到該罪能否成立，也決定了刑法保護的范圍。在生成式人工智能背景下，個人信息的認定變得更為復(fù)雜和困難，這給個人信息犯罪的入罪邊界判斷帶來了新的挑戰(zhàn)。

作為本罪對象的“個人信息”，刑法并未直接界定，其內(nèi)涵主要參照《中華人民共和國民法典》（以下簡稱《民法典》）《個人信息保護法》等前置法規(guī)定。無論是《民法典》第1034條第2款所強調(diào)的“可識別性”，還是《個人信息保護法》第4條第1款所側(cè)重的“關(guān)聯(lián)性”，兩部法律都采用了復(fù)合的個人信息界定模式，個人信息不僅包括能單獨識別特定自然人身份的信息（單獨識別型），也包括需要結(jié)合其他信息才能識別特定自然人的信息（結(jié)合識別型），后者在《個人信息保護法》上也表述為“可識別的自然人有關(guān)”。

在這兩類個人信息中，單獨識別型個人信息因僅涉及單一信息的性質(zhì)判斷，即便在生成式人工智能背景下也能相對清晰認定。然而，結(jié)合識別型個人信息本身就需要綜合多項信息識別個人身份，且立法亦未明確“結(jié)合識別”的內(nèi)涵，標準本就模糊。生成式人工智能的強大算力極大增強了多信息融合處理能力，且不同應(yīng)用場景中識別范圍與方法差異顯著，進一步模糊了此類信息邊界。這種依憑算力的“結(jié)合識別”能力遠超普通人認知水平，而技術(shù)壁壘與算法黑箱使外界難以理解其識別邏輯，從而對人工智能“結(jié)合識別”的信息定性困難。例如，傳統(tǒng)環(huán)境下零散的行為偏好數(shù)據(jù)（如特定音樂類型喜好）通常不被視為結(jié)合識別型個人信息。但生成式人工智能通過算力融合分析，將此類數(shù)據(jù)與其他信息精準關(guān)聯(lián)到特定個人，從而使原本看似無涉?zhèn)€人的信息轉(zhuǎn)變?yōu)榉戏啥x的結(jié)合識別型個人信息。這一過程難以為普通用戶與司法人員所察覺，導(dǎo)致刑事責任難以有效追究。

（五）因果關(guān)系判斷無力

雖然按照刑法規(guī)定與罪狀原理，侵犯公民個人信息罪是情節(jié)犯，未以構(gòu)成特定個人信息侵害結(jié)果為必要要件。然而按照最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息刑案解釋》），“情節(jié)嚴重”卻主要以特定結(jié)果為標準，既包括了侵害數(shù)量維度的結(jié)果，也包括獲利金額維度的結(jié)果。在實踐中，依據(jù)侵害結(jié)果來認定本罪的情形十分普遍。因此，行為與結(jié)果之間的因果關(guān)系，就成為刑法對侵犯個人信息行為進行定罪歸責的重要實踐基礎(chǔ)。然而生成式人工智能處理個人信息的場景下，由于其技術(shù)復(fù)雜性與運行秘密性，行為與侵害結(jié)果之間的因果關(guān)系判斷面臨顯著難題。

一方面，技術(shù)壁壘與算法黑箱導(dǎo)致因果鏈條難以解釋和認定。生成式人工智能的運行機制與運算邏輯極為復(fù)雜，本就難以被外界理解。即便處理行為與侵害結(jié)果之間可能存在因果關(guān)系，也難以進行具體的解釋與認定。以ChatGPT為代表的通用生成式人工智能具備高度自主學習的特質(zhì)，即便是其提供方也無法完全掌控其運行過程。這導(dǎo)致對其運行與生成結(jié)果之間的因果邏輯進行說明極度困難，甚至超出了普通司法審查的能力范圍。另一方面，更為關(guān)鍵的是，生成式人工智能的技術(shù)內(nèi)核是基于高斯分布的概率相關(guān)性判斷，而非嚴格的因果性分析。其算法通常僅建立多個輸入因素之間的相關(guān)性生成通路即可輸出內(nèi)容，無須準確區(qū)分因與果，也不具備追溯物理因果關(guān)聯(lián)的解釋能力。這種技術(shù)特性導(dǎo)致其處理行為與侵害結(jié)果之間欠缺堅實的因果關(guān)聯(lián)，從而使刑法上的因果關(guān)系論證面臨根本性挑戰(zhàn)，嚴重影響了有效的刑事歸責。

三

基于生成式人工智能特質(zhì)的個人信息刑法規(guī)制模式轉(zhuǎn)型

生成式人工智能引發(fā)的個人信息刑法規(guī)制困境，典型地反映出技術(shù)飛速發(fā)展對既有法律規(guī)范帶來的適用挑戰(zhàn)。刑法中設(shè)立侵犯公民個人信息罪，本是為應(yīng)對網(wǎng)絡(luò)化進程中日益嚴重的個人信息侵權(quán)問題。但當前以侵犯公民個人信息罪為核心的個人信息刑法規(guī)制模式，形成于生成式人工智能出現(xiàn)之前。該模式在確立時，并未考慮生成式人工智能的運行特征及其對個人信息處理帶來的全新影響，因而難以有效滿足生成式人工智能背景下的個人信息保護需求。因此，要解決生成式人工智能帶來的個人信息刑法規(guī)制困境，必須依據(jù)其處理個人信息的獨有特質(zhì)，對侵犯公民個人信息罪的規(guī)制模式進行相應(yīng)調(diào)整與更新，從而有效防范新型個人信息侵害風險。

（一）個人信息有限賦權(quán)：刑法規(guī)制個人信息的初始模式

受刑法謙抑性與兜底性特征的約束，刑法上的法定犯一般設(shè)置于前置法規(guī)范之后，并以確認和保障前置法所保護的法益為目的，刑法規(guī)范本身通常不具備獨立創(chuàng)設(shè)法益或直接賦權(quán)的功能。然而，刑法在增設(shè)個人信息犯罪時卻突破了上述原則，體現(xiàn)出“刑法先行”特質(zhì)下創(chuàng)設(shè)性賦權(quán)的獨特模式。

為應(yīng)對互聯(lián)網(wǎng)迅猛發(fā)展帶來的侵害個人信息的嚴重問題，2009年2月28日公布施行的《中華人民共和國刑法修正案（七）》首次設(shè)立了個人信息專門犯罪，開創(chuàng)了專門保護個人信息的規(guī)范先例。當然，對個人信息作出專門保護性規(guī)定，并不簡單地等同于對個人信息進行專門賦權(quán)。自刑法設(shè)立個人信息犯罪以來，關(guān)于本罪所保護的法益一直存在多種觀點。既有以“個人信息自決權(quán)”為代表的個人法益觀，也有以“信息安全與信息管理秩序”為代表的社會法益觀等。其中，社會法益觀立足于公共法益，不認同刑法對個人信息具有賦權(quán)功能。然而，從該罪被歸入侵犯公民人身權(quán)利類犯罪來看，其保護法益應(yīng)被定位于個人信息權(quán)益，首要規(guī)范目的并非單純的信息安全或管理秩序。《個人信息刑案解釋》對“情節(jié)嚴重”的規(guī)定也印證了這一點，該解釋的判斷標準側(cè)重于侵害個人信息權(quán)益所造成的實害結(jié)果，而非對信息管理秩序的破壞。另有觀點認為，即便承認本罪保護的是個人權(quán)益，也只是將其視為對通信自由、隱私安寧等傳統(tǒng)權(quán)益的保護，并未創(chuàng)設(shè)獨立的個人信息權(quán)益。但從該罪與通信自由、隱私安寧類犯罪分別設(shè)立，并將保護對象明確為“個人信息”的立法模式來看，其規(guī)范目的有意將個人信息權(quán)益與隱私權(quán)等其他權(quán)益相區(qū)分，表明本罪在規(guī)范目的上將個人信息權(quán)益作為一種區(qū)別于通信自由與隱私安寧的獨立法益加以保護。

由此可見，刑法通過增設(shè)個人信息犯罪，首次在規(guī)范層面確認了個人信息權(quán)益的獨立地位，對個人信息權(quán)益首次進行了正式賦權(quán)，這一確認的時間要遠遠早于其他法律規(guī)范對個人信息權(quán)益的首次明確規(guī)定。因此，可以說刑法形成了對個人信息專門賦權(quán)的保護模式。不過，刑法將個人信息犯罪行為限定于非法獲取、提供等轉(zhuǎn)移型行為，不包括非法濫用等行為，表明其僅保護個人信息的轉(zhuǎn)移自主權(quán)，屬于局部有限賦權(quán)。這一局部賦權(quán)范圍，相較于后來《民法典》與《個人信息保護法》所確立的包括使用、加工、刪除等在內(nèi)的廣泛個人信息權(quán)益而言非常局限。當然，在網(wǎng)絡(luò)時代初期，個人信息侵害主要表現(xiàn)為非法轉(zhuǎn)移行為，刑法的有限賦權(quán)模式有效遏制了此類行為的泛濫，確立了個人信息權(quán)益的法律保護地位。這一做法將犯罪范圍限定于最需刑法介入的領(lǐng)域，符合刑法作為最后手段的定位，體現(xiàn)了立法的必要性與謙抑性。

（二）轉(zhuǎn)向場景治理模式：基于生成式人工智能的個人信息規(guī)制原理

隨著生成式人工智能的廣泛應(yīng)用部署，刑法作為個人信息保護的底線規(guī)范，亟須將其新型風險納入規(guī)制范圍。然而，現(xiàn)行刑法采用的“有限賦權(quán)”模式與生成式人工智能的技術(shù)特性存在明顯的沖突，亟待構(gòu)建新型治理范式。生成式人工智能處理個人信息的鮮明特征是基于不同主體與情境進行交互定制與自主生成，即體現(xiàn)高度場景化的運行特質(zhì)。

所謂場景化，是指在此情形下個人信息處理遵循動態(tài)演變的場景論原理，不再依賴無差別的抽象預(yù)設(shè)邏輯，而需要解耦不同場景中信息流轉(zhuǎn)與應(yīng)用的變化關(guān)系，并建立分場景適配的治理體系。與傳統(tǒng)處理方式不同，生成式人工智能通過自主抓取和定制交互實現(xiàn)個人信息的泛在化處理。生成式人工智能處理個人信息的新形式，打破了傳統(tǒng)“獲取—加工—提供”的分段式生命周期，轉(zhuǎn)向一體式、定制式與關(guān)聯(lián)式的信息挖掘模式。其處理結(jié)果也因主體、對象和需求的不同而呈現(xiàn)差異，具體表現(xiàn)為三個特征：一是一體式特征。生成式人工智能在復(fù)雜場景交互中打亂了個人信息處理的固有順序，難以清晰區(qū)分獲取、加工、提供等具體行為階段。二是定制式特征。不同場景下的個人信息處理需求與表達方式各異，無法遵循統(tǒng)一預(yù)設(shè)的運行規(guī)則與標準。三是關(guān)聯(lián)式特征。處理過程超越線性因果關(guān)系，生成結(jié)果只能在特定場景中通過關(guān)聯(lián)性加以理解，而難以進行因果性解釋。上述三個特質(zhì)已超出刑法傳統(tǒng)“有限賦權(quán)”規(guī)制模式的涵蓋范圍，導(dǎo)致現(xiàn)有模式難以有效防范生成式人工智能帶來的特殊侵害風險，進而造成司法認定中的諸多困境。因此，個人信息刑法規(guī)制應(yīng)基于生成式人工智能的場景化特質(zhì)，逐步向場景治理模式轉(zhuǎn)型。

首先，有限賦權(quán)模式難以解決生成式人工智能“一體式”特征帶來的侵害行為復(fù)雜化問題，應(yīng)基于場景治理模式，調(diào)整個人信息犯罪行為認定標準。生成式人工智能在場景化處理信息時，并不明確區(qū)分獲取、加工、使用、公開等環(huán)節(jié)，而是以“一體式”的方式將多個處理步驟整合于同一流程中，從而形成使用、加工與轉(zhuǎn)讓等行為同時交錯運行復(fù)合行為場景。這導(dǎo)致難以從中準確識別出符合本罪構(gòu)成要件的“轉(zhuǎn)移型行為”。以智能寫作助手為例，該工具在為用戶潤色文稿時，會同步分析用戶的寫作習慣、專業(yè)領(lǐng)域知識結(jié)構(gòu)，甚至思維模式特征。這一過程融合了對個人信息的實時獲取、深度分析和創(chuàng)造性使用，最終生成的新內(nèi)容可能隱含新的加工后的個人信息。此類復(fù)合處理行為是否構(gòu)成本罪轉(zhuǎn)移型行為，在現(xiàn)行規(guī)制模式下難以明確判斷。轉(zhuǎn)向場景治理模式，則能夠針對一體式特征帶來的行為區(qū)分困境，將技術(shù)維度的場景化下的行為認定需求嵌入刑法原理，回溯映照刑法適用中的行為歸責判斷理論，從法益侵害論的意義上回歸法益危險的行為判斷基準。

其次，有限賦權(quán)模式的無差別保護邏輯難以應(yīng)對生成式人工智能“定制式”特征帶來的侵害對象差異化問題，需要在場景治理框架下實現(xiàn)個人信息犯罪對象的類型化保護。生成式人工智能在場景化處理個人信息時，會結(jié)合輸入端信息特征與應(yīng)用端具體需求進行定制化處理，從而對不同主體產(chǎn)生差異化的處理結(jié)果。在此情況下，若僅采取原則性的一般賦權(quán)保護模式，容易忽視不同場景下的具體保護需求差異，可能導(dǎo)致定罪量刑的不合理。因此，需要轉(zhuǎn)向場景治理模式，根據(jù)不同類型場景中個人信息的保護需求進行差異化治理，將場景化的保護需求與刑法規(guī)制的類型化要求相嵌合，實現(xiàn)對個人信息對象的分類保護。值得借鑒的是，作為刑法前置法的《民法典》與《個人信息保護法》均已建立個人信息分類保護機制，通過區(qū)分私密信息與非私密信息、敏感個人信息與一般個人信息等類型，實現(xiàn)了差別化、分層級的權(quán)益保護模式。這種分類保護思路更能適應(yīng)生成式人工智能帶來的場景化保護需求，可為侵犯公民個人信息罪的對象認定提供參考。

最后，有限賦權(quán)模式難以應(yīng)對生成式人工智能“關(guān)聯(lián)式”特征帶來的侵害后果無因化問題，需依據(jù)場景治理思維，探索個人信息因果認定的替代標準。生成式人工智能在場景化處理信息時，依賴的是相關(guān)性分析，而非因果性邏輯。該方法僅關(guān)注要素間的伴生概率，不探究實在的因果聯(lián)系，導(dǎo)致特定結(jié)果呈現(xiàn)“無因化”特征。面對這一挑戰(zhàn)，刑法規(guī)制需轉(zhuǎn)向場景治理模式，將關(guān)聯(lián)式邏輯與刑法原理相融合，構(gòu)建與之相適應(yīng)的因果認定替代標準：第一，針對實在因果關(guān)系判斷的困境，可引入刑法中的規(guī)范因果關(guān)系路徑。刑法理論已針對不作為犯等復(fù)雜情形發(fā)展出以歸責為核心的規(guī)范因果判斷路徑。借鑒這一思路，可有效化解關(guān)聯(lián)式邏輯下的歸因難題。第二，可借鑒《個人信息保護法》的義務(wù)違反追責模式，運用刑法義務(wù)犯原理設(shè)定專門標準，從而規(guī)避因果關(guān)系的認定難題。

綜上可見，要解決生成式人工智能場景化特征引發(fā)的侵害行為復(fù)雜化、對象差別化及后果無因化等問題，應(yīng)推動刑法從有限賦權(quán)模式向場景治理模式轉(zhuǎn)變，構(gòu)建個人信息犯罪的場景化認定路徑。

四

場景治理模式下個人信息刑法歸責的路徑展開

因應(yīng)生成式人工智能運行場景化的特點，個人信息刑法保護模式應(yīng)從有限賦權(quán)轉(zhuǎn)向場景治理。具體而言，應(yīng)根據(jù)其定制式、一體式、關(guān)聯(lián)式的信息處理特征，更新侵犯公民個人信息罪的歸責路徑，明確該罪在生成式人工智能背景下的適用邊界，以解決當前面臨的認定困境。這一規(guī)制模式的轉(zhuǎn)型，并不必然要求修改立法。由于侵犯公民個人信息罪采用“情節(jié)犯”的立法模式，其“情節(jié)嚴重”這一入罪標準具有解釋上的靈活性，能夠適應(yīng)不同規(guī)制模式的歸責需求。因此，只需在司法適用中調(diào)整認定標準，即可有效貫徹場景化治理理念?；诖?，針對生成式人工智能處理個人信息的特點，可通過完善個人信息犯罪的歸責路徑來落實場景治理模式，從而有效解決由此產(chǎn)生的刑事認定難題。

（一）以個人信息的非法轉(zhuǎn)移危險現(xiàn)實化作為行為判斷路徑

1.針對人工智能一體式特征的侵害危險現(xiàn)實化歸責基準

在生成式人工智能場景化運行特征下，個人信息處理呈現(xiàn)行為一體化特質(zhì)，改變了傳統(tǒng)侵害方式“先轉(zhuǎn)移、后濫用”的單向發(fā)生模式。生成式人工智能在運行中將信息的轉(zhuǎn)移、使用、加工等行為復(fù)合實施，各行為間既難以明確區(qū)分，也不存在清晰的先后順序，導(dǎo)致直接認定非法轉(zhuǎn)移行為面臨困難。

針對這一困境，較為理想的解決方案是通過立法擴展本罪的行為類型，將非法加工、濫用、傳輸?shù)犬斍拔醇{入規(guī)制的處理行為一并納入，從根本上改變僅處罰轉(zhuǎn)移行為而不規(guī)制濫用加工行為的局限。在立法尚未修改的情況下，當行為與主體認定存在困難時，可根據(jù)本罪的規(guī)范保護目的，運用“危險現(xiàn)實化”原理進行判斷。根據(jù)這一原理，無論采用何種規(guī)制模式，侵犯公民個人信息罪的規(guī)范保護目的都是遏制和防范對個人信息的侵害危險。由于法益危險是可以評價的行為的外在表現(xiàn)，即使生成式人工智能的一體化行為性質(zhì)難以直接認定，仍可外在通過其運行對個人信息造成的實質(zhì)危險來評判行為屬性。通過考察具體處理情境是否造成非法轉(zhuǎn)移個人信息的風險，可以有效解決因行為一體化帶來的認定難題，使危險現(xiàn)實化成為適應(yīng)生成式人工智能特質(zhì)的行為認定路徑。

2.以危險現(xiàn)實化基準認定侵犯公民個人信息罪行為

根據(jù)危險現(xiàn)實化原理的邏輯，侵犯公民個人信息罪的非法獲取、出售與提供個人信息的行為，本質(zhì)上都是將個人信息非法轉(zhuǎn)移的危險現(xiàn)實化的具體表現(xiàn)。因此，是否生成并實現(xiàn)非法轉(zhuǎn)移個人信息的危險，可以作為判定該罪行為是否成立的重要標準。在生成式人工智能背景下，針對信息轉(zhuǎn)移與加工使用行為高度一體化，可根據(jù)危險現(xiàn)實化原理，審查具體行為是否生成并實現(xiàn)了個人信息非法轉(zhuǎn)移的危險，以此為歸責基準。

規(guī)范意義上的非法轉(zhuǎn)移危險現(xiàn)實化應(yīng)包含雙重判斷基準：第一，個人信息轉(zhuǎn)移危險的非法性判斷。這是判斷轉(zhuǎn)移危險存在的前提。以《個人信息保護法》《民法典》等規(guī)定為依據(jù)，若處理個人信息時違反相關(guān)法律法規(guī)，即符合非法性標準。生成式人工智能的交互式運行特點使其難以在事前授權(quán)中明確列舉所有處理事項，較難完全符合明示處理和具體知情同意的要求，故較易具備非法性特征。第二，個人信息轉(zhuǎn)移危險的具體實現(xiàn)判斷。在確認非法性的基礎(chǔ)上，還需判斷是否產(chǎn)生了個人信息的具體流轉(zhuǎn)后果。即使無法從一體化行為中分析出具體的轉(zhuǎn)移行為，也可以通過處理結(jié)果判斷轉(zhuǎn)移危險是否現(xiàn)實化，造成了個人信息的實質(zhì)危害。在前述Deepmind的案件中，Deepmind在處理個人信息時，未能完全符合英國醫(yī)療數(shù)據(jù)的使用指引規(guī)定，從而具有一定的非法性，且其深度挖掘了醫(yī)療數(shù)據(jù)，獲取了一系列用戶未授權(quán)的醫(yī)療個人信息，并用于人工智能訓練與其他應(yīng)用，因此造成了對未授權(quán)個人信息的實質(zhì)危害，因此構(gòu)成非法轉(zhuǎn)移危險的現(xiàn)實化，侵害了個人信息權(quán)益。

（二）以個人信息侵害危險的作用力作為主體歸責路徑

如前所述，生成式人工智能運行中參與主體的多元化，導(dǎo)致了侵犯公民個人信息罪在歸責主體認定上的困境。同時，行為一體化的特點也使其難以將處理過程割裂并分別歸責于不同主體。例如，不能因平臺控制人工智能僅實施了加工個人信息行為，就認定其未有轉(zhuǎn)移型行為，從而不承擔本罪責任，也不能因特定用戶向人工智能泄露了第三者的個人信息就簡單認定為僅特定用戶承擔本罪責任。實際上，生成式人工智能的運行由平臺與使用者交互推動，僅從行為表現(xiàn)難以明確區(qū)分責任歸屬。在此情況下，可基于不同主體對個人信息侵害“危險現(xiàn)實化”的作用力來判斷歸責。

具體而言，應(yīng)以各方對非法獲取或提供個人信息這一危險的參與程度或推動作用為依據(jù)，未對危險現(xiàn)實化起到推動作用的主體不應(yīng)歸責。

一是當生成式人工智能平臺與使用者共同推動個人信息的轉(zhuǎn)移危險現(xiàn)實化時，平臺與使用者都應(yīng)當予以歸責。若雙方均對個人信息非法轉(zhuǎn)移危險的實現(xiàn)起到推動作用，即使參與時間和方式不同，也應(yīng)共同承擔刑事責任。如使用者任意提供了非法獲取的他人信息，平臺未經(jīng)審查就按照使用者要求加工處理了他人的信息，只能認定為平臺與該使用者都是造成個人信息危險的行為主體，生成式人工智能的運行是二者實行行為的共同展開。例如前述Clearview的案例中，如果用戶提供了自己非法獲取的他人肖像信息用于尋人，而Clearview運用抓取的圖片幫助用戶得到了新的他人個人信息，那么二者行為共同促成了侵害個人信息危險的現(xiàn)實化，應(yīng)當都予以歸責。二是個人信息的轉(zhuǎn)移危險現(xiàn)實化僅由生成式人工智能的使用者促成，應(yīng)單獨歸責于使用者。在生成式人工智能的交互運行中，非法轉(zhuǎn)移個人信息的危險生成與實現(xiàn)都是使用者促成的，平臺并未推動侵犯個人信息的危險實現(xiàn)，若平臺已履行合規(guī)審查義務(wù)，但因使用者欺瞞未能發(fā)現(xiàn)信息的非法來源與使用狀態(tài)，則平臺未實際推動危險實現(xiàn)，不應(yīng)歸責。前述Clearview案例中，如果該AI自動對用戶履行其提供的個人信息合規(guī)審查義務(wù)，則不應(yīng)予以歸責，但其實際上完全放任用戶提供非法個人信息并予以加工擴張范圍，是對個人信息危險加以現(xiàn)實化，因此應(yīng)予以歸責。三是在生成式人工智能運行中轉(zhuǎn)移個人信息的危險現(xiàn)實化是由平臺生成并推動實現(xiàn)的，用戶并未起到推動作用，則應(yīng)對平臺進行歸責。如平臺在進行生成式人工智能MaaS（模型即服務(wù)）應(yīng)用時，對其他使用者提供的個人信息未履行再告知義務(wù)而是直接使用，從而造成了個人信息的非法轉(zhuǎn)移危險，應(yīng)予以歸責。而MaaS的使用者則由于僅使用智能模型，并未參與個人信息的直接處理，未推動危險的形成，因此不應(yīng)予以歸責。

（三）以個人信息類型化作為違反前置法的認定路徑

針對生成式人工智能定制式處理個人信息可能帶來的違法判定差異問題，應(yīng)形成類型化的歸責路徑。雖然生成式人工智能通常涉及大規(guī)模處理信息，但其場景化、定制式的特質(zhì)導(dǎo)致不同場景中受到侵害的信息主體與種類存在顯著差異。這種顯著差異在大規(guī)模聚合下會表現(xiàn)為對不同主體與內(nèi)容的個人信息的類型化侵害，如歸屬主體類型上可能既有對未成年人個人信息的侵害，也有對成年人個人信息的侵害；內(nèi)容上既有對私密個人信息或敏感個人信息的侵害，也有對一般個人信息的侵害。而不同歸屬主體與內(nèi)容的個人信息所對應(yīng)的規(guī)范保護需求也千差萬別，如果不考慮到這種差別而采取單一標準入罪，就必然會導(dǎo)致前述對個人信息保護的不周延甚或失效。因此應(yīng)根據(jù)不同的個人信息類型及其保護需求的差異化，明確侵犯公民個人信息罪類型化的違法判斷標準。

為保障法秩序的統(tǒng)一性，應(yīng)優(yōu)先根據(jù)前置法對個人信息的法定分類明確侵犯公民個人信息罪的違法性類型化標準。例如，可以根據(jù)《個人信息保護法》中就保護重要程度的分類，對具有優(yōu)先保護性的敏感個人信息賦予相對于一般個人信息更低的入罪門檻，這是因為敏感個人信息一旦遭受侵害，更容易帶來人身財產(chǎn)等重大危險，造成的危險現(xiàn)實化后果更為嚴重，所以應(yīng)設(shè)置更低的違法性判斷門檻。《個人信息刑案解釋》在“情節(jié)嚴重”的認定中已經(jīng)體現(xiàn)了一定程度的分類邏輯，根據(jù)需受保護程度確定了三種不同類型個人信息的量化標準，符合分類保護的原則；但是相較于《個人信息保護法》與《民法典》的系統(tǒng)性類型化規(guī)定，《個人信息刑案解釋》僅對部分敏感個人信息做了列舉式分類，從而不夠周延，未來可以按照《個人信息保護法》和《民法典》的規(guī)定，進一步完善違反前置法的類型化認定體系。

由此，根據(jù)敏感個人信息與一般個人信息的分類保護原則，前者作為《個人信息保護法》中通過特殊規(guī)定而強化保護的類型與后者存在明顯的規(guī)定差異，因此在確定是否“違反國家規(guī)定”時應(yīng)明確確立不同的場景標準：如果所涉?zhèn)€人信息屬于敏感個人信息，則根據(jù)《個人信息保護法》的規(guī)定，需在違法性判斷中識別信息保護目的與必要性、保密手段性，以及單獨同意告知等特殊法定要求是否得到滿足。如果生成式人工智能挖掘的敏感個人信息未經(jīng)過單獨、具體的授權(quán)同意，也未對個人進行告知，就違反了《個人信息保護法》的特殊保護規(guī)定。即便用于加工源頭的個人信息已經(jīng)獲得授權(quán)，也不當然就保證加工處理后得出的敏感個人信息的合法性。例如，在智能心理咨詢場景中，生成式人工智能通過分析用戶的語言表達習慣、社交互動模式等數(shù)據(jù)，推斷出該用戶未明確授權(quán)的心理健康狀態(tài)或病史等敏感個人信息，這意味著用戶的個人敏感心理信息已從其個人控制范圍向人工智能平臺轉(zhuǎn)移。如果這一涉及心理健康的敏感個人信息未在用戶直接授權(quán)的范圍之內(nèi)，且后續(xù)也未向該用戶獲取同意轉(zhuǎn)讓許可，則即便源頭的表達習慣等一般個人信息屬于合法授權(quán)，仍然構(gòu)成了對前置法的違反。而如果生成式人工智能挖掘的個人信息是一般個人信息，則可以基于源頭信息的采集端告知授權(quán)而取得合法性，除非后續(xù)又對這些信息有其他非法處理行為，否則取得個人信息的行為應(yīng)該被視為合法有效。

（四）以“結(jié)合識別”目標作為個人信息對象界分路徑

如前所述，生成式人工智能顯著擴展了個人信息的認定范圍，以往難以通過“結(jié)合識別”確定身份的信息，在其強大算力下也可能符合個人信息定義，從而成為侵犯公民個人信息罪的規(guī)制對象。但由于在不同的生成式人工智能場景下，這種“結(jié)合識別”的過程與邏輯各異，難以在技術(shù)體系內(nèi)部形成統(tǒng)一的判斷標準。因此，要判斷特定生成信息是否屬于個人信息時，可以根據(jù)人工智能用于結(jié)合識別的目標信息屬性來確立“結(jié)合識別”型個人信息的認定邊界。

如果生成式人工智能處理特定信息旨在通過“結(jié)合識別”這些信息以生成敏感個人信息，則出于作為目標信息的敏感個人信息的優(yōu)先保護需求，采用嚴格的“場景可能性”規(guī)則：只要經(jīng)生成式人工智能處理，存在通過處理該信息識別出特定自然人敏感個人信息的可能，該特定信息就應(yīng)該納入個人信息的范圍，可以被追究刑事責任，以實現(xiàn)對敏感個人信息的強化保護。反之，如果生成式人工智能處理特定信息是為了“結(jié)合識別”一般個人信息，則在對特定信息是否“結(jié)合識別”型個人信息的判斷上可以采用限縮式的“場景實然性”標準：在采集端首先考察用于結(jié)合識別的特定信息是否具備獨立的個人信息屬性，若相關(guān)特定信息均不具備單獨識別性，且這些信息在實際情況下從未實現(xiàn)身份識別，則可不認定其為個人信息。

（五）以規(guī)范性因果與義務(wù)違反作為因果關(guān)系紓解路徑

1.因果關(guān)系內(nèi)部基于規(guī)范性因果的歸責基準

為解決生成式人工智能背景下侵犯公民個人信息罪的因果關(guān)系判斷難題，需構(gòu)建超越傳統(tǒng)事實因果的特殊因果關(guān)系認定規(guī)則。在事實因果關(guān)系層面，條件說作為基本判斷規(guī)則，經(jīng)常面對諸多挑戰(zhàn)。刑法理論發(fā)展中形成的擇一因果關(guān)系、疫學因果關(guān)系等特殊規(guī)則，正是條件說適用困難而產(chǎn)生的特定解決方案。有觀點主張在生成式人工智能場景中采用統(tǒng)計學上的高概率性作為因果判斷標準，但由于技術(shù)壁壘與算法黑箱的存在，這種概率性判斷在生成式人工智能背景下面臨較高的技術(shù)門檻與認知障礙，難以實際運用。單純基于存在論的解決路徑，均難以突破生成式人工智能在事實層面的非因果律表征局限。因此，需要超越存在論層面的事實歸因判斷，轉(zhuǎn)向規(guī)范論層面的因果關(guān)系歸責認定，為生成式人工智能場景下的因果判斷提供相對確定性的規(guī)范標準。

規(guī)范性因果關(guān)系判斷以規(guī)范論的視角判斷規(guī)范，違反行為與危害后果之間的關(guān)聯(lián)，因此無須探究生成式人工智能內(nèi)在復(fù)雜的運行邏輯，只需要從外部評估生成式人工智能對規(guī)范的違反程度與后果即可在規(guī)范意義上推定或擬制因果關(guān)系的成立?；谝?guī)范判斷的客觀歸責原理，可以將侵害個人信息危險的生成與實現(xiàn)作為因果關(guān)系的判斷基準。首先，在危險生成層面，可以根據(jù)“法所不容危險”標準，判斷生成式人工智能處理個人信息的行為是否違反個人信息與人工智能等前置法的規(guī)定，產(chǎn)生了侵害個人信息的違法性風險。這是確認因果的前置條件。其次，在危險實現(xiàn)層面，可以根據(jù)人工智能生成內(nèi)容是否存在對個人信息的侵害結(jié)果，以及這一結(jié)果是否在前述危險范圍之內(nèi)，以明確危險是否實現(xiàn)。最后，在歸屬層面，需要判斷個人信息的侵害結(jié)果不歸屬于他方負責的行為范圍，最終確認因果關(guān)系。例如，在消費偏好的人工智能分析場景中，若AI超出約定用途使用個人消費記錄信息，即產(chǎn)生個人信息侵害危險；若由此推斷出未授權(quán)的個人收入水平等敏感信息內(nèi)容，且涉及重大人身、財產(chǎn)利益，則危險可認定為已實現(xiàn)。而進一步在歸屬層面上，如果不存在其他第三方應(yīng)用或用戶的直接介入，則可從規(guī)范層面認定因果關(guān)系成立。

2.因果關(guān)系外部基于義務(wù)違反的歸責基準

由于生成式人工智能的生成內(nèi)容日趨復(fù)雜多元，在開放的網(wǎng)絡(luò)環(huán)境中普遍存在著生成內(nèi)容泛在擴散與難以追蹤的特征，導(dǎo)致侵害結(jié)果經(jīng)常難以認定，因果關(guān)系更加無從判斷。即便采用規(guī)范因果關(guān)系基準，侵犯公民個人信息罪仍面臨歸責困境。因此，有必要在因果關(guān)系路徑之外考量其他無須判斷因果關(guān)系的刑事歸責形式。抽象危險犯、行為犯、義務(wù)犯等歸責形式均可規(guī)避因果判斷難題?？紤]到《個人信息保護法》第24條本身就對生成式人工智能所涉的自動化決策規(guī)定有專門義務(wù)，《生成式人工智能服務(wù)管理暫行辦法》第11條也專門對生成式人工智能處理個人信息規(guī)定了原則性前置義務(wù)，因此，以義務(wù)前置為前提的義務(wù)犯模式相對更符合前置法的已然規(guī)制邏輯?？梢愿鶕?jù)前置法對生成式人工智能預(yù)設(shè)的義務(wù)要求，設(shè)定侵害行為與義務(wù)違反相結(jié)合的入罪標準，避免陷入因果關(guān)系的判斷爭議。義務(wù)犯模式在司法實踐中已具有可行性基礎(chǔ)。《個人信息刑案解釋》在對“情節(jié)嚴重”的認定中，已采用義務(wù)違反的設(shè)定方式。例如，在第5條第（一）項“出售或者提供行蹤軌跡信息，被他人用于犯罪的”規(guī)定，即設(shè)定了行為人防范信息被用于犯罪的義務(wù)，違反該義務(wù)即符合入罪條件。

基于生成式人工智能的前置法義務(wù)體系，可為其設(shè)定專門的處理個人信息的義務(wù)違反歸責基準。一是在生成式人工智能預(yù)訓練階段，設(shè)定對用于預(yù)訓練的個人信息數(shù)據(jù)進行審查的合規(guī)義務(wù)及違反該義務(wù)的刑事責任基準。如果生成式人工智能的部署方怠于行使對收集的個人信息數(shù)據(jù)進行合法性審查，而導(dǎo)致大規(guī)模非法獲取處理了個人信息，則應(yīng)承擔相應(yīng)的刑事責任。二是在生成式人工智能交互階段，設(shè)定對獲取使用的用戶個人信息或第三方個人信息承擔合法性審查的合規(guī)義務(wù)，并明確違反該義務(wù)的刑事責任基準。如果部署方對交互中的個人信息未行使合法性審查義務(wù)而導(dǎo)致不當處理了個人信息，則應(yīng)承擔相應(yīng)的義務(wù)違反刑事責任。

五

余論

針對生成式人工智能場景化處理個人信息的新特征與新問題，在認定刑事責任時可以通過侵犯公民個人信息罪“情節(jié)嚴重”的解釋空間靈活滿足司法認定需求。然而隨著生成式人工智能普適化應(yīng)用，在場景治理需求下，現(xiàn)有侵犯公民個人信息罪規(guī)制過窄問題將應(yīng)對無力，有必要考慮多維推動相應(yīng)立法完善。首先，應(yīng)建立動態(tài)多維的個人信息認定標準。由于生成式人工智能場景差異化特征顯著，個人信息范圍隨場景變動不居，未來需在合理分類基礎(chǔ)上，結(jié)合主體身份、使用目的及權(quán)利關(guān)聯(lián)度等因素，形成場景化的法定判斷體系，立法完善“結(jié)合識別”型個人信息的類型化認定標準。其次，應(yīng)拓展本罪的行為類型范圍。為應(yīng)對生成式人工智能行為一體化難區(qū)分的特點，需將目前僅涵蓋非法轉(zhuǎn)移型行為的罪狀，擴展為與《個人信息保護法》相銜接的多元非法處理型行為，實現(xiàn)對個人信息的全面保護。最后，應(yīng)確立專門的義務(wù)犯歸責標準。針對生成式人工智能關(guān)聯(lián)式運行導(dǎo)致的因果關(guān)系判斷困境，可針對生成式人工智能的運行特質(zhì)，預(yù)先明確設(shè)定其特定個人信息保護義務(wù)，將侵害行為與義務(wù)違反判斷相結(jié)合，形成專門的入罪標準，既可以前置解決生成式人工智能情形下難以預(yù)測的侵害風險，也能避免因果判斷難題，明確有效的刑事歸責標準。

-向上滑動，查看完整目錄-

《華東政法大學學報》2025年第6期

【專題研討：數(shù)字經(jīng)濟時代個人信息的民行刑一體化保護】

1.數(shù)字經(jīng)濟時代個人信息保護的民行刑一體化推進研究

劉艷紅

2.生成式人工智能背景下個人信息的刑法規(guī)制困境與歸責出路

李川

3.數(shù)字智治場域下侵犯公民個人信息罪的適用異化與匡正

楊楠

4.數(shù)智時代侵犯公民個人信息罪中個人信息的保護范圍

楊柳

【數(shù)字法治】

5.個人信息主體權(quán)利行使的民行救濟協(xié)同論

沈佳燕

6.生成式人工智能生產(chǎn)者過失犯罪的結(jié)果歸責

張維堯

7.論網(wǎng)絡(luò)單向意思聯(lián)絡(luò)下共同犯罪認定體系的構(gòu)建

梁選點

【法學論壇】

8.中國專門法院何處去：反思與展望

左衛(wèi)民、何嬌嬌

9.生態(tài)環(huán)境法典中稅收條款的創(chuàng)制論析與體系構(gòu)想

葉金育

10.論紀檢監(jiān)察機制的平臺化轉(zhuǎn)型

薛小涵

11.中國語境下的代位繼承制度：功能闡明與理念重塑

李貝

12.“直”德之變與為漢制法

——董仲舒判斷“舍匿養(yǎng)子”案發(fā)微

李誠予

【域外法苑】

13.國際知識產(chǎn)權(quán)訴訟管轄權(quán)沖突及其解決

阮開欣

【評案論法】

14.股東權(quán)利濫用一般條款的動態(tài)判斷體系

潘子怡

《華東政法大學學報》由華東政法大學主辦，現(xiàn)為“中國法學核心科研評價來源期刊（CLSCI）”“中文社會科學引文索引（CSSCI）來源期刊”“中文法律類核心期刊”和“中國人文社會科學法學專業(yè)核心期刊”，先后獲評“全國高校社科精品期刊”“全國優(yōu)秀社科學報”“華東地區(qū)優(yōu)秀期刊”和“上海市最佳學報”。

點擊進入下方小程序

獲取專屬解決方案~

責任編輯 | 王睿

審核人員 | 張文碩 范阿輝

本文聲明 | 本文章僅限學習交流使用，如遇侵權(quán)，我們會及時刪除。本文章不代表北大法律信息網(wǎng)（北大法寶）和北京北大英華科技有限公司的法律意見或?qū)ο嚓P(guān)法規(guī)/案件/事件等的解讀。