生成式人工智能中的未成年人个人信息保护问题研究

【摘 要】随着AIGC（生成式人工智能）技术的发展和应用，未成年人面临新的机遇与挑战。AIGC在为未成年人提供个性化服务的同时，也可能加剧对其个人信息的过度收集和滥用。我国已构建起未成年人个人信息特殊保护制度，但在AIGC领域尚缺乏专门制度。立法应当对AIGC中未成年人个人信息的收集、存储、使用等予以特殊规范，坚持未成年人最大利益原则，推动人工智能从“成年人为中心”走向“以未成年人为中心”，并探索“同意能力”内涵，在保护与赋权之间寻求平衡，为未成年人营造安全、健康的智能化成长环境。

【关键词】AIGC；未成年人；个人信息；个人隐私；信息安全

【中图分类号】G434 【文献标志码】A

【论文编号】1671-7384（2024）07-029-03

生成式人工智能技术正在迅速发展，并日益融入我们的生活。它以大算力为基础，用强算法处理海量大数据，创造出令人惊叹的内容和应用。ChatGPT等语言模型不仅能与用户进行流畅对话，还能撰写邮件、生成代码、创作小说；Midjourney和Stable Diffusion等绘画工具则能根据用户的文本描述生成图片。而最近出现的Sora和Veo等工具，更是能直接将文本描述转换为视频。可以说，AIGC极大地丰富了人们的精神世界。

AIGC数据驱动的底层逻辑，将进一步加剧信息的广泛收集与利用，且加速信息滥用的进程。未成年人个人信息受侵害的风险也将在人与算法的双向交互模式下进一步放大。心智尚未成熟、世界观尚未稳定的未成年人，更加需要有相应的监督和支持，以保证其在与智能系统交互中保留“自主性”[1]。人工智能技术的飞速发展，给未成年人带来了全新的机遇与挑战。AIGC应用在为未成年人创造个性化体验的同时，也可能加剧对其个人信息的过度收集和滥用。面对这一复杂局面，我们有必要深入探讨AIGC时代未成年人个人信息保护的诸多问题，寻求创新与规范、发展与安全的平衡良方。

AIGC时代未成年人个人信息安全风险

当家长疲于工作时，AI或被寄希望成为孩子的好伙伴，然而，这些看似无害的“虚拟朋友”却可能给儿童的隐私带来巨大风险。意大利数据保护机构Garante率先对Replika AI和ChatGPT等几款备受儿童欢迎的AI聊天机器人采取了正式监管行动。Garante认为，这些AI聊天机器人在收集和处理儿童个人信息方面存在诸多问题，如缺乏透明度、过度收集、非法处理等，严重侵犯了儿童的数据隐私权益。其中，AIGC训练数据的潜在泄露风险、儿童认知能力局限导致的过度信息收集是最为突出的两大问题。

1.AIGC训练数据可能含有未成年人个人信息，存在泄露风险

AIGC的内容生成依赖于海量数据的训练，而这些数据通常来自用户抑或是互联网数据挖掘，其中不可避免地包含了未成年人的个人信息。由于现行法律对此类数据采集行为的制度尚不完善，缺乏有效的监管措施，AIGC开发者可能在未经允许或告知的情况下，将涉及未成年人的数据纳入训练集。

这些包含未成年人个人信息的训练数据，在后续的存储、传输、使用等环节中，如果缺乏严格的安全防护措施，就极易发生泄露，并被不法分子非法获取，用于各种违法违规用途。这不仅严重侵犯了未成年人的隐私权，更可能危及其人身、财产安全。微软旗下的Wiz Research在微软的AI GitHub存储库发现了一起数据泄露事件，其中包括超过30 000条内部微软Teams的聊天消息，这些敏感信息是由一个错误配置的SAS令牌引起的。由于未成年人因其个性化学习、教育等需求对定制化人工智能的偏好更强，所需要提供的个人信息更丰富，一旦这些数据被人工智能企业非法收集，泄露的风险性也更大，泄露的后果格外严重。

2.未成年人认知能力不足，AIGC应用可能过度收集其个人隐私

由于AIGC应用普遍采用自然语言交互，这种沟通方式容易让未成年人放松警惕，在无形中降低其隐私保护意识。与此同时，AIGC应用往往通过提供个性化、定制化的产品与服务来吸引未成年人用户。为了享受这些量身打造的信息便利，未成年人可能在不经意间泄露过多的个人信息。许多未成年人尤其是儿童，原本就对隐私保护意识比较淡薄，更容易在与AIGC互动时过度分享生活信息。一些AIGC应用就利用了这一点，诱导或默许未成年人用户提供大量的个人隐私数据，如身份信息、位置信息、社交数据等，对其进行过度收集。

由于认知能力有限，未成年人难以真正理解AIGC应用的隐私条款，其“同意”往往流于形式。而这些被收集的隐私数据，一旦被用于分析未成年人的行为偏好、社交关系等，进而影响算法推送和决策，就可能侵犯未成年人的自主权，甚至导致歧视。如韩国初创公司Scatter Lab推出了对话分析服务“TextAt”和“恋爱科学”（Science of Love）服务，广受未成年人欢迎。2021年4月28日，韩国的个人信息保护委员会对Scatter Lab处以高达1.033亿韩元的罚款，在诸多违法事实中，Scatter Lab严重违反了韩国《个人信息保护法》第22条对于未成年人信息的特殊保护，收集了20余万条未成年人信息。

未成年人个人信息特殊保护制度

未成年人个人信息特殊保护制度是我国个人信息保护法律体系的重要组成部分。鉴于未成年人身心发展尚不成熟、自我保护意识和能力较弱的特点，应立法对未成年人个人信息的收集、存储、使用、传输和披露等处理行为予以特别规范。

我国2020年修订的《中华人民共和国未成年人保护法》增设“网络保护”专章，从国家、学校、家庭、社会、网络服务提供者等多方面明确了保护未成年人在网络环境下合法权益的具体要求。

进入2021年，我国《中华人民共和国个人信息保护法》出台，将未成年人个人信息纳入敏感个人信息范畴，从处理规则、同意机制、监护人职责等方面予以特殊保护。2023年出台的《未成年人网络保护条例》在《中华人民共和国未成年人保护法》《中华人民共和国个人信息保护法》等上位法基础上，对未成年人个人信息网络保护作出更为细致的特别规定，同时加大对违法处理未成年人个人信息行为的处罚力度。

在AIGC领域，2023年7月，国家网信办等七部门联合对外发布《生成式人工智能服务管理暂行办法》（以下简称《办法》）。《办法》要求平台提供者应当与使用者签订服务协议，明确双方权利义务，采取有效措施防范未成年人信息沉迷。同时，平台提供者应当依法处置使用者的违法行为和内容。在个人信息保护方面，办法要求平台提供者在数据训练和提供服务过程中，应当依法取得个人同意，不得收集非必要个人信息，不得非法留存、提供使用者的输入信息和使用记录。

回顾我国未成年人个人信息保护制度的发展脉络，立法者坚持从未成年人利益出发，以问题和风险为导向，从一般到特殊构建起未成年人信息安全的法律屏障，这充分彰显了对未成年人的关爱之情。在AIGC这一新兴领域，我国虽已出台《生成式人工智能服务管理暂行办法》对未成年人保护提出了原则性要求，但该办法对未成年人个人信息在AIGC场景下的实际使用尚缺乏进一步的专门规定。

应立法对AIGC中未成年人个人信息进行特殊规范

在AIGC快速发展和广泛应用的背景下，在立法上应当对AIGC场景下未成年人个人信息的收集、存储、使用等行为予以特殊规范，进一步细化未成年人个人信息保护制度，压实AIGC服务提供者责任，为未成年人营造安全、健康的智能化成长环境。具体而言，可从以下三个方面展开。

1.立法原则：坚持未成年人最大利益原则

AIGC未成年人保护应当以坚持未成年人最大利益为原则。联合国《儿童权利公约》第3条第1款规定，“关于儿童的一切行动，不论是由公私社会福利机构、法院、行政当局或立法机构执行，均应以儿童的最大利益为一种首要考虑。”确立了“儿童最大利益原则”，这是《儿童权利公约》所特有的一般性原则，也是儿童权利理论的核心观点。我国《未成年人保护法》第4条也规定了，保护未成年人，应当坚持最有利于未成年人的原则。

这意味着当未成年人利益与其他利益相衡量的时候，在审视各不同层面的利益时，未成年人有权将他或她的最大利益列为一种首要的评判和考虑，且每当一项决定涉及儿童时，都得保障这项权利。关于“最大利益”的涵义，儿童权利委员会从三个层面做出了阐释，即儿童权利既是一项原则，也是一项行事规则，还是一项实体性权利[2]。作为一项行事规则，儿童最大利益原则应当成为AIGC平台制定隐私政策和实施数据处理活动的基本遵循。作为一项实体性权利，儿童最大利益原则要求赋予未成年人更多参与个人信息决策的机会，提升其对AIGC服务的知情权、选择权和控制权。

2.立法路径：以未成年人为中心的人工智能

随着人工智能技术的快速发展和广泛应用，其在教育、娱乐等领域对未成年人的影响日益凸显。然而，当前人工智能的设计开发和应用规则仍然“以成年人为中心”为主要考量，忽视了未成年人作为一个独特群体的特殊需求和权益诉求。这种“以成年人为中心”的思维定势，可能导致人工智能产品和服务在功能设置、交互方式、内容推荐等方面脱离未成年人的实际需要，甚至对其身心发展产生负面影响[3]。

因此，立法应当推动人工智能从“以成年人为中心”走向“以未成年人为中心”，引导人工智能行业树立未成年人优先的理念，充分考虑未成年人的身心特点和成长需求，形成有别于成年人的行为规则体系。

一方面，法律应当鼓励和支持开发专门面向未成年人的人工智能产品和服务，从儿童视角出发优化人机交互和功能体验，嵌入有利于未成年人身心发展的伦理价值取向，为未成年人提供个性化、适龄化的智能化服务产品。

另一方面，针对涉及未成年人个人信息收集、存储、使用的人工智能系统，应当制定独特的数据处理规则，从数据源头予以特殊保护。例如，建立未成年人与成年人相隔离的数据池，实行差异化的数据处理流程，采取更为严格的数据安全管理措施等。同时，可以考虑引入边缘计算（Edge Computing）这一分布式计算框架[4]，将未成年人个人信息的存储、计算等处理行为下沉至本地设备，减少不必要的数据上传和共享，降低未成年人个人信息泄露风险。

3.立法核心：从“保护”到“赋权”，以未成年人同意能力为出发点

大数据时代，未成年人个人信息保护面临着“赋权”与“保护”的平衡。目前立法实践普遍偏重“保护”的一面。传统民法理论中，“行为能力”是未成年人获得权利的基础，但在个人信息保护领域，“同意能力”的概念开始兴起。尽管行为能力与同意能力关系密切，但二者并非等同。同意能力应当具有区别于行为能力的独特价值，成为未成年人在个人信息处理活动中行使自决权的关键要素[5]。因此，未来立法应在坚持对不具备同意能力的未成年人实施监护人同意规则的同时，进一步探索“同意能力”的内涵。在具体判断未成年人是否具备同意个人信息处理的能力时，不能单纯依据年龄标准，而应当综合考虑个人信息的种类与敏感程度、信息处理的目的以及处理方式等多重因素。唯有在个案中权衡各种考量，才能在充分保护未成年人合法权益的同时最大限度地尊重其意愿，引导其循序渐进地成长为独立自主的个人信息权利主体，助力未成年人在信息社会中全面与健康发展。

参考文献

倪琴，贺樑，王英英，等. 人工智能向善：面向未成年人的人工智能应用监管探研：面向未成年人的人工智能技术规范研究（三）[J]. 电化教育研究，2023，44（8）： 33-41.

王雪梅. 权利冲突视域下儿童最大利益原则的理解与适用[J]. 政法论坛，2022，40（6）：125-135.

郭胜男，吴永和. 以未成年人为中心的人工智能何以实现？：基于“儿童人工智能”项目的思考[J]. 现代教育技术，2023，33（11）： 29-37.

施巍松，孙辉，曹杰，等. 边缘计算：万物互联时代新型计算模型[J]. 计算机研究与发展，2017，54（5）： 907-924.

于海防. 个人信息处理同意的性质与有效条件[J]. 法学，2022，489（8）： 99-112.