AI大模型训练中如何处理个人信息？如何合法获取用户同意并区分敏感信息？

蓝典信安 · AI合规服务中心，专注于为企业提供一站式AI合规咨询及治理服务，提供涵盖算法备案、数据安全与伦理审查等全面的合规咨询、评估与审计服务，量身定制内部治理体系与合规流程，致力于将复杂法规转化为清晰指南，助您高效规避AI合规风险，确保您的AI创新业务在合规上行稳致远。合作邮箱：AI@LD-SEC.com

在人工智能大模型的训练过程中，处理个人信息已成为不可避免的关键环节。如何在技术创新与个人权益保护之间取得平衡，是每个AI企业必须面对的核心合规议题。本文将深入解析在训练场景下如何满足“告知-同意”原则，并明确敏感个人信息的特殊处理要求。

一、 “告知-同意”原则的实施要点：超越形式，追求实质

《个人信息保护法》确立的“告知-同意”原则在大模型训练场景下面临着独特挑战。实现真正的合规，需要超越简单的勾选同意，构建实质性的透明与自主机制。

1. 告知的充分性与明确性

告知内容必须全面且易于理解，包括：
• 处理目的：明确说明个人信息将用于“AI大模型训练与优化”
• 处理方式：涵盖数据收集、清洗、标注、模型训练及迭代的全流程
• 信息类型：具体列明处理的个人信息种类（如文本对话、浏览记录、图像等）
• 存储期限：明确数据保留的时间或确定期限的标准
• 拒绝后果：清晰说明若不同意处理，将无法使用相关服务或功能

告知语言应通俗易懂，避免使用专业术语或模糊表述，确保普通用户能够真正理解其个人信息将被如何使用。

2. 同意的有效性与自主性

有效的同意必须满足：
• 明确主动：通过单独勾选、主动确认等方式作出，严禁预勾选或默认同意
• 目的特定：不得通过“一揽子协议”获取对多个处理目的的概括授权
• 真实自愿：在非捆绑、无不当影响的环境下作出选择

二、 敏感个人信息的特殊保护：严格区分，强化同意

《个人信息保护法》对敏感个人信息实行“强化保护”原则，在大模型训练中必须严格遵循。

1. 敏感信息的识别与区分

敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。训练数据中若包含此类信息，必须：
• 在数据清洗阶段建立敏感信息识别机制
• 对敏感信息进行分类标注与管理
• 制定差异化的保护措施

2. 单独同意的特殊要求

处理敏感个人信息时，除满足一般告知要求外，还需：
• 突出告知：特别说明处理敏感信息的必要性及对个人的影响
• 单独获取：设置独立的同意环节，不得与其他授权事项合并
• 明示同意：获得个人就敏感信息处理的明确授权表示

三、 实践挑战与合规路径

大模型训练中完全依赖“告知-同意”面临现实困难，需探索多元合规路径。

1. 同意机制的局限与创新

对于已收集的海量数据，逐一重新获取同意成本极高。可行的解决方案包括：
• 在产品设计阶段嵌入分层同意机制
• 开发基于区块链的同意管理与追踪系统
• 建立用户同意偏好中心，支持动态调整

2. 替代合法性基础的适用

在难以获取同意的情况下，可考虑：
• 去标识化处理：对个人信息进行去标识化处理，确保无法识别特定个人
• 匿名化使用：通过技术手段实现数据的彻底匿名化
• 合规例外：在符合“为公共利益所必需”等法定情形时，依法处理

3. 持续合规与动态管理

“告知-同意”不是一次性行为，而是持续过程：
• 建立同意生命周期管理体系
• 在处理目的或方式变更时，及时重新获取同意
• 提供便捷的撤回同意渠道，并确保撤回与删除同样容易

结语

在大模型训练中落实“告知-同意”原则，既是对法律底线的坚守，也是对用户信任的珍视。企业应当建立覆盖数据全生命周期的合规体系，通过技术创新与制度完善的双重路径，在推动AI发展的同时，切实保护个人信息安全。唯有如此，才能在合规的轨道上释放人工智能的真正潜力。