欧盟法视角下正当利益规则的中国镜鉴

摘要/Abstract

摘要： 生成式人工智能的快速发展对传统知情同意规则构成严峻挑战.欧盟通过《通用数据保护条例》创设的“正当利益规则”，以开放性结构和动态平衡机制，有效调和了数据保护与技术创新的矛盾；而《中华人民共和国个人信息保护法》与欧盟立法在个人数据合法处理的规范构成要素上存在差异，导致知情同意规则难以满足生成式人工智能场景下海量数据处理需求.欧盟经验植根于其权利保护与风险管理并重的治理传统，以及统一市场导向的经济逻辑；我国侧重采取风险规制策略，形成了“强保护、弱流通”的规范路径.针对生成式人工智能技术特性，我国应构建本土化的正当利益规则：限定于商业化场景，引入“利益测试—必要性测试—平衡测试”3阶分析框架，配套风险缓释措施与问责机制.这一制度创新既可突破知情同意规则的适用困境，又能通过个案裁量实现数据主体权益、商业利益与公共价值的动态平衡，为破解人工智能时代的数据治理困境提供兼具理论价值与实践可行性的解决方案.

关键词: 生成式人工智能, 知情同意, 正当利益规则, 数据治理, 中欧比较

Abstract: The rapid development of generative artificial intelligence (GAI) poses significant challenges to traditional informed consent rules. The European Union (EU) addresses this tension through the “legitimate interest rule” established under the General Data Protection Regulation. The EU effectively reconciles data protection with technological innovation by adopting an openstructured framework and dynamic balancing mechanisms. In contrast, China’s Personal Information Protection Law diverges from the EU counterpart in terms of the data processing lawfulness, rendering informed consent rules challenging to meet the demands of largescale data processing in the context of GAI. The EU’s approach is rooted in its governance doctrine that harmonizes rights protection with risk management, alongside an economic logic prioritizing a unified market. China adopts a riskbased regulatory strategy and has developed a “strong protection, weak circulation” regulatory model. To address the technical complexities of GAI, China should construct a localized legitimate interest rule which is confined to applications in commercial scenarios. This framework would incorporate a threetiered analysis—interest test, necessity test, and balance test—supported by risk mitigation measures and accountability mechanisms. Such institutional innovation would overcome the consent application dilemma while enabling adjudication to dynamically balance data subjects’ rights, commercial interests, and public values casebycase. This solution offers both a theoretical framework and practical feasibility for optimizing data governance in the AI era.

Key words: generative artificial intelligence, informed consent, legitimate interest rule, data governance, ChinaEU comparative analysis

中图分类号:

TP309

张泽辰, . 欧盟法视角下正当利益规则的中国镜鉴[J]. 信息安全研究, 2026, 12(2): 142-.

参考文献

［1］Open Data Institute. Understanding data governance in AI: Mapping governance［EBOL］. (20240627) ［20250217］. https:theodi.orginsightsreportsunderstandingdatagovernanceinaimappinggovernance［2］李川. 生成式人工智能场域下个人信息规范保护的模式与路径［J］. 江西社会科学, 2024, 44(8): 6880［3］俞士汶, 朱学锋, 耿立波. 自然语言处理技术与语言深度计算［J］. 中国社会科学, 2015 (3): 129130［4］袁曾. 生成式人工智能的责任能力研究［J］. 东方法学, 2023 (3): 1833［5］丁晓东. 个人信息私法保护的困境与出路［J］. 法学研究, 2018, 40(6): 194206［6］丁晓东. 基于信任的自动化决策：算法解释权的原理反思与制度重构［J］. 中国法学, 2022 (1): 99118［7］郭旨龙, 李文慧. 数字化时代知情同意原则的适用困境与破局思路［J］. 法治社会, 2021 (1): 2636［8］Spiros Simitis. Reviewing privacy in an information society［J］. University of Pennsylvania Law Review, 1987, 135(3): 707709［9］Nikolaus M. Artificial Intelligence and the Fundamental Right to Data Protection: Opening the Door for Technological Innovation and Innovative Protection［M］. Berlin: Springer, 2019: 3352［10］EDPB. Opinion 282024 on certain data protection aspects related to the processing of personal data in the context of AI models［EBOL］. (20241218) ［20250217］. https:www.edpb.europa.euourworktoolsourdocumentsopinionboardart64opinion282024certaindataprotectionaspects_en［11］Court of Justice of the European Union. Koninklijke Nederlandse Lawn Tennisbond, Case C62122, ECLI:EU:C:2024:857［EBOL］. (20241004) ［20250217］. https:dpcuria.eucase?reference=c62122［12］Court of Justice of the European Union. Meta v. Bundeskartellamt, Case C25221, ECLI:EU:C:2023:537［EBOL］. (20240704) ［20250217］. https:eurlex.europa.eulegalcontentenTXT?uri=CELEX:62021CJ0252［13］Court of Justice of the European Union. Huber, Case C52406, ECLI:EU:C:2008:724［EBOL］. (20081216) ［20250217］. https:eurlex.europa.eulegalcontentENTXT?uri=CELEX%3A62006CJ0524［14］EDPB. Guidelines 12024 on processing of personal data based on Article 6(1)(f) GDPR［EBOL］. (20241120) ［20250217］. https:www.edpb.europa.euourworktoolsdocumentspublicconsultations2024guidelines12024processingpersonaldatabased_en［15］丁晓东. 从网络、个人信息到人工智能：数字时代的侵权法转型［J］. 法学家, 2025 (1): 4344［16］Habermas J. 欧盟的危机：关于欧洲宪法的思考［M］. 伍慧萍, 朱苗苗, 译. 上海: 上海人民出版社, 2013: 3369［17］Fabbrini F. Fundamental rights in Europe: Challenges and transformations in comparative perspective［J］. Human Rights Law Review, 2016, 16(2): 389395［18］丁晓东. 论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析［J］. 现代法学, 2019, 41(3): 96110［19］Quelle C. Enhancing compliance under the general data protection regulation: The risky upshot of the accountabilityand riskbased approach［J］. European Journal of Risk Regulation, 2018, 9(3): 502526［20］Court of Justice of the European Union. Opinion of Advocate General Szpunar in Case C39423, Mousse (ECLI:EU:C:2024:610)［EBOL］. (20240611) ［20250217］. https:eurlex.europa.eulegalcontentenTXT?uri=CELEX:62023CC0394［21］杨旭. 《个人信息保护法》第13条第1款（个人信息处理的合法性基础）评注［J］. 中国应用法学, 2023 (6): 202216［22］杨旭. 正当利益条款的中国法构造——基于《民法典》第998条［J］. 法制与社会发展, 2022, 28(1): 113131［23］程啸. 论个人信息权益与隐私权的关系［J］. 当代法学, 2022, 36(4): 5971［24］丁晓东. 隐私权保护与个人信息保护关系的法理——兼论《民法典》与《个人信息保护法》的适用［J］. 法商研究, 2023, 40(6): 6174［25］余成峰. 法律人工智能新范式：封闭与开放的二元兼容［J］. 中外法学, 2024, 36(3): 586606［26］Alexy R.法:作为理性的制度化［M］. 雷磊, 译. 北京: 中国法制出版社, 2012: 132134

[1]	吴梦婷, 唐纪元, 李金奉, 李红飞, . 网络数据标识标签技术的发展困境及治理路径研究[J]. 信息安全研究, 2026, 12(2): 118-.
[2]	刘艳婷, 王晶萍, 鲁学亮, 龙海明, . 基于分层递进的教育数据治理与安全防护模型[J]. 信息安全研究, 2025, 11(E2): 58-.
[3]	胡维娜, 王志佳, 顾建新, . 关键信息基础设施数据安全治理探析[J]. 信息安全研究, 2025, 11(E1): 139-.
[4]	张春光, 李姝, 韦有涛, 殷倩, . 新型电力系统网络安全联合防御与应急处置数字员工体系构建[J]. 信息安全研究, 2025, 11(E1): 174-.
[5]	王英梅, 谢晓辉, 杨林, 周晓宇, 宁文治, . 基于生成式人工智能的网络安全运营研究与应用探索[J]. 信息安全研究, 2025, 11(E1): 220-.
[6]	王晓冬, 李木子, . 统筹数据跨境流动和安全的治理体系研究[J]. 信息安全研究, 2025, 11(9): 840-.
[7]	葛平原, 陈永强, 郭伟豪, 荣景峰, 刘美琦, 张玉清, . 数据跨境流动规制综述[J]. 信息安全研究, 2025, 11(2): 164-.
[8]	姚迁, 刘晋名, 寇振东, . 生成式人工智能数据跨境现状及治理框架[J]. 信息安全研究, 2024, 10(E2): 88-.
[9]	袁成帅, . 网络数据流动不法行为的规制[J]. 信息安全研究, 2024, 10(E2): 126-.
[10]	范晓娟, 刘玉岭, 郑雯, . 数据治理中的监管比较研究[J]. 信息安全研究, 2024, 10(E2): 162-.
[11]	严妍, . 构建生成式人工智能内容安全自动化评价体系[J]. 信息安全研究, 2024, 10(E1): 41-.
[12]	程杰, 夏昂, 黄克振, 卢腾, 张海霞, 连一峰, . 基于数据中台的网络安全挂图作战体系结构与应用[J]. 信息安全研究, 2024, 10(E1): 97-.
[13]	严驰, . 生成式人工智能时代人工智能法的立法思考[J]. 信息安全研究, 2024, 10(2): 103-.
[14]	冯畅, 吴晓龙, 赵熠扬, 徐明星, 郑方, . 生成式伪造语音安全问题与解决方案[J]. 信息安全研究, 2024, 10(2): 122-.
[15]	周辉, 孙牧原. 我国的数据治理挑战及其应对[J]. 信息安全研究, 2023, 9(7): 612-.