AI智能体为何无法纳入个人信息保护法的责任框架?

AI智能体正在从对话工具演变为能够自主行动的代理，可以读取用户的邮箱与日历、登录用户的账户、代为搜索、预订并回复消息。AI智能体在完成这些任务的过程中，持续处理个人信息，既包括用户本人的，也包括混杂其间的第三人的。问题随之而来：在《个人信息保护法》的框架下，谁是个人信息处理者，责任又应如何分配。本文的判断是，智能体既难以归入处理者，也难以归入受托人，现行的二分框架在它面前已经失灵，需要以新的思路重构责任。

一、个人信息保护法的责任框架及其预设

《个人信息保护法》围绕处理者建立了整套责任体系。第七十三条将个人信息处理者界定为在处理活动中自主决定处理目的、处理方式的组织或个人。第二十一条规定的委托处理中，受托人只能按照约定以及处理者的要求处理，不得超出约定的目的与方式。第二十条则针对两个以上处理者共同决定目的和方式的共同处理，设定了相应的责任分担。

这一框架有两个隐含预设。其一，处理活动背后存在确定的主体，即可被识别和追责的组织或自然人。其二，处理的目的与方式由确定的一方或数方决定，据此方能区分处理者、受托人与共同处理者，责任也随之落位。整套制度的可操作性，建立在主体明确与决定归属清晰这两个前提之上。

二、AI智能体如何使这一框架失灵

(一)处理者认定的错位

智能体本身不具有法律人格，无法成为处理者，因此只能在用户与运营者之间寻找。本文所称运营者，指部署并向用户提供该智能体服务的主体，多数情形下是该智能体的开发者，当二者分属不同主体时，责任仍归于实际运营服务的一方。但用户和运营者都只契合处理者定义的一半。用户决定了处理的目的，例如订机票或整理邮件，从决定目的看像处理者。然而个人既不具备履行处理者义务的能力，其处理又往往属于第七十二条所称的个人或家庭事务，可能根本不适用本法。运营者决定了处理的方式，即模型如何运作、如何调用与编排数据，从决定方式看也像处理者，然而运营者并不决定每一次任务的具体目的，也越来越不掌控每一次具体处理。第七十三条对于处理者的判断标准是同时决定处理目的和处理方式，本为单一决定者所设，如今却被拆散在不同主体之间，处理者的认定便随之落空。

(二)委托处理与共同处理同样难以容纳

或有主张认为，运营者是受用户委托的受托人。但依第二十一条，委托处理中的处理方式由委托方通过约定划定，受托人只能按照约定，在约定范围内处理，不能自主决定处理方式。而在智能体场景中，用户下达的是目标而非处理方式，例如用户只要求订机票，至于如何访问、调取与组合个人信息，则由运营者及其智能体自行决定。就处理方式而言，运营者并未在用户约定的范围内执行，而是自主决定，这就背离了第二十一条对受托人的核心要求。

而自主决定处理方式，恰是第七十三条用以界定处理者的关键特征。受托人与处理者的分野，就在于处理方式由谁决定：处理者自主决定，受托人只在约定范围内执行。因此，一个自行决定处理方式的主体，已具备处理者的定义性特征，无法再被归入只负执行的受托人。然而同时，它又因不决定处理目的而难以成为完整的处理者，遂卡在两类之间。这正是委托处理框架容纳不下它的原因。

共同处理同样难以成立。第二十条要求两个以上主体共同决定目的和方式，而在智能体场景中，目的由用户决定、方式由运营者及其智能体决定，是决定权在不同主体间的拆分，而非共同决定；况且要求个人用户承担连带责任，也明显不切实际。

(三)第三人信息的同意黑洞

最棘手的是第三人。智能体读取用户的收件箱、通讯录与群聊时，处理的是发件人、联系人等第三人的个人信息。在代用户向他人发送邮件时，同样在处理对方的信息。这些第三人从未就此作出同意，且第三人与运营者之间也不存在任何关系。用户对第三人信息的处理，或许尚能以个人或家庭事务为由落入第七十二条的豁免，但运营者的处理具有商业性，无法主张这一豁免。其结果是，大量第三人信息被商业主体（运营者）在无同意、无明确合法性基础的情况下持续处理，形成一处保护的空洞。

三、走出二分框架：以控制力为基础重构责任

(一)从主体归类转向能力与控制

应放弃继续追问智能体究竟算处理者还是受托人，转而改变分配责任的基准。真正有能力在设计层面植入告知、最小化与安全保障的，是智能体的运营者。因此应当把智能体运营者确立为其所执行处理活动的首要义务主体：即以对数据处理的实际控制力与履行能力作为配置义务的依据，而不是根据行为主体的角色标签。

(二)区分用户的家庭事务豁免与运营者的合规义务

与此相应，可以承认用户的使用在多数情形下属于个人或家庭事务，予以豁免或从轻处理，而把实体性的合规负担置于运营者之上。如此既使第三人获得真正的责任相对人，又不至于将不切实际的处理者义务强加于普通用户。

(三)为第三人信息设定专门规则

既然同意规则无法为第三人信息把关，便应为其另设规则。有两条思路：

一是设定专门的合法性依据。《个人信息保护法》第十三条在同意之外还列举了多项使处理合法的事由，并设有法律规定的其他情形这一兜底条款。人工智能立法可以就此确立一项新的依据，使智能体为完成用户任务而附带处理的第三人信息无需第三人同意即属合法。所谓这类第三人信息，是指智能体为执行用户指令而不得不接触的他人信息。这一依据应严格限定在完成任务所必需的范围内，并附以最小化、禁止挪作他用、禁止用于模型训练等约束。

二是直接约束运营者的行为。这条路径不去重构合法性依据，而是直接对运营者施以两类限制：在使用上，运营者只能将不得不接触的第三人信息用于完成当次任务，不得留存、画像或转作他用；在输出上，运营者须确保智能体不在生成内容中不当披露或扩散第三人的信息。

两条路径可以并用。无论侧重哪条，总体方向都是放弃不可能取得的第三人同意，把对第三人的保护，落在运营者这一可控、可问责的节点上。

四、结语

处理者框架是为一个主体稳定、决定清晰的世界所设计的，而自主智能体同时打破了这两个前提。这一困境并非我国独有，以控制者与处理者二分为基础的域外立法，在智能体面前同样面临困惑。我国人工智能综合立法仍在推进之中，与其将智能体硬塞进一套不再贴合的分类，不如以控制力与履行能力为轴线重新分配责任，让个人信息保护在智能体时代得到充分落实。