夜雨聆风在个人信息保护的制度体系中,删除权是个人控制自身信息的一项基础性权利,也是数据主体对抗非经同意数据处理的最后一道防线。我国《个人信息保护法》第47条规定了应当主动或依申请删除个人信息的多种情形,欧盟GDPR第17条也确立了删除权。然而,这一制度设计形成于个人信息以数据库形式存储和处理的时代,当个人信息进入大模型,这项权利在技术层面正逐渐失去落地的可能。它依然规定在法条之中,却越来越难以真正履行。我国正在推进人工智能综合立法,删除权是否保留、如何调整,是其中一个无法回避的问题。
一、删除权为何在AI时代趋于失效
(一)删除权建立在数据库时代的假设之上
要理解删除权为何在AI面前失灵,需要先厘清它所依赖的前提。无论是个保法还是欧盟立法,删除权都默认个人信息以离散、可定位、可分离的记录形态存在。数据存放在特定的表、字段或记录中,处理者执行删除操作后,特定个人的信息即从系统中移除。在这种数据结构下,删除的对象是明确的,结果是可核查的,权利行使与义务履行都有清晰的边界。
正是这种可定位性与可分离性,使删除权成为一项可执行的权利。个人提出请求,处理者定位并删除相应数据,监管者可以核查删除是否完成。整个机制运转的基础,是数据可以像档案一样被精确抽取和销毁。删除权的制度设计,正建立在这一数据库时代的数据观之上。
(二)神经网络中没有可供删除的记录
大模型改变了这一前提。训练过程并非将个人信息存入特定位置,而是将海量数据转化为分布于数十亿参数中的统计关联。某一个人的信息进入训练后,被分解、编码,并与其他数据深度耦合,不再以独立记录的形式存在。在模型参数中,无法定位到某一特定主体的信息,自然也无法对其执行单独删除。个人信息没有消失,而是融入了模型的整体能力之中。
需要强调的是,融入并不意味着无害。已有研究表明(Carlini等,2021;Nasr等,2023),大模型在特定提示下可能逐字输出训练数据,其中包括真实的姓名、住址与联系方式。这说明个人信息既未被删除,也未被有效隔离,而是留存于模型内部,仍可能被重新提取。删除的现实需求依然存在,只是传统删除手段已无法实现。
(三)机器遗忘难以支撑一项法律权利
技术上确有机器遗忘的研究,但现有方案尚不足以支撑一项法律权利。在当前主流大模型架构和产业实践下,删除个人信息仍面临较高技术和经济成本。
最彻底的方式是精确遗忘,即使模型达到仿佛从未接触过相关数据的状态。在现有技术条件下,实现这一目标通常需要重新训练模型或采取其他成本较高的技术措施,因此在多数情形下仍缺乏现实可行性。
近似遗忘不需要重新训练,仅靠调整参数使模型大致达到从未学习过特定数据的效果,成本较低,但无法保证信息被完全清除,且难以验证。当处理者声称已使模型遗忘某一主体的信息时,监管者与个人都难以确认这一结果是否真实发生。一项无法验证履行结果的权利,可执行性和救济效果将被大幅削弱。
由此形成了一种形式与实质的背离:删除权在文本上依然完整,在AI场景中却被实质架空。个人仍可提出删除请求,但请求要么被搁置,要么得到一个无法证伪的答复。权利的形式尚存,实质却在消失。
二、固守绝对删除的双重代价
面对这一失效,一种本能的反应是不作退让,法律继续要求处理者实现彻底删除。但如果保留这一法律要求,监管在执行时便会陷入两难,无论从宽还是从严,都会导向不理想的结果。
若监管宽松对待,删除权将沦为具文。法律设定了一项普遍无法履行的义务,长此以往会削弱规范的权威,也会使个人产生不当的安全预期,误以为信息可以删除,实则无法删除。若监管严格执行,要求处理者确保相关个人信息从模型中被彻底清除,则可能面临极高的技术与经济成本。虽然近年来出现了机器遗忘(Machine Unlearning)、模型编辑(Model Editing)等新的技术路径,但其效果、稳定性和可验证性仍存在较大争议,尚难成为普遍适用的解决方案。在许多情形下,实现彻底删除仍可能需要重新训练模型,或者对模型进行大规模调整,其代价与所保护的利益之间未必符合比例原则。
法律不应要求履行客观上不可能或代价畸高的义务。在履行不能的情形下仍然机械苛责,既无助于个人信息保护的实现,也会损害制度的合理性。还需指出的是,这一困境并非我国独有。包括欧盟在内的各主要法域,都尚未就删除权或被遗忘权在大模型中的适用形成成熟方案。问题的根源在于技术结构,而非某一部法律的设计缺陷。因此,适当的态度不是简单否定既有规则,而是结合技术现实重新界定删除的内涵。
三、立法应当如何回应
删除权的失效,并不意味着个人信息在AI时代无从保护,而是表明保护方式需要相应调整。对正在制定的人工智能综合立法而言,以下几个方向值得考虑。
(一)从绝对删除转向功能性删除
功能性删除并不要求实现严格意义上的机器遗忘,而是允许通过输出抑制、知识库删除、模型编辑、近似遗忘等多种技术路径,使相关个人信息在实践中无法被模型有效利用或重新输出。法律不必坚持将信息从参数中彻底抹除这一难以实现的目标,而应要求模型在结果层面不再复现或利用特定个人信息。只要个人信息在输出端不可达,删除所追求的实际目的即已实现。这一标准既符合技术现实,也可以通过输出测试加以检验,比反复追究参数中是否仍有残留更具可操作性。
这里涉及一个值得澄清的概念区分。虽然现在删除权和被遗忘权已经很大程度上融入同一框架之中,但历史上删除权指向数据本体的销毁,被遗忘权最初则源于搜索引擎场景,要求的是断开检索链接、使信息难以被找到,而非使信息本身消失。功能性删除,以及下文的输出抑制,在逻辑上更接近被遗忘权这一使信息不可达的思路,而非删除权所要求的彻底擦除。换言之,AI时代的个人信息保护,可能需要从追求彻底删除,转向确保特定信息无法被模型重新调取。这一转向并非降低保护标准,而是使保护手段与技术现实相匹配。
(二)将监管重心前移至训练阶段
既然事后删除困难,就应在数据进入训练之前加强治理,包括训练数据来源的合法性审查、个人信息使用的最小化以及必要的事前评估。预防的成本通常低于事后补救,监管重心前移也更契合大模型一次训练、长期使用的运作特点。将控制环节设在数据入口,比在输出端事后追删更为有效。
(三)建立输出端的抑制机制
可以赋予个人要求模型在生成内容中过滤、屏蔽其个人信息的权利。这一机制与现有的内容过滤技术原理相近,在工程上具备可行性,又能实现删除权所追求的核心效果,是绝对删除之外更为现实的替代方案。输出抑制虽不能确保模型内部信息被彻底清除,但能够在较低成本下实现个人信息保护的主要目的。对个人而言,自身信息不再被模型输出,通常即已满足其保护诉求。
(四)按敏感程度与风险设置分级义务
个人信息的保护需求并不一致。对敏感个人信息或高风险应用场景,可以要求更强的遗忘措施,在确有必要时进行重新训练;对一般个人信息,功能性删除即可满足保护需要。以比例原则配置义务的轻重,既能守住保护个人信息底线,也可避免一刀切式的过度负担。
四、结语
删除权制度本身没有问题,问题在于将其数据库时代的形态原样适用于人工智能。当传统删除已难以实现时,应当通过功能性删除、输出抑制等机制实现删除权所追求的保护目的。我国人工智能综合立法正处于制度构建的关键阶段,与其固守一项在技术上难以兑现的规则形态,不如正视技术现实,为AI时代重新界定删除的内涵。使删除权从一项难以行使的文本权利,转变为一套可以真正落地的保护机制,才是立法面对技术变革时应有的回应。
