当前，人工智能正由“内容生成”向“自主行动”演进。与生成式人工智能主要承担问答、写作、翻译等功能不同，AI智能体已经能够围绕用户目标进行任务分解、工具调用、路径调整和连续执行，并在这一过程中持续处理、整合和推断与个人有关的信息。由此带来的个人信息保护问题，已不再只是信息收集过多等传统问题，而是对现行个人信息保护制度的理论基础、基本原则和具体权利提出了新挑战。

AI智能体对个人信息保护的理论基础提出了挑战。现行个人信息保护制度在相当程度上建立在信息自决基础之上，即个人能够基于知情，对自身信息的收集和处理作出自主决定。这一制度安排得以成立，一个重要前提在于个人对信息处理的范围、方式和后果具有基本可知性，也能够通过同意或拒绝形成相对明确的控制关系。但在AI智能体场景中，这一前提正在发生变化。用户表面上仍在授权，例如发出指令、点击同意、启用功能，但其授权往往只是针对任务目标，而不是针对任务展开过程中的每一次信息调用、工具连接、路径调整和结果生成。换言之，AI智能体虽未改变信息自决的形式，却使形式上的授权与实质上的控制之间出现了明显张力。问题不在于信息自决是否存在，而在于它在多大程度上还能实现原有的控制功能。

AI智能体对个人信息保护的基本原则提出了新的适用难题。长期以来，最小必要、目的限制等原则之所以能够发挥作用，一个重要原因在于信息处理活动通常具有相对明确的处理对象、处理边界和处理目的。但AI智能体的运行方式恰恰使这些前提变得更加复杂。它围绕任务目标开展工作，信息处理过程随着任务推进不断展开，用户指令可能转化为多个环节的连续操作。与此同时，AI智能体不仅处理用户直接提供的信息，还会结合历史记录、行为偏好和具体场景形成推断性判断。在这种情况下，何为必要，何为超范围，何为原始目的，判断都比传统场景更为困难。尤其需要看到，AI智能体的风险并不主要集中于初始收集环节，而更多体现于调用端、连接端和执行端。

AI智能体的发展对个人信息具体权利的实现提出了新的挑战，其中删除权和拒绝自动化决策权尤为突出。就删除权而言，个人信息进入AI智能体系统之后，往往会以缓存、记忆、调用记录、关联标签乃至推断结果等多种形式存在，删除表层记录并不当然意味着相关信息已经退出后续运行链条，删除权的实现因此更加复杂。对拒绝自动化决策权而言，问题更为突出。传统上，这项权利赖以成立的前提，是自动化决策仍然是一种可以识别并在一定程度上加以排除的处理方式；但在AI智能体场景中，自动化规划、自动化推断和自动化执行本身就是其基本运行机制。个人如果要求排除自动化决策，AI智能体服务的核心功能往往难以展开；而如果接受AI智能体服务，又意味着其事实上进入持续性的自动化处理过程。

面对这些新挑战，个人信息保护不能停留于简单增加告知频次或者强化同意，而需要形成更有针对性的制度回应。首先，对于涉及身份信息调用、支付授权、对外发送个人资料、生成对个人权益具有重要影响的判断结果等高风险事项，应当建立关键节点人工确认机制。其次，应当推动治理由“最小必要”转向“最小权限”，对权限治理进一步细化，形成分阶段授权、分层级开放、分场景隔离的运行机制。再次，对于删除权，也有必要从追求绝对删除转向更加重视停止持续影响，即在个人提出请求后，提供者应当停止后续任务，不再继续调用相关信息，清除可定位的记忆与缓存，停止基于该信息继续进行画像，并防止其继续流向外部插件和关联服务。最后，还应建立与AI智能体相适应的日志留痕与责任回溯机制，使关键调用、关键权限变化和关键决策节点能够被记录、核查和追溯，从而为权利救济和责任认定提供现实基础。

（作者为北京交通大学法学院副教授）