T/TAF 268.2-2025 生成式人工智能个人信息保护技术要求 第2部分：隐私声明告知

　　团 体 标 准

T/TAF 268.2—2025

生成式人工智能个人信息保护技术要求

第 2 部分：隐私声明告知

Technical requirement of personal information protection for generative artificial intelligence—Part 2：Private statement inform

2025-02-10 发布 2025-02-10 实施

电信终端产业协会 发布

前 言

本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是T/TAF268—2025《生成式人工智能个人信息保护技术要求》的第2部分。T/TAF 268—2025已发布以下部分：

——第1部分：总则;

——第2部分： 隐私声明告知;

——第3部分：训练数据构建;

——第4部分：模型规制控制;

——第5部分：二次开发管理;

——第6部分：输出阶段管理;

——第7部分：个人权利响应;

——第8部分：供应链管理。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、维沃移动通信有限公司、北京快手科技有限公司、OPPO广东移动通信有限公司、荣耀终端股份有限公司、北京三星通信技术研究有限公司、阿里巴巴(中国)有限公司、高通无线通信技术 (中国)有限公司、蚂蚁科技集团股份有限公司、上海合合信息科技股份有限公司、中兴通讯股份有限公司、厦门美柚股份有限公司、新华三技术有限公司、珠海魅族科技有限公司、厦门美图网科技有限公司、深圳市和讯华谷信息技术有限公司、北京微梦创科网络技术有限公司、联通华盛通信有限公司、北京卡路里科技有限公司、科大讯飞股份有限公司、广州视睿电子科技有限公司、贝壳找房(北京)科技有限公司、北京理想汽车有限公司、广州虎牙信息科技有限公司、北京转转精神科技有限责任公司、上海得物信息集团有限公司、友盟同欣(北京)科技有限公司、北京小桔科技有限公司、北京象信智能科技有限公司、北京猿力教育科技有限公司、北京智者天下科技有限公司。

本文件主要起草人：徐曼、武林娜、赵盈洁、姚一楠、黄翀、落红卫、陈杰雄、李根、李腾、吴越、谷晨、吴佳颖、李辰淑、赵晓娜、黄天宁、贾科、王江胜、林冠辰、石玉珍、宋宏宇、廖超豪、张兴国、李培、陈光炎、姚菲、马超、任资政、康宇、高龙、刘觅、王海涛、邢杨、曹昉赫、黄鹏华、朱玲凤、李絁芩、张天若、上海声网科技有限公司、陈宝金、钱雷、王士进、高建清、刘胜宇、尹志超、陈岩、陈劲松、陈晓旭、刘晓杰、胡梦云、马海龙、刘备、车天博、杨欢、姚栋、贾紫薇、孙铁、王磊、陈岑、杨弋。

引 言

近年来，生成式人工智能实现跨越式发展，能够以十分接近人类的思考方式进行信息处理和内容生成，解决更加多元化的主题任务，在文本生成、数据分析、代码编写、图像生成等领域均表现出极为突出的可靠性、高效性与逻辑性。

目前，生成式人工智能广泛应用于虚拟助理、智能客服、语音助手等人机交互场景，能够为用户解答疑问、安排日程、处理问题，而良好交互体验的实现需要以获得大量用户数据为基础，在推动技术产业变革的同时也为用户个人信息保护带来了风险与隐患。

面对新技术新应用带来的机遇和挑战，为了平衡创新发展和精准治理，完善生成式人工智能数据治理体系，亟需针对生成式人工智能的个人信息保护问题提出技术要求，督促指导企业建立健全相关制度、强化技术能力。

T/TAF 268—2025《生成式人工智能个人信息保护技术要求》 旨在对生成式人工智能的个人信息保护问题提出技术要求，拟由8部分构成。

——第1部分： 总则 。 目的在于规定生成式人工智能服务个人信息保护的术语、总体原则和个人信息保护框架

——第2部分： 隐私声明告知 。 目的在于提出向服务使用者进行隐私声明告知时的个人信息保护技术要求。

——第3部分： 训练数据构建 。 目的在于提出生成式人工智能数据集构建过程中的个人信息保护技术要求。

——第4部分：模型规制控制 。 目的在于提出生成式人工智能模型训练阶段个人信息保护方面的规制控制要求。

——第5部分： 二次开发管理 。 目的在于提出面向开发者提供二次开发应用时，个人信息保护相关的管理要求。

——第6部分：输出阶段管理 。 目的在于提出生成式人工智能服务在内容输出时对输出阶段管理的个人信息保护要求。

——第7部分：个人权利响应 。 目的在于提出服务提供者对于服务使用者个人权利响应要求。

——第8部分：供应链管理 。 目的在于提出供应链管理中所应满足保护个人信息安全的技术要求和管理措施。

生成式人工智能个人信息保护技术要求

第 2 部分：隐私声明告知

1 范围

本文件规定了生成式人工智能服务在对个人用户提供服务时涉及隐私声明告知中的个人信息保护技术要求。

本文件适用于生成式人工智能服务提供者在对个人用户提供服务时涉及隐私声明告知的个人信息保护要求，也适用于主管部门、第三方评估机构等组织对生成式人工智能服务进行评估。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

T/TAF 068-2020 移动智能终端及应用软件用户个人信息保护实施指南 第8部分： 隐私政策T/TAF 268.1—2025 生成式人工智能个人信息保护技术要求 第1部分：总则

3 术语和定义

T/TAF 268.1—2025界定的术语和定义适用于本文件。

4 总体原则

透明原则： 隐私声明应体现生成式人工智能服务的透明度，尊重用户隐私权和个人信息权益。

全面原则： 隐私声明所告知的信息应当合法、真实、准确、完整。

5 隐私声明框架

生成式人工智能服务的隐私声明应包含以下部分：

a) 生成式人工智能服务提供者的基本情况，包括主体身份、联系方式;

b) 个人信息的收集与使用的目的与方式;

c) 个人信息的保存期限;

d) 个人信息的委托处理、共享、转让、公开披露规则;

e) 若服务涉及十四周岁以下未成年人，应当制定单独的未成年人的个人信息保护规则;

f) 个人信息主体行使权利的方式;

g) 隐私声明的修改、更新、通知方式等;

h) 联系、投诉、反馈机制。

6 隐私声明与告知要求

在隐私声明与告知阶段，生成式人工智能服务提供者应遵循以下要求。

a) 服务提供者使用生成式人工智能服务时输入的用户个人信息(如文本、图片等)用于训练的，应在隐私声明中对用户进行告知。

b) 生成式人工智能服务涉及向第三方共享用户输入的个人信息时，应在隐私声明中告知用户向第三方提供数据的目的、范围等。

c) 生成式人工智能服务提供者应通过用户界面等便于用户查看的方式明确告知用户隐私声明的内容。

d) 生成式人工智能服务收集的个人信息的种类、处理目的、处理方式、保存期限等发生重大变更时，应及时更新隐私声明并重新告知用户。

e) 以网页等交互界面提供服务的，可在网站首页等显著位置向社会公开服务适用的人群、场合、用途等信息。

f) 以交互界面提供服务的，可在网站首页、隐私政策或服务协议等便于查看的位置向用户公开所收集的个人信息的类型、目地及其在服务中的用途。

参 考 文 献

[1] 《互联网信息服务算法推荐管理规定》

[2] 《互联网信息服务深度合成管理规定》

[3] 《生成式人工智能服务管理暂行办法》