← 返回资源中心
合规指南

数字人身份、肖像、人声与个人信息治理清单

技术可验证只是基础,权利来源、最少必要、生成标识和持续治理同样决定可信度。

预约数字人授权与可信治理沟通 查看方案概述

数字人可信治理同时处理身份、权利、数据与生成内容

数字人可能使用真人肖像、声音、动作、身份资料、品牌资产、训练与驱动数据,并通过生成式或深度合成技术持续产生内容。身份凭证能够帮助验证部分关系,却不能替代权利授权、个人信息保护、内容标识、安全管理和人工责任。

本清单用于帮助企业在项目立项、采购、制作、认证、上线和运营阶段识别需要专业审核的问题,不构成针对具体项目的法律意见。适用要求会因主体角色、服务对象、地区、数据类型和发布方式不同而变化。

适用范围:本文是数字人身份、肖像、人声、个人信息和生成内容治理的检查框架,不替代法律意见、安全评估、产品安全说明或合同文件。涉及个人信息、敏感个人信息、跨境处理、深度合成标识、授权文本、供应商责任和权利请求的事项,应由企业法务、合规、安全和产品团队结合具体项目确认。

适合谁阅读

如果你已经准备规划品牌数字人、真人数字分身、AI讲解员、虚拟主持人或数字员工,并且需要提前梳理授权、个人信息、深度合成标识、账号权限、供应商责任和生命周期治理问题,这篇清单适合作为立项前的检查框架。

你可能正在关心的问题

常见问题本文提供的判断建议下一步
数字人上线前到底要准备哪些授权?至少拆开真人肖像、人声、动作、作品、品牌资产、训练用途、生成用途、发布渠道和期限。下载治理清单,把已有授权和缺口逐项标记。
做了可信认证,是否就能证明内容都真实?不能。身份凭证只能帮助证明部分身份、授权或状态关系,输出内容仍需要知识库、审核和标识治理。把身份核验、内容审核和AI标识分成三套流程确认。
数字人的人脸、人声和身份信息算不算敏感?个人信息保护法将生物识别等列为敏感个人信息;数字人项目应优先识别人脸、人声、证件、身份绑定和日志等字段。由法务、合规和安全团队确认目的、必要性、告知、同意和保护措施。
对外发布AI生成或深度合成内容,需要怎样标识?需要结合自身角色、发布场景、内容形态和是否可能造成公众混淆,评估显式与隐式标识要求。按文本、图片、音频、视频、虚拟场景分别确认标识方案。

一、先划清主体、权利和数据流

项目开始时应列出被数字人代表的人或组织、制作方、平台、签发方、运营方、客户、最终用户和第三方服务商,并画出肖像、人声、模型、提示词、知识库、身份资料、凭证和日志在各方之间如何流动。

只有角色和数据流清楚后,企业才能判断各方需要的授权、合同、安全措施和告知内容。

二、肖像、声音、作品与品牌授权

授权文件不能只写“同意制作数字人”。应结合实际项目明确素材、用途、平台、内容类型、地域、期限、是否可改编、是否可训练模型、是否允许第三方使用、是否可转授权以及到期后的处理。

涉及员工、嘉宾、客户、未成年人或多位共同创作者时,不要假定一份主合同已经覆盖所有人的相关权利。

三、个人信息与敏感个人信息

《中华人民共和国个人信息保护法》将生物识别、特定身份等列为敏感个人信息,并要求在特定目的、充分必要和严格保护措施下处理;处理敏感个人信息通常还涉及单独同意与专门告知等要求。数字人项目中的人脸、人声、证件和身份绑定信息需要被重点识别。

处理阶段需要确认建议证据
收集目的、必要性、字段、告知和同意数据清单、告知文本、授权记录
使用训练、生成、认证、展示是否超出原目的用途矩阵、权限和操作记录
共享制作方、平台、云服务和渠道的角色合同、委托处理或共享安排
保存位置、期限、加密、备份和访问安全策略、权限与保存规则
删除到期、撤回、终止和账号注销后的处理删除流程、证明与例外记录

四、最少必要与凭证披露

可信核验不意味着公开更多个人资料。核验方往往只需要知道“某项授权当前有效”或“该数字人由某机构运营”,未必需要看到身份证件、完整合同、人脸样本或家庭信息。

五、深度合成与AI生成内容标识

《互联网信息服务深度合成管理规定》覆盖人脸、人声、虚拟场景等生成或编辑技术,并对真实身份认证、数据与技术管理、内容标识、安全评估等提出要求。2025年发布的《人工智能生成合成内容标识办法》进一步区分显式标识和隐式标识,并于2025年9月1日起施行。

企业需要根据自己是服务提供者、技术支持者、内容发布者还是使用者,以及内容是否对外发布、是否可能导致公众混淆等具体情况,判断适用义务。项目层面至少应确认:

六、知识库、提示词与输出审核

数字人的身份可信,不代表其回答自动可信。使用生成式问答时,应单独治理知识来源、版本、回答范围、人工审核、拒答与纠错。医疗、金融、法律、价格、合同和安全等高风险内容不应仅依赖自由生成。

七、密钥、账号与权限安全

可信凭证依赖密钥和控制关系。密钥泄露、管理员账号被盗、运营方变更或权限未回收,都可能让技术上有效的身份被滥用。

八、第三方与跨境处理

数字人制作、云服务、语音合成、身份核验、区块链节点、分析工具和海外发布可能由不同供应商参与。企业应确认各方处理何种数据、承担何种角色、是否再委托、数据存储地点、退出时如何迁移和删除。

涉及向境外提供个人信息时,《个人信息保护法》规定了相应条件、告知和单独同意等要求。具体路径需要依据项目规模、数据种类、主体身份和最新监管规则由专业团队判断。

九、生命周期与个人权利响应

认证上线后,应能处理信息查询、更正、授权撤回、凭证更新、数字人停用、数据删除、投诉和争议。删除公开页面不等于完成全部系统和备份中的处理,也不等于旧凭证自动失效。

上线前治理清单

下载治理清单

我们将上述问题整理成 CSV 模板,方便产品、法务、安全、运营和销售在项目启动前逐项回填。模板用于项目沟通和边界核对,不替代正式法律意见、产品安全说明或合同文件。

下载数字人身份、肖像、人声与个人信息治理清单模板

参考资料

治理原则:身份可验证、权利有依据、数据最少化、生成有标识、操作可审计、状态可撤销。六者缺一,数字人的“可信”都可能只停留在展示层。

正在规划数字人授权与可信治理?

告诉我们认证对象、使用场景、现有身份系统和合规要求,我们将协助梳理方案边界与实施路径。

预约数字人授权与可信治理沟通