【摘要】生成式人工智能秘密收集个人敏感数据，冲破“知情同意”原则和“最小必要”原则的限制，或将使信息关联违法高发。生成式人工智能信息收集行为主动、收集内容全面、泛化能力强劲，对“知情同意”原则和“最小必要”原则带来严重挑战。宏观层面，我国现有民事法律无力于数据安全治理，刑事法律缺乏明确的违法计量标准，由行政法规挑起数据法治大梁。微观层面，我国现有法律规范体系对被侵权人加以不合理的举证义务，司法救济路径单一，不利于权利救济。选择风险控制路径，从算法协议透明化、治理场景化和多方位协同化应对信息关联违法等方面展开制度构建，引入个人敏感数据单独监管制度和预防性公益诉讼制度破解该困局。