当前，人工智能正由“内容生成”向“自主行动”演进。与生成式人工智能主要承担问答、写作、翻译等功能不同，AI智能体已经能够围绕用户目标进行任务分解、工具调用、路径调整和连续执行，并在这一过程中持续处理、整合和推断与个人有关的信息。由此带来的个人信息保护问题，已不再只是信息收集过多等传统问题，而是对现行个人信息保护制度的理论基础、基本原则和具体权利提出了新挑战。

面对这些新挑战，个人信息保护不能停留于简单增加告知频次或者强化同意，而需要形成更有针对性的制度回应。首先，对于涉及身份信息调用、支付授权、对外发送个人资料、生成对个人权益具有重要影响的判断结果等高风险事项，应当建立关键节点人工确认机制。其次，应当推动治理由“最小必要”转向“最小权限”，对权限治理进一步细化，形成分阶段授权、分层级开放、分场景隔离的运行机制。再次，对于删除权，也有必要从追求绝对删除转向更加重视停止持续影响，即在个人提出请求后，提供者应当停止后续任务，不再继续调用相关信息，清除可定位的记忆与缓存，停止基于该信息继续进行画像，并防止其继续流向外部插件和关联服务。最后，还应建立与AI智能体相适应的日志留痕与责任回溯机制，使关键调用、关键权限变化和关键决策节点能够被记录、核查和追溯，从而为权利救济和责任认定提供现实基础。