AI隱私風暴升級 智譜清言、Kimi、字節貓箱、美團wow等被點名
《科創板日報》5月22日訊(記者 李明明 黃心怡)熱門AI應用再捲入隱私安全風暴。
國家網絡與信息安全信息通報中心近日發佈通告,經公安部計算機信息系統安全產品質量監督檢驗中心檢測,在應用寶平臺中發現35款移動應用存在違法違規收集使用個人信息的情況,其中涉及了智譜清言、Kimi等熱門AI應用。
通告共羅列了11種違規情況,檢測時間爲2025年4月16日至5月15日。涉及到智譜清言(版本2.9.6),主要違規原因爲“實際收集的個人信息超出用戶授權範圍”。另一款被通報的AI應用Kimi(版本 2.0.8)則是因“實際收集的個人信息與業務功能沒有直接關聯”。
此外,AI應用Wow(版本 1.16.5)、貓箱(版本 1.57.0)也在通報名單中。其中,Wow是美團首個AI交互產品,由美團關聯公司全資控股的上海三快省心購科技有限公司開發。貓箱則是字節跳動旗下社交陪伴類AI產品,同類產品在海外試驗成功後被字節帶回國內。
經過一段時間的爆發式發展,AI應用的隱私安全問題開始受到更多關注。儘管手機應用超範圍收集用戶的現象並不鮮見,並非AI應用所特有,但AI應用有別傳統應用的技術特性、商業生態以及發展階段,可能讓AI應用面臨更嚴峻的數據安全問題和用戶隱私風險。
AI應用屢陷隱私安全風波
智譜清言、Kimi分別爲大模型“六小虎”智譜、月之暗面開發的生成式AI助手。據第三方檢測平臺,2025年4月,Kimi的月活躍用戶數爲2499萬,位居國內AI產品的第5位,智譜清言的月活躍用戶數爲906萬,居第7位。
對於上述通報的違規情況,《科創板日報》記者向智譜清言、Kimi詢問,截至發稿,兩家企業均未迴應。
2021年,國家網信辦、工信部、公安部、市場監管總局四部門聯合印發了《常見類型移動互聯網應用程序必要個人信息範圍規定》(以下簡稱《規定》),明確了39種常見類型App的必要個人信息範圍。其中,網絡直播類、在線影音類、實用工具類、短視頻類、應用商店類等13類App無須個人信息,即可使用基本功能服務;而即時通信類、網絡社區類、本地生活類等App的必要個人信息主要爲移動電話號碼等;地圖導航類、網絡約車類則涉及到出發地、到達地、位置信息等必要個人信息。
《規定》明確,爲保障App基本功能服務的正常運行可以收集必要個人信息,但不得因爲用戶不同意提供非必要個人信息而拒絕用戶使用。
匯業律師事務所史宇航律師表示,超範圍收集用戶信息的問題在應用程序中並不鮮見,甚至可以說是“很常見”,“APP一般都是什麼數據都想要,多多益善。權限主要包括電話號碼、陀螺儀、位置,如果與業務關係不大,就容易超範圍收集。”
他表示,通常情況下,移動應用因違規收集使用個人信息被監管部門通報後,如若拒不整改,或將面臨應用下架的處罰措施。
而AI類應用對數據的需求,因其技術特性與傳統應用有所不同,開發企業對擴大數據收集範圍有更強的原動力,由此更容易催生隱私安全問題。
除了本次網信辦通報中的AI應用數據收集問題外,此前熱門AI應用就已經引發過一輪新技術帶來的隱私安全憂慮。
騰訊元寶在今年3月因《用戶協議》中的條款陷入用戶隱私爭議。有用戶發現,元寶的《用戶協議》規定用戶上傳內容及生成內容,騰訊可獲廣泛、無邊界的許可使用權,包括模型優化等,由此引發了用戶對使用過程中輸入及生成的內容被隨意使用的擔憂。
字節跳動旗下AI產品豆包在去年末也曾因身份安全漏洞引發公衆擔憂。事件最初由一名網友在社交平臺發帖曝光,稱陌生人通過豆包輸入其姓名和學校後,精準搜出了其微信號。此外,豆包AI還能展示其專業、考研成績、班級活動等較爲詳細的個人信息。
北京計算機學會AI專委會秘書長、北大人工智能博士張有魚告訴《科創板日報》記者,AI應用成違規重災區,核心驅動爲模型對海量數據的“飢渴”,但這非唯一原因。“‘敏捷開發’文化下,企業搶佔市場,常將功能置於合規之前,忽視隱私保護。部分商業模式也依賴數據變現,誘導過度索取。加之AI技術複雜,用戶難明數據用途,企業也可能利用此信息不對稱。同時,針對AI新特性的監管法規尚在完善,也給違規行爲留下空間。”
元寶和豆包都在風波之後採取了整改措施。騰訊元寶方面表示,稱在最新版本中增加數據管理功能和體驗優化開關,並默認關閉,用戶可自主選擇是否授權;同時明確用戶輸入輸出內容權利歸用戶,以此保障用戶隱私安全。豆包方面則表示,已對詢問個人信息類提示詞進行優化,保證即使網上有公開信息的情況下,仍然限制相關信息的露出,做好個人隱私信息的保護。
狂奔的AI與滯後的規則
可以看到,AI2.0時代中技術顛覆帶來的公衆情緒,已經逐步從驚奇轉變爲審慎,尤其是正在試圖通過AIGC技術實現商業化增長的互聯網巨頭們,受到了來自公衆和監管更嚴格的審視和規範。
而諸如這次被有關部門通報的大模型初創企業或新一代AI應用產品,則可能在資本催熟、自身造血緊迫性以及用戶基礎的相對匱乏的三重壓力下,在公衆視線聚焦更少的角落,採取更激進的數據策略以換取競爭優勢,引發更嚴峻的合規隱憂。
AI應用當前存在的隱私風險,核心矛盾在於應用開發企業對數據價值挖掘以及用戶隱私保護之間的天然衝突。而對於實現數據利用與隱私保護之間的平衡,除了企業本身對“數據貪婪”保持克制,也需要一套系統化的機制加以監管。
張有魚對《科創板日報》記者表示,從企業的層面,首要是確立“負責任的AI”戰略,將隱私保護融入頂層設計(Privacy by Design),堅持數據最小化、目的限定和透明可控原則,賦予用戶實質選擇權。內部治理上,需明確責任,加強審計與培訓。
“差分隱私等技術,通過對數據添加‘噪音’來保護個體信息,允許在統計層面利用數據,確實能在一定程度上緩解矛盾。但其面臨隱私保護強度與數據效用性的權衡,且無法解決源頭上的超範圍收集或改變‘數據貪婪’的動機。它更多是‘術’層面的補充,而非根本之道。真正的平衡,依賴於企業倫理、健全法治、用戶賦權與技術善用的有機結合,形成法律、組織、技術(LOT)的綜合治理框架。”
從監管層面而言,除了存在規則制定滯後於新技術發展的常見問題外,在當前全球範圍內掀起AI技術高地爭奪的大背景下,實現規範技術發展與保持技術創新活力之間平衡,也成爲制度設計者面臨的挑戰。
從全球範圍來看,歐洲在AI2.0時代的隱私安全保持了慣有的審慎。就在5月19日,意大利數據保護機構GPDP對外表示,基於歐盟於2018年實施的《通用數據保護條例》,GPDP隱私保護專員已對註冊於美國的聊天機器人“Replika”處以500 萬歐元罰款。與此同時,GPDP還啓動了獨立的平行調查,以覈實“Replika”在人工智能服務中所進行的個人數據處理是否合規。
國內方面,《個人信息保護法》中的相關條款亦對企業侵犯個人信息行爲做出了明確的懲罰規定,包括最高5000萬元或上一年度營業額5%以下罰款等較爲嚴厲的處罰措施。
但北京大成律師事務所合夥人孫榮達律師《科創板日報》記者表示,相關處罰措施在實踐中存在不足,以及有效民事責任追究機制的缺乏,可能導致企業因違法成本不高而在侵犯個人信息問題上屢犯不止。
“綜合來看,當前企業違法收集個人信息的成本過低,與違法行爲獲得的巨大經濟收益不成比例。要解決這一問題,需要從多方面入手:一是加強《個人信息保護法》的實際執行力度,明確情節嚴重的認定標準,使高額罰款切實可行;二是在立法或司法解釋層面引入懲罰性賠償機制,建立科學的賠償計算標準和最低賠償額;三是進一步完善公益訴訟和代表人訴訟制度,降低集體維權門檻;四是強化各級網信部門的監管執法能力,提高執法專業化水平,使違法企業承擔實質性的法律後果。”孫榮達表示。
本次AI應用違規通報,無疑進一步顯露了AI技術需求與隱私保護之間的深層矛盾。技術飢渴、資本催生的“先採集後合規”模式與傳統監管框架滯後的三重困境疊加,可能將持續加劇AI2.0時代的數據濫用風險。“解決這一問題,需要監管探索適應AI特性的動態化、穿透式監管新範式,從‘亡羊補牢’轉向‘未雨綢繆’;更需要AI企業的戰略遠見和責任擔當,將合規內化爲核心競爭力,而非僅僅是外部約束。”張有魚在採訪最後總結。