一、存在的主要问题和风险
(一)数据采集范围"无边界"
网络安全公司报告显示,AI应用收集的用户数据种类繁多。部分AI应用收集的数据种类多达三十余种,涵盖精准位置、设备通讯录、财务信息、健康数据等敏感信息。部分应用还会收集种族、性取向、政治观点等极度敏感信息。目前大量AI应用会获取用户位置信息,比例较往年显著提升。AI应用数据采集范围不断扩大,从基础信息延伸到财务、健康等高敏感领域,用户隐私面临"裸奔"风险。
(二)数据流向"不透明"
报告指出AI聊天机器人正在处理税务、医疗等高机密文件,这些数据极易流入第三方广告网络。用户上传的敏感文档可能被用于训练模型或商业分析,而用户对此毫不知情。AI应用的数据使用条款冗长晦涩,普通用户难以理解数据被如何使用、分享给谁。数据收集与使用之间存在严重信息不对称,用户知情权形同虚设。部分AI应用在用户不知情的情况下将数据共享给关联公司或第三方服务商,形成数据"黑市"。
(三)用户维权"无门路"
AI应用多由境外企业开发,用户发现数据被滥用后难以追溯责任主体。国内缺乏针对AI应用数据采集的专门监管制度,现有个人信息保护法规对AI场景适用性不足。用户投诉渠道分散,网信、工信、市场监管等部门职责交叉,投诉往往"踢皮球"。个人维权成本高、举证难,多数用户选择放弃追究,形成"违法成本低、维权成本高"的困境。
(四)监管法规"滞后"
我国虽已出台《个人信息保护法》《生成式人工智能服务管理暂行办法》等法规,但对AI应用数据采集的范围、频次、用途等缺乏具体限制。数据分类分级管理标准不够细化,敏感数据与非敏感数据边界模糊。对违规采集数据的行为处罚力度不足,难以形成有效震慑。AI技术发展速度远超法规制定速度,存在监管空白地带。
(五)社会认知"薄弱"
多数用户对AI应用数据采集风险认知不足,为使用便利主动授权位置、通讯录等敏感权限。社会公众缺乏识别数据滥用行为的能力,对隐私条款关注不够。学校、社区在数字素养教育方面存在缺位,青少年和老年人成为数据泄露高发群体。媒体报道多聚焦AI技术进步,对数据安全风险警示不足。
二、对策建议
(一)让"最小必要"成为数据采集原则
建议网信部门会同工信部门,制定《AI应用数据采集管理办法》。一是明确"最小必要"原则,AI应用只能采集提供核心功能所必需的数据,禁止以"改善服务"为由过度收集。二是建立数据采集分级管理制度,将数据分为"必要、可选、禁止"三级,敏感数据采集须经用户单独授权。三是强制AI应用在首次启动时以简洁语言告知数据采集范围和用途,用户确认后方可使用。
(二)让"数据透明"成为平台义务
建议市场监管部门督促AI应用运营者履行数据透明义务。一是强制平台公开数据使用明细,包括采集了哪些数据、用于什么目的、分享给了谁。二是建立用户数据查询通道,用户可随时查看自己的数据被如何使用。三是推动AI企业建立数据安全审计机制,定期发布数据安全报告,接受社会监督。四是对涉及财务、健康、政治观点等敏感数据的采集,须明确告知风险并获得用户书面授权。
(三)让"违规成本"高到不敢越界
建议立法部门完善AI应用数据保护法律法规。一是在《个人信息保护法》基础上,增加针对AI应用数据采集的专门条款,明确违规采集敏感数据的处罚标准。二是建立AI应用数据安全信用评级制度,对评级低的应用限制上架或强制下架。三是完善跨部门协同监管机制,网信、工信、公安、市场监管等部门联合执法,对数据滥用行为形成高压态势。四是设立AI数据安全举报奖励基金,鼓励公众参与监督。
(四)让"用户选择"成为真正权利
建议消费者权益保护部门完善用户数据权利保障机制。一是建立AI应用"一键撤回授权"机制,用户可随时取消数据授权并要求删除已采集数据。二是推动AI应用提供"数据不存储"选项,用户可选择数据仅用于本次交互而不被存储。三是设立AI数据安全投诉绿色通道,用户投诉须在7个工作日内响应。四是支持消费者协会提起公益诉讼,代表用户维权。
(五)让"数字素养"成为公民技能
建议教育部门会同网信部门,将AI数据安全教育纳入全民数字素养提升工程。一是开展"AI数据安全进校园"活动,培养学生识别风险、保护隐私的能力。二是编制《AI应用安全使用指南》,用通俗易懂的语言讲解数据授权风险。三是通过社区、老年大学等渠道,开展老年人AI安全培训,防范针对弱势群体的数据诈骗。四是媒体加大AI数据安全风险报道力度,提升全社会防范意识。
如果报告内容不合格,请在此填写修改意见,提交后将尽快处理: