生成式AI用户权益保护评估启动 三等级划定安全标准

2025年初，当你打开一款智能对话App，或对着AI音箱说出今天的日程安排时，你是否想过——这些对话数据去了哪里？会不会被用来训练模型？你的偏好信息是否被永久存储？

就在2025年2月10日，中国信息通信研究院联合快手、vivo、百度、阿里、美柚、OPPO、科大讯飞、抖音等40余家企业，正式发布了《生成式人工智能个人信息保护技术要求》系列标准，并同步启动了生成式AI产品和服务个人信息和用户权益保护的首轮专项评估。这一动作标志着我国生成式AI监管从“原则指导”迈入了“量化测评”的新阶段。对于科技从业者、企业采购决策者以及重度AI用户而言，理解这套评估体系，已成为甄选合规AI产品、规避隐私风险的必修课。

一、AI产品的“安全身份证”：三个等级分别代表什么？

中国信通院此次推出的评估体系，将生成式AI产品划分为基础型、友好型和卓越型三个等级。这不仅是荣誉标签，更是产品在用户权益保护维度上的“技术体检报告”。

基础型：合规的起跑线

基础型聚焦于“告知-同意”框架的落地，涵盖向用户主动告知、数据处理透明度、基础服务体验等9方面能力，共30项具体要求。达到这一等级，意味着产品做到了“不骗人”——如实告知用户收集哪些信息、用于什么目的。这是所有面向公众服务的AI产品应具备的底线。

友好型：让权利可行使

在基础型之上，友好型增加了用户权利响应、输出内容管理等维度，扩展至19方面能力、53项要求。这一等级的核心是“可控制”——用户不仅被告知，还能真正行使查询、复制、删除个人信息的权利。例如，当用户要求AI遗忘某段对话历史时，产品能否在技术层面彻底实现。

卓越型：全生命周期的守护

卓越型是目前的最高等级，覆盖训练数据构建、模型训练管理、二次开发管理、供应链管理等32方面能力，满?114项具体要求。这不仅是产品层面的合规，更是将个人信息保护内化为模型的底层能力。百度网盘于2025年12月成为首批获得“卓越型”认证的产品，其在输入环节遵循最小必要原则、不采集用户账号身份信息、仅使用完成服务所必需的数据，并将查询复制等权利转化为产品默认功能。

三等级核心差异对比

二、用户最关心的三个问题：评估结果能解答什么？

对于普通用户和企业采购者而言，这套评估体系究竟能回答哪些实际关切？我们从用户视角梳理了三个核心问题。

问题1：我用AI聊天、写文档，我的数据会被“偷看”吗？

结论：评估中的“基础型”和“友好型”直接回应了这一担忧。标准第2部分《隐私声明告知》要求企业必须清晰说明数据用途，且“不让用户不知情使用AI”。

风险数据：国际安全机构Harmonic Security在2025年Q3监测发现，26.4%上传至AI工具的文件包含敏感数据，其中15%涉及个人身份信息、HR记录和薪酬细节。更值得警惕的是，LayerX报告显示40%上传至生成式AI的内容包含个人身份信息或支付卡数据，77%的员工会直接将数据粘贴到AI提示框中，其中82%的操作来自非企业账号。

适配建议：优先选择通过“友好型”及以上评估的产品。这类产品必须提供用户权利响应机制，当你不希望对话被用于模型训练时，有权要求停止处理或删除历史数据。

问题2：为什么我的AI助手有时会“胡言乱语”，甚至泄露别人信息？

结论：这涉及模型训练数据构建和输出阶段管理的合规性问题，正是“卓越型”评估的核心内容。

技术必然性：北京航空航天大学法学院龙卫球教授的研究指出，生成式人工智能在用户交互场景下具有导致个人信息与隐私风险增加的“技术必然性”。大语言模型GPT-2在遭遇恶意前缀注入时，会返回训练数据中的邮箱、手机号等敏感信息；ChatGPT o3曾被曝具备“看图定位”推理能力，可根据街景照片定位拍摄位置。

证据链：中国信通院联合制定的T/TAF 268.4《模型规制控制》标准专门针对这一问题，要求企业在模型训练阶段对个人信息进行脱敏、聚合处理，并在输出层设置拦截机制，防止模型“记住”并“吐出”个人隐私。

适配建议：企业引入AI客服或代码辅助工具时，应要求供应商提供“卓越型”评估证明，特别是在供应链管理维度，需明确第三方权力责任，形成多方联动的风险防护网。

问题3：我用个人账号登录AI工具办公，公司数据会泄露吗？

结论：这是当前企业面临的最大数据安全盲区。Harmonic Security数据显示，12%的敏感数据泄露源于员工使用个人版ChatGPT、Gemini等工具处理工作事务。

数据佐证：LayerX报告揭示，67%的生成式AI访问通过个人或非托管账号完成，生成式AI已占企业数据从公司环境流向个人环境的32%，位列所有外泄路径之首。

适配建议：企业应建立“AI应用选型清单”，优先采购通过信通院评估、支持企业账号SSO集成的AI服务。评估标准中的第8部分《供应链管理》要求大型服务商明确第三方权力责任，这正是企业采购时的重要合规依据。

三、行业协同：40余家企业共筑标准，AI监管进入精细化时代

此次评估并非信通院的“单打独斗”，而是产业界的集体行动。起草单位名单中，除了快手、vivo、百度、阿里、美柚、OPPO、科大讯飞、抖音等熟悉的名字，还包括荣耀、华为、小米、蚂蚁集团、美团、联想等40余家企业。这种“大厂共治”的模式，让标准本身具备了落地可行性。

值得关注的是，2025年11月，国家网信办与公安部发布《大型网络平台个人信息保护规定（征求意见稿）》，拟将DeepSeek、MiniMax、Kimi等AI新贵，以及OPPO、vivo、荣耀等智能终端厂商纳入“守门人”监管序列。这意味着，月活超千万的AI助手，未来必须成立主要由外部成员组成的独立监督机构，且需每年发布个人信息保护社会责任报告。信通院的这套评估体系，恰好为企业履行这些法定义务提供了技术抓手。

此外，中国信通院在2025年5月还牵头制定了3项人工智能ITU国际标准，围绕大模型全生命周期功能要求、代码生成技术要求、检索增强生成评估方法等，将中国实践推向国际规则制定。

四、结语：从“能用”到“敢用”，合规是AI普惠的前提

截至2025年3月，生成式AI已深度嵌入45%企业员工的工作流程，其流量占企业应用访问的11%，普及速度比肩电子邮件。但技术渗透越快，安全底线越需筑牢。

中国信通院此次启动的专项评估，为混乱的AI市场中树立了一把“安全标尺”。对于企业，它是供应链管理的合规依据；对于个人，它是选择AI助手的“避坑指南”；对于行业，它标志着生成式AI从野蛮生长转向精细化治理。正如电信终端产业协会发布的风险分级指南所言，分类分级的目的不是为了限制，而是为了在创新与安全之间找到最佳平衡点。

当你的下一次对话被AI温柔回应时，希望你知道：这份温柔背后，有一整套技术标准和114项要求在默默守护你的数字身份。

关键词：生成式AI 个人信息保护 信通院评估 

本文为【广告】 文章出自：互联网,文中内容和观点不代表本网站立场，如有侵权，请您告知，我们将及时处理。