通信世界网消息(CWW)目前AI手机开发有端侧、自研AI的端云配合、第三方AI的端云配合三条技术路线。然而,AI手机在数据安全管理方面面临数据收集与存储阶段的安全风险、数据传输与共享阶段的安全问题、AI算法对数据安全的影响等挑战。建议:一是强化技术防护,保障AI手机数据全周期安全。二是完善企业管理,构建数据安全责任落实体系。三是推动行业协作,统一标准共对数据安全威胁。
基本情况
在今年的MWC上,AI技术的全面渗透无疑是最大的亮点。从高端旗舰手机到中端机型,AI功能正迅速成为手机的标准配置。以华为的盘古大模型、小米的小爱同学大模型、OPPO 的安第斯大模型以及荣耀的 MagicGPT大模型等为代表的领先技术,正在推动AI 在移动设备上的广泛应用。华为盘古大模型具备强大泛化能力,自然语言处理精准,跨模态融合优势独特,可适配多样移动场景,带来丰富智能体验。小米的小爱同学大模型与小米生态深度融合,能精准识别家庭成员声音,学习能力强,在智能家居控制方面表现突出,可提供个性化服务与贴合需求的建议。OPPO安第斯大模型专注提升用户体验精细化,影像处理能力卓越,能智能优化拍摄效果,还能智能调度系统资源,提升设备流畅度与续航。荣耀MagicGPT大模型依托系统底层优化技术,实现高效智能交互,多任务处理与跨设备交互流畅,隐私保护技术独特,让用户安心使用。
当前AI手机的开发主要存在三条技术路线:端侧、自研AI的端云配合和第三方AI的端云配合。端侧AI 在手机等终端设备上进行计算和处理,具有响应快、隐私保护能力强、网络依赖性低等优势,理论上能够最大限度地减少数据传输,避免用户敏感信息被上传至云端。云侧AI则依托强大的云计算资源,能提供更强的性能,但数据必须频繁上传云端,隐私暴露的风险随之上升 ,而目前普遍的AI功能仍依赖云侧大模型。如果接入第三方AI,情况会更加复杂,第三方AI 模型通常需要访问大量用户数据,增加了数据泄露的可能性,数据在端侧、云端和第三方AI之间的流动复杂,透明度较低,责任分配也不明确,出现问题后难以追责。
问题与挑战
一是数据收集与存储阶段的安全风险。在AI手机收集用户数据的过程中,存在过度收集和非法收集的隐患。部分手机厂商或应用开发者可能会超出合理范围收集用户数据,这些数据不仅包括位置信息、通话记录、短信内容等常规信息,还可能涉及用户的生物特征数据,如指纹、面部识别信息等。而在存储环节,大量的用户数据集中存储,如果存储系统的安全防护措施不到位,一旦遭受黑客攻击,就可能导致大规模的数据泄露事件。例如2025年2月,韩国个人信息保护委员会(PIPC)宣布,苹果公司和韩国移动支付平台卡卡奥支付因非法获取和传输用户数据被处罚,卡卡奥支付在未经用户明确同意的情况下,向苹果公司提供约4000万用户的个人信息用于苹果公司的服务用户评估,包括唯一识别码、手机号码等敏感数据 ,这表明手机相关生态中数据收集和传输的监管漏洞与安全风险。
二是数据传输与共享阶段的安全问题。AI手机的数据传输频繁,无论是端侧与云端之间的数据交互,还是不同应用之间的数据共享,都存在数据被窃取、篡改的风险。在数据传输过程中,网络传输信道可能被监听,黑客可以通过技术手段截取传输中的数据。数据共享时,由于不同主体之间的数据安全标准和管理机制存在差异,容易出现数据滥用的情况。当手机厂商将用户数据共享给第三方合作伙伴时,如果第三方未能妥善保管和使用这些数据,就可能导致用户数据被非法利用。
三是AI算法对数据安全的影响。一方面,算法可能存在漏洞,被不法分子利用来进行数据攻击。例如,通过对抗样本攻击,黑客可以欺骗AI算法,使其做出错误的判断,从而获取敏感数据。另一方面,在AI模型训练过程中,如果使用了包含错误或恶意数据的训练集,可能会导致模型出现偏差,进而影响数据的安全性和准确性。比如,训练集中的数据被恶意篡改,可能会使AI模型在识别用户身份时出现错误,让不法分子有机可乘。
相关政策和建议
一是强化技术防护,保障AI手机数据全周期安全。手机厂商和应用开发者应广泛采用加密技术,对数据在收集、存储、传输和共享的全生命周期进行加密处理。在数据存储时,使用加密算法对用户数据进行加密存储,即使数据被窃取,黑客也难以获取明文信息。在数据传输过程中,采用SSL/TLS等加密协议,确保数据在网络传输中的安全性。建立严格的访问控制机制,只有经过授权的用户和应用才能访问和使用数据。采用多因素身份认证技术,如密码、指纹识别、面部识别等多种方式结合,提高用户身份认证的安全性。定期对用户和应用的权限进行审查和更新,确保权限的合理性。加强对AI手机系统和应用的安全漏洞检测,定期进行安全扫描和漏洞评估。及时发现并修复系统和应用中的安全漏洞,防止黑客利用漏洞进行攻击。建立安全应急响应机制,一旦发生安全事件,能够迅速采取措施进行处理,降低损失。
二是完善企业管理,构建数据安全责任落实体系。手机厂商和相关企业应制定完善的数据安全管理制度,明确数据收集、存储、传输、共享等各个环节的安全规范和操作流程。建立数据安全责任制度,将数据安全责任落实到具体的部门和人员。对企业员工进行数据安全培训,提高员工的数据安全意识和操作技能。培训内容包括数据安全法律法规、安全操作规范、应急处理措施等,使员工能够在日常工作中自觉遵守数据安全规定。对企业的数据资产进行分类分级管理,根据数据的重要性和敏感程度,采取不同的安全防护措施。对于高敏感数据,如用户的金融信息、医疗记录等,应采取更加严格的安全保护措施。
三是推动行业协作,统一标准共对数据安全威胁。行业协会和相关组织应牵头制定AI手机数据安全行业标准,统一数据安全的技术要求和管理规范。通过行业标准的制定,引导企业加强数据安全管理,提高整个行业的数据安全水平。企业之间应加强数据安全信息共享与协作,共同应对数据安全威胁。建立行业数据安全信息共享平台,及时分享安全威胁情报、安全事件处理经验等信息。在面对重大数据安全事件时,企业之间能够相互支持,共同采取应对措施。
