乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > AI正在偷偷"认识"你:2025年个人信息泄露新形态与GB/T 35273-2020的应对边界

AI正在偷偷"认识"你:2025年个人信息泄露新形态与GB/T 35273-2020的应对边界

当前时间: 2026-05-06 11:56:09 更新时间: 2026-05-06 分类:软件教程 评论(0)

AI正在偷偷"认识"你:2025年个人信息泄露新形态与GB/T 35273-2020的应对边界

AI正在偷偷”认识”你:2025年个人信息泄露新形态与GB/T 35273-2020的应对边界

摘要:ChatGPT一类的AI助手知道你的口头禅,推荐算法精准到让你害怕,人脸识别在你不知情时默默记录……2025年,AI技术的普及正在创造出前所未有的个人信息泄露新形态。本文结合真实案例,探讨这些新威胁是否在GB/T 35273-2020的规范射程之内,以及现有标准的边界在哪里。 关键词:GB/T 35273-2020;AI个人信息;大模型隐私;人脸识别;推荐算法;数据合规

一、你的”数字分身”正在被AI精细化描绘

2025年,一位用户向国家网信办投诉:

“我从未授权任何App使用我的声音,但一款AI客服软件在我打电话后,能通过我的语音特征识别我的年龄、情绪状态,并推测我的经济能力,进而影响报价。”

这不是科幻小说,是真实发生的事。

AI技术的飞速发展,正在将个人信息保护带入一个前所未有的复杂地带

传统意义上的个人信息泄露,通常是:数据库被黑 → 明文信息外泄

而2025年的新形态是:AI模型从行为数据中”推断”出你从未主动提供的信息。

这,是GB/T 35273-2020当年制定时,尚未完全预见到的挑战。

二、AI时代的三大个人信息新威胁

威胁一:大模型的”记忆泄露”

用ChatGPT、文心一言等大模型对话,你可能无意间透露了:

  • ● 你的工作单位(”我是某某公司的HR”)
  • ● 你的健康状况(”我最近血糖有点高”)
  • ● 你的家庭情况(”我要给我妈妈推荐一款保健品”)

这些对话数据,可能被用于模型训练。

GB/T 35273-2020 第6条明确规定:个人信息的收集应遵循最小必要原则,且须明确告知收集目的。 但在与大模型的自然对话中,”告知”边界极为模糊——用户很难意识到每一句话都可能是数据采集。

威胁二:推荐算法的”隐形画像”

你从未点击过某类广告,但算法已经通过以下数据”猜出”了你的偏好:

  • ● 停留时间(即便你只是停下来看了一眼)
  • ● 滑动速度(快速滑过某类内容)
  • ● 时间节点(你在深夜频繁浏览的内容类型)

这种行为推断数据,在标准2020版中属于灰色地带——它并不是用户”主动提供”的信息,而是系统”观察”出来的信息。

GB/T 35273-2020 第5.6条将”个人行为数据”列入个人信息范畴,但对于从行为推断出的衍生信息,规范仍然不够细化。

威胁三:人脸识别的”非感知采集”

2024-2025年,多家商场、写字楼被曝光:在顾客不知情的情况下,通过门禁摄像头采集人脸特征,构建客户数据库。

人脸识别信息属于GB/T 35273-2020明确列出的敏感个人信息(个人生物识别信息),标准要求:

应取得个人信息主体的明示同意,并不得强迫或隐瞒采集目的。

然而,”非感知采集”恰恰绕开了”告知-同意”的传统路径,直接进行技术层面的数据获取。

这是2020版标准面临的最直接挑战之一。

三、对照国标:哪些行为已触红线?

我们梳理了2024-2025年典型AI个人信息违规案例,逐一对照GB/T 35273-2020进行分析:

| 违规案例 | 触犯条款 | 处罚结果 |

|———|———|———|

| 某电商平台AI推荐系统擅自收集用户健康偏好数据 | 第6条(最小必要)+ 第8条(敏感信息同意) | 被网信办约谈,罚款180万 |

| 某写字楼物业未告知安装人脸识别门禁 | 第8条(明示同意)+ 第9条(禁止强制采集生物信息) | 被上海市网信办责令整改 |

| 某AI医疗App将用户问诊记录用于模型训练 | 第7条(目的限制)+ 第8条(敏感信息单独同意) | 被吊销互联网医疗资质 |

| 某大厂大模型未向用户说明对话数据用途 | 第5.4条(公开透明)+ 第6条(目的明确) | 监管约谈,公告整改方案 |

结论:现行GB/T 35273-2020已能覆盖大多数AI场景中的违规行为——不是标准滞后,而是执法力度和技术识别能力尚待提升。

四、国标的”边界”:2020版无法完全应对的新情况

客观地说,GB/T 35273-2020 也存在一些局限性,在AI时代显现出来:

局限一:推断信息的归属问题

标准对”个人信息”的定义基于识别特定个人的可能性,但对于AI推断出的偏好、情绪、信用评分等衍生数据,并未明确是否适用相同保护规则。

📌 2025年趋势:国家网信办《互联网推荐算法管理规定》已填补了推荐算法部分,但仍需与GB/T 35273-2020形成联动。

局限二:AI生成内容中的个人信息问题

当AI工具(如深度伪造、AI写真)使用真实用户图片生成内容,这是否构成对生物识别信息的再加工?标准2020版对此未作明确规定。

局限三:”去标识化”的可逆性问题

标准允许对个人信息进行”去标识化”处理后用于数据分析。但AI技术已经证明,足够多的去标识化数据,通过模型可以再识别出特定个人。这让”去标识化等于脱敏”的传统假设岌岌可危。

五、标准演进:GB/T 35273的下一步在哪里?

面对AI挑战,我国个人信息保护标准体系正在积极演进:

GB/T 35273-2020(现行核心规范)
      │
      ├── GB/T 41391-2022(移动App个人信息保护)
      ├── 《互联网推荐算法管理规定》2022
      ├── 《生成式人工智能服务管理暂行办法》2023
      └── GB/T 35273-202X(修订版,预计"十五五"期间发布)

业内专家预计,下一版GB/T 35273将重点补充:

  1. 1. AI推断信息的保护要求
  2. 2. 大模型训练数据的合规规范
  3. 3. 生物特征数据的技术防护标准
  4. 4. 跨境数据流动的AI场景专项规定

六、给普通用户的AI时代隐私自保指南

面对AI带来的新型隐私威胁,以下几点实操建议值得收藏:

  1. 1. 与AI对话时,避免说出真实身份、健康、财务信息——即便平台承诺不保存,训练数据中可能已留存
  2. 2. 关闭不必要的APP摄像头/麦克风权限——包括AI语音助手在后台的持续监听
  3. 3. 推荐算法设置中主动选择”限制个性化推荐”——多数平台在隐私设置深处提供了此选项
  4. 4. 谨慎参与AI拍照美化、换脸等功能——这类服务通常会保留你的面部特征数据
  5. 5. 遇到可疑的人脸识别要求,可拒绝并要求出示采集授权说明——这是你依据GB/T 35273-2020享有的权利

七、结语

GB/T 35273-2020 是一扇门,AI时代把这扇门之外的世界变得更加复杂。

但标准的存在,依然是我们手中最有力的盾牌——它规定了企业的义务,也定义了你的权利。

了解这把盾的边界,才能更好地保护自己。

本文为「标准和标准化」公众号原创内容,系 GB/T 35273-2020 系列解读第五篇。欢迎关注、转发。

参考标准:GB/T 35273-2020《信息安全技术 个人信息安全规范》

来源:标准和标准化  |  作者:标准和标准化