AI看手相或泄露隐私，大模型敏感信息单独授权为何做不到

南都此前曝光AI手诊、看手相或泄露“生物密码”（点击查看《拍张手掌图给AI手诊、看手相？小心泄露你的“生物密码”》），引发关注。

根据个人信息保护法，处理敏感个人信息应当取得个人的单独同意，履行充分告知义务。南都研究员实测国内多款主流AI助手发现，所有App均未单独提及掌纹、指纹等敏感图片处理规则，对处理用户上传的含生物识别信息的图片、音频等的单独同意更是空白。

敏感信息“一揽子”授权

掌纹指纹处理规则缺失

个人信息保护法确立了以“告知-同意”为核心的个人信息处理规则，针对敏感个人信息处理，还提出了“取得个人单独同意，并履行充分告知义务”的更高要求，这意味着，概括同意或推定同意的授权模式为法律所禁止。

此外，《生成式人工智能服务管理暂行办法》要求，服务提供者不得非法留存能够识别使用者身份的输入信息和使用记录。对于生物识别信息，国家标准更是明确，实现处理目的后应删除原始图像、图片或视频。

然而，南都研究员以国内多款主流AI助手App为样本进行体验发现，就用户在对话中上传的含生物识别信息的图像、音频等而言，当前AI助手App基本采取隐私政策“一揽子”告知授权的方式，未就某一项敏感个人信息单独告知并取得同意。

即便是在隐私政策里，对于生物识别信息的说明也参差不齐。面对人脸、声纹等常见生物识别信息，豆包、元宝等对含肖像图片或语音信息的处理方式有所说明，但Kimi未提及含肖像图片的处理规则，文心个人信息保护规则中则缺失涉及声纹信息的人声语音处理规则。

部分AI助手App隐私政策中对于生物识别信息的说明。

但对于指纹、掌纹等相对“冷门”的生物识别信息，这些App的隐私政策无一提及相关处理规则。仅有DeepSeek在隐私政策中写有一句：“我们不会从您向我们提供的语音输入或照片中，提取或挖掘声纹、面部识别信息，以及其他用于识别特定个人身份的独特生物特征或标识。”

在提醒用户谨慎输入个人信息尤其是敏感个人信息方面，千问、蚂蚁阿福、文心、DeepSeek和Kimi在隐私政策中作出提示，而豆包和元宝则未见相关表述。

部分AI助手App隐私政策中对谨慎上传敏感个人信息的提醒。

大模型信息泄露漏洞多发

平台应保障用户知情同意权

近年来，AI大模型数据泄露事件时有发生，对信息主体的敏感个人信息权益和个体隐私权带来侵害风险。

多位专家在接受南都采访时强调，平台应合规先行，在处理用户信息时遵循“目的明确、最小必要、告知同意、公开透明”等原则，对于用户掌纹、指纹等个人生物识别信息，还应单独告知并获取用户明确同意、尊重其选择权，在提供服务的同时保护好用户个人信息安全。

近日，全国网络安全标准化技术委员会公布《人工智能应用伦理安全指引1.0》，建议服务提供者“尽量减少对使用者隐私和敏感信息的处理”，并提醒用户审慎分享涉及个人或他人的敏感信息，防范因不当输入造成权益受损。

出品：南都大数据研究院

采写：南都研究员 唐静怡

*测评时间为2026年五月底，测评手机为ios系统，样本对象均已升至最新版本

更多报道请看专题：个人信息保护行动派