智能体个人信息保护风险及应对路径

文 | 中国信息通信研究院、移动应用创新与治理技术工业和信息化部重点实验室 武林娜 王淞鹤 吴怡 李可心

智能体凭借自主感知、推理决策、自主执行的核心能力，已广泛应用到生活服务、办公协同、医疗健康等多个领域。智能体服务效能的发挥高度依赖用户个人信息的全流程处理，然而，智能体的自主性、交互性与技术复杂性，也使得个人信息保护面临全新挑战。现有个人信息保护体系难以完全适配其技术特性，这在一定程度上制约了智能体的健康有序发展。因此，系统梳理智能体个人信息保护的核心风险并提出针对性应对思路，成为当前亟待解决的重要课题。

一、智能体内涵、架构与典型应用场景

智能体的技术特征与运行模式是分析其个人信息保护风险的关键，明确其核心定义、典型架构与应用场景，有助于精准识别全流程的个人信息处理风险。

（一）智能体内涵与架构

智能体是以大模型为核心的认知中枢，能够自主感知环境，开展推理决策并自主采取行动以实现特定目标的实体。这里的特定目标并非单一、狭窄任务，而是智能体在预设功能边界与应用场景下，面向具体需求设定的可界定、可执行、可评估的明确任务目标，而非无边界通用智能。

智能体的核心能力依托标准化架构实现，典型架构包括四大模块，各模块协同联动、各司其职，共同支撑智能体的全流程运行。其中，信息感知模块负责接收和理解来自外界的多种信息；规划推理模块以大模型为驱动核心，负责对任务进行理解、拆解、推理和规划，进而思考如何达成任务目标；记忆学习模块负责存储用户交互上下文、历史任务、偏好数据与外部知识，为规划推理提供持续的上下文支撑及迭代依据；任务执行模块负责将规划付诸实践，通过调用各种工具执行具体操作，并将结果反馈给推理模块，形成闭环运行机制。

（二）智能体主要应用场景

智能体作为人工智能技术落地实际场景的核心载体，已形成多元化、场景化应用格局。生活类智能体以豆包手机、米家智能家居终端和华为车载智能系统等新一代智能终端为主要形式，与用户交互最为密切，可能采集涵盖用户生活习惯、位置轨迹、消费偏好等多维度个人信息；办公场景中的智能体，如文档类智能助手、会议类工具等，主要处理企业文件、科研资料等各类办公相关数据，部分涉及个人身份信息；医疗、金融等重点领域的智能体，包括蚂蚁阿福、智能投顾“理赚”等，涉及处理用户的病历诊单、投资偏好等敏感信息。

尽管不同应用场景下智能体的功能定位与行为模式存在一定差异，但其核心定位均在于通过精准识别与高效响应用户需求，提升服务效能。而这一目标的实现，高度依赖对用户个人信息的处理，这也直接决定了智能体个人信息保护工作的特殊性与复杂性。

二、智能体个人信息保护风险分析

智能体作为融合感知、认知与执行能力的信息处理主体，在运行过程中，持续进行数据采集、语义理解、策略生成与行为反馈，形成贯穿服务全周期的个人信息处理链条。相较于传统应用，智能体在交互连续性、任务自主性及环境适应性方面表现出更高动态性，个人信息处理呈现出数据来源多元、处理过程隐蔽、应用边界模糊等特征。因此，应结合智能体的技术架构，对各模块个人信息处理活动中潜在的风险进行系统分析。

（一）信息感知环节

信息感知作为智能体获取数据资源的关键环节，在收集方式、触发时机、感知范围和数据形态等方面均发生了显著变化。一是收集方式多元化。智能体通过用户主动输入、环境感知、终端调用及第三方对接等多渠道收集信息，多元化方式使收集边界持续外延，传统管控模式难以适配，边界模糊问题突出。二是收集时机静默化。部分智能体依托后台长期运行实现静默记录，无需用户触发即可常态化感知，缺乏显性提示，导致用户难以知晓收集细节，弱化了用户的知情权与选择权。三是收集范围泛化。智能体收集信息可能超出服务需求，涵盖基础身份、个性化偏好、金融账单等涉及用户核心权益的敏感信息，这不仅会增加数据处理量，更会增加泄露风险。四是收集形态多样化。智能体整合用户语音、图像、视频等多模态数据并交叉分析，长期积累可形成用户高精准画像。智能体的输入数据深度融合使收集边界持续外延，易偏离“最小必要”原则，从而引发过度收集及信息滥用风险。

（二）规划推理环节

规划推理是智能体依托模型规划与推理能力形成任务执行方案的主要环节，该环节的技术缺陷与安全漏洞容易引发个人信息泄露，其主要体现在三个方面。一是模型“幻觉”引发间接信息处理风险。模型可能会生成与事实不符、缺乏依据的内容，虽然并非会直接造成个人信息泄露，但幻觉会导致任务规划错误、逻辑推理偏差，进而间接造成个人信息处理流程紊乱、任务中断或执行失序，存在信息误用、越权处理的安全隐患。二是上下文管理不当导致数据丢失。在复杂任务场景下，上下文管理机制不完善可能引发智能体“指令遗忘”问题。例如，Meta AI对齐负责人在使用OpenClaw时，智能体在长任务中因上下文压缩丢失关键约束指令，使其在未获得确认的情况下批量清理邮箱，引发用户数据丢失与隐私泄露风险。三是智能体输出管控不足导致信息泄露。此种风险存在两种情形：第一，智能体会在无意中记忆训练数据中的个人信息，导致直接泄露生物特征、健康、财产等敏感个人信息；第二，存在于前沿大模型的内部安全坍塌问题，即模型在面对直接有害请求时会拒绝，但在合理任务流程中，若有害内容为完成任务所必需，则会主动生成。这种模型在合规流程中无意输出敏感信息的行为，极易引发个人信息泄露风险。

（三）记忆学习环节

记忆学习环节是智能体通过持续记忆与加工用户操作、历史上下文、外部资源等各类数据，实现自身能力迭代优化的重要节点。该环节长期存储用户信息，数据深度耦合且复用场景复杂，易引发个人信息安全风险。一是记忆触发隐蔽，知情选择权被弱化。智能体在与用户的交互过程中，通常会默认启动自动记忆机制，持续记录用户的上下文交互信息、行为习惯、偏好倾向等内容，未设置清晰的告知与授权确认机制，使得用户难以全面知晓自身信息的记录范围、加工方式与应用场景。二是存储逻辑复杂，个人信息删除困难。智能体通常采用向量数据库存储记忆数据，向量数据库是以高维向量方式存储的非结构化信息，物理删除操作复杂且容易破坏索引效率，使得精准遗忘和彻底清除特定用户信息变得异常困难。同时，用户信息可能已融入智能体的模型参数中，与训练数据深度耦合，难以实现精准的信息擦除，响应用户的删除权诉求。三是记忆调用缺乏规则，易引发个人信息滥用风险。智能体对记忆模块的调用缺乏明确的标准，存在一定随机性。若缺乏严格的管控机制，极易产生违规使用问题，导致个人信息泄露。例如，擅自将记忆模块中的用户隐私信息用于商业推广或个性化营销，或未经许可向第三方共享记忆中的个人信息。

（四）任务执行环节

任务执行环节是智能体落实任务方案的核心阶段，涉及敏感数据处理、文档操作、终端调用等一系列复杂行为，潜藏多重个人信息保护风险。

一是信息共享边界模糊。在智能体任务执行过程中，往往需通过外部系统调用、多应用协同配合，这使得个人信息处理行为不再局限于单一系统，而是跨越多个主体，数据流动路径随任务推进动态变化，信息共享边界变得模糊，管控难度显著增加。部分任务依赖外部接口支持，在调用过程中，智能体可能附带传输用户标识、任务上下文等相关信息，导致违反用户预期的数据共享行为。此外，端云协同架构作为智能终端智能体的主流部署模式，虽能实现计算资源的优化配置与高效利用，但也使得数据在端侧与云侧之间的传输、流转及处理环节增多，引入了多维度的安全风险，且各类风险易跨层传导，形成“单点突破、全域扩散”的连锁效应。

二是接口调用暗藏风险。任务执行环节依赖各类技术接口及工具调用，相关技术应用的安全漏洞容易引发个人信息安全风险。一方面，部分交互协议尚未完善身份认证与权限校验机制，叠加第三方工具调用链条复杂，极易产生外部安全隐患。以智能体工具调用协议MCP为例，由于其服务注册与调用缺乏有效约束，存在恶意节点混入的可能，一旦智能体调用来源不明或被恶意构造的服务，可能导致数据被留存、滥用甚至窃取；另一方面，部分智能体通过获取设备高敏感权限，例如屏幕截图、模拟操作等能力实现自动化操作，但此类高敏感权限的开放也同步放大了信任风险。一旦权限边界控制不当或被滥用，可能导致严重的个人信息泄露等问题。

三是执行过程不透明。智能体执行任务过程具有较强的隐蔽性，个人信息处理呈现出“难感知、难干预、难追溯”等问题。智能体执行过程呈“黑箱”状态，用户难以实时获知个人信息的使用目的、调用范围及流转路径，缺乏有效手段对任务执行进行干预、审查或终止。同时，智能体普遍缺乏完善的日志记录与审计机制，关键操作行为及数据流转路径难以被有效留存与还原。尤其是在多智能体协同场景下，个人信息在不同系统与主体之间流转，一旦发生数据泄露或滥用事件，往往难以定位责任主体，使得溯源取证与追责更为复杂。

三、智能体的个人信息侵权责任分析

智能体因其自主运行、多主体协同及技术链条复杂等特性，使得个人信息侵权事件发生后，责任主体的认定成为关键问题。模型开发者、智能体部署运营者、工具提供方、平台服务方等多方主体的行为相互关联，而现有法律规范尚未针对智能体场景形成清晰的责任划分机制，这可能导致责任归属不易明确，同时也为用户权益的维护带来一定挑战。

针对上述问题，可在现有法律框架下，对智能体个人信息侵权责任进行开放性界定：现阶段可明确智能体不具有独立法律主体地位，由个人信息处理者承担责任；按照“谁控制、谁负责，谁开发、谁负责，谁受益、谁负责”的原则，明确部署运营者的首要责任、开发者的产品与过错责任、工具方的安全保障责任、平台方的审核与监测责任；探索单独责任、按份责任、连带责任等多元归责路径，为责任认定、损害赔偿与事后追责提供清晰依据。

四、智能体个人信息保护风险的应对路径

结合智能体个人信息保护的核心风险，立足技术可行性与治理有效性，从规范标准、创新技术、生态协同、行业治理四个维度，提出具有针对性的应对策略，为智能体个人信息保护实践提供参考与指引，助力实现风险防控与智能体技术健康发展的良性平衡。

（一）规范标准层面

构建系统的标准规范体系是智能体个人信息保护的首要抓手，既能为技术落地提供合规标尺，也能为行业监管提供统一依据。

一是构建多维度分类分级标准，明确智能体行为边界。借鉴国际治理路径，参考欧盟《人工智能法》高风险清单、加拿大人工智能风险分级框架等经验，可按照应用场景、信息类型、操作影响实施分级管控。若按照风险程度对智能体应用场景进行分类分级，可严禁智能体直接应用于涉及人身安全、财产安全等高危场景；若按照处理的信息进行分类分级，可明确智能体处理行为轨迹、病历诊单等敏感信息时，应获得用户主动明确的单独同意；若按照查询、修改、删除等操作类型进行分类分级，可对删除等高风险操作，通过双重确认机制强化用户感知，防范操作风险。

二是立足智能体架构，完善智能体全流程标准规范。覆盖智能体执行任务全环节，构建闭环式标准体系：在信息感知环节，制定个人信息处理安全准则，明确收集方式、时机与范围，防止过度收集行为；在规划推理环节，明确模型输出安全评估要求与测评方法，防止违规的个人信息输出；在任务执行环节，规范数据共享规则、第三方工具调用规则，明确端云协同架构关键指标与执行透明度评估方法，提升执行过程安全性；在记忆学习环节，完善记忆存储、查询、删除相关技术标准，明确记忆触发机制、记忆内容与使用规范，增强用户对记忆模块的感知与管控能力。

（二）创新技术层面

按照急用先行、基础支撑、前沿引领分层推进，构建覆盖智能体全生命周期的技术防护体系，针对性破解个人信息保护难题。一是完善安全防护技术。在安全围栏基础上，积极应用故障隔离、状态评估、路径跟踪等技术，精准防范模型内部安全风险，深入研究涵盖任务级判断、工具级约束、工作流级隔离等新型安全技术，提升模型自身安全防护能力。二是推行身份标识技术。目前，智能体的法律主体地位、侵权归责认定等法律问题尚未明确。从技术上看，可为智能体设计分配唯一标识，类比“数字身份证”，可用于全流程记录智能体服务过程中的操作行为、多智能体交互动作，可结合链上存证技术，为事后溯源追责、行为监管提供技术支撑。三是提升安全评估能力。构建专用测试数据集，全面测评智能体任务完成度、准确度与安全性，实现对智能体的全流程、全方位检测。四是提高隐私增强与可解释能力。推广隐私计算技术，实现数据“可用不可见”，在跨主体协同等场景避免原始信息暴露。探索增量删除、局部参数遗忘、隔离式记忆存储等技术路线，应对智能体记忆模块难以精准删除个人信息的难题。推动研究可视化技术、可解释性模型等提升智能体可解释性，以满足用户的权利请求。

（三）生态协同层面

智能体的应用场景具有跨领域、跨平台的特征，个人信息保护需构建开发者、工具方、平台方等参与者差异化责任体系，以压实各方合规义务，形成协同共治的良好生态。首先，智能体运营者应履行主体责任，优化感知、任务执行与记忆模块设计，适时向用户告知信息收集边界、任务执行进度与过程，保障用户知情权；提供任务中止、停止等便捷选项，完善记忆信息管理功能，提升用户选择权；规范交互协议与第三方工具调用，建立第三方工具准入审核与行为审计机制，明确信息共享边界，防范交互与调用过程中的风险；建立智能体安全检测与迭代机制，定期开展安全评估，及时修复漏洞，实现技术防护与架构升级同步。工具开发者应承担接口安全与合规供给责任，提供经过安全验证的标准化接口，遵循权限最小化原则，限制接口数据访问范围，强化身份校验和权限管理。平台运营方承担上架审核、运行监测与风险处置责任，对上线智能体进行合规检查与安全测评，实施运行期间动态监测，及时阻断违规行为。此外，智能体自主执行程度高、侵权影响范围广，且单一主体赔付能力有限，易出现用户赔偿难、维权难等问题。因此，可对高风险智能体配置责任保险，提升风险抵御与赔付能力，保障用户权益。

（四）行业治理层面

智能体个人信息保护的长效落地，离不开监管引导、技术支撑、标准约束与多方协同，需构建靶向性强、可落地、可闭环的行业治理体系。一是实施监管沙盒模式，强化精准监管。针对高风险智能体建立监管沙盒机制，围绕授权机制、记忆管理、工具调用、可解释性等核心指标开展受控测试，验证合规能力达标后再面向市场推广。二是推动技术协同创新，提升生态防护能力。鼓励与企业、科研机构深度合作，联合构建智能体运行时安全监测体系，重点监测权限使用、数据流转、工具调用及任务执行过程，解决执行不透明、难干预、难追溯等问题。研发智能体个人信息保护新技术，加大隐私计算、区块链等技术的推广力度，推动生态安全防护能力优化升级。三是加强标准引领，开展标准测评活动。推动制定覆盖全生命周期的智能体个人信息保护标准，开展常态化合规与个人信息保护测评，解决标准不统一、技术合规性难判定的问题，推动行业整体安全能力提升。四是强化跨主体协同，构建高效沟通机制。建立监管部门、企业、行业协会、用户之间的沟通协同机制，搭建信息共享平台，实现监管政策、企业动态、用户诉求的及时传递，形成“监管引导、企业落实、协会自律、用户参与”的协同治理格局。

（本文刊登于《中国信息安全》杂志2026年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。