移動終端智能體HONORHONOR前言:AI智能體重塑數(shù)字生態(tài)隱私安全筑底可信未來倫理與法律陷入雙重困境移動終端智能體行為分級標準和管控邏輯083.1移動終端智能體行為定義3.4移動終端智能體執(zhí)行提醒和終止按鈕2.1移動終端智能體隱私安全原則原則—:公開透明原則三:安全保障2.2能力邊界移動終端智能體服務需要同時受以下兩類約束AI智能體行為盤點AI智能體行為分級映射20術語和定義參考文獻移動終端智能體隱私安全白皮書01I前言:AI智能體重塑數(shù)字生態(tài)隱私安全筑前言:AI智能體重塑數(shù)字生態(tài)01移動終端智能體隱私安全白皮書01I前言:AI智能體重塑數(shù)字生態(tài)隱私安全筑底可02AL智能體(AlAgent)作為能自主設定和實現(xiàn)目標的代理,其演進之路伴隨著人工智能(Al)技術的持續(xù)發(fā)展,實現(xiàn)從自動化工具到自主性能力的升級。20世紀50年代,博弈論、控制論、信息論及圖靈測試等相繼為智能體的研究提供了理論基礎。1986年,馬文.明斯基首次在Al領域引入智能體概念。20世紀90年代,隨著機器學習和自然語言處理技術的突破,智能體的研究擴展至多模態(tài)感知交互和自主學習,智能體的定義演化成了以智能終端為載體,以大模型為決策核需求,決策如何為用戶選擇和提供優(yōu)質(zhì)服務,并基于智能體能力執(zhí)行任務。.國內(nèi)側重場景實踐:中國在應用場景創(chuàng)新、數(shù)據(jù)資源豐富度及政策支持方面展現(xiàn)獨特優(yōu)勢。消費級市場傾向于利用用戶流量邏輯推廣通用型AL智能體產(chǎn)品,以快速占領市場;企業(yè)級(B端)則聚焦Al平臺商業(yè)化,選取高價值產(chǎn)品落地。中國政府對Al產(chǎn)業(yè)的支持力度持續(xù)加大,通過系列政策法規(guī)鼓勵技術創(chuàng)新與應用,推動產(chǎn)業(yè)鏈整體發(fā)展。特別是在中國終端產(chǎn)業(yè)發(fā)展優(yōu)勢的大背景下,終端智能體應用技術發(fā)展尤為重要。當前,中國移動終端智能體產(chǎn)業(yè)已邁過概念驗證階段,進入規(guī)模化落地與深度滲透的關鍵期。在政策支持、市場需求和技術創(chuàng)新的合力驅(qū)動下,智能體正以前所未有的速度融入各類移動終端設備,成為重塑用戶體驗和產(chǎn)業(yè)生態(tài)的核心力量。.技術底座——端云協(xié)同架構成熟:—方面,大模型端側部署正在加速落地,國產(chǎn)領先的大語言模型正通過模型輕量化技術(剪枝、量化、蒸餾)快速適配終端硬件。旗艦級智能手機已成為首批大規(guī)模承載本地化大模型能力的核心載體,顯著提升了響應速度、隱私保護和離線可用性。另—方面,“端云協(xié)同”架構已成為事實標準,當前主流解決方案普遍采用端側處理+云端賦能的協(xié)同架構。輕量級本地模型保障基礎交互的即時響應與隱私敏感任務的安全處理;云端強大算力則支撐復雜的知識推理、內(nèi)容生成等高級功能。這種架構有效平衡了能力、效率、成本與安全。移動終端智能體隱私安全白皮書01I前言:AI智能體重塑數(shù)字生態(tài)隱私安全筑底可03.生態(tài)構建——操作系統(tǒng)與硬件雙支撐:首先,國產(chǎn)主流操作系統(tǒng)(小米澎湃os、oPPoColoros、vivooriginos、華為HarmonyosNEXT、榮耀Magicos等)均將智能體能力作為核心系統(tǒng)服務深度集成。提供統(tǒng)—的AL框架和APL接口,極大降低了應用開發(fā)者接入門檻,系統(tǒng)級AL服務(如智慧搜索、文檔總結、圖片生成/編輯、通話摘要)已成為新終端體驗的標配。其次,終端芯片廠商持續(xù)提升專用NPU(神經(jīng)網(wǎng)絡處理器)的算力與能效比。新—代soC普遍集成高性能NPU,為本地運行數(shù)十億參數(shù)級別的大模型提供了堅實的硬件基礎,推動智能體驗從高端向主流機型普及。.應用落地——場景爆發(fā)與產(chǎn)業(yè)生態(tài):移動終端智能助手從語音助手升級為全能伙伴,覆蓋智慧搜索、文檔創(chuàng)作/總結、多語種翻譯、圖像生成與編輯、AL消除、通話紀要、行程規(guī)劃、個性化服務推薦等全場景,成為提升生產(chǎn)力和娛樂的核心入口。形成由基礎大模型廠商、芯片提供商、操作系統(tǒng)開發(fā)商、終端設備制造商、垂直應用開發(fā)者共同參與的活躍生態(tài)鏈。各方積極合作探索創(chuàng)新應用,同時也在關鍵入口和標準方面展開競爭?，F(xiàn)狀總結:智能體能力正從高端旗艦設備快速向中端乃至部分入門級設備滲透,行業(yè)重心正從技術展示轉(zhuǎn)向打磨實用、高頻、解決剛需的用戶體驗,追求自然無縫的交互,而在隱私安全方面,端側處理敏感數(shù)據(jù)、數(shù)據(jù)最小化原則、本地化存儲與計算正在成為設計和宣傳重點,以應對日益嚴格的監(jiān)管與用戶關切。中國移動終端智能體領域正處于技術快速落地、場景深度滲透、生態(tài)加速構建的黃金發(fā)展期。大模型端側化、操作核心能力與差異化競爭力。市場活力充沛,應用場景豐富且不斷擴展,—個圍繞智能體的新型終端生態(tài)體系正在中國移動終端智能體隱私安全白皮書01I前言:AI智能體重塑數(shù)字生態(tài)隱私安全筑底可04AL智能體的數(shù)據(jù)驅(qū)動特性使其成為隱私泄露的高危載體。在數(shù)據(jù)主權層面,智能體需深度訪問用戶個性化數(shù)據(jù)(如生物特征、行為軌跡)以提供精準服務,但數(shù)據(jù)采集與使用邊界尚未形成國際共識。例如,歐盟GDpR要求“目的限定”原則,而智能體的持續(xù)學習機制常導致數(shù)據(jù)二次利用,引發(fā)合規(guī)沖突。在技術防護層面,攻擊面顯著擴大:提示詞注入(promptlnjection)可誘導模型執(zhí)行惡意指令;數(shù)據(jù)投毒(Datapoisoning)污染訓練集導致決策偏差;智能體權限濫用則可能引發(fā)中間人攻擊(Man-in-the-Middle)。當前防護機制依賴傳統(tǒng)網(wǎng)絡安全框架,缺乏針對AL智能體工作流的專用審計工具,無法有效追溯跨應用數(shù)據(jù)流轉(zhuǎn)路徑。智能體的自主決策機制挑戰(zhàn)了傳統(tǒng)倫理法律范式。倫理層如,招聘智能體因訓練數(shù)據(jù)偏差歧視特定群體,違背公平性原則。決策黑箱問題進—步削弱透明度:當智能體在醫(yī)療診斷中權衡治療方案時,其推理過程缺乏可解釋性屬模糊成為核心爭議:自動駕駛智能體的事故責任應歸屬開發(fā)者、用戶還是算法本身?真人形象克隆智能體涉及的人格權糾紛(如深度偽造侵害名譽權),以及訓練數(shù)據(jù)中的知識產(chǎn)權侵權風險(如未經(jīng)授權使用專利文獻),均暴露出現(xiàn)行法律在主體認定和舉證規(guī)則上的滯后性。國內(nèi)目前發(fā)布的人工智能標準主要著眼于通用的安全要求和AlGC內(nèi)容安全,針對AL智能體安全管控方面的標準處于起步階段;社會結構遭遇系統(tǒng)性沖擊智能體對勞動力市場和社會穩(wěn)定的潛在影響已超越技術范疇。就業(yè)生態(tài)重塑方面,波士頓咨領域23%的崗位可能被智能體替代,而再就業(yè)培訓體系尚未建立,加劇結構性失業(yè)風險。更嚴峻的是技術失控隱患:強自主性智能體在復雜系統(tǒng)中可能引發(fā)級聯(lián)故障(CascadingFailǚre)——例如,電網(wǎng)調(diào)度智能體的誤判導致區(qū)域性在此背景下,小米、oppo、vivo、榮耀作為全球領先的智能終端廠商,聯(lián)合發(fā)布《移動終端智能體隱私安全白皮書》,旨在:.實現(xiàn)“過程透明可控、行為可追溯、授權動態(tài)化”的下—代移動終端智能體隱私安全體驗。.推動Al智能體隱私安全行業(yè)標準的建設移動終端智能體隱私安全白皮書02I移動終端智能體的隱私安全原則與邊界定義05移動終端智能體的移動終端智能體是指以個人移動智能終端為載體與終端os系統(tǒng)深度融合,以大模型為決策核心,為用戶提供智能服務的智能體。它能夠感知用戶、環(huán)境、系統(tǒng)信息,理解用戶意圖和需求,決策如何為用戶選擇和提供優(yōu)質(zhì)服務,并基于移動智能終端系統(tǒng)能力執(zhí)行任務。移動終端智能體隱私安全白皮書02I移動終端智能體的隱私安全原則與邊界定義062.1移動終端智能體隱私安全原則項安全原則:原則一:公開透明.智能體能力在啟用前需明確告知用戶其能力邊界和操作范圍。.智能體執(zhí)行中需要有實時標識,執(zhí)行記錄需支持回溯。原則二:用戶可控.智能體的相關行為能力需要可視化的管理界面,支持用戶自主開啟或關閉。.智能體的相關行為需在執(zhí)行中保持用戶干預通道暢通,支持用戶隨時終止。原則三:安全保障.智能體需具備明確的行為邊界,涉及用戶財產(chǎn)(含虛擬)和人身安全的操作,禁止智能體代理用戶執(zhí)行.數(shù)據(jù)使用最小化,智能體在數(shù)據(jù)收集和使用時需遵循功能必需上限,不得獲取非必要的數(shù)據(jù).敏感數(shù)據(jù)端側優(yōu)先,智能體在處理涉及用戶隱私信息的敏感數(shù)據(jù)時,需優(yōu)先在端側完成,必須上云的數(shù)據(jù)需在可信隔離環(huán)境中執(zhí)行。移動終端智能體隱私安全白皮書02I移動終端智能體的隱私安全原則與邊界定義07能力邊界是移動終端智能體的安全紅線,明確了移動終端智能體能做什么,不能做什么,能做的事情又會受到哪些約束和管控,是用戶可控和安全保障原則落地的基礎。這種邊界設計不僅是技術落地的核心,更是用戶可控與安全保障的基石,讓用戶可清晰掌握智能體的權限范圍(如“僅允許替用戶下單不能確認支付”),將風險隔離在邊界之外。若缺失這—紅線,智能體將淪為失控的“數(shù)字盲盒”,引發(fā)隱私泄露、越權操作等系統(tǒng)性危害。具體而言:移動終端智能體服務需要同時受以下兩類約束:.基礎應用權限,智能體需要遵守手機系統(tǒng)現(xiàn)有的應用權限管理體系,在現(xiàn)有應用權限管理體系的管控下,調(diào)用相關.由于智能體的出現(xiàn)而新增的能力的管控,作為—個系統(tǒng)級的智能體,具備了超越普通應用的行為能力(感知、記憶、執(zhí)行),而這些行為能力的管控,便是智能體隱私安全框架的核心。智能體的權限和能力管控與設備&賬號雙重綁定智能體的權限和能力管控與設備&賬號雙重綁定,即用戶A設備上智能體的權限和能力開關狀態(tài)無法復用至B設備,在B上需要再次授權或開啟開關;若用戶在設備A上登陸了其他用戶賬號,也需要再次授權或開啟開關。直接影響用戶資產(chǎn)權益(含虛擬資產(chǎn))和人身安我們設立絕對紅線,禁止智能體代理用戶執(zhí)行移動終端智能體隱私安全白皮書移動終端智能體行為分級標準08移動終端智能體隱私安全白皮書03I移動終端智能體行為分級標準和管控邏輯093.1移動終端智能體行為定義基于移動終端智能體的雙重能力本質(zhì)——感知與執(zhí)行,我們將移動終端智能體的行為劃分為兩大行為域、九類核心能力:.傳感器采集:通過傳感器獲取即時狀態(tài)信息:攝像頭、麥克風、定位、光線、陀螺儀....數(shù)據(jù)訪問:通過APl直接訪問存儲在設備中的數(shù)據(jù):相冊、聯(lián)系人、短信、通話記錄、鬧鐘、日程、運動健康....屏幕信息獲取:端側視覺語義提取(OCR/NLP本地推理):鎖屏、桌面、—方應用、三方應用....應用學習:操作路徑抽象建模,記錄并學習用戶使用應用的方式及其過程中產(chǎn)生的信息:酒店偏好、航司偏好、飲食.系統(tǒng)功能控制:調(diào)用系統(tǒng)服務執(zhí)行預定義原子操作:通知、硬件調(diào)用(聲音、震動)、屏幕亮度、音量、網(wǎng)絡連接....應用任務代理:通過Al智控或意圖框架觸發(fā)應用功能:如播放音樂、添加購物車、商品比價....智能家居控制:發(fā)送loT標準化控制指令集:空調(diào)模式切換、掃地機啟停等、燈光....車輛系統(tǒng)交互:通過終端的機車互聯(lián)軟件/協(xié)議,操作車輛的信息娛樂系統(tǒng)/應用,以及控制車載非關鍵性模塊(如空調(diào)/風扇調(diào)節(jié)等,排除動力/制動系統(tǒng)控制)移動終端智能體隱私安全白皮書03I移動終端智能體行為分級標準和管控邏輯3.2移動終端智能體行為分級為了有效地管理和控制移動終端智能體在各種情境下的行為潛在風險與影響,我們依據(jù)其行為的潛在影響程度和所需管控強度,建立了—套標準化分級體系。該體系共分為三個敏感度等級(S1-低敏感、S2-中敏感、S3-高敏感)。分級邏輯:行為潛在影響程度級別越高(S1->S3),表明該行為—旦不當執(zhí)行或發(fā)生錯誤,可能造成的后果嚴重性(如數(shù)據(jù)泄露風險、經(jīng)濟損失、用戶體驗損害、法律合規(guī)問題等)越大。所需管控強度級別越高(S1->S3),表明對該行為的執(zhí)行所需前置檢查的嚴謹性、過程監(jiān)控的實時性、權限控制的嚴格性越高。此分級旨在為智能體行為的風險評估、策略制定、權限分配和監(jiān)控響應提供—個清晰、—致的框架基礎,確保不同敏感度的行為能得到與其風險相匹配的管理措施,從而提升整體系統(tǒng)的安全性與可靠性。分級詳情:s3-高敏感行為:定義:直接影響用戶資產(chǎn)權益(含虛擬資產(chǎn))和人身安全的行為(如,智能體執(zhí)行支付轉(zhuǎn)賬、門鎖控制)。管控邏輯:禁止智能體代理用戶執(zhí)行。s2-中敏感行為:定義:涉及用戶個人隱私信息的行為(如,醫(yī)療數(shù)據(jù)訪問、社交內(nèi)容發(fā)布)。管控邏輯:需動態(tài)授權+實時提示。s1-低敏感行為:定義:基礎功能操作(S2、S3之外的行為,如,音樂播放、亮度調(diào)節(jié))。管控邏輯:協(xié)議默認授權。關鍵點說明:1.在S1級基礎能力層,我們保障服務流暢性,通過協(xié)議授權實現(xiàn)無感體驗;2.在S2級敏感行為域,我們建立動態(tài)授權機制,確保用戶知情權與選擇權實時在線;3.在S3級高危禁區(qū),我們設立絕對紅線,以技術硬約束守護生命財產(chǎn)安全。詳細的行為分級可參考附錄詳細的行為分級可參考附錄:智能體行為分級映射移動終端智能體隱私安全白皮書03I移動終端智能體行為分級標準和管控邏輯3.3移動終端智能體能力開關基于智能體的行為定義和分級,S1-低敏感和S2-中敏感的行為均需要配置相應的能力開關,S3-高敏感行為需要直接禁用,下面我們分別展開:S1-低敏感行為普遍為智能體的基礎能力,既不涉及用戶隱私也不涉及用戶的財產(chǎn)和人身安全。所以更多從保障服務流暢性和基礎體驗的完整性的角度考量,允許通過協(xié)議對智能體授權,以實現(xiàn)無感體驗,且不強制要求提供管理界面。如,天氣查詢、通用知識問答、音量控制...S2-中敏感行為:需提供開關S2-中敏感行為開始會涉及用戶隱私信息,需要對智能體建立動態(tài)授權機制,確保用戶知情權與選擇權實時在線,具體原則包括:.智能體需要向用戶提供S2-中敏感行為能力的管理界面,允許用戶隨時開啟和關閉.智能體需要用戶主動開啟能力后才可進行S2-中敏感行為樣例參考,以AI識屏為例:主動開啟管理界面S3-高敏感行為涉及到用戶的財產(chǎn)權益(含虛擬)和人身安全,需設立絕對紅線,禁止智能體代理用戶執(zhí)行,當智能體執(zhí)行S3-高敏感類行為時,需要立即中斷,并提醒用戶接管自行完成。示例如下:2.在執(zhí)行立即支付、免密支付、轉(zhuǎn)賬、發(fā)紅包等支付類操時,應提示用戶接管,自行手動完成。3.在執(zhí)行用戶授權同意、電子簽章、協(xié)議確認等協(xié)議/授權類操作時,應提示用戶接管,自行手動完成。4.在執(zhí)行注銷、改密碼、凍結等高敏感賬號操作時,應提示用戶接管,自行手動完成。5.在執(zhí)行恢復手機出廠設置、清空回收站、徹底刪除等不可逆的數(shù)據(jù)刪除時,應提示用戶接管,自行手動完成。6.在執(zhí)行智能門/門鎖/保險箱/車輛解鎖等安防類解鎖操作時,應提示用戶接管,自行手動完成。樣例參考,以AI識屏為例:3.4移動終端智能體執(zhí)行提醒和終止按鈕對于S2-中敏感行為,除能力開關外,還需要在執(zhí)行時顯示相應的執(zhí)行提醒,并支持用戶隨時終止。動態(tài)執(zhí)行提醒:1.智能體執(zhí)行S2-中敏感操作時,界面需出現(xiàn)相應的提示,提示2.智能體接管用戶正在使用的前臺應用時,需獲得用戶同意,接管后需要有明顯的ul表面當前應用正在被智能體接管。3.智能體進行屏幕識別時,需在屏幕上給出明確的提示。4.智能體接管的應用在后臺執(zhí)行時,界面上需要有持續(xù)的ul提醒,標明后臺有應用正在被智能體接管并執(zhí)行。一鍵終止執(zhí)行:鈕,點擊后智能體即刻終止當前行為并釋放資源,終止后需反饋結樣例參考:3.5移動終端智能體行為追溯為保障行為透明與事后審計,需構建三級追溯體系智能體接收并執(zhí)行的全部用戶qǚery,需被記錄在日志中。需要向用戶提供可視化的行為記錄查詢界面。樣例參考:移動終端智能體隱私安全白皮書移動終端智能體隱私安全白皮書1.移動終端智能體進行數(shù)據(jù)收集、權限調(diào)用、行為學習范圍、保留期限及第三方共享情況,確保用戶在充分理解的前提下做出自主選擇。同意操作需設置明確確認環(huán)節(jié)(如隱私協(xié)議的獨立同意按鈕點擊),禁止默認勾選。2.移動終端智能體獲取敏感個人信息(如生物特征、醫(yī)療記錄、金融賬戶信息)時,應具備實時提示能力,覆蓋識屏狀態(tài)標識、麥克風/攝像頭/位置權限調(diào)用等場景,確保用戶能清晰感知。如:a.視覺提示:如在設備屏幕邊緣顯示動態(tài)光條,懸浮窗實時更新數(shù)據(jù)使用進度等。b.聽覺提示:采用定制化提示音(區(qū)別于系統(tǒng)通知音),如智能語音助手持續(xù)發(fā)出聲音告知用戶當前正在進行的操作。1.移動終端智能體應建立覆蓋全業(yè)務場景的數(shù)據(jù)必要性評估,通過動態(tài)更新的場景化數(shù)據(jù)需求清單明確每個功能模塊的核心數(shù)據(jù)項與非必要數(shù)據(jù)項。例如,導航功能僅需獲取用戶實時位置、目的地坐標及路況信息,無需調(diào)用通訊錄、短信等無關權限;語音助手執(zhí)行天氣查詢?nèi)蝿諘r,僅需采集語音指令文本數(shù)據(jù),無需留存原始語音音頻。2.在數(shù)據(jù)采集數(shù)量與頻率控制上,采用“按需動態(tài)調(diào)整”策略:對于即時性任務(如外賣下單),僅在用戶操作過程中采集地址、聯(lián)系方式等數(shù)據(jù),任務完成后立即終止采集;對于持續(xù)性服務(如健康監(jiān)測),根據(jù)服務精度需求設置采集間隔。3.基于數(shù)據(jù)最小化原則,移動終端智能體需支持數(shù)據(jù)過濾的能力,自動識別并剔除冗余信息。例如,在處理用戶圖片對個人權益影響最小的方式”的要求,通過技術手段將數(shù)據(jù)采集嚴格限定在實現(xiàn)用戶命令的必要范圍內(nèi)。1.移動終端智能體在執(zhí)行數(shù)據(jù)處理任務時,對于生物識別信息(如指紋、人臉、聲紋)、地理位置軌跡、健康生理數(shù)據(jù)等敏感信息,需優(yōu)先采用端側處理模式?？梢劳性O備本地的芯片級安全計算單元(如智能手機的TEE可信執(zhí)行環(huán)境、安全芯片)完成數(shù)據(jù)解析與運算。例如:語音指令識別過程中,原始音頻數(shù)據(jù)在設備端完成轉(zhuǎn)文字處理后,僅上傳文本指令,原始音頻即時銷毀。移動終端智能體隱私安全白皮書2.對于確需端云協(xié)同處理的復雜任務(如跨設備數(shù)據(jù)同步、大規(guī)模數(shù)據(jù)分析),移動終端智能體需先在端側完成數(shù)據(jù)脫敏處理,僅上傳經(jīng)特征提取后的非敏感數(shù)據(jù)。例如,健康APP分析用戶運動數(shù)據(jù)時,在端側剔除具體運動時間、地點等敏感信息,僅向云端上傳運動類型、時長、消耗熱量等聚合數(shù)據(jù)。3.端側處理架構需通過技術手段實現(xiàn)數(shù)據(jù)“本地閉環(huán)”:采用隔離機制防止敏感數(shù)據(jù)被其他應用訪問,利用加密技術確保數(shù)據(jù)在處理過程中不被非法讀取,避免數(shù)據(jù)泄露風險。范》(GB/T35273-2020)中關于“目的限制”的要求,確保數(shù)據(jù)的每—次流轉(zhuǎn)都在用戶授權的可控范圍內(nèi),從源頭2.如需拓展數(shù)據(jù)使用范圍(如將用戶的健康數(shù)據(jù)用于醫(yī)學研究),向用戶說明新用途的具體場景、數(shù)據(jù)使用方式、第三方合作機構信息及用戶權益保障措施,獲取用戶的同意。數(shù)據(jù)存儲與銷毀:1.移動終端智能體在執(zhí)行任務過程中產(chǎn)生的即時狀態(tài)數(shù)據(jù)(如實時語音流、臨時定位信息、設備傳感器瞬時數(shù)據(jù)),采用臨時緩存機制進行處理,數(shù)據(jù)僅在任務進程存續(xù)期間駐留于設備中,不寫入持久化存儲介質(zhì)。任務完成后 (如語音指令執(zhí)行結束、導航目的地到達),系統(tǒng)立即觸發(fā)擦除指令,立即清空內(nèi)容。2.移動終端智能體針對用戶明確要求記錄的信息(如通訊錄備份、行程安排、健康檔案),在設備端及云端存儲時需采用加密算法對數(shù)據(jù)進行加密處理。數(shù)據(jù)流轉(zhuǎn)規(guī)則:1.針對移動終端智能體即時獲取的狀態(tài)信息(如運動采集的實時步數(shù)、監(jiān)測的室內(nèi)溫度),需實現(xiàn)端側閉環(huán)處理。數(shù)據(jù)僅在端側空間內(nèi)流轉(zhuǎn)。在數(shù)據(jù)處理完成后(如生成運動報告、調(diào)節(jié)空調(diào)溫度)立即清空內(nèi)容,不做該數(shù)據(jù)的端側存儲。例如,智能手表的心率監(jiān)測數(shù)據(jù)僅在健康監(jiān)測進程內(nèi)用于計算心率變異性指標,指標生成后原始心率數(shù)據(jù)即時銷毀,不寫入本地存儲。2.移動終端智能體與系統(tǒng)服務、云端服務器進行數(shù)據(jù)通信時,需構建多層級傳輸保護體系:移動終端智能體隱私安全白皮書a.建立加密傳輸通道,確保數(shù)據(jù)在傳輸鏈路中不被竊聽;b.對于重要指令(如支付指令、權限變更指令),使用加密算法進行數(shù)字簽名,防止指令被偽造、篡改或重放;3.用戶敏感數(shù)據(jù)(如身份證號、銀行賬號、病歷信息)在傳輸過程中實施“雙重保護”:a.傳輸鏈路保護:傳輸鏈路通過協(xié)議保障安全,b.傳輸數(shù)據(jù)保護:對數(shù)據(jù)本身采用加密算法進行加密,4.3用戶權利與響應撤回同意:1.用戶應擁有對所有授權事項的完整撤回權,系統(tǒng)需提供用戶可管控的能力與頁面,用戶可通過關閉按鈕終止授權。2.用戶撤回同意后,系統(tǒng)需通過底層接口終止相關數(shù)據(jù)的獲取、傳輸與處理行為:對于持續(xù)性數(shù)據(jù)采集(如健康監(jiān)測),立即停止相關傳感器及數(shù)據(jù)的調(diào)用;對于正在進行的數(shù)據(jù)分析任務,立即中斷進程并銷毀中間數(shù)據(jù)。數(shù)據(jù)管理:移動終端智能體需為記錄用戶的相關信息提供數(shù)據(jù)查詢與刪除的能力。查詢結果需清晰展示每條數(shù)據(jù),數(shù)據(jù)刪除操作需經(jīng)過二次確認,防止用戶誤操作。4.4安全保護措施1.完善數(shù)據(jù)保護框架,覆蓋智能體全鏈路,構建貫穿數(shù)據(jù)收集、處理、存儲、傳輸、銷毀全流程的保護體系。依據(jù)《個人信息保護法》《數(shù)據(jù)安全法》等法規(guī)要求,在數(shù)據(jù)流轉(zhuǎn)的各環(huán)節(jié)設置“安全關卡”。2.數(shù)據(jù)收集環(huán)節(jié)嚴格遵循用戶授權范圍,處理環(huán)節(jié)限定在用戶許可的用途內(nèi),存儲環(huán)節(jié)實施分級保護策略,傳輸環(huán)節(jié)強化用戶可感知的安全提示,銷毀環(huán)節(jié)確保用戶能全程追溯操作結果。移動終端智能體隱私安全白皮書1.利用技術手段對用戶指令、模型和移動終端智能體進行完整性保護,防止偽造、篡改和指令重放,建立多層次的完整性保障機制。用戶發(fā)起的每—項指令(如支付、信息修改、權限設置)都會起時間、設備信息等要素,確保指令來源可追溯。2.針對模型和移動終端智能體的完整性,在產(chǎn)品更新迭代時,通過官方渠道向用戶推送版本說明,明確本次更新涉及的功能調(diào)整。敏感數(shù)據(jù)保護針對用戶敏感數(shù)據(jù)實施訪問控制策略,基于最小化原則,以用戶權益為核心,構建“用戶自主可控+產(chǎn)品主動防護”的雙重保護體系。在用戶自主管理層面,提供直觀易用的“權限管理”,支持用戶按權限類型(如位置、相機、圖片)設置訪問權限。移動終端智能體隱私安全白皮書智能體行為盤點智能體行為盤點一級子類二級子類補充描述信息獲取&挖掘手機數(shù)據(jù)與傳感器傳感器.通過傳感器獲取即時狀態(tài)信息.通過API直接訪問存儲在設備中的數(shù)據(jù)屏幕信息.通過屏幕識別,獲取屏幕當前信息應用學習應用1、應用2....允許智能體記錄并學習用戶使用應用的方式及其過程中產(chǎn)生的信息運動健康數(shù)據(jù)—.體重、血壓、睡眠監(jiān)測...智能家居數(shù)據(jù)—.傳感器數(shù)據(jù):溫濕度、人體、煙霧、水浸....安防設備數(shù)據(jù):監(jiān)控、防丟器....設備狀態(tài):清潔、照明、廚房、衛(wèi)浴...車輛信息—.車內(nèi)溫度、行駛狀態(tài)、成員...操控應用&設備系統(tǒng)控制系統(tǒng)功能&設置.系統(tǒng)控制:通知、硬件調(diào)用(聲音、震動)....系統(tǒng)設置:屏幕亮度、音量、壁紙、網(wǎng)絡連接(如wi-Fi、移動數(shù)據(jù))...應用控制應用1、應用2....包括一方應用和三方應用智能家居控制家庭1、家庭2....燈光、掃地機、空調(diào)...車輛控制車輛1、車輛2....座椅、空調(diào)、音樂、導航...20移動終端智能體隱私安全白皮書智能體行為盤點和分級映射智能體行為分級映射二級子類分級詳情信息獲取&挖掘手機數(shù)據(jù)與傳感器傳感器s2:全部屏幕信息—應用學習應用1、應用2...運動健康數(shù)據(jù)—智能家居數(shù)據(jù)—車輛信息操控應用&設備系統(tǒng)控制系統(tǒng)功能&設置s3:涉及用戶資產(chǎn)權益類設置(含虛擬資產(chǎn)).系統(tǒng)功能:無.系統(tǒng)設置:恢復出廠設置、賬號操作(注銷、改密碼、三方授權操作...)s2:無s1:s2、s3之外的操作.系統(tǒng)功能:控制手機硬件屏幕、聲音、震動、發(fā)送/清除通知....系統(tǒng)設置:屏幕亮度、音量、WALN、藍牙...應用控制應用1、應用2...s3:涉及用戶資產(chǎn)權益類操作(含虛擬資產(chǎn)).金融交易:股票、基金、期貨、貸款....支付:立即支付、免密支付、轉(zhuǎn)賬、發(fā)紅包....協(xié)議類操作:用戶授權、電子簽章....不可逆的數(shù)據(jù)刪除:清空回收站、徹底刪除...s2:涉及用戶隱私的操作.下單(不含支付):購物、打車、航旅預定....社交類:IM、郵件、社區(qū)、評論...s1:s2、s3之外的操作.其他:搜索、