作者:张欣(雷火竞技官网教授,法学博士)
出处:《比较法研究》2026年第3期
目次
一、引言
二、从端侧智能到端侧智能体:概念界定与技术实现路径
三、端侧智能体的治理挑战——以AI手机为例
四、端侧智能体治理的分层调适路径
五、结语
摘要:端侧智能体通过将模型推理、情境感知与任务执行能力延伸至用户终端,使人工智能深度嵌入个人终端环境,并在人机交互的深层变革中重塑风险生成机制。以智能手机为典型场景,端侧智能体的全域感知逻辑与数据和模型深度耦合的本地化运行机制,冲击了最小必要原则得以有效适用的制度前提。轻量化与本地适配削弱了安全对齐的可靠性,模糊了模型参数与个人信息之间的规制边界,使得既有审查与问责机制的适用时点面临挑战。系统级权限与跨主体协同架构推动风险从数据处理与内容生成延伸至任务执行,加剧了责任归属与权限边界的治理困境。鉴于端侧智能体仍处于产业起步阶段,制度回应宜采取渐进式调适进路,契合智能体运行机理对既有治理框架进行精细化展开。在数据层,应以业务功能与具体任务为双层基准,推动最小必要原则向端侧场景的精细化适配。在模型层,应建立面向全生命周期的动态评估机制,并依据实际控制能力细化产业链协同治理机制。在应用层,应构建基于行动能力的分级授权与过程控制机制,确保其行为安全可控。
关键词:端侧智能体;智能体经济;智能手机;人工智能治理;个人信息保护
01
引言
随着人工智能技术的飞速发展,人工智能的部署形态正经历一场深刻变革。端侧智能体以其突破性的技术创新和广泛的应用场景,正通过深度嵌入智能手机、个人电脑、可穿戴设备等用户终端,一跃成为连接个人、平台、服务与现实生活的超级数字入口。国家层面亦已将智能终端与智能体的广泛应用纳入人工智能发展的战略部署。《国务院关于深入实施“人工智能+”行动的意见》提出,2027年新一代智能终端、智能体等应用普及率超过70%,2030年超过90%。《国民经济和社会发展第十五个五年规划纲要》进一步提出,鼓励多模态、智能体、具身智能、群体智能等技术创新,探索通用人工智能发展路径。由此可见,端侧智能体已不只是数字服务的功能迭代,而是人工智能运行形态、能力结构与应用场景深度重构的集中体现。
在智能体众多落地场景中,智能手机因其在全球范围内极高的普及率与高频使用特征,已成为端侧部署的关键载体。据最新预测,至2028年,全球智能手机出货量将攀升至9.12亿部,占据全球手机市场的主导地位。全球边缘智能市场的规模预计从2022年的152亿美元增长至2032年的1436亿美元,年复合增长率逾25%。由此可见,技术范式的升级叠加应用场景的不断繁荣,共同推动2026年成为“端侧智能体爆发元年”。
与此同时,端侧智能体的快速发展也使其治理问题从产业技术议题上升为规范治理议题。国家互联网信息办公室指出,随着大模型等新一代人工智能技术的迅猛发展,智能体产品加速涌现并呈现规模化应用态势,但其高自主性、高权限特征也引发了隐私泄露、越权操作、行为失控等安全风险,需要统筹发展与安全,促进智能体规范应用和创新发展。鉴于此,本文以端侧智能体为核心分析对象,在简要梳理其端侧部署基础与技术路径的基础上,以智能手机为典型场景,系统剖析端侧智能体在数据层、模型层和应用层引发的法律风险与治理挑战,并提出与其运行机理相适配的分层调适、协同推进的动态治理方案。
02
从端侧智能到端侧智能体:概念界定与技术实现路径
端侧智能体的兴起以端侧智能的发展为技术前提。端侧智能反映出人工智能部署方式由云端运行向终端运行的迁移趋势,而端侧智能体则是在这一部署形态之上,具备自主感知、记忆、决策、交互与执行能力的智能系统。与之相应,既有围绕云端智能构建的治理框架,已难以充分回应智能体在终端设备运行所带来的一系列全新挑战。基于此,有必要在展开规范分析之前对端侧智能以及端侧智能体的概念内涵和技术实现路径进行简要梳理,以确保后续讨论建立在相对清晰的基础之上。
(一)端侧智能和端侧智能体的概念边界
随着人工智能部署的重心由云端向终端延伸,与在终端设备上运行人工智能相关的概念也日趋多元。相关表述主要包括边缘智能(edge intelligence)、端侧大型语言模型(on-device LLMs)、泛在智能(ubiquitous intelligence)等。这些概念分别聚焦云边端协同架构、特定模型形态以及分布式智能环境等维度,虽各具解释力,但均难以精确对应智能体在终端运行这一特定现象。具体而言,边缘智能可被视为一种基于“端—边—云”协同的人工智能计算与部署范式,其核心在于将部分训练、推理和数据处理任务由云端分散至更接近数据源的边缘,以实现更优的响应效率与资源配置。因此,其涵盖范围并不限于用户终端,还包括边缘服务器、接入节点等中间基础设施。端侧语言模型则主要指大型语言模型在资源受限设备上的本地部署、推理与优化运行。这一概念揭示了当前生成式人工智能向终端迁移的重要趋势,尤其反映出压缩、量化、蒸馏、硬件加速以及端云协同等技术路径在终端场景中的现实意义。但需注意的是,其仍然以大型语言模型为基础技术路线,所能涵盖的对象主要是文本、多模态生成及相关交互能力,尚不足以完整概括终端设备上同时存在的视觉识别、传感决策、控制执行等更为广泛的智能形态。泛在智能则更多指向智能能力在设备、网络与环境中的广泛嵌入和协同运行。其理论背景与物联网、普适计算与分布式智能系统的整体愿景更为接近。相较于边缘智能与端侧语言模型,泛在智能的外延更广,能够广泛涵盖从终端感知、网络协同到环境响应的多层级智能结构。然而,也正因为其指称对象较为宏阔,难以精确表征本文的研究对象。
有鉴于此,本文将端侧智能理解为人工智能能力向用户终端下沉部署的技术范式,将端侧智能体界定为依托这一范式自主规划并执行任务的智能系统。具体而言,端侧智能(on-device intelligence),是指将数据处理、模型推理、学习适应以及决策生成等人工智能核心计算任务,直接在智能手机、可穿戴设备等用户终端设备部署的一种技术范式与集成能力。与云端集中式架构有所不同,端侧智能强调将推理与计算迁移至终端设备,从而降低延迟、减少消耗并具有增强数据隐私保护的技术可能。本文所称端侧智能体(on-device or personal agents),则是指部署在智能手机、可穿戴设备等用户终端,深度集成个人数据与设备环境,在本地或端云协同环境中完成情境感知、模型推理、任务规划、工具调用与行动执行的人工智能系统。其强调在终端环境中形成面向用户任务的连续感知、主动决策与跨应用执行能力。换言之,端侧智能主要表征人工智能能力在何处运行,端侧智能体则进一步指向该能力如何围绕用户任务被组织、调用并转化为具体行动。正是在这一意义上,端侧智能构成端侧智能体的技术基础,而端侧智能体则构成本文后续风险识别与制度回应的核心对象。
(二)端侧智能体的技术实现路径
端侧智能体是在端侧模型基础上进一步构建的系统级智能形态。其以端侧模型为本地能力底座、以云端模型为弹性补充,依托本地系统、应用接口、工具调用与专用硬件的协同支撑,将情境感知、模型推理、任务规划与行动执行整合为面向用户任务的连续流程。其技术实现主要依赖于以下三个层面的协同演进。
其一,面向端侧部署的模型适配与能力压缩技术。端侧智能体首先需要解决基础模型能力与终端设备资源约束之间的张力。智能手机、个人电脑、可穿戴设备等终端设备在算力、内存、存储和能耗方面均受到物理条件限制,难以直接承载云端大模型的完整运行。相应的技术优化路径主要有两类。一类是对基础模型进行压缩改造,通过量化、剪枝、知识蒸馏等方式,在性能损失可控的前提下压缩模型体积、降低计算量和内存占用。另一类则是围绕端侧部署场景进行原生轻量化设计,构建更紧凑、更高效、更具硬件友好性的模型架构,提高模型在终端环境中的部署适应性。
其二,面向任务执行的智能体架构与系统编排技术。与一般端侧智能主要关注模型能否在终端完成感知、推理等单点功能不同,端侧智能体的关键在于将模型能力进一步组织为可执行的任务流程。为实现这一点,端侧智能体通常需要引入上下文管理、长短期记忆、任务规划与分解、工具调用等机制,使其能够根据用户指令或场景触发,将需求转化为具体的操作步骤。例如,在智能手机场景中,端侧智能体可能需要读取屏幕内容、传感器数据、日程信息、通信记录,并调用地图服务和支付工具,在多个应用和系统资源之间完成连续操作。
其三,面向端侧运行的推理优化与硬件加速技术。端侧智能体要在终端实现稳定、低延迟和低功耗运行,还需要系统部署与底层硬件的支撑。在系统层面,推理引擎优化、内存与缓存管理、端云协同推理等技术,有助于提升推理效率、降低时延和功耗,并在不同任务负载下实现终端资源的动态分配。而在硬件层面,以神经网络处理器为代表的专用加速架构,通过针对神经网络计算特征进行优化设计,在能效比与访存效率方面相较通用处理器有显著优势,从而为复杂模型在终端设备上的落地提供了关键硬件支撑。
03
端侧智能体的治理挑战——以AI手机为例
端侧智能体的蓬勃兴起标志着人工智能实现了从内容生成向行动执行的重大跨越,引发了人机互动方式与产业格局的重构,并进而对既有治理框架所依赖的可见性、稳定性与可控性前提带来一系列深层挑战。有鉴于此,有必要从智能体部署于端侧的技术架构出发,对其风险生成机制加以分层拆解。下文以AI手机为典型场景,从数据层、模型层、应用层系统梳理核心风险及其对现有治理框架带来的冲击和挑战。
(一)数据层的治理风险
在数据层,用户的个性化需求与个人信息保护最小必要原则存在张力,进而导致传统个人信息保护工具的有效性受到挑战。个人信息处理的最小必要原则作为限制个人信息收集和处理范围的共识性规范,其规范目的在于以处理目的明确性为基础,将个人信息的收集、使用与存储限定于实现特定目的之必要范围,避免信息处理活动过度扩张,侵蚀信息主体的人格自主空间。欧盟《通用数据保护条例》第5条第1款c项将数据最小化确立为数据处理的基本原则;《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)亦明确个人信息处理应当遵循合法、正当、必要和诚信原则,并应当与处理目的直接相关,采取对个人权益影响最小的方式。二者虽在语义表述与条款结构上存在差异,但规范内核与价值功能趋同。其规范逻辑在于,数字技术的商业化应用具有持续扩展个人信息收集范围的内在激励,若不加约束,个人信息处理活动将过度扩张,侵蚀信息主体的自主空间,并在后续环节中累积数据泄露与不当利用风险。因此,该原则要求以明确的处理目的为基点,将个人信息的收集和处理限缩于实现该目的所必需的最小范围之内。然而,端侧智能体的技术架构与运行逻辑,分别从信息收集与使用层面对最小必要原则构成挑战。
在信息收集方面,端侧智能体的全域感知逻辑与最小必要原则所内蕴的边界限缩逻辑存在冲突。端侧智能体常以提供个性化智能助理服务为愿景,其技术实现依赖于对用户数据的持续、全域采集,并通过本地微调或个性化记忆机制实现对用户需求的精准预判与即时响应。以AI手机为例,其通过内置传感器、系统接口与应用数据,以后台常驻的方式实现主动、连续且无感化的数据采集,涵盖生物特征、行为模式、环境感知、社交关系等多维数据。这一采集模式使得数据收集的范围不再限定于某一特定、有限的功能和目的,而是围绕成为全能助理这一开放性目标所驱动。故而当处理目的被界定为预判用户潜在需求并提供实时的个性化服务时,所有与用户偏好和情境相关的数据都可能被纳入相关性范畴,最小必要原则赖以运作的直接相关性要求面临挑战。
在信息使用方面,端侧智能体的本地化运行消解了信息收集与使用之间的环节区分,对最小必要原则的可操作性前提带来冲击。传统架构下,信息收集、存储与使用是可区分的环节,最小必要原则可在每一环节分别被适用,并加以追溯和监督。但端侧智能体的本地化运行打破了这一规制逻辑。一方面,本地化微调使得个人数据开始参与模型参数的优化与更新,数据由此沉淀于模型之中,构成数据与模型的深度耦合。另一方面,本地推理对用户上下文数据的持续调用,使信息使用从可识别的处理行为转变为伴随推理过程的连续状态,难以按照收集与使用环节加以区分和追溯。由此,以直接相关、最低频率和最小数量为核心的个人信息保护原则在面对持续学习型智能系统时面临挑战。
(二)模型层的治理风险
在模型层,端侧部署伴随的轻量化、本地化与个性化特征,不仅削弱了在原始模型上建立的安全对齐效果,还模糊了模型参数与个人信息之间的规制边界。首先,端侧部署弱化了模型安全对齐的可靠性。从技术机理来看,原生小参数量模型受制于有限的模型容量与计算资源,任务能力与安全约束之间存在参数竞争的难题。安全对齐机制作为训练阶段的高层次能力,对参数精度和模型容量变化尤为敏感。模型压缩所造成的性能损耗往往不成比例地体现于安全维度。因此,端侧场景下的小参数量模型通常面临更严峻的安全对齐挑战。此外,端侧部署本地微调的过程亦可能削弱安全对齐能力。近期针对开源和闭源对齐模型的实证研究表明,即便仅使用少量训练样本对已对齐模型进行下游微调,也可削弱其拒绝有害请求的能力,导致攻击成功率与有害输出概率大幅上升。因此,端侧模型的真正风险,不仅源于模型压缩导致的安全能力弱化,还源于其在终端设备本地适配过程中对初始安全基线的偏离,这使得出厂阶段围绕基础模型建立的安全评测结果难以外推适用于端侧模型。
其次,模型参数对训练数据的隐性记忆模糊了模型与数据之间的传统分立。传统隐私保护立足于数据实体,依托数据收集、处理、存储以及传输等独立环节渐次展开。而模型参数中可能承载可被还原的个人信息。正因如此,欧洲数据保护委员会提出,使用个人数据训练的人工智能模型不能一概被视为匿名,是否匿名应由主管监管机构考虑所有合理的可能被使用的手段之后加以逐案评估。相关研究亦已表明,日益成熟的模型反演与成员推断攻击可以在一定条件下从模型中还原训练样本特征或推断敏感个人信息。尤其在端侧场景下,模型权重直接部署于终端设备本地,使其相较于仅经接口暴露的云端模型更易被攻击者获取,由此带来更为突出的隐私威胁。
最后,端侧智能体的本地运行与持续演化,正在冲击静态审查与问责机制。既有的模型治理建立在单一主体问责的框架之上,即模型在上线前后具有相对稳定的版本边界、统一的行为模式以及可由开发者或监管者直接观察的运行环境,因而可以通过模型备案、安全评估、日志留存与事后核查实现较为完整的合规判断。然而,端侧模型深嵌于海量的异构终端设备之中,无论是监管机构还是基础模型提供方,均难以保障对模型运行的实时可见性与完整控制力。这意味着模型的风险属性不再固定于出厂时点,而是在本地推理、微调与更新过程中持续生成。换言之,模型的设计、部署与使用并非相互独立的阶段,而可被视为一个多方协同形成的连续过程,在这期间,任何一个主体均不拥有完整的控制权。加之基础模型研发方、智能体平台或编排系统提供者、终端系统设备商与用户等多主体共同参与复杂的生态网络,一旦产生安全风险,因果关系的认定和溯源将变得异常复杂。这种由“多手问题”引发的责任弥散现象对既有问责框架构成日益严峻的挑战。
(三)应用层的治理风险
在应用层,端侧智能体具备调度资源与跨应用执行的能力,由此推动风险从线上向线下转移,并极大地增加了治理的紧迫性和复杂度。首先,端侧智能体的情境感知与主动服务能力通常以对终端系统环境的深度接入和跨应用协同为前提,这一架构上的变化使得对终端数据的访问超越了单次、单应用的范围,扩展为对用户数字活动的跨应用持续观测,终端安全风险亦随之增加。为实现高度即时的个性化体验,端侧智能体需要对用户屏幕内容、操作意图和上下文环境进行持续感知与分析,相应的系统接入与跨应用交互能力因而成为其关键技术底座。这一风险逻辑已在相关产品实践中初步显现。微软Recall功能虽非完整意义上的端侧智能体,却已展示出系统级屏幕感知、本地快照留存与跨应用统一检索可能带来的风险样态。该功能通过周期性屏幕快照与本地语义索引,将用户活动转化为可统一检索的本地记录,由此可能削弱传统应用隔离所形成的安全边界。一旦相关索引或快照遭到非法访问,攻击者可能集中获取用户跨应用、跨场景的行为线索,从而放大数据安全风险。更值得关注的是,系统权限扩展所带来的影响还将超越数据获取层面。当端侧智能体凭借系统级权限运行时,其行为空间从信息读取扩展至跨应用调度资源、发起通信、修改设置乃至完成交易等关键操作,而这些有可能在用户概括性授权下由智能体自主触发并执行。换言之,人工智能的风险形态正在从此前集中于信息生成与处理环节的内容风险扩展为智能体直接作用于外部环境的行为风险。
其次,在协议层面,MCP(Model Context Protocol)与A2A(Agent-to-Agent)等互操作协议的引入增加了风险生成与责任归属的复杂度。MCP是一项开放协议,旨在为应用与外部工具及数据源之间的连接方式提供统一标准。在该协议下,外部工具及数据源通过标准化接口呈现其可调用能力,供人工智能应用或者智能体识别并按需调用。A2A则是面向智能体间互联的开放协议。其通过智能体卡片载明智能体的身份与能力、交互方式与认证要求,为智能体之间动态发现、身份校验和任务协作提供基础。简言之,MCP规范的是智能体与外部工具及数据源之间的纵向连接,即智能体能调用什么;A2A规范的则是智能体与智能体之间的横向协作,即智能体之间如何分工与协同。二者共同构成多智能体系统的协议基础设施,不仅决定了智能体的能力边界,也塑造了风险传导路径。
其一,协同执行架构使得责任主体的识别与归属日趋困难。在多智能体与多组件协同架构下,参与主体与技术节点众多,任务规划、工具调用、协议连接和结果反馈分散于不同环节,执行链条因而难以清晰还原。某一损害后果究竟是源于主智能体的任务编排失误、子智能体的执行偏差、工具接口的数据错误,还是协议层的状态传递故障,往往难以精确归因。既有的治理架构是以可识别的行为主体所实施的具体行为为调整对象,当其面对多智能体协同的分布式执行架构时,可能遭遇实效性挑战。这一问题在基于MCP的工具协同体系中已有现实显现。据报道,Anthropic官方维护的Git MCP服务器被披露存在三项安全漏洞,分别涉及路径校验缺陷、参数注入漏洞以及路径限制失效等问题。当相关漏洞与MCP生态中的其他服务端程序组合运行时,还可能经由间接提示注入被链式利用,进一步触发任意文件篡改乃至远程代码执行。其治理启示在于,智能体系统的安全风险并不总是源于某一模型、工具或主体的独立过错,而可能在工具调用、上下文读取和协议连接的组合过程中被放大。由此,面对多组件协同运行所生成的复合风险,既有的以主体可识别、行为可归因、因果链条相对清晰为基本预设的归责框架,将面临适用困境。
其二,多智能体协同架构的风险级联效应削弱了既有治理手段的事前预防与事后归责能力。在单体智能系统中,模型幻觉、推理偏差或信息失准所产生的不可靠输出,尚可通过输出校验、安全护栏以及必要的人工复核等方式加以识别和控制。多智能体协同架构则削弱了其适用的有效性。不可靠输出可能在不同智能体之间被逐级接收、加工和执行,治理对象也由单一输出结果扩展为动态任务链条。因此,既有的以单点输出控制为中心的治理手段难以及时阻断风险的传导。此种传导主要表现于信息可靠性与权限边界两个层面。
在信息层面,当上游智能体的输出经由协议层传递至下游时,接收方通常将其作为可信输入纳入推理上下文。每一层级的传递都隐含着一次新的信任承接。下游智能体往往既缺乏独立校验上游输出可靠性的技术手段,也缺乏判断该输出究竟是来自可靠的外部工具还是上游推理中幻觉的识别依据。由此,上游输出中的偏差不但未在传递中被过滤,反而在被后续环节的反复引用和依赖中被赋予了虚假的可信度。更值得关注的是,智能体能够将信息偏差直接转化为一连串工具调用、跨应用任务执行乃至现实世界中的物理操作。一旦存在偏误的输入进入自动执行链条,信息层面的局部偏差便可能触发不可逆的资源调度或交易行为。
在权限层面,基于A2A协议构建的多智能体系统可以支持多层嵌套的任务委托,智能体在执行过程中可调用新的智能体或工具,后者亦可继续向下委托,形成代理链条。在权限约束和授权追溯机制不足的情况下,用户在初始环节授予的有限权限可能在逐层传递中被隐性扩展,导致链条末端实际行使的权限范围逐步偏离用户的原始授权范围。
由此可见,无论是信息可靠性的逐级衰减还是权限边界的渐进扩张,二者指向同一治理困境,即多智能体协同链条中的每一个节点即便在单点视角下分别处于形式合规状态,链条的整体行为也可能已偏离人类的原始预期与授权。面对此种链条性偏离风险,现行以单一主体合规为基础的治理框架尚缺乏有效的管控手段。
04
端侧智能体治理的分层调适路径
2026年5月8日,国家网信办、国家发展改革委、工业和信息化部联合印发的《智能体规范应用与创新发展实施意见》强调统筹发展和安全、积极稳妥推动规范应用,并提出构建分类分级治理框架,为端侧智能体治理提供了重要政策指引。在此背景下,制度回应应坚持包容审慎与分层调适的理念,既要避免因监管过度而抑制创新,亦不能简单照搬以云端服务、单一应用和静态合规为基础的既有治理路径。基于前文所揭示的数据层、模型层与应用层风险,本文拟从最小必要原则的精细化适配、模型动态评估与协同治理、智能体行动能力的分级授权与过程控制三个方面,提出面向端侧智能体的治理调适方案。
(一)最小必要原则判断基准的场景化调适
在数据层,治理方案首先需要回应的是最小必要原则在端侧场景中的适用基准问题。如前文所述,端侧智能体运行时的全域感知逻辑与最小必要原则所蕴含的边界限缩逻辑之间存在张力。我国个人信息保护法第6条所确立的最小必要原则虽明确了处理目的应当明确合理,处理方式应当与处理目的直接相关,并采取对个人权益影响最小的方式等基本要求,但其在不同技术场景中的具体适用方式仍应随着个人信息处理活动的组织方式加以调适。为此,需要先回到我国最小必要原则的既有治理实践。在围绕移动应用构建的治理实践中,我国最小必要原则的制度化展开可归结为以“业务功能”为基本单元。业务功能是该原则落地执行的核心参照,通过建立业务功能与必要个人信息之间的对照关系,防范以抽象、开放的目的扩张个人信息处理范围。地图导航、即时通信、网络支付等服务通常可被预先拆解为相对稳定的功能模块,每一模块对应大体明确的必要信息边界。然而,端侧智能体的运行机理正在改变这一前提。端侧智能体的运行围绕用户任务而非单一业务功能展开,且任务执行往往跨应用、跨场景、跨权限连续进行。例如,一次安排出行的任务,可能依次调用日程、地图、支付和即时通信功能。在此模式下,单一业务功能已难以构成完整的合规判断单元,个人信息处理往往在多个功能模块之间交织进行。因此,最小必要原则的规范意义并未因端侧智能体的出现而失去价值,只是基于传统业务功能的规则设计已难以适应其跨域运行形态。为此,最小必要原则在端侧智能体场景中的适用,应当在既有业务功能判断的基础上引入具体任务这一基础维度。近期智能体安全研究中提出的任务范围授权思路可为这一制度调整提供技术参照。其通过将用户以自然语言表达的任务转化为具体、可验证的操作范围,使授权仅覆盖忠实完成该任务所需的必备操作,从而避免智能体在执行任务过程中形成过度授权。技术层面的应对逻辑对智能体数据治理同样具有启示意义。当智能体运行从固定功能调用转向动态任务执行时,个人信息处理的必要性判断也应由业务功能层面的需要与否,细化为具体任务层面是否需要。
如果这一逻辑是成立的,可以在执行层面据此形成基于业务功能和基于具体任务的双层判断路径。其中,基于业务功能的判断继续适用于服务边界相对稳定、功能模块可被预先识别的传统场景。而基于具体任务的判断则适用于端侧智能体跨应用、跨场景、跨权限的动态任务执行场景。这一判断在制度设计层面应受到三项核心原则的约束。其一,任务应当经由用户主动激活,既可以是用户即时发出的明确指令,也可以是用户事先设定、边界清晰且可随时撤回的持续性安排。端侧智能体服务提供者不得以全能助理、持续学习、主动服务等概括表述将无明示授权的后台感知与持续处理解释为已获得任务授权。此类概括表述可作为产品愿景出现于宣传或服务条款中,但不能替代具体任务激活时的目的、权限与数据范围的明确界定。其二,任务边界应以理性用户在激活该任务时能够合理预期的信息处理范围为基准,既不能由端侧智能体服务提供者在事后弹性扩张,亦不宜完全取决于用户个体的主观理解。所谓合理预期,此处应作规范意义上的理解,即遵循公平和诚信原则,考察用户基于任务性质、交互提示、授权界面和通常使用情境本应能够形成的预期,而非用户事实上持有的认知。否则,只要用户点击同意,即推定其已概括知悉并接受全部处理活动,任务边界的限制将沦为形式。与之相应,告知机制亦需从传统产品上架时的一揽子隐私政策向任务激活时点的动态分层告知作出适配性调整。在告知方式上,应根据信息种类、处理风险等级与具体场景,分层采用提示链接、弹窗等不同强度的告知形式。告知是否有效,不仅取决于内容是否完整,亦取决于呈现方式是否恰当。在告知内容上,亦不应仅停留于采集了哪些数据,还应向采集后可能产生何种风险等影响层面适当延伸。端侧智能体场景下,数据在端、云与第三方应用之间频繁流转,处理主体涵盖终端厂商、应用开发者与云服务提供者等,服务提供者与用户之间的信息落差被显著放大。因此,仅罗列被采集的数据类型已不足以使用户判断数据流向何处、由谁处理,自然也无从把握授权的实际后果。告知内容向风险后果的适当延伸,正是为了在任务激活时点为用户提供充分的认知基础。其三,任务的授权期限不应超过完成该任务所需的合理必要时间。端侧智能体的运行以任务为单元展开,任务复杂程度不一,传统应用中的以权限为单位、一经授予持续有效的授权模式难以直接适用。因此,端侧智能体服务提供者不得以任务尚未结束、持续优化体验等弹性表述将授权期限延伸至与原处理目的不再相关的时段。确有继续使用必要的,应当重新确定处理目的并根据我国个人信息保护法第14条第2款重新取得用户同意。由此,端侧场景下应以任务的实际完成节点作为判断同意期限的客观依据。
此外,如前文所述,当用户数据经由本地微调融入模型权重时,个人信息便可能从外在处理对象转化为模型能力的一部分,进而引发数据进入模型后的规则适用问题。鉴于端侧智能体的业态尚未成熟,可先通过标准、指南等软法形式建立模型权重对个人信息保护影响的逐案评估机制,重点考察在可合理预见情形下,个人数据是否仍可能从模型参数中被提取或在输出中再现。模型开发者应通过自评估报告对权重匿名性作出系统性说明与承诺,若评估表明可被反向提取或再现可识别个人信息时,可据此认定其构成《个人信息保护法》第4条意义上的个人信息,并相应触发模型开发者和端侧智能体服务提供者的合规义务。
(二)模型动态评估机制与价值链协同治理的构建
在模型层,治理方案的优化需重点回应两个问题。其一,基础模型完成端侧适配后,其行为边界会发生动态变化,如何将这种持续变动与现有备案、安全评估制度的适用时点有效衔接?其二,基础模型提供者、终端厂商与应用开发者分处产业价值链不同环节,如何通过科学的制度设计实现多方治理协同、形成治理合力?在展开具体对策之前,有必要先系统梳理我国既有的制度供给。在备案与安全评估层面,《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》与《生成式人工智能服务管理暂行办法》已初步确立备案、变更备案与注销备案的程序框架。早在2018年,《具有舆论属性或者社会动员能力的互联网信息服务安全评估规定》第3条即已规定,使用新技术新应用致使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,或用户规模显著增长,导致舆论属性、社会动员能力发生重大变化的情形,须再次开展安全评估。这些规则为端侧模型在压缩、量化、本地微调、版本更新后的重新评估问题提供了可资延展的制度基础。在价值链协同治理层面,《网络数据安全管理条例》第40条要求网络平台服务提供者通过平台规则或合同明确第三方产品和服务提供者的数据安全义务并督促其履行,该规则同样适用于预装应用程序的智能终端等设备生产者。而在标准层面,《网络安全技术 生成式人工智能服务安全基本要求》针对端侧模型服务的安全模块、模型更新机制与漏洞修复机制作出了专门安排,是现阶段针对端侧场景最具针对性的技术标准。尽管该标准已具针对性,在适配端侧智能体场景上仍存在规制局限:一是规制范畴仍以生成式人工智能服务及内容安全为核心,未有效涵盖端侧智能体工具调用、跨应用协同、权限传递等环节的特有风险;二是规制重心仍囿于生成内容管控,难以充分回应端侧模型经本地微调、个性化适配后产生的新型安全风险。据此,现有制度框架可针对端侧场景从以下两方面进一步细化完善:一是模型治理重心向全生命周期延展。端侧模型治理不应局限于部署上线的单一节点,而需延伸覆盖模型在用户终端运行的完整生命周期。现行规范中关于重大变更触发再评估与变更备案的认定相关规则,尚缺乏针对端侧场景的具体化标准。端侧模型经压缩、量化及本地微调后,其行为边界相较于原始基线可能产生偏移,而这一变化是否构成应当触发变更备案或再评估的情形,尚难以获得明确判断。因此,可发挥标准的先导治理功能,在《网络安全技术 生成式人工智能服务安全基本要求》后续修订或配套实施指南中,结合端侧模型实质性偏离基础模型行为基线的核心表征,建立适配端侧场景动态评估与备案的细化规则。二是细化价值链协同治理规则。在端侧智能体生态中,基础模型提供者、终端厂商与应用开发者的责任配置,应与其在模型供给、适配和部署中的实际控制能力相匹配。从我国的产业实践看,端侧模型供给主要存在两类模式:一种是垂直整合型,即同一主体同时承担基础模型研发、终端硬件与操作系统供给,模型压缩、本地微调和端侧部署等主要在其内部完成。此时,价值链协同治理的问题可在主体内部转化为统一合规管理,既有的面向服务提供者构建的治理框架仍可适用。另一种是分立混合型,即基础模型由独立供应方研发,终端厂商通过集成、压缩、微调或硬件协同设计等方式向用户提供端侧服务。《网络数据安全管理条例》第40条、第41条虽已对预装应用程序的智能终端等设备生产者规定了相关义务,但其以第三方应用具有相对独立、可分离的产品属性为制度前提。然而,终端厂商对外接基础模型进行压缩、本地微调或系统级集成时,其角色已超出预装者或分发者范畴,实质上获得了塑造模型行为边界的能力。前述规则在此类情形下适用受限。对此,欧盟《人工智能法》第25条关于分销商、部署者等下游主体以自己的名称或商标用于已投放市场或投入使用的高风险人工智能系统;对已投放市场或投入使用的高风险系统作出实质性修改且其仍属于高风险系统;以及修改尚未被列为高风险人工智能系统的预期用途,致其成为高风险系统时将被视为高风险人工智能系统提供者的规则具有一定参考意义。其制度逻辑在于,提供者身份的认定不应仅取决于该主体在产业链中的位置,而应考察其是否实际改变了系统的行为边界与风险状态。据此,可从两个方面完善端侧模型价值链协同治理规则。一方面,以终端厂商的修改是否致使模型实质性偏离原始行为基线等为标准,明确其应承担安全评估、变更备案或相应合规义务的情形,将对模型行为具有实质影响的中游环节纳入治理链条;另一方面,为弥补上游模型供给与下游端侧部署之间的治理衔接缺位,可考虑要求基础模型供应方在向终端厂商分发模型时,附随提供已知风险信息、安全配置说明以及压缩、量化、微调等下游修改的安全建议,使上游模型供给与下游端侧部署之间形成可追溯的责任配置机制。
(三)行动能力分级与过程控制机制的构建
应用层治理的重心,应由传统应用程序以权限和功能边界为中心的授权治理,转向围绕智能体行动能力展开的过程控制。前文所揭示的应用层风险形态各异,其底层逻辑可归结为三个相互关联的归责困境。一是时间维度。智能体在任务执行过程中连续作出动态决策,超出了人类实时介入的能力边界,由此产生责任鸿沟。二是主体维度。端侧智能体的归责涉及智能体、外部工具、第三方应用与人类用户之间的多重交互,行为决策与执行控制分散于不同主体与技术节点之间,加剧责任主体识别与边界划分的困境。三是知识维度。智能体的推理与决策过程具有不透明性与非确定性,损害发生后往往难以清晰溯源。例如,当推理链被劫持或上下文投毒时,由于被注入的恶意内容多以自然语言形式呈现,与正常推理难以区分,错误的传导路径往往难以被及时感知和清晰溯源。三个维度的归责困境要求应用层治理在制度安排上作针对性的精细化回应。相应规则可循以下三个方向展开:
其一,建立基于行为后果的差异化分级机制。应对时间性挑战的核心,在于为人类干预创设可识别、可介入的时间节点,避免智能体在持续推进任务的过程中超出用户的控制范围。对此,宜依据行为后果的性质、可逆性与影响程度对智能体的行动能力和决策类型作出类型化区分。一是辅助性行为,即对于不直接改变外部法律或事实状态的内部处理与信息呈现行为,可允许智能体在用户可知晓、可撤回、可干预的预设边界内自主完成。二是执行性行为,即产生外部效果但具备一定可逆性的资源调度与系统操作,应以具体任务的单次明确授权为前提。三是关键决策事项,即可能直接影响用户人身、财产或法律关系,或改变其经济地位、社会地位等重大权益,且后果难以救济或者难以逆转的决策事项。对于此类事项,端侧智能体不应在用户的概括性授权下自主完成相关操作,而应于执行前暂停流程、向用户作出显著告知并取得即时确认。这一分级以行为后果为依据,使智能体的行动权限与潜在损害程度相匹配,并确保具有重大法律后果或者其他显著影响的关键性决策纳入“人在回路”机制。
其二,构建身份标识与最小权限传递规则。应对主体性困境的核心,在于为协同链条上的多元主体确立可识别的身份属性,并对其权限传递加以管控。《智能体规范应用与创新发展实施意见》提出探索建立智能体注册平台,提供智能体数字身份管理、检索发现、能力声明等服务,并研究智能体身份标识、可信互联等基础技术,为智能体身份标识制度的本土化建构提供了政策依据。基于此,应推动建立智能体身份标识与权限验证机制,为智能体配置可识别、可验证、可追踪的数字身份,并将权限验证、状态校验、能力声明等关键合规节点与身份标识相绑定,使协同链条上的主体识别从事后追溯前移至任务执行前与执行过程之中。 在身份标识基础上,还应建立最小权限传递规则。《智能体规范应用与创新发展实施意见》第6条明确了决策权限的核心治理方向,为权限传递控制提供了政策基础。针对多智能体协同的递归委托困境,主智能体向子智能体或外部工具委托任务时,不应将其从用户处获得的权限概括传递给下游节点,而应将权限限定于完成具体子任务所必要的范围。下游节点如需访问新的数据、调用新的工具或实施更高风险行为,应重新获得用户确认或通过权限校验。由此,用户授权在智能体执行链条中应以最小化方式传递并全程处于受控状态,从而避免权限边界在逐层委托中发生隐性扩张。
其三,探索行为追溯与内部校验机制。应对知识性困境的重点,在于通过制度构建提升智能体行为过程的可见性,从而为事后追责和救济提供制度基础。为此,需要从两个方向作出制度构建。一是确立智能体行为记录义务,应按照实际控制能力,对智能体编排者、终端设备商、工具接口提供者等关键控制主体差异化配置记录义务,使其对控制范围内的权限调用、任务委托和工具交互依法记录,并在必要期限内留存。与之相配,未来还应进一步探索与产业发展相适宜的记录义务举证规则,通过将记录义务转化为程序层面的举证责任,使端侧智能体的行为不可见性不再成为事后救济的障碍。二是构建协同链条上的可靠性校验与注意义务标准。前文提及的多智能体协同场景下的虚假可信度问题,往往与上游信息来源不明、工具返回结果缺乏标注、下游智能体未经核验即继续执行等因素有关。对此,应根据各节点的实际控制能力与功能分工,差异化配置合理注意义务。负责任务编排和结果整合的主体,应对影响后续执行的关键信息承担较高的核验义务。承担具体执行功能的主体,则应在其能力范围内保障输出的基本可靠性,并对异常或高风险情形提供必要提示。通过在协同链条中嵌入必要的校验、回退与人工介入机制,从而避免局部偏差被连续传递并放大为整体风险。
05
结语
随着智能体技术的兴起,人工智能正从以内容生成为核心的辅助工具,转向能够直接参与任务规划、资源调度和行动执行的智能系统。人工智能亦由此从部署于远程云端的通用服务接口,演化为嵌入用户终端、代为执行任务的个人智能助手。然而,技术红利并不当然导向治理层面的安全可控。端侧部署与自主行动两种技术逻辑的叠加,在终端环境中形成动态演化的风险链条。对此,制度回应不应急于另起炉灶,而需要立足技术与产业现实,对既有的人工智能治理框架作精细化调适。在数据层,推动最小必要原则从单一业务功能判断转向业务功能与具体任务相结合的双层基准。在模型层,围绕模型全生命周期建立面向端侧部署的动态评估机制,并依据价值链结构细化协同治理规则。在应用层,构建分级分类的动态授权与过程控制机制,确保智能体行动能力的安全可控。展望未来,端侧智能体仅是智能体技术深度嵌入社会运行的初始形态。随着其在更广泛场景中的持续部署,法律层面关于主体资格、行为能力与责任归属的基本设定亦将受到系统性冲击,而端侧智能体治理正是回应这一变革的关键起点。