律師談AI向用戶發(fā)送陌生人簡(jiǎn)歷 隱私泄露引爭(zhēng)議！4月20日，用戶張先生（化名）發(fā)帖稱，他在使用人工智能應(yīng)用Kimi翻譯PPT目錄時(shí)，意外收到了陌生人鐘先生的真實(shí)簡(jiǎn)歷，引發(fā)了對(duì)AI泄露隱私的擔(dān)憂。

事發(fā)后，有自稱工作人員的人向張先生解釋此次事件“是AI出現(xiàn)幻覺(jué)所致”。但多位人工智能行業(yè)人士表示，AI幻覺(jué)或并不足以解釋此次事故的成因。記者向Kimi母公司月之暗面發(fā)去采訪提綱，截至發(fā)稿并未得到回復(fù)。該公司也未公開(kāi)回應(yīng)這一事件。知情人士稱，該事件是一個(gè)極小概率事件，系技術(shù)引用錯(cuò)誤所致，月之暗面公司在事發(fā)后已進(jìn)行了修復(fù)。

遭泄露簡(jiǎn)歷的鐘先生稱，目前他已委托律師維權(quán)。廣東國(guó)鼎（深圳）律師事務(wù)所主任廖建勛律師表示，此次泄露的是鐘先生的真實(shí)個(gè)人信息，并非AI虛構(gòu)內(nèi)容，本質(zhì)上是月之暗面公司在數(shù)據(jù)隔離、會(huì)話管理等工程化鏈路方面存在疏漏，并非真正的“AI幻覺(jué)”。針對(duì)此次隱私泄露事件，“AI幻覺(jué)”不能作為月之暗面公司的免責(zé)理由。

張先生從事互聯(lián)網(wǎng)廣告工作，日常會(huì)高頻使用多款A(yù)I大模型工具。他發(fā)布的多張使用截圖顯示，4月20日17時(shí)，他向Kimi上傳了一張PPT目錄的圖片，讓其翻譯圖上僅有的三行英文。對(duì)應(yīng)的中文翻譯本應(yīng)該為：2025年“618”市場(chǎng)與平臺(tái)趨勢(shì)、頭部玩家表現(xiàn)與經(jīng)驗(yàn)、后續(xù)“雙11”的籌備規(guī)劃。但Kimi卻給出了與原文無(wú)關(guān)的技術(shù)內(nèi)容，稱張先生上傳的圖片是關(guān)于減振技術(shù)。發(fā)現(xiàn)回復(fù)錯(cuò)誤后，張先生在對(duì)話中嘗試糾正錯(cuò)誤，這時(shí)Kimi稱張先生上傳的圖片是一份中文簡(jiǎn)歷。隨后，Kimi發(fā)來(lái)了一份陌生人的個(gè)人簡(jiǎn)歷，包含了姓名、電話、郵箱、求職者完整的工作經(jīng)歷、項(xiàng)目經(jīng)歷、核心業(yè)績(jī)等信息，張先生對(duì)這些信息進(jìn)行了交叉查證，發(fā)現(xiàn)并非虛構(gòu)。

出于對(duì)自身隱私安全的擔(dān)憂，4月20日18時(shí)許，張先生向官方郵箱上報(bào)了這一事件，并向網(wǎng)信部門(mén)進(jìn)行了舉報(bào)。因?yàn)闊o(wú)法再信任這一產(chǎn)品，張先生也在郵件中申請(qǐng)了退款。之后出于好奇，張先生撥打了簡(jiǎn)歷上的電話，得到了“真人”的接聽(tīng)。和電話那頭的鐘先生核對(duì)后，兩人確認(rèn)，簡(jiǎn)歷中所有的信息都能和“真人”對(duì)上。鐘先生介紹，他在事發(fā)當(dāng)天上午向Kimi發(fā)送了自己的簡(jiǎn)歷文件，讓大模型幫忙潤(rùn)色。

4月20日晚，張先生將上述經(jīng)歷發(fā)布到了社交媒體上，引發(fā)關(guān)注。他表示此后，自稱Kimi官方的人多次通過(guò)不同渠道聯(lián)系他，“一開(kāi)始說(shuō)這是圖片發(fā)送失敗導(dǎo)致的模型幻覺(jué)行為，非‘串臺(tái)’或信息泄露”。鐘先生也接到了自稱是Kimi產(chǎn)品經(jīng)理的電話。4月21日，張先生再次接到了自稱是Kimi官方的人電話，并和他口頭表示是“發(fā)串了，將別人的回復(fù)發(fā)給了他”。張先生稱，事發(fā)后他的Kimi年費(fèi)會(huì)員已經(jīng)退款，“自身已沒(méi)有其他訴求”，自稱是Kimi官方工作人員的人，多次在溝通中希望他刪除發(fā)布在社交媒體上的內(nèi)容，但因?yàn)镵imi官方在事發(fā)后一直未公開(kāi)發(fā)布聲明承認(rèn)問(wèn)題并整改，他拒絕刪除。

多位人工智能行業(yè)人士表示，從公開(kāi)信息來(lái)看，這一事件中錯(cuò)發(fā)的信息是真實(shí)有效的，不屬于典型意義上的“AI幻覺(jué)”，更多屬于數(shù)據(jù)隔離失效、會(huì)話管理不當(dāng)或越權(quán)訪問(wèn)等工程化鏈路上的問(wèn)題，具體原因需要涉事企業(yè)通過(guò)復(fù)盤(pán)事件過(guò)程來(lái)定位。如果這個(gè)事件只是個(gè)案，在事故級(jí)別上可能屬于P2級(jí)左右的事故，如果有更多用戶受到影響，則可能上升為P1或P0事故。

企查查資料顯示，Kimi母公司北京月之暗面科技有限公司成立于2023年3月，同年10月便推出Kimi智能助手，憑借20萬(wàn)字超長(zhǎng)文本輸入能力迅速打開(kāi)市場(chǎng)。技術(shù)層面，月之暗面正持續(xù)高強(qiáng)度迭代模型能力。Kimi泄露鐘先生簡(jiǎn)歷的同日，月之暗面公司正發(fā)布并開(kāi)源其最新模型Kimi K2.6。該公司介紹，這一模型具備行業(yè)領(lǐng)先的代碼能力、長(zhǎng)程任務(wù)執(zhí)行能力與Agent（智能體）集群能力。

Kimi泄露簡(jiǎn)歷的事件得到關(guān)注后，iOS商店的Kimi APP進(jìn)行了兩次更新，更新記錄均稱，“修復(fù)了一些bug，優(yōu)化了一些交互。” 知情人士稱，簡(jiǎn)歷泄露是一個(gè)極小概率事件，系技術(shù)引用錯(cuò)誤所致，月之暗面公司在事發(fā)后已進(jìn)行了修復(fù)。

對(duì)于此次簡(jiǎn)歷泄露事件，廖建勛律師表示，從民事侵權(quán)角度來(lái)說(shuō)，用戶鐘先生向Kimi發(fā)送簡(jiǎn)歷要求潤(rùn)色，雙方已形成服務(wù)關(guān)系，月之暗面公司依法負(fù)有妥善保管用戶個(gè)人信息的法定義務(wù)。而此次鐘先生的姓名、電話等敏感個(gè)人信息被意外泄露給無(wú)關(guān)用戶張先生，屬于未經(jīng)授權(quán)向他人提供個(gè)人信息的行為，已經(jīng)違反了《個(gè)人信息保護(hù)法》《民法典》的相關(guān)規(guī)定，構(gòu)成對(duì)鐘先生個(gè)人信息權(quán)益和隱私權(quán)的侵權(quán)，公司需依法承擔(dān)停止侵害、賠禮道歉、賠償損失等民事責(zé)任。同時(shí)這一行為也違反了其與用戶之間的服務(wù)約定，構(gòu)成違約，需承擔(dān)相應(yīng)的違約責(zé)任。

從行政責(zé)任來(lái)看，月之暗面公司未履行個(gè)人信息安全保護(hù)的法定義務(wù)，導(dǎo)致用戶敏感個(gè)人信息泄露，且事件發(fā)生后未主動(dòng)在公開(kāi)渠道發(fā)布調(diào)查處置情況，也未及時(shí)采取有效補(bǔ)救措施，違反了《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》的相關(guān)要求，網(wǎng)信等監(jiān)管部門(mén)可依法對(duì)其處以警告、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、限期整改等行政處罰。情節(jié)嚴(yán)重的，還可對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處以罰款。不過(guò)此次事件未涉及個(gè)人信息非法買賣、泄露數(shù)量極大等嚴(yán)重情節(jié)，暫不構(gòu)成刑事犯罪，無(wú)需承擔(dān)刑事責(zé)任，但公司必須配合監(jiān)管部門(mén)調(diào)查，及時(shí)整改隱私防護(hù)方面的安全隱患。

廖建勛律師認(rèn)為，“AI幻覺(jué)”的說(shuō)辭，不能成為月之暗面公司的免責(zé)依據(jù)。一方面，典型的“AI幻覺(jué)”是指AI生成虛構(gòu)、杜撰的內(nèi)容，而此次泄露的是鐘先生的真實(shí)個(gè)人信息，并非AI虛構(gòu)內(nèi)容，本質(zhì)上是公司在數(shù)據(jù)隔離、會(huì)話管理等工程化鏈路方面存在疏漏，并非真正的“AI幻覺(jué)”。另一方面，AI不具備民事主體資格，其相關(guān)行為后果依法應(yīng)由運(yùn)營(yíng)主體即月之暗面公司承擔(dān)。數(shù)據(jù)安全保護(hù)是平臺(tái)的法定義務(wù)，這一義務(wù)與技術(shù)成熟度無(wú)關(guān)，即便存在技術(shù)局限，平臺(tái)也需盡到合理的安全保障義務(wù)。此次事件暴露的是公司在系統(tǒng)架構(gòu)、隱私防護(hù)上的明顯疏漏，并非不可避免的技術(shù)固有局限，不符合任何免責(zé)條件。

結(jié)合月之暗面公司公開(kāi)的用戶協(xié)議來(lái)看，其協(xié)議中并不存在針對(duì)此次隱私泄露事件的有效免責(zé)條款。協(xié)議中雖有提醒用戶謹(jǐn)慎上傳敏感個(gè)人信息的內(nèi)容，但這僅為對(duì)用戶的提示，不能免除公司自身法定的個(gè)人信息安全保護(hù)義務(wù)。即便用戶上傳了敏感信息，平臺(tái)也必須妥善保管，不得未經(jīng)授權(quán)泄露。協(xié)議中還明確約定公司會(huì)采取相應(yīng)措施保護(hù)用戶信息，承諾發(fā)生信息泄露時(shí)主動(dòng)告知用戶并承擔(dān)法律責(zé)任，而此次事件中，該公司未履行上述承諾，反而試圖以“AI幻覺(jué)”推諉責(zé)任，這本身就違反了協(xié)議約定。其協(xié)議中關(guān)于“不承擔(dān)間接、附帶損失”的表述，針對(duì)的是用戶自身違約或第三方原因?qū)е碌膿p失，不能適用于平臺(tái)自身過(guò)錯(cuò)導(dǎo)致的個(gè)人信息泄露，無(wú)法作為此次事件的免責(zé)依據(jù)。