摘要

人工智能的普及，特别是以大型语言模型（LLM）为代表的新一代智能系统，正在深刻改变人类与信息的关系。与传统互联网相比，人工智能需要个体更主动、持续地提供细粒度数据，这一过程看似是个体的自主选择，实则是在“便利”与“隐私”之间做出的艰难权衡。在此背景下，个人隐私正面临前所未有的风险。如何在人工智能时代保护个人数据，已成为社会、法律和技术共同面临的重大挑战。

机密计算和全同态密码，被看作是解决这一困境的潜在答案。Apple、微软、Google等公司对这两条技术线同时押注，都投入了大量的资金研发。本文将尝试分析这两个技术点的优劣，并给出他们在个人隐私保护中的价值和挑战。

第一章 人工智能--一种“软性”的脑机接口

1.1 为了让AI更“懂我”，它需要我的隐私数据

人工智能，尤其是大型语言模型，其强大的通用能力建立在对海量公共数据的学习之上，例如维基百科、开源代码、新闻报道和学术论文。这使得它们在“公共知识”层面表现卓越，但在理解“个体世界”方面却天然存在不足。

一个标准的大模型可以流畅地讲解量子力学原理，但它并不天然了解我的生活习惯、健康状况或情感状态。如若我期望AI能像一个完美的私人助理那样提供高度个性化的服务，唯一途径便是持续不断地“喂养”数据。这种数据馈送是长期的、多维度的，并且颗粒度极细：

- 个人知识库： 用户上传自己的工作文档、笔记、邮件，希望AI能“记住”并在此基础上进行内容生成与信息检索。

- 生活习惯与偏好： 在与AI的日常对话中，用户反复提及的作息、饮食、消费偏好等信息，被AI内化为长期记忆，用于提供个性化推荐。

- 生物与健康数据： 在医疗场景中，AI健康助手需持续获取用户的血压、心率、睡眠模式乃至基因序列等高度敏感数据，才能提供精准的疾病预测与慢病管理建议。

这种主动、持续的数据交付，构成了一种新的隐私暴露模式。风险不再仅仅来自外部黑客的攻击，更源于个体为换取智能化服务而自愿进行的“数据交换”。

这一过程与脑机接口（Brain-Computer Interface, BCI）的理念形成了有趣的呼应。BCI旨在通过物理连接让机器直接读取大脑信号，而AI则通过持续的数据输入和交互反馈，逐步在数字世界中“重建”一个人的认知模型与行为画像。从这个意义上说， 人工智能正在成为一种“软性的脑机接口” ，它无需侵入式设备，却能达到前所未有的个体洞察深度。

1.2 他的AI，它的AI，与无处可逃的“我”

随着虚拟现实（VR）、增强现实（AR）、可穿戴设备和具身智能机器人的发展，AI的数据采集能力将从屏幕延伸至物理世界的每个角落。它们需要持续观察、聆听、学习，才能实时与环境互动并提供服务。

- 智能家居设备通过语音助手持续监听家庭对话，以随时响应指令。

- 配备摄像头的AR眼镜可以实时识别人脸、翻译文字、记录佩戴者所见的一切。

- 智能网约车的车内音视频记录系统，将司机和乘客都变成了被动的数据采集对象。

这些AI系统的数据采集边界是模糊的。即便一个人选择不使用某些设备，他也无法避免被“他人的AI”捕捉。例如：

- 走在街上，你可能被路人佩戴的AR眼镜记录下面部信息。

- 在办公室开会，智能会议系统会将所有人的发言转录并存档分析。

- 在社交场合，朋友的智能手机在拍照时，其AI功能可能已自动识别你的身份，为你打上标签并上传云端。

我们正在进入一个“万物皆可记录”的时代。这些碎片化的数据一旦被聚合，就有可能构建出一个完整的“数字人生回放”。在这种环境下，个人隐私的传统边界几乎被完全消解。

1.3 GDPR和互联网的“孟婆汤”

在传统文化中，“孟婆汤”象征着遗忘与重生。现代社会同样在努力为互联网世界创造一碗“孟婆汤”，其最典型的代表是欧盟《通用数据保护条例》（GDPR）中赋予用户的“被遗忘权”（Right to be Forgotten）。

然而，在技术和商业现实面前，这一权利的实现困难重重。随着存储成本的急剧下降和数据价值的日益凸显， 互联网的记忆几乎是永恒的。大数据与AI的结合，不仅能永久保存过去的痕迹，更能基于这些痕迹预测未来的行为。数据一旦被复制、缓存、或进入模型训练集，就极难被彻底清除。因此，人类社会正不可逆转地进入一个“永不遗忘”的数字时代，这对个人自由、身份认同和改过自新的可能构成了深远挑战。

第二章 人的重定义--从“数据集合”到“算法囚徒”

2.1 作为“数据集合”的人

互联网时代通过标签（年龄、性别、兴趣、消费习惯）为每个人构建了“用户画像”。进入AI时代，这种画像的维度、精度和动态性都发生了质的飞跃。AI不仅知道“你喜欢什么”，还能推断“你现在的情绪状态”；不仅知道“你买了什么药”，更能预测“你未来患某种疾病的概率”。

这种全景式的数据收集，使人类在数字世界中逐渐被简化为“数据的集合”。数字孪生（Digital Twin） 的概念不再局限于工业制造，而是延伸至每个个体。在数字世界中，每个人都有一个与现实紧密对应、动态更新的虚拟副本。随着AI在社会决策中的权重日益增加，这个数字分身的“权力”甚至可能超越血肉之躯。贷款审批、保险定价、求职筛选等关键决策，越来越多地依赖于对你数字分身的分析，而非现实中的你。

当数字世界的判断与现实自我产生冲突时，个体几乎没有有效的申辩和修正渠道。我们面临一个深刻的哲学问题：当决策完全依赖于我们的数据集合时，我们究竟是数据的主人，还是被数据定义的囚徒？

2.2 作为“隐私泄漏计算”的隐私计算

为了在合规的前提下利用数据价值，隐私计算技术应运而生。其核心目标是在不暴露原始数据的情况下，实现数据的联合分析与建模。然而， “隐私计算” 的本质是有控的‘隐私泄漏计算”：任何有用的计算结果，都必然会以某种形式泄漏关于原始数据的信息。隐私计算的真正价值在于将不可控的明文数据泄漏，转变为数学上可定义、可量化、可审计的“受控信息泄漏”。

和草莽年代的数据明文相比，隐私计算在数据源和数据使用方之间架了一堵墙，然后在墙上留了个小孔。这已经是一个巨大的进步了。然而如同物理学上的“小孔成像”一样，虽然挡住了一部分信息，数据聚合和隐私泄漏仍然存在。

目前，应用最广泛的技术主要包括多方安全计算（MPC）和联邦学习（FL）。尽管如此，这两种主流技术在实践中仍面临显著挑战。根据近年来的行业实践和学术研究，它们的局限性主要体现在：巨大的通信开销与性能瓶颈： MPC和FL通常需要在多个参与方之间进行多轮复杂的交互，这导致了极高的通信带宽和延迟。在需要跨机构、跨网络进行大规模实时计算的场景中，性能问题尤为突出。有研究指出，截至2024年，尽管企业对联邦学习的兴趣浓厚，但实际部署率仍然不高，原因包括计算要求高、实现复杂和模型收敛性问题。

2.3 海森堡隐喻：观察即干预，透明即规训

物理学家海森堡的“不确定性原理”指出，对微观粒子的观察行为本身就会改变其状态。这个隐喻同样适用于AI时代的人类社会。当人们意识到自己时刻处于无形的、全景式的监视之下时，其行为模式会不自觉地发生改变。

这呼应了哲学家福柯在《规训与惩罚》中对“全景敞视监狱”（Panopticon）的分析：囚犯不知道自己何时被监视，因此只能假设自己时刻被监视，从而进行自我审查与规训。在AI的全景监视下，人们为了迎合算法的偏好，或避免被标记为“异常”，可能会压抑个性的表达，趋向于保守和从众。

这一问题还会延伸到社会层面。现代社会是由自由、平等地相互交往的独立个体组成的。个体(individual)意味着“不可分割的实体”（in-dividuus），其独立性与自发性意味着每一个体都是无限差异的，有着独特的成长潜能，只有这样的个体，才能在构成一个有秩序与有规范的社会的同时，也为社会保留开放、变革与成长的潜能。

而无论是个体在不同场景下的数字分身，还是个体被数据化之后的分类计算，都导致个体的“去个体化”，人群被采集的数据代替个体而进入社会化程序，这时，个体的独立性与自发性日益丧失，有着差异化与成长潜能的“个体性”将悄然在数字化中变为可预测与可分类的“物”。这时社会也将丧失其从个体交往中获得的丰富性与开放性，而成为数据收集器。

这样的社会将丧失产生新个体的潜能。抛开所有的心理学与伦理学后果不论，这里有一个自毁的悖论:个体数据的完全采集意味着个体与社会的差异化与成长潜能被抽空，反过来又将导致个体数据的枯竭。

其机制如下：个体数据之所以有意义，是因为系统默认个体是差异化和不断处于变化中的，这种差异与变化的潜能才是个体数据“价值增值”的来源。一旦系统认为，个体的数据已被收集完毕，那么个体就丧失其价值，而其数据也将丧失意义——除非被添入对新个体的计算。

就此而言，对个体数据的全面收集在促成“去个体化”的同时，也加快了个体数据丧失价值的进程。保持个体差异化与成长的潜能，正是隐私的意义所在:隐私意味着个体层面有某种永远无法也不应被规范和规训的东西，个体有某种超越当下所有规范而自我赋权的可能空间。保护个体隐私就是保护个体性，就是保护人类的数据会随着人类个体的产生而无限增长的潜能。

第三章 机密计算：安全屋和信任链

3.1 机密计算：依托于硬件隔离和加密技术的安全屋

机密计算（Confidential Computing, CC）是近年来兴起的一种新型安全计算范式，其核心思想是通过硬件隔离和加密保护机制，保证数据在使用过程中的机密性与完整性。与传统的数据安全技术不同，机密计算不仅保护数据在“存储”与“传输”环节的安全，更关注“计算中”的安全，旨在解决云计算和人工智能时代“谁来托管敏感数据”的根本难题。

从技术层面看，机密计算通常依赖于硬件级的可信执行环境（Trusted Execution Environment, TEE）。TEE可以被视为一种“安全屋”：应用程序在其中运行时，外部操作系统、虚拟机管理器甚至硬件制造商都无法窥探其中的代码与数据。这一隔离机制依赖于处理器内部的安全扩展和加密机制，例如Intel的SGX（Software Guard Extensions）、AMD的SEV（Secure Encrypted Virtualization）以及ARM的TrustZone。它们共同的原理是通过内存加密、访问控制与远程证明，保证敏感数据仅在授权代码中以明文存在，其余情况下均以加密状态存储或传输。Microsoft Azure、Google Cloud和AWS均已支持基于TEE的机密计算实例，允许客户在云上运行敏感业务。

3.2 机密AI：从CPU到CPU+GPU

随着人工智能和云计算的快速发展，机密计算的应用范围进一步扩展。一个值得关注的新趋势是GPU机密计算。

在AI任务中，计算主要依赖GPU加速，而早期的TEE多局限于CPU环境。NVIDIA 在其Hopper及更高版本的架构中率先引入了商业化的GPU机密计算模式。该技术通过硬件支持，将CPU中的TEE安全边界扩展到GPU，实现了对GPU显存、GPU与CPU之间互联链路（如PCIe）以及GPU内部计算的全程加密与隔离 。这意味着从模型加载、数据输入到推理结果输出的整个生命周期，敏感信息都处于保护之下。

关于其性能开销，多项基准测试和研究表明，NVIDIA Hopper架构下的机密计算对性能的影响已控制在可接受范围内。对于典型的LLM推理任务，尤其是处理大型模型和长序列输入时，声称其计算开销通常低于5% 。性能瓶颈主要体现在CPU与GPU之间的数据传输阶段，因为加密和解密操作会增加延迟 。例如，在一项针对端到端加密索引和检索任务的研究中，启用GPU机密计算的开销分别为1-2%和15-25% 。

苹果也在其产品中逐步引入类似的理念，其PCC（Private Cloud Compute）尝试在AI交互中实现“机密计算”，使用户的请求能够在云端安全处理而不泄漏明文。

3.2 机密计算的信任链

尽管机密计算提供了前所未有的安全保障，但其安全性并非绝对，而是建立在一条从硬件到软件、从厂商到云服务商的复杂信任链之上。这条信任链的任何一个薄弱环节都可能成为攻击的突破口。

1. 硬件漏洞与供应链风险: 信任的根源是处理器硬件。然而，芯片的设计和制造依赖于复杂的全球供应链，任何环节的后门或固件漏洞都可能直接破坏TEE的隔离保证。近年来，学术界已揭示了针对TEE的多种硬件级漏洞，尽管厂商会通过微码更新修复，但这凸显了对硬件“绝对可信”假设的挑战。

2. 软件漏洞与侧信道攻击: TEE的运行离不开底层系统软件的支持。操作系统或Hypervisor中的漏洞可能被利用，通过侧信道攻击（Side-Channel Attacks）来推断TEE内部的机密信息。例如，通过观察缓存访问模式、内存争用或功耗变化，攻击者可以在不直接破坏隔离墙的情况下窃取数据。历史上，针对Intel SGX和AMD SEV的多种侧信道攻击已被学术界证实，这表明软硬件的协同安全至关重要 。

3. 中心化信任与密钥管理: 远程证明机制在实践中往往依赖于芯片制造商的中心化基础设施。例如，Intel SGX的证明过程需要向Intel的证明服务进行验证。这意味着用户必须无条件信任芯片制造商不会滥用其根密钥或在供应链中引入后门。这种单点信任模式是机密计算信任模型中的一个核心争议点。

4. 云服务商的潜在权力: 尽管机密计算旨在消除对云服务商的信任，但在现实中，云厂商仍然控制着物理基础设施，包括服务器的调度、电力供应、网络连接和固件更新。虽然无法直接访问TEE内存，但恶意的或被攻陷的云厂商仍有可能通过物理攻击（如冷启动攻击）或干扰服务可用性的方式对租户造成影响。

第四章 全同态密码：（可能是）最后的救赎

4.1全同态加密的基本思路与发展历史

全同态加密（Fully Homomorphic Encryption, FHE）是密码学领域的一项里程碑式的成果，它允许在密文上直接进行计算，并且在解密后得到的结果与在明文上计算完全一致。这意味着数据的拥有者无需将数据暴露给计算服务提供者，就能利用远程算力完成所需运算，从而在根本上解决了数据使用与隐私保护之间的矛盾。

早期的同态加密思想可以追溯到1978，当时的Rivest等人提出了“隐私同态”的构想。2009年，Craig Gentry 提出了第一个全同态加密的构造，基于格密码学中的理想格问题，并引入了“自举（bootstrapping）”的概念，从而在理论上首次实现了在密文上执行任意多项式计算的可能。这一成果震动了学界，被认为是密码学进入后量子时代最具突破性的方向之一。

在Gentry方案提出后的十余年间，FHE经历了快速的改进与演进。研究者们提出了更高效的构造，并发展出一系列重要算法，如BFV、BGV、CKKS和TFHE。其中，CKKS方案支持近似计算，非常适合浮点运算和机器学习推理等实际需求。与此同时，微软、IBM、Zama、Duality等企业和开源社区也推动了软件库和开发工具的建设，使FHE逐渐从理论走向可编程、可验证的工程实现。Apple在2024年开始将全同态算法纳入Swift的体系，推动密文计算在APP中的应用。

4.2 全同态AI：最简洁的信任链

FHE为我们提供了一种全新的模式：个人数据可以以加密形式存储在云端，云端在不解密的情况下执行计算，最终结果由用户本地解密。这种模式意味着数据的全流程都处于保护之中，即使云服务商、AI模型的维护者或运维人员也无法触及用户的明文信息。用户只需要保管好自己的私钥。

以人与AI的交互为例，如果采用FHE保护，用户与大模型的聊天请求可以完全在密文中传输和处理。用户输入的敏感信息，例如个人经历或财务情况，都不会以明文形式暴露给云端；云端模型在密文上完成推理，并返回同样加密的结果，用户在本地解密后获得回答。这一过程中，服务提供者无法获知用户的输入与输出，从而最大程度保障了对话的隐私。

另一个典型场景是个人知识库。许多人将个人笔记、邮件、文档等上传到云端，并希望借助AI进行搜索与推理。在FHE模式下，用户可以将加密的知识库存放在服务器上，AI模型通过密文检索与推理完成回答，过程中无需解密。这意味着即便是云平台或AI服务商，也无法读取用户的私有文档内容。

在医疗健康领域，FHE的价值更加突出。患者可以将病历、影像等数据加密上传，云端AI在密文上完成辅助诊断与风险分析，最终的分析结果由医生在本地解密。这样一来，患者的敏感信息不会泄露给第三方，包括云服务商或研究机构。

在物联网与边缘智能领域，FHE的应用前景广泛。例如，汽车的车载摄像头或家庭安防摄像头可以将视频流以密文形式上传，云端在不解密的前提下执行目标检测与识别。

4.3 性能突破和产业化努力

FHE的计算代价一直是限制其应用的最大瓶颈。在CPU环境下，单次密文乘法往往比明文运算慢数千甚至上万倍，内存占用也成倍增加。为此，研究者提出了多种优化策略，例如利用SIMD并行批处理、采用数论变换加速多项式运算、引入专用硬件加速器等。近年来，随着GPU、FPGA以及专用ASIC的加入，FHE的性能得到了数量级的提升。2024年，一项研究成果展示了通过GPU加速，FHE在处理GPT-2前向传播任务时，实现了约200倍的速度提升，将处理时间从数小时缩短至几分钟。

其次是标准化与生态建设。为了推动FHE的普及，国际标准组织（ISO）已经启动了相关标准化工作，目标是为接口定义、参数选择与安全性评估提供统一规范。同时，美国国防高等研究计划局（DARPA）发起了DEPRIVE项目，专注于开发高效的同态计算系统，以满足政府和军事对隐私保护的需求。学术界和产业界也形成了新的交流平台，例如FHE.org年度会议，汇聚了研究人员和企业，推动算法、软件与硬件的协同进展。

FHE领域的创业公司开始批量出现。法国的Zama是FHE领域出现的第一个独角兽企业。通过Concrete库提供了易用的FHE工具，推动其在语音识别、医疗诊断等领域的应用落地。特别是在区块链（web3）上的探索，打通了用FHE加密智能合约之路，实现链上数据的隐私保护。OSR推出了“格物”平台，支持基于全同态加密的PSI/PIR，人脸识别，基因检测等场景。OSR的模型编译器允许用户将自定义的CNN模型快速编译成同态密文模型，研发的“格物”FPGA硬件加速卡，实测性能能够比CPU快100–300倍。Duality和Cornami等企业则专注于硬件加速，开发能够支持数千倍性能提升的专用ASIC芯片。

FHE已经从理论突破走向应用探索，再到产业化布局。虽然性能和成本依然是制约大规模应用的关键因素，但随着标准化、硬件加速和产业资本的推动，全同态加密有望在未来几年内从特定场景逐步走向普及，成为人工智能时代隐私保护基础技术。

结语：若见诸相非相，即见如来

面对AI监控带来的挑战，全球范围内的反思与行动也在展开。2024年，欧盟通过了《人工智能法案》（EU AI Act） ，进一步明确了AI时代用户隐私权的保护要求 。然而，法律监管只是外部约束。对于个体而言，取证和获得补偿的成本极高，周期极长。因此，保护隐私的技术手段是必要且紧迫的。

机密计算是计算机科学家的方案，效率极高，但在供应链、信任链、监管审计上方面有众多前置要求。机密计算给用户讲的故事，是“小院高墙”。虽然，历史反复证明了复杂的信任链容易出问题。且不问 “庭院深深深几许”，就算铜墙铁壁，开门的钥匙却不是用户自己管理的。对于国家监管而言，要建立起这个完整的信任链，还需要在机密计算标准、芯片安全、全流程密钥管理方面做体系化建设投入。但机密计算的效率的确是极好的。

全同态密码是密码学家的方案，逻辑简洁，安全性可证明，但需要巨大的算力。全同态密码给用户讲的故事，是“无（原）相”。长期来看，一旦解决性能问题，同态是一个近乎完美的方案。不管对于个人还是国家监管，在哪个芯片上计算没有关系，“管数据”被简化成“管密钥”。模型看到的数据，是隐私数据（原象）被映射到了一个高维空间的密文（象）。如果没有私钥，就没有办法映射回去。所以，全同态密码的方案，可以称之为“见诸相非相”。而隐私信息来了，又似乎没有来，可以称之为“如来”。

（注：本篇内容为纽创信安创始人樊俊锋博士所创作。）