日常生活中的谈话变成手机广告的情况估计多数朋友都会碰到,最近,全世界对于监听投放广告有了新的认识,因为美国一家公司的营销计划详细披露了怎样利用手机窃听用户,再结合人工智能投放广告,然后这个事情被媒体曝光了[ https://www.dailymail.co.uk/sciencetech/article-13805393/Facebook-partner-brags-listening-phones-microphone-serve-ads.html ]。今天就来聊聊,根据我国法律,此类“更聪明”广告的广告商,会有怎样的个人信息和隐私方面的法律责任。
一、CMG 如何实现对用户通话的监听并进行精准广告推送?
美国一家名为 Cox Media Group (CMG)的营销机构在其营销计划书中主动承认使用“主动聆听”(Active-Listening)软件,该软件通过智能设备的麦克风收集用户的语音数据,并将其用于定向投放 Facebook 和谷歌广告。该计划书透露,CMG 的数据来源超过 470 个,涵盖了谷歌、LinkedIn、Facebook、亚马逊等平台。根据 CMG 计划书和官方网站所展示的信息,我们对 CMG 手机监听和精准广告推送的过程进行了如下总结:
1. 确定产品及服务相关的表现最佳的关键词;
2. 从目标地理位置开始主动聆听,即通过智能设备(和麦克风)实时监控用户的对话和在线行为,实时捕捉用户意图;
3. 利用人工智能从 470 个数据源中收集和分析信息,以识别潜在的目标受众;
4. 结合语音数据和行为数据,初步识别市场中的消费者;
5. 根据产品和服务特性,在特定范围内创建详细的受众列表;
6. 将受众列表用于广告投放平台,实现精准广告推送。
二、类似的情况是否也可能在国内发生?
非常肯定地回答,是的,“主动聆听”也可能发生在我们身边,且国内也频繁出现类似事件。例如与同事讨论哪种月饼更美味,过会儿打开购物应用时,就可能看到月饼的广告或推荐。这不禁让人怀疑,手机应用程序是否在“偷听”我们的对话。
实际上,从技术角度来看,手机应用程序对用户进行监听并非难事,这里仅举笔者所知的两种情况。第一种情况是目前常见的通过麦克风实现,即手机软件利用麦克风收集用户的语音数据,正如本次美媒报道的 CMG“主动监听”新闻;第二种情况则更为隐蔽,通过侧信道技术实现,如利用手机中的陀螺仪、加速计等其他传感器获取数据,进而通过深度学习等方法恢复语音数据[ https://finance.sina.com.cn/tech/discovery/2024-10-15/doc-incsrqpw7568882.shtml ],因为它不需要直接访问麦克风,且更难以被用户察觉。
三、用户协议明确披露后,监听形式是否就具备了合法性?
智能手机上的应用一般会要求用户点击同意用户协议和隐私协议,如果应用服务商在用户协议里披露了可能监听用户的情况(一般用语会比较隐晦),这个是不是就合法了。
答案是否定的,根据《中华人民共和国网络安全法》和《个人信息保护法》等法律法规的规定,应用程序和服务提供商在收集和使用个人信息时必须遵循合法、正当、必要的原则,并且必须取得用户的明确同意。应用程序不得超出用户同意的范围收集个人信息,也不得通过欺骗、误导等手段获取用户同意。
因此,即使用户协议中明确披露了监听行为,如果这种行为违反了正当、必要原则获取非必要授权,或者用户同意并非完全自愿,以此收集并使用用户个人信息或侵犯用户隐私,那应用程序和服务提供商仍然可能面临法律责任。
在实践中,监管机构会对涉嫌侵犯用户隐私权的行为进行调查,并根据调查结果采取相应的法律措施。从 2019 年 12 月 19 日,工信部通报侵害用户权益行为 App 开始,截至目前共通报 42 批,涉及多款存在超范围收集个人信息、违规使用个人信息的 APP 及 SDK 进行了通报和处罚。笔者相信肯定有窃听引发的,虽然工信部的通报比较简要,单看通报内容还没办法找出来具体涉及窃听问题的服务商。
四、可能涉及的违法点有哪些?
假设 CMG 的行为发生在国内,其可能侵犯了用户的隐私权和个人信息,具体体现在以下几个方面:
1. 涉嫌侵犯用户隐私权
《民法典》第一千零三十二条规定,自然人享有隐私权,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。CMG 未经用户同意偷听用户说话,显然属于侵扰他人的私人生活安宁,侵犯了用户的隐私权。
2. 涉嫌非法收集用户的个人信息
CMG 的行为涉嫌以“窃取或者以非法方式获取数据”,这具体包括:
(1) 利用智能设备软件非法监听用户通话内容,实时捕获关键词,窃取用户个人信息;(涉嫌在未经用户同意的情况下擅自收集其通信内容、地理位置等)
分析:尽管 CMG 称其“主动监听”行为合法,理由是 CMG 已通过(在下载或更新应用时同意了包含“主动聆听”条款的)协议获得用户授权。然而,实际操作中,一些应用程序可能会利用用户对隐私政策的忽视或不理解,通过模糊的表述或复杂的条款来规避责任,从而获得超范围收集个人信息的权限,并获得用户的授权。
(2) 从多个第三方数据源获取用户的信息或数据,可能会以非正当手段获取用户个人信息。(涉嫌未经授权非法获取用户个人信息)
分析:CMG 通过结合多个数据的匹配,是能够识别出特定用户的个人信息或敏感个人信息,并未能彻底消除个人信息的可识别性,属于从第三方获得用户的个人信息。因此,CMG 从第三方获取、收集和使用这些信息的行为可能涉嫌未经授权非法获取用户个人信息。
3. 涉嫌非法处理用户的个人信息
CMG 涉嫌非法处理用户的个人信息,具体表现为:
(1) 通过人工智能对从 470 多个来源的语音数据进行分析,即利用大数据对用户进行用户画像;
(2) 结合语言数据和产品服务,识别潜在购买者,创建基于个人信息的受众列表,即通过用户画像结合个人信息和敏感个人信息(如位置、爱好、需求等)进行分类;
(3) 将受众列表用于广告投放平台,实现针对性地推送广告。
CMG 通过“主动聆听”的通信内容,并结合多个来源,对数据的分析,以识别的自然人有关的各种信息,建立“受众列表”,这些信息可能属于个人信息和敏感个人信息的范畴。我国《个人信息保护法》规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
尽管 CMG 声称其目标是为了提供更精确的服务,但其实在未获得充分授权的情况下,对用户数据进行了深入挖掘和分析,这违反了数据处理的合法性、公正性和必要性等基本原则,从根本上侵犯了用户的隐私权,并导致了用户的个人信息被滥用。
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师。汪婷,上海大邦律师事务所高级顾问。电话:8621-52134900,Email: yytbest@gmail.com,本文仅代表作者观点。