日常生活中的談話變成手機廣告的情況估計多數朋友都會碰到,最近,全世界對于監聽投放廣告有了新的認識,因爲美國一家公司的營銷計劃詳細披露了怎樣利用手機竊聽用戶,再結合人工智能投放廣告,然後這個事情被媒體曝光了 [ 1 ] 。今天就來聊聊,根據我國法律,此類 " 更聰明 " 廣告的廣告商,會有怎樣的個人信息和隐私方面的法律責任。
一、CMG 如何實現對用戶通話的監聽并進行精準廣告推送?
美國一家名爲 Cox Media Group(CMG)的營銷機構在其營銷計劃書中主動承認使用 " 主動聆聽 "(Active-Listening)軟件,該軟件通過智能設備的麥克風收集用戶的語音數據,并将其用于定向投放 Facebook 和谷歌廣告。該計劃書透露,CMG 的數據來源超過 470 個,涵蓋了谷歌、LinkedIn、Facebook、亞馬遜等平台。根據 CMG 計劃書和官方網站所展示的信息,我們對 CMG 手機監聽和精準廣告推送的過程進行了如下總結:
1. 确定産品及服務相關的表現最佳的關鍵詞;
2. 從目标地理位置開始主動聆聽,即通過智能設備(和麥克風)實時監控用戶的對話和在線行爲,實時捕捉用戶意圖;
3. 利用人工智能從 470 個數據源中收集和分析信息,以識别潛在的目标受衆;
4. 結合語音數據和行爲數據,初步識别市場中的消費者;
5. 根據産品和服務特性,在特定範圍内創建詳細的受衆列表;
6. 将受衆列表用于廣告投放平台,實現精準廣告推送。
二、類似的情況是否也可能在國内發生?
非常肯定地回答,是的," 主動聆聽 " 也可能發生在我們身邊,且國内也頻繁出現類似事件。例如與同事讨論哪種月餅更美味,過會兒打開購物應用時,就可能看到月餅的廣告或推薦。這不禁讓人懷疑,手機應用程序是否在 " 偷聽 " 我們的對話。
實際上,從技術角度來看,手機應用程序對用戶進行監聽并非難事,這裏僅舉筆者所知的兩種情況。第一種情況是目前常見的通過麥克風實現,即手機軟件利用麥克風收集用戶的語音數據,正如本次美媒報道的 CMG" 主動監聽 " 新聞;第二種情況則更爲隐蔽,通過側信道技術實現,如利用手機中的陀螺儀、加速計等其他傳感器獲取數據,進而通過深度學習等方法恢複語音數據 [ 2 ] ,因爲它不需要直接訪問麥克風,且更難以被用戶察覺。
三、用戶協議明确披露後,監聽形式是否就具備了合法性?
智能手機上的應用一般會要求用戶點擊同意用戶協議和隐私協議,如果應用服務商在用戶協議裏披露了可能監聽用戶的情況(一般用語會比較隐晦),這個是不是就合法了。
答案是否定的,根據《中華人民共和國網絡安全法》和《個人信息保護法》等法律法規的規定,應用程序和服務提供商在收集和使用個人信息時必須遵循合法、正當、必要的原則,并且必須取得用戶的明确同意。應用程序不得超出用戶同意的範圍收集個人信息,也不得通過欺騙、誤導等手段獲取用戶同意。
因此,即使用戶協議中明确披露了監聽行爲,如果這種行爲違反了正當、必要原則獲取非必要授權,或者用戶同意并非完全自願,以此收集并使用用戶個人信息或侵犯用戶隐私,那應用程序和服務提供商仍然可能面臨法律責任。
在實踐中,監管機構會對涉嫌侵犯用戶隐私權的行爲進行調查,并根據調查結果采取相應的法律措施。從 2019 年 12 月 19 日 , 工信部通報侵害用戶權益行爲 App 開始,截至目前共通報 42 批,涉及多款存在超範圍收集個人信息、違規使用個人信息的 APP 及 SDK 進行了通報和處罰。筆者相信肯定有竊聽引發的,雖然工信部的通報比較簡要,單看通報内容還沒辦法找出來具體涉及竊聽問題的服務商。
四、可能涉及的違法點有哪些?
假設 CMG 的行爲發生在國内,其可能侵犯了用戶的隐私權和個人信息,具體體現在以下幾個方面:
1. 涉嫌侵犯用戶隐私權
《民法典》第一千零三十二條規定,自然人享有隐私權,任何組織或者個人不得以刺探、侵擾、洩露、公開等方式侵害他人的隐私權。隐私是自然人的私人生活安甯和不願爲他人知曉的私密空間、私密活動、私密信息。CMG 未經用戶同意偷聽用戶說話,顯然屬于侵擾他人的私人生活安甯,侵犯了用戶的隐私權。
2. 涉嫌非法收集用戶的個人信息
CMG 的行爲涉嫌以 " 竊取或者以非法方式獲取數據 ",這具體包括:
( 1 ) 利用智能設備軟件非法監聽用戶通話内容,實時捕獲關鍵詞,竊取用戶個人信息;(涉嫌在未經用戶同意的情況下擅自收集其通信内容、地理位置等)
分析:盡管 CMG 稱其 " 主動監聽 " 行爲合法,理由是 CMG 已通過(在下載或更新應用時同意了包含 " 主動聆聽 " 條款的)協議獲得用戶授權。然而,實際操作中,一些應用程序可能會利用用戶對隐私政策的忽視或不理解,通過模糊的表述或複雜的條款來規避責任,從而獲得超範圍收集個人信息的權限,并獲得用戶的授權。
( 2 ) 從多個第三方數據源獲取用戶的信息或數據,可能會以非正當手段獲取用戶個人信息。(涉嫌未經授權非法獲取用戶個人信息)
分析:CMG 通過結合多個數據的匹配,是能夠識别出特定用戶的個人信息或敏感個人信息,并未能徹底消除個人信息的可識别性,屬于從第三方獲得用戶的個人信息。因此,CMG 從第三方獲取、收集和使用這些信息的行爲可能涉嫌未經授權非法獲取用戶個人信息。
3. 涉嫌非法處理用戶的個人信息
CMG 涉嫌非法處理用戶的個人信息,具體表現爲:
( 1 ) 通過人工智能對從 470 多個來源的語音數據進行分析,即利用大數據對用戶進行用戶畫像;
( 2 ) 結合語言數據和産品服務,識别潛在購買者,創建基于個人信息的受衆列表,即通過用戶畫像結合個人信息和敏感個人信息(如位置、愛好、需求等)進行分類;
( 3 ) 将受衆列表用于廣告投放平台,實現針對性地推送廣告。
CMG 通過 " 主動聆聽 " 的通信内容,并結合多個來源,對數據的分析,以識别的自然人有關的各種信息,建立 " 受衆列表 ",這些信息可能屬于個人信息和敏感個人信息的範疇。我國《個人信息保護法》規定,處理個人信息應當遵循合法、正當、必要和誠信原則,不得通過誤導、欺詐、脅迫等方式處理個人信息。
盡管 CMG 聲稱其目标是爲了提供更精确的服務,但其實在未獲得充分授權的情況下,對用戶數據進行了深入挖掘和分析,這違反了數據處理的合法性、公正性和必要性等基本原則,從根本上侵犯了用戶的隐私權,并導緻了用戶的個人信息被濫用。
參考資料:
[ 1 ] https://www.dailymail.co.uk/sciencetech/article-13805393/Facebook-partner-brags-listening-phones-microphone-serve-ads.html
[ 2 ] https://finance.sina.com.cn/tech/discovery/2024-10-15/doc-incsrqpw7568882.shtml
本文作者:遊雲庭,上海大邦律師事務所高級合夥人,知識産權律師。汪婷,上海大邦律師事務所高級顧問。電話:8621-52134900,Email: [email protected],本文僅代表作者觀點。
