文丨游云庭(上海大邦律師事務(wù)所高級合伙人,知識產(chǎn)權(quán)律師) 汪婷(上海大邦律師事務(wù)所顧問)
日常生活中的談話變成手機廣告的情況估計多數(shù)認都會碰到;最近,美國一家公司在營銷計劃中詳細披露了怎樣利用手機竊聽用戶,再結(jié)合人工智能投放廣告,并被媒體曝光,讓全世界對于監(jiān)聽投放廣告有了新的認識。今天就來聊聊,根據(jù)我國法律,此類“更聰明”廣告的廣告商,會有怎樣的個人信息和隱私方面的法律責任。
CMG如何實現(xiàn)對用戶通話的監(jiān)聽并進行精準廣告推送?
美國一家名為Cox Media Group(CMG)的營銷機構(gòu)在其營銷計劃書中主動承認使用“主動聆聽”(Active-Listening)軟件,通過智能設(shè)備的麥克風(fēng)收集用戶的語音數(shù)據(jù),并將其用于定向投放Facebook和谷歌廣告。該計劃書透露,CMG的數(shù)據(jù)來源超過470個,涵蓋了谷歌、LinkedIn、Facebook、亞馬遜等平臺。根據(jù)CMG計劃書和官方網(wǎng)站所展示的信息,我們對CMG手機監(jiān)聽和精準廣告推送的過程進行了如下總結(jié):
- 確定產(chǎn)品及服務(wù)相關(guān)的表現(xiàn)最佳的關(guān)鍵詞;
- 從目標地理位置開始主動聆聽,即通過智能設(shè)備(和麥克風(fēng))實時監(jiān)控用戶的對話和在線行為,實時捕捉用戶意圖;
- 利用人工智能從470個數(shù)據(jù)源中收集和分析信息,以識別潛在的目標受眾;
- 結(jié)合語音數(shù)據(jù)和行為數(shù)據(jù),初步識別市場中的消費者;
- 根據(jù)產(chǎn)品和服務(wù)特性,在特定范圍內(nèi)創(chuàng)建詳細的受眾列表;
- 將受眾列表用于廣告投放平臺,實現(xiàn)精準廣告推送。
類似的情況是否也可能在國內(nèi)發(fā)生?
非常肯定地回答,是的,“主動聆聽”也可能發(fā)生在我們身邊,且國內(nèi)也頻繁出現(xiàn)類似事件。例如與同事討論哪種月餅更美味,過會兒打開購物應(yīng)用時,就可能看到月餅的廣告或推薦。
實際上,從技術(shù)角度來看,手機應(yīng)用程序?qū)τ脩暨M行監(jiān)聽并非難事,這里僅舉筆者所知的兩種情況。第一種情況是目前常見的,是通過麥克風(fēng)來實現(xiàn),即手機軟件利用麥克風(fēng)收集用戶的語音數(shù)據(jù),正如CMG“主動監(jiān)聽”事件;第二種情況是通過側(cè)信道技術(shù)實現(xiàn),如利用手機中的陀螺儀、加速計等其他傳感器獲取數(shù)據(jù),進而通過深度學(xué)習(xí)等方法恢復(fù)語音數(shù)據(jù),這種方式更為隱蔽,因為它不需要直接訪問麥克風(fēng),更難以被用戶察覺。
用戶協(xié)議明確披露后,監(jiān)聽形式是否就具備了合法性?
智能手機上的應(yīng)用一般會要求用戶點擊同意用戶協(xié)議和隱私協(xié)議,如果應(yīng)用服務(wù)商在用戶協(xié)議里披露了可能監(jiān)聽用戶的情況(一般用語會比較隱晦),這個是不是就合法了?
答案是否定的,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》和《個人信息保護法》等法律法規(guī)的規(guī)定,應(yīng)用程序和服務(wù)提供商在收集和使用個人信息時必須遵循合法、正當、必要的原則,并且必須取得用戶的明確同意。應(yīng)用程序不得超出用戶同意的范圍收集個人信息,也不得通過欺騙、誤導(dǎo)等手段獲取用戶同意。
因此,即使用戶協(xié)議中明確披露了監(jiān)聽行為,如果這種行為違反了正當、必要原則獲取非必要授權(quán),或者用戶同意并非完全自愿,以此收集并使用用戶個人信息或侵犯用戶隱私,那應(yīng)用程序和服務(wù)提供商仍然可能面臨法律責任。
在實踐中,監(jiān)管機構(gòu)會對涉嫌侵犯用戶隱私權(quán)的行為進行調(diào)查,并根據(jù)調(diào)查結(jié)果采取相應(yīng)的法律措施。從2019年12月19日,工信部通報侵害用戶權(quán)益行為App開始,截至目前共通報42批,涉及多款存在超范圍收集個人信息、違規(guī)使用個人信息的APP及SDK進行了通報和處罰。筆者相信肯定有竊聽引發(fā)的,雖然工信部的通報比較簡要,單看通報內(nèi)容還沒辦法找出來具體涉及竊聽問題的服務(wù)商。
可能涉及的違法點有哪些?
假設(shè)CMG的行為發(fā)生在國內(nèi),其可能侵犯了用戶的隱私權(quán)和個人信息,具體體現(xiàn)在以下幾個方面:
1.涉嫌侵犯用戶隱私權(quán)
《民法典》第一千零三十二條規(guī)定,自然人享有隱私權(quán),任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權(quán)。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。CMG未經(jīng)用戶同意監(jiān)聽用戶說話,顯然屬于侵擾他人的私人生活安寧,侵犯了用戶的隱私權(quán)。
2.涉嫌非法收集用戶的個人信息
CMG的行為涉嫌以“竊取或者以非法方式獲取數(shù)據(jù)”,這具體包括:
(1)利用智能設(shè)備軟件非法監(jiān)聽用戶通話內(nèi)容,實時捕獲關(guān)鍵詞,竊取用戶個人信息;(涉嫌在未經(jīng)用戶同意的情況下擅自收集其通信內(nèi)容、地理位置等)
分析:盡管CMG稱其“主動監(jiān)聽”行為合法,理由是CMG已通過(在下載或更新應(yīng)用時同意了包含“主動聆聽”條款的)協(xié)議獲得用戶授權(quán)。然而,實際操作中,一些應(yīng)用程序可能會利用用戶對隱私政策的忽視或不理解,通過模糊的表述或復(fù)雜的條款來規(guī)避責任,從而獲得超范圍收集個人信息的權(quán)限,并獲得用戶的授權(quán)。
(2)從多個第三方數(shù)據(jù)源獲取用戶的信息或數(shù)據(jù),可能會以非正當手段獲取用戶個人信息。(涉嫌未經(jīng)授權(quán)非法獲取用戶個人信息)
分析:CMG通過結(jié)合多個數(shù)據(jù)的匹配,是能夠識別出特定用戶的個人信息或敏感個人信息,并未能徹底消除個人信息的可識別性,屬于從第三方獲得用戶的個人信息。因此,CMG從第三方獲取、收集和使用這些信息的行為可能涉嫌未經(jīng)授權(quán)非法獲取用戶個人信息。
3.涉嫌非法處理用戶的個人信息
CMG涉嫌非法處理用戶的個人信息,具體表現(xiàn)為:
(1)通過人工智能對從470多個來源的語音數(shù)據(jù)進行分析,即利用大數(shù)據(jù)對用戶進行用戶畫像;
(2)結(jié)合語言數(shù)據(jù)和產(chǎn)品服務(wù),識別潛在購買者,創(chuàng)建基于個人信息的受眾列表,即通過用戶畫像結(jié)合個人信息和敏感個人信息(如位置、愛好、需求等)進行分類;
(3)將受眾列表用于廣告投放平臺,實現(xiàn)針對性地推送廣告。
CMG通過“主動聆聽”的通信內(nèi)容,并結(jié)合多個來源,對數(shù)據(jù)的分析,以識別的自然人有關(guān)的各種信息,建立“受眾列表”,這些信息可能屬于個人信息和敏感個人信息的范疇。我國《個人信息保護法》規(guī)定,處理個人信息應(yīng)當遵循合法、正當、必要和誠信原則,不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。
盡管CMG聲稱其目標是為了提供更精確的服務(wù),但其實在未獲得充分授權(quán)的情況下,對用戶數(shù)據(jù)進行了深入挖掘和分析,這違反了數(shù)據(jù)處理的合法性、公正性和必要性等基本原則,從根本上侵犯了用戶的隱私權(quán),并導(dǎo)致了用戶的個人信息被濫用。
(文章僅代表作者觀點。責編郵箱:yanguihua@jiemian.com。)