韩鑫海/文很多人都有过这样的经历：自己刚搜索过的商品赫然出现在了另一电商网站的推荐栏中，或者与朋友讨论过的商品出现在了某软件的广告弹窗中。屡见不鲜的“量身定制广告”不免让人疑虑是否被监视或监听。

人们的担忧并非多余。前不久有媒体报道，美国传媒巨擘考克斯公司在营销文件中披露其可以利用“主动聆听”软件收集手机用户的谈话内容，并可以根据谈话内容向用户个性化地投放广告。

人们私下聊天的内容属于个人隐私，未经同意的监听超出了人们对生活安宁的合理期待，无论在美国还是中国都是非法的。在我国，除承担民事侵权外，窃听他人隐私还需承担行政甚至刑事责任。

即便应用软件调用麦克风的权限事先经过了用户同意，也不意味着监听行为一定合法。根据我国《个人信息保护法》，个人信息的处理应当遵循合法、正当、必要和诚信原则，收集个人信息应当限于实现处理目的的最小范围。普通的手机软件通常不会有长期调用用户麦克风权限的必要性。

不过，现实而言，通过“监听”的方式个性化投放广告的情况并不常见。手机监听在技术上不难实现，但对本地语音持续监听和内容识别会极大地影响手机电量、流量和内存空间，容易被用户察觉，同时在法律上也风险巨大，并不划算。人们有被窃听的感觉，可能是因为幸存者偏差——我们每天接触到大量定向投放的广告，总有一定的概率遇到刚刚讨论过的某商品，并引起我们注意。

现实中，为实现定向投放广告，商家往往会选择另外一种方式：程序化广告。

程序化广告的运行机制大致是：当用户访问某一网页或手机应用时，广告供应方平台（SSP）向广告交易平台（AdX）发送用户标识信息（如用户Cook－ie、设备标识符等），数据管理平台（DMP）通过数据分析对用户进行识别和画像，广告需求方平台（DSP）根据DMP对用户的画像与广告主需求进行匹配，并对广告位进行竞价，价高者获得此次广告展示机会。据称，前述自动化过程可以在0.1秒内完成，用户难以感知。

程序化广告的运作逻辑并不复杂，即用户识别、画像、匹配广告需求，但因其运作过程中涉及众多参与主体，呈现出十分复杂的商业模式。参与的主体几乎都有机会接触用户数据，特别是在竞价模式下，用户画像信息会被披露给众多DSP，这些信息可能包括用户的年龄、性别、习惯偏好、位置、设备类型、上网搜索记录、浏览行踪等。但用户对其个人信息被收集、画像和分享的情况可能毫不知情。

根据《个人信息保护法》，经技术处理后无法识别主体身份且不能复原的个人数据，即匿名化的信息，不属于受保护的个人信息范畴；换言之，程序化广告使用、披露已匿名化的用户信息，不受《个人信息保护法》的约束。但现实的困境是，定向广告投放对识别用户的需求与匿名化之间存在天然的冲突，比如使用广告标识符（如苹果手机上的IDFA）替代手机国际移动设备身份码（IMEI）作为匿名化的用户标识信息，但广告标识符仍是起到关联用户手机的作用，进而可关联到用户。诸多研究表明，伴随着大数据分析工具的进化和对用户信息的积累，匿名化的信息仍可能重新具有识别性，因此匿名化信息并不能“一劳永逸”地保护用户的个人信息安全。程序化广告在信息收集、管理、流转、使用等方面都存在侵犯公民个人信息的可能风险。

需特别指出的是，用户接收到个性化推送的广告，并不代表其个人信息已实际遭到泄露。“量身定制”的观感、层出不穷的个人信息泄露事件和程序化广告运作规则的不透明，造成了民众的误解。此外，程序化广告积极的一面也不应被忽视，其不仅可以提高广告投放效率，还可降低用户搜索的成本。在互联网“免费模式”下，通过数据流量变现仍是诸多平台的主要营生模式，构成了数字经济重要的一环。因此，不能因为程序化广告存在问题就因噎废食、一棍子打死。

目前，我国多部法律法规已针对程序化广告制定了原则性规定，如要求向个人推送个性化信息，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。但现实中收集个人信息不规范的情况仍较为普遍，程序化广告运行机制不透明、信息匿名化标准不清晰、参与主体责任划分不明确等问题也仍待出台更加细化且有约束力的监管规定。除了完善法律法规，相关行政部门也应积极发挥监管执法职能，回应公众对隐私保护的关切，在经济效率、用户感受及个人信息安全之间拿捏好监管尺度。

（作者系北京市安理律师事务所合伙人）