韩新海/文 很多人都有过这样的经历：自己刚刚搜索的产品突然出现在另一个电商网站的推荐栏中，或者与朋友讨论的产品出现在某个软件的广告弹窗中。 “定制广告”的频繁出现，不可避免地引发人们是否被监控或被倾听的担忧。

人们的担忧并非多余。不久前，有媒体报道透露，美国媒体巨头考克斯公司在其营销文件中披露，该公司可以利用“主动监听”软件收集手机用户的对话内容，并根据对话内容向用户投放个性化广告。

人们的私人聊天内容属于个人隐私。未经同意的监控超出了人们对和平生活的合理期望，在美国和中国都是非法的。在我国，除了民事侵权之外，窃听他人隐私还需要承担行政甚至刑事责任。

即使应用软件调用麦克风的权限事先得到了用户的同意，也不意味着监听行为一定是合法的。根据我国《个人信息保护法》，个人信息的处理应当遵循合法、正当、必要、诚实信用的原则，个人信息的收集应当限制在实现处理目的的最小范围内。普通手机软件通常没有需要长时间调用用户麦克风权限的必要。

然而，现实中，通过“倾听”的个性化广告并不常见。手机监控从技术上来说实现起来并不困难，但持续监控本地语音和内容识别会极大地影响手机的电量、流量和内存空间，很容易被用户察觉。这也存在法律风险且不划算。人们感觉自己被窃听，可能是因为幸存者偏差——我们每天都会接触到大量的定向广告，总有一定的概率遇到刚刚讨论过的产品并吸引了我们的注意。

现实中，为了实现广告的针对性，商家往往会选择另一种方式：程序化广告。

程序化广告的运行机制大致如下：当用户访问网页或移动应用程序时，广告供应商平台（SSP）将用户识别信息（例如用户cookie、设备标识符等）发送到广告交易平台（AdX），数据管理平台（DMP）通过数据分析对用户进行识别和画像，广告需求方平台（DSP）根据DMP将用户画像与广告主需求进行匹配，竞价广告位。出价最高者赢得广告机会。据称，上述自动化过程可在0.1秒内完成，用户很难感知。

程序化广告的运作逻辑并不复杂，就是用户识别、画像、匹配广告需求。但由于其运作过程中涉及的参与主体较多，因此呈现出非常复杂的商业模式。几乎所有参与实体都有机会访问用户数据。尤其是在竞价模式下，用户画像信息会泄露给很多DSP。这些信息可能包括用户的年龄、性别、习惯和偏好、位置、设备类型、互联网搜索历史记录、浏览行踪等等。但用户可能不知道他们的个人信息正在被收集、分析和共享。

根据《个人信息保护法》规定，经技术处理后无法识别且无法恢复的个人数据，即匿名信息，不属于受保护的个人信息范畴；换句话说，程序化广告使用并披露匿名信息。用户信息不受个人信息保护法的约束。但真正的困境在于，识别用户身份以进行定向广告和匿名化之间存在天然的冲突。例如，使用广告标识符（如苹果手机上的IDFA）代替国际移动设备识别码（IMEI）作为匿名化用户识别信息，但广告标识符仍然起到链接用户手机的作用，进而可以链接给用户。许多研究表明，随着大数据分析工具的演进和用户信息的积累，匿名信息仍有可能再次变得可识别。因此，匿名信息并不能“一劳永逸”地保护用户个人信息的安全。程序化广告在信息收集、管理、传输、使用等方面存在侵犯公民个人信息的潜在风险。

特别需要指出的是，用户收到个性化推送广告并不意味着其个人信息实际上已被泄露。 “量身定做”的观感、层出不穷的个人信息泄露事件以及程序化广告运营规则的不透明，引起了公众的误解。此外，程序化广告的积极一面也不容忽视。不仅可以提高广告投放效率，还可以降低用户搜索成本。在互联网“免费模式”下，数据流量变现依然是不少平台的主要商业模式，形成数字经济的重要组成部分。所以，我们不能因为程序化广告有问题就不吃东西，或者把人打死。

目前，我国多项法律法规都对程序化广告制定了原则性规定。如果需要向个人推送个性化信息，应同时提供不针对其个人特征的选项，或者为个人提供便捷的拒绝方式。但现实中，不规范收集个人信息的现象仍然普遍存在。程序化广告运行机制不透明、信息匿名化标准不明确、参与主体责任划分不明确等问题仍有待更详细、更有约束力的监管规定出台。 。除了完善法律法规外，相关行政部门还应积极发挥监管和执法职能，回应公众对隐私保护的关切，在经济效益、用户体验和个人信息安全之间取得良好的平衡。

（作者系北京安理律师事务所合伙人）