不仅黄女士，山东泰安的王先生也称，其亲属和同事在家谈论某个商品，之后在购物网站就会推送相关产品广告。他表示曾听到过很多类似情况，疑似手机有窃听功能。在黑猫投诉平台，记者检索“手机偷听”“手机窃听”“手机监听”等关键词，投诉量超上百条。

记者近日调查发现，那些精准广告可以和自己“心有灵犀”的原因，它们在很大程度上来自推荐算法，基于用户以前点击、浏览、搜索和消费等大数据，被纳入到广告投放的用户画像里。

4月8日，记者查询10款主流App的个人隐私协议后发现，所有App都会将自有用户个人信息共享给第三方或合作伙伴。此外，某个服务App开发者的移动广告平台工作人员表示，对于双方的收益如何计算，要根据广告投放位置，以及App日活率，一般开屏广告按照千次展示来进行收益，大概收益15-30元/千次，然后再按照比例分成，广告商拿一成，App拿九成。

记者梳理发现，工信部在2023年共通报9批次存在侵害用户权益行为的App（SDK）及小程序，累计近300款。其中，强制、频繁、过度索取权限问题最严重。此外，违规收集个人信息、欺骗误导强迫行为和超范围收集个人信息也是常见侵害用户权益行为。

手机真被“监听”了吗？

对于聊天内容被“监听”，河北市民靳先生称，前段时间，他和朋友在车里聊天，朋友提及洗牙器的功能和功效，并建议购买。当时，他并未在意，也并未搜索相关产品。次日，他在看一款短视频App时，一小时内竟然接连三次刷到关于洗牙器的广告视频。

他猜测，那款短视频App“偷听”了自己与朋友的聊天，并通过抓取“洗牙器”这一关键词，对他进行精准广告推送。

实际上，中国电子技术标准化研究院网安中心测评实验室副主任何延哲也遭遇类似情况。他说，有一天他运动结束后膝盖疼，跟家里人聊天谈了膝盖问题，一会儿打开某短视频App时，弹出一位主播医生说膝盖疼该怎么办。“我当时就有点慌了，我都开始怀疑是否存在‘监听’。”

何延哲说，他仔细分析了一下这个短视频App，看到这位医生是科普主播，并没有打商业广告，这不排除碰巧刷到的可能，或者此前因为查看运动类视频，被推荐算法认为可能会关注运动损伤防护。

何延哲说，如果手机内的App监听或偷听用户，就需要用户把手机麦克风一直打开，手机能耗会增加，而且往往监听的场景涉及多个人，或者处于嘈杂环境中，这就需要通过降噪、方言识别、声纹辨识等技术才能获取到一些有价值的信息，从技术上可行，但实施起来性价比低，通过这个方法获取用户画像的信息，不如用户输入、搜索、浏览记录的价值高。此外，现在手机对于使用麦克风、摄像头等敏感权限都有“红点”提示，当麦克风权限被App调用，屏幕上方的角落里就有了提示。

在何延哲看来，通过App“监听”获取信息量价值低，但却要付出高成本和承担法律风险，显然是不明智的，因此App监听的可能性几乎不存在。当然，也可能存在一些恶意App偷听。比如，从一些不正规的渠道下载的涉赌涉黄涉诈等存在违法行为的App，在授权相关权限时，很多都是强制索要摄像头、麦克风、通讯录等权限，一旦授权，被隐蔽调用后上传信息，就很有可能被偷听。

清华大学法学院互联网法律与政策研究中心秘书长、北京清律律师事务所首席合伙人熊定中表示，未经许可而调用手机的麦克风功能，具体的方式是在获得麦克风功能调取权限之后，未经授权也能启动和进行分析，但不是普遍情况，对于所谓的“心有灵犀”可能跟输入法有关。

如果手机没有监听，如此精准的推送又如何实现呢？何延哲表示，这背后的逻辑比较复杂，究其根本逻辑，主要是两个方面：一是需要收集用户在设备上的行为数据进行画像，其中应用程序列表就是常见现象，使用哪些应用程序就代表了用户的生活习惯；二是需要收集用户设备的唯一标识信息，比如安卓ID，首先把用户画像匹配的精准广告推送到对应设备上，并对广告是否被使用该设备的用户点击、购买等进行关联和统计。因此，要完成互联网精准的个性化广告投放，这两方面缺一不可，而要完成这个过程，往往需要App、SDK和广告联盟等多方角色参与。

针对上述情况，中国电子技术标准化研究院网安中心深圳分中心刘丹丹演示了某App获取信息过程。她打开某桌面壁纸App，该App在打开过程中会主动弹出一个广告弹窗。此时，监测软件显示该App获取安卓ID的次数为38次，获取已安装的应用程序包信息为632次，而当选择点击这个广告弹窗后，此时获取安卓ID的次数已变为40次，获取已安装的应用程序包信息变为641次，这些信息之所以被反复收集，就是服务于App内投放广告的功能。

工信部发布关于侵害用户权益行为的App（SDK）通报（工信部官网截图）

熊文聪表示，首先，可以采取加大事后处罚力度的方法，一旦用户发现特定信息的处理严重损害了其个人合法权益，比如名誉权、隐私权和一般人格权等，在行政和司法救济力度上加大对涉案信息处理者的惩处，倒逼其在处理用户个人信息时，通过各种手段保护好用户的合法权益。另外，个人信息处理者应当提供“选择退出”机制，即当用户看到自己的个人信息被处理而感到不舒适时，用户有途径和方法便捷地要求信息处理者删除自己的个人信息，当然信息处理者可以提示用户，如果不允许处理其信息，则相应的网络服务（比如商品推荐功能）将被终止的后果，由用户自行判断要不要选择退出。此外，个人信息处理者应当向用户明示投诉通道和方式，当用户进行投诉时，接到投诉的个人信息处理者应当尽快回应投诉，并告知用户其是通过什么方式从哪里获取的该用户个人信息。

吴沈括认为，在SDK收集数据的过程当中，按照现在合规的要求，对于收集的范围、收集者就是SDK的主体以及数据的流向都要有一个明确的说明。包括获得相关主体，也就是从普通用户的同意等等针对App或SDK这些监管和监督，需要从主体的准入、业务的流程、非正常状态的响应处置，可以从事前、事中、事后三个层面要强化。

吴沈括表示，首先，在数据的收集处理时，交互共享的过程当中，要遵循包括双清单在内的各项合规要求，特别是尊重用户的知情同意权利。其次，满足用户合法的权利要求、权利期待，同时建立有效的投诉举报机制，及时响应用户的投诉和举报。另外，建立实时监测的机制，对于非法和其他非正常情形做出一个有效、及时的响应和处置机制。

此外，北京市京都律师事务所高级合伙人、中国计算机协会数据安全产业专家委员会专家委员王菲提醒，用户下载App在勾选相关隐私政策协议时，还是需要仔细阅读。比如，App或SDK获取哪些权限，权限中哪些是开启状态，不相关的、涉及隐私的要手动关闭，把所有不影响正常使用的授权全部关闭，避免在不知情的情况下被收集个人信息。

责任编辑：王举