從網絡語言監聽論語言生物信息安全＊

陳祥雨，劉 暢

（東南大學外國語學院，江蘇 南京 211189）

生物科技的深入發展在給人類社會帶來福祉的同時，也對生態環境和社會生活的正常秩序構成了一定威脅，引起國際社會對生物安全問題的廣泛關注。生物安全指生物的生存及生態系統的結構不受人類不當活動的干擾和侵害[1]。由此，生物安全問題便指人類生產生活的不當活動對生物的正常生存與發展造成的損害[2]。2020年新型冠狀病毒肺炎的爆發表明生物領域在維護國家安全、促進可持續發展方面的重要意義，也為進一步重視國家生物安全提出了現實要求。在此背景下，2020-02-14，習近平總書記在中央全面深化改革委員會第十二次會議上強調，“要從保護人民健康、保障國家安全、維護國家長治久安的高度，把生物安全納入國家安全體系，系統規劃國家生物安全風險防控和治理體系建設，全面提高國家生物安全治理能力”。這一重要論述標志著生物安全建設將被納入國家戰略，在豐富國家總體安全觀、保障人民群眾的生命健康、維護經濟社會的長治久安上有更大作為。

生物信息是調節和控制生命活動的信號，由生物遺傳信息和能夠描述生物體性狀的各類衍生信息構成，如指紋、面部特征、虹膜、聲音、基因、步態、筆跡等。鑒于自然人的生物信息具有獨一無二、不可替換的特性，基于個人生物信息的識別技術已被廣泛應用到軍事防御、治安防控、醫療衛生、軌道交通等社會生活領域，由生物識別而帶來的個人信息泄露也將直接導致生物原始特征曝光，侵犯個人關鍵信息安全。與此同時，部分發達國家牽頭的國際生物信息資源競爭也日趨激烈，通過匯集、控制甚至隱性掠奪生物信息謀求高額利潤或達到軍事目的[3]。由此可見，生物信息發展為公民隱私與國家安全帶來了新挑戰，生物信息安全成為商業競爭和國際戰略博弈的新疆域，建設生物信息安全體系的重要性也上升至關乎科技產業長期穩定發展和國防安全的層面。

語言與指紋、人臉一樣，屬于生物信息的范疇。人類個體及群體語言表現出可識別的特征屬性，從中能夠提取可識別、可重復的生物特征樣本數據，如個體聲紋身份鑒定、群體方言識別鑒定等，具有生物信息獨一無二的屬性，一旦泄露便終身失效。近年來，隨著信息技術的巨大發展，中國多類智能設備相繼推出了基于用戶語音的身份認證服務，一些社交或即時通訊類應用也可以得到用戶的大量語言信息。盡管技術本身是中性的，但使用不當會對個人信息安全構成風險[4]，如用戶的網絡乃至現實行為被監視、企業收集的個人數據遭到不適當公開等。此外，在維護生物信息安全的國家戰略指引下，盡管已有越來越多學者就如何運用法律法規、科技產業、行政監管等多種手段提升中國的生物信息綜合安全能力提出了有益見解[1，5-7]，但有關語言生物信息安全的專門研究還相對缺乏，學界有待就如何確保語言信息在收集、流通、利用和管理等各個環節不會對個體或社會造成消極影響展開更深入的探討。并且，落實習近平總書記講話精神、開展國內生物安全相關研究也需要與其他學科的理論方法相融合，通過切換不同的學科視角，增加生物安全研究和實踐探索的寬度和深度[8]。

由此看來，語言生物信息安全研究能夠將生物安全與語言學科結合，不僅符合信息時代公民保護自身信息安全的現實需要和國家發展安全策略的戰略布局，有助于延展生物安全研究的學科視野，也體現了在語言政策與規劃對國家非傳統領域安全的重要性與日俱增的背景下[9]，將生物安全融入到政府、企業等組織機構的語言規劃實踐中的可循路徑，有利于深化語言學科的研究內容。因此，本文將以網絡語言監聽為例分析中國語言生物信息安全情況，以期為進一步加強語言信息安全保護提供有益對策。

1 網絡語言監聽的分類

1.1 用戶瀏覽文字監聽

用戶瀏覽文字監聽指網絡服務商有目的地主動記錄并分析用戶瀏覽過的文字信息。近年來，隨著人們對手機終端傳遞信息和獲取服務依賴程度的提高，這類監聽常見于搜索引擎和網購平臺，具體如下：搜索引擎能夠記錄并顯示用戶的最近瀏覽歷史，并在一定時間段內允許用戶恢復關閉的頁面，甚至有時即使用戶在瀏覽商家網頁時沒有留下聯系方式也會收到推銷電話；購物軟件可以監控并分析用戶花費更多時間瀏覽的商品，并在用戶下次打開APP 時將這些商品標注成“最近瀏覽過”放至首頁，或在用戶關閉購物軟件后一段時間內發送手機短信以再次引起顧客對瀏覽商品的關注，爭取購物行為的發生；社交平臺也有監測用戶本人和已添加好友最近訪問、最近關注的功能等。盡管商家可以通過記錄用戶的瀏覽信息帶來一定的個性化便捷服務，如幫助用戶減小意外關閉活動窗口帶來的損失、有重點地挑選商品、獲取工作進度等，但與此同時，用戶的瀏覽數據被供應商掌握也意味著更大的隱私泄露、個人信息被失效的風險。

2018年，問答網站鼻祖Quora 的計算機系統遭黑客侵入，造成上億用戶的瀏覽記錄等被網站主動觀測到的數據或已泄露。鑒于Quora 龐大的用戶群，每月至少有3 億人使用Quora 參與對政治、宗教信仰等相關話題的討論，因此服務商通過主動記錄或分析用戶瀏覽記錄而得到的個人偏好等信息將面臨流失，可能為用戶帶來巨大的損失。2019年3月，總部位于深圳的上市公司跨境通旗下的自營跨境電商平臺Gearbest因服務器漏洞泄露了數百萬用戶的個人信息和購物訂單。Gearbest 以經營電子類業務為主，服務客戶包括華碩、華為、英特爾和聯想等品牌，泄露的數據包括訂單軌跡、支付和發票等由企業主動觀測到的信息，引起了全球范圍的輿論反響。

1.2 用戶輸入文字監聽

用戶輸入文字監聽即網絡服務供應商有目的地主動記錄并分析用戶輸入過的文字。用戶輸入文字監聽常與廣告的精準投放相關，如在搜索引擎輸入單詞或查詢英語學習方法，頁面卻自動彈出了成人口語速成班或各類英語培訓機構的廣告；消費者最近在購物平臺搜索過女裝，女裝商品就會自動出現在APP 主頁面的推薦欄中，并標注“猜你感興趣”；用戶在即時通信軟件的聊天信息也會被各類商戶關注，通過監聽聊天內容獲取用戶的星座、生日、年齡、所在地區等進行有針對性的廣告文案編輯，并投放至用戶經常瀏覽的好友動態分享頁面；輸入法也會記錄并分析用戶的慣用語，甚至在輸入文字后彈出一些相關的廣告產品或直接打開購物軟件等。當然，由此類語言信息監聽而引發的安全事件也屢見不鮮，2017年，一家醫療服務機構存儲在亞馬遜上的約47 GB 的文件遭到意外泄露，造成至少15 萬病人的就醫情況以及醫生的病例管理筆記等具有商業價值的語言文字內容流失；同年，中國58同城求職網址因服務器安全問題泄露了2億條由用戶提供的包括電子郵箱、電話、期望薪資在內的簡歷信息和與招聘單位的溝通記錄，這些信息一旦被不法分子利用，將導致不可追回的后果。上述案件表明服務供應商主動記錄并分析用戶輸入過的文字可能對個人信息安全造成潛在風險。

1.3 用戶被動語音監聽

用戶被動語音監聽的定義為用戶在無意識的狀態下被后臺運行的APP 監聽對話語音并提取文字信息。例如用戶在與朋友的語音聊天中談到考研報名，幾分鐘后便接到詢問是否對考研課程感興趣的推銷電話，或是打開購物軟件后首頁就會推送考研科目的輔導書，如果使用PC 端瀏覽器還可能出現在線考研輔導班的廣告彈窗等。此外，不同的APP 之間也有用戶信息分享之嫌，如在某購物平臺搜索商品，打開另一購物軟件后也會推送相關品牌或類別的商品。因網絡服務供應商對用戶實行被動語音監聽而引發的安全事件時有報道。2018年3月，Facebook 卷入了史上最嚴重的個人信息泄露風波，一家名為劍橋分析的英國數據機構公司，在未告知用戶并未獲得其授權許可的情況下違規獲取了Facebook 上5 000 萬名用戶的個人信息。此次數據泄露源于Facebook 開放API 接口讓第三方公司在平臺上提供心理測驗或者各種小游戲以豐富社交平臺的內容，并通過在社交圈內分享來提高關系網的黏著度。這種權限一旦開放，后果遠遠超出了預期。事實上，劍橋分析早在2014—2015年就曾邀請Facebook 用戶參加性格測試，并在此期間于后臺盜用竊取了包括用戶身份、朋友清單和贊過的內容等廣泛的個人數據。包括語音文字信息在內的數據流失將可能被用作描述測寫網民，并在網民關心的公共事件上用更能讓他們產生共鳴的語言和圖像給予信息，進而操縱社會輿論，造成深遠的政治影響。

根據上述討論可知，用戶瀏覽文字和輸入文字監聽屬于用戶主動釋放語言信息，其文字或語音被服務供應商關注并利用。用戶在多向信息交流（例如購物、網頁搜索、文字通訊交流）的過程中，作為信息發起的一方，必須主動提供個人數據以獲得想要的服務或信息，而信息的提供則多以語言為載體。與此不同的是，用戶被動語音監聽屬于用戶非主動地信息收集和分析，即APP 在后臺運行，語言信息在采集和利用的過程中并未由用戶主動要求或現場實時確認過，因此具有更強的隱蔽性和未知性，這也大大增加了用戶防范個人信息泄露和被非法利用的難度。

2 網絡語言監聽的根源分析

2.1 以商業利益為終極目標的市場競爭

互聯網經濟的發展在一定程度上造成了企業一心追逐商業利益，先講利、再講害的市場競爭風氣。大數據技術創新關聯著財富創造[10]，網絡服務商可以通過技術創新搜集、匯聚、挖掘并利用人們生產的瑣碎數據，探測特定產品的市場前景，抓住潛在的商機。以網絡消費為例，從2013年起，中國已連續7年成為全球最大的網絡零售市場。2020年，在新冠肺炎疫情爆發的嚴峻形勢下，網絡零售的重要性進一步凸顯，截至2020年6月，中國網絡購物用戶規模達7.49 億，占網民整體的79.7%，網絡零售占社會消費品零售總額的比例也已達到25.29% （此數據來自2020 中國互聯網消費生態大數據報告）。網絡經濟對企業追逐市場利潤、開辟新藍海、實現創新發展的戰略意義可見一斑，經營者也因此將更多關注點放在如何決策以把握最新的網絡消費趨勢上，相較之下對消費者信息安全權益的保護卻有所忽視，更有企業甚至將通過包括監聽在內的各種渠道獲取和挖掘用戶的個人數據視作利潤增長的突破口，基于掌握的海量數據，通過科學方法進行用戶分析、預測市場走向，進而推出更受目標群體青睞的產品和服務[11]。如谷歌會對用戶的網頁瀏覽、購物記錄進行復雜的統計算法，分析推導出用戶的購物偏好、消費能力、休假意向等隱私信息，并據此精準投放廣告以爭取消費行為。由此看來，以商業利益為終極目標的市場競爭促使商家對各個節點的個人數據進行監聽、分析和整合，建立起包括地址、電話、愛好在內的信息體系，大大降低了用戶對個人信息的主動控制權。

2.2 供應商有過度操縱用戶個人信息之嫌

隱私權指自然人個人信息不被侵犯、不涉及公共利益的個人活動及空間以及住宅等不被他人騷擾，并且受到法律保護的權利[12]。在網絡壞境中，APP 以提供服務為由向用戶索要語音或文字權限，而用戶必須無條件服從以獲得所需的功能。在這種情況下，運營商很有可能對用戶的語言行為展開監聽，如消費平臺監聽用戶的通話記錄甚至平時的閑聊，讀書軟件等非必須使用錄音功能的應用甚至也會索要權限來推廣廣告，部分社交軟件的數據收集范圍甚至涉及聊天記錄、發表的私密文字等，均有對用戶信息的過度搜集之嫌。相關商家為了加強合作，還會允許消費者用一個賬戶授權登錄多個網站或APP，消費者因為操作方便往往會選擇直接登錄，造成第三方平臺在看似退出后實則仍在后臺運行，于無形之中監聽用戶的語言行為，對賬戶安全構成極大的威脅。

此外，一些網絡運營者也未遵循公開透明的原則制定完善的隱私政策，給予用戶切實保障自身知情權與隱私權的明確依據，如在隱私政策中未說明其保護用戶信息安全的具體措施和當用戶個人信息遭到披露、篡改、損毀時的應對機制[13]，有些甚至還未闡明所收集的個人數據的真正去向和用途，為企業在用戶無法拒絕或不知情的情況下同第三方交易、給消費者推銷產品、發布精準廣告留下了余地。即使服務供應商明確說明不會主動共享所收集的語言信息，他們仍有可能規定諸如將數據用于提供特定內容，包括但不限于展示廣告、進行人群畫像、推出個性化服務等條款，意味著用戶必須接受商家的網絡監聽并將其用于投放廣告的商業行為，而且“包括但不限于”這樣的描述也未盡到明確告知的義務，給用戶維權帶來了困難。同時，很多APP 的隱私條款只位于首頁最底部小字部分，在查找和閱讀時非常不方便，并且當企業更新隱私政策時，往往不會及時主動地通知用戶，不免有故意淡化隱私保護責任之嫌。

最后，一些電信運營商還會與學校達成合作向廣大學生推銷家校聯系產品或合約手機業務，強制消費者只能使用特定供應商提供的業務。這樣的霸王條款不僅剝奪了用戶選擇更有利于自身信息安全服務的權利，也為企業打下一劑定心針，使其包括語言信息監聽在內的不當商業行為難以得到市場的規范和監督。考慮到在來自購物、學習、社交、旅游、娛樂等各類渠道的數據內容可以交叉檢驗的大數據時代，個人信息與社交圈、位置、娛樂活動等看似獨立的數據和行為痕跡早已形成相互關聯的信息網絡，使人們的身份很容易被識別，加之數字信息的易復制性和終身有效性，不良網絡服務商過度操縱個人信息，使用戶的信息安全保護處于被動局面。

2.3 法律監管有待完善

面對網絡用戶信息安全風險日益加劇的嚴峻形勢，當前中國在網絡生物信息安全管理上仍存在諸如信息安全法律法規不健全，高素質的信息安全管理和技術人才不足，政府、企業和用戶之間缺乏有機聯動并缺少建立各司其職、相互配合的信息安全職能劃分體系等[14]。就法律約束而言，目前中國關于生物信息的規范性文件仍十分欠缺，調整基于生物信息發生的社會關系的法律更是幾近空白[3，6]。在對企業操控用戶個人生物信息行為進行法律規范和監管的呼聲下，2020-05-28，第十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》（以下簡稱“民法典”）對包括自然人聲音在內的生物信息保護做出了更加明確的法律規定，首先，用戶聲音等生物識別信息的采集不得通過偷拍、偷錄等方式，任何組織或個人不得在未經權利人的明確同意或者法律另有規定的情形下，竊聽、公開他人的私密活動；其次，在收集、存儲、使用、加工和傳輸個人信息時，要遵循合法、正當、必要原則，既要征得該自然人或者其監護人的同意，明示處理信息的目的、方式和范圍不違反法律、行政法規和雙方的約定，又要遵循合理實施、符合比例原則，即收集個人信息是為了服務于人，符合用戶使用APP 的目的；最后，信息處理者應當采取技術和其他管理措施，確保其收集或存儲的用戶信息不會被泄露、篡改和丟失[15]。民法典為進一步完善個人信息保護的法律體系提供了基本法支撐和重要的立法依據，是維護個人生物信息安全的有力盾牌。但與此同時，鑒于民法典采用的還是個人信息保護的說法，并未將個人信息以獨立人格權的形式加以保護[16]，因此《個人信息保護法》的專門立法工作仍須有序推進，規定維護個人信息權的具體可操作的法律規則，在保護個人信息安全的同時促進對個人信息的合理收集和有益使用[12]。

3 改善網絡語言監聽現象的對策分析

3.1 完善個人生物信息保護的法治建設

生物安全立法是保護中國生物信息安全的必然要求。依據學者對國內生物安全研究的總結，生物安全立法是近年來的熱點主題之一，但其核心主要圍繞如何確保生物技術的科學合理使用，如轉基因生物安全監管的立法分析、生物安全損害賠償等[8]，相比之下，個人生物信息在新科技革命中體現出的多元形式和巨大價值仍需得到更多的關注。為此，需對侵犯個人生物信息的行為，如不經過自然人的同意對之進行錄像拍攝、使用錄音或通訊錄權限等進行規定，尤其要為一些打擦邊球的非法活動提供明確的有效識別和依法處置的依據，通過將網絡供應商必須盡到告知義務[17]、信息安全監管機構的職責劃分以及公民生物信息遭到侵犯時行之有效的維權手段等寫進法律規章，進一步規范生物識別信息的采集、用途、監管和維護，并由相關監管機構進行不定期的抽查和測評，對拒絕履行網絡安全管理義務致使用戶信息泄露的網絡供應商依法追究刑事責任，從立法、執法和司法3個方面協調出擊[15]，解決好管理網絡語言監聽中存在的發現難、取證難、處理難的問題。因此，完善信息安全法治建設對約束企業監聽行為、幫助用戶維權、指導行政職能部門檢查評估、服務指導和處罰違規具有重要意義，是完善生物信息安全管理的突出問題之一。

3.2 明確網絡服務商保護用戶生物信息安全的主體責任

網絡與生物信息安全治理體系的建設離不開企業治理能力的提升以及企業安全產品和業務的推進。網絡服務提供者在維護用戶生物信息安全方面負有主體責任，必須將保證用戶信息安全、建立客戶信任感作為企業提升市場核心競爭力和綜合實力的戰略路徑之一，結合組織、制度、機制隊伍等方面統籌考慮，不斷創新。為此，首先，應加強網絡服務行業自律，行業自律對提高企業保護用戶隱私的責任意識、規范行業發展具有更直接靈活的指引作用[18]，商家可以通過自覺制定并遵守自律公約和獎懲機制的方式互相監督，改善秘密收集用戶語言信息的不良局面，減少引誘、誤導用戶甚至將用戶數據肆意泄露或低價倒賣給第三方的惡意行為。加強網絡行業的自律機制可以填補實體法的許多漏洞，是保護用戶生物信息不可忽視的環節。其次，互聯網企業應在組織和戰略層面建立獨立垂直的安全治理架構，圍繞數據的生成、使用、存儲、傳輸、銷毀等生命周期各階段明確安全崗位責任，提升網絡安全組織能力。最后，考慮到技術漏洞是威脅個人隱私不可忽視的風險來源[19]，企業須在預測、檢測、響應和防御等網絡安全領域加大技術研發力度，推動5G、AI、大數據等新技術在網絡安全領域的進一步廣泛應用，通過數據庫加密、數據庫防火墻、感知安全態勢、評估系統漏洞、安全事件系統化管理等手段提高防范和應對種植病毒、入侵數據庫等犯罪行為的能力[20]，有效應對網絡安全新挑戰。

3.3 提升用戶對個人語言生物信息的重視程度與保護能力

盡管語言信息等生物信息的保護與公民個人的安全權益息息相關，但在互聯網普遍使用的背景下，用戶對個人信息的自我保護意識仍有待提高。針對中國網購用戶的研究表明，消費者一旦習慣了線上購物帶來的便捷和豐富，即便感知到網購對其個人隱私造成的威脅，其內生消費需求也會促使他們繼續線上購物，只是其中一些隱私關注程度高的用戶會選擇在熟悉的平臺反復消費以減少風險，而非輕易地規避消費；同時，用戶很大程度上認為企業用更好的服務和折扣來獲取消費者信息的行為是無可非議的，他們也愿意為獲得經濟利益或個性化的服務帶來的價值而披露個人信息[21]。由此看來，對公民進行網絡時代下生物信息保護之重要性和有效途徑的教育普及的需求是緊迫的。為此，用戶一方面要對自己的語音內容保持敏感，一旦發現有泄露的可能，應及時檢查APP 索要或已經獲取的隱私權限，必要時還應刪除網頁或平臺的瀏覽痕跡以及一些跟蹤網絡行為的臨時文件，同時謹慎使用身份認證和網上支付；另一方面要了解維權的有效途徑，例如根據民法典對個人信息主體所設權利的規定，用戶可以依法向網絡供應商提出查閱或者復制個人信息，發現企業違反法律、行政法規或未按雙方約定處理其個人信息的，有權采用強制手段讓對方立即刪除并停止一切利用個人信息牟利的商業活動[15]。因此，加大社會宣傳，普及生物信息安全知識，讓民眾便捷地獲取相關信息并產生相應的行動，對提升公眾安全意識、維護生物信息和個人隱私乃至國家安全具有重要意義。

4 結語

在當前中國信息化進程全面加快、互聯網業務激增與數據流動性加劇的背景下，個人生物信息安全保護面臨的挑戰不斷升級[22]，應當受到學界和社會的高度重視。本文聚焦互聯網環境下的用戶語言生物信息安全現狀，從網絡語言監聽現象入手，通過分析網絡服務商對用戶瀏覽文字監聽、用戶輸入文字監聽和用戶被動語音監聽的具體表現和產生的根源，認為加強個人語言生物信息安全首先應完善信息安全法制建設，為安全管理提供執法依據，同時形成職能明確、責任落實、有機配合的監管體系，充分調動政府、企業和個人的積極性，既滿足用戶保護個人信息的需求，又明確網絡運營者收集使用信息的權利和保護用戶信息的義務，同時規范政府機關利用和管理信息的雙重責任[12]，更好地回應信息化時代所產生的個人語言信息的收集與處理問題，構筑國家語言生物信息安全保障體系。