编者按:随着智能语音技术的迅速发展,语音大数据已经成为越来越重要的信息资源,被广泛运用于包括家居在内的各个行业。但与此同时,在语音大数据的收集过程中,用户的隐私环境面临着威胁。南京师范大学新闻与传播学院博士研究生管佖路和顾理平教授在《传媒观察》2021年第6期发表论文,以智能语音产品——智能音箱的使用为例,探讨了语音大数据对用户的隐私环境所造成的多层次风险;并且通过对智能音箱使用者进行访谈,暴露出其对于隐私环境的感知缺乏,隐私意识和自我信息管理能力不足,这些因素都加大了用户语音数据和隐私环境被侵害的可能。最后,文章就如何维护用户隐私环境安全提出可行建议:无论是政策法规的制定,还是产品技术设计,基于用户能力和需求的准则都应该被确立和坚守。
基于不断成熟的智能语音交互技术,人与机器以语言为纽带的交流已经变得更加畅通,也更为人性化和多样化。语音成为最受欢迎的人机交流方式之一。在技术的支撑下,语音大数据的数量也以前所未有的速度增长。从长远看,智能语音交互技术和语音大数据将深远地改变社会大众的交流方式。
语音大数据市场的发展离不开智能语音产品的普及。其中,智能音箱是最有代表性的产品之一。智能音箱可以轻松实现开关电器、播放音乐、搜索菜谱、网络购物甚至安排旅游线路等生活服务。也正因为服务内容的广泛和数据收集场所的私密性,智能音箱被认为是家庭和私人场景下个人语音大数据的最主要入口。
本文以智能音箱为案例,探讨语音交互技术及语音数据的收集,给个体隐私环境所带来的多层次隐患和威胁。并通过与使用者的访谈,试图剖析用户对其所处隐私环境的认知和态度。
智能语音技术下的用户隐私风险
随着智能语音产品走入千家万户,语音大数据资源也越积越多,用途越来越广泛。然而,语音数据在收集和利用中的隐私风险也越来越大。从数据收集和挖掘的角度来说,公民数字化的言行能够被整合成有价值的隐私信息,公共空间和私人空间分野的消融促进了整合型隐私的产生。但从用户个体的体验和需求来说,隐私却不止是整合的,更是包含了多个层次,隐私环境的风险层层递进。罗杰克拉克(Roger Clarke)以马斯洛需求层次理论为基础,将用户隐私环境的多层次风险进行了全面阐释。他运用了其理论中自我实现需求、尊严需求、社交需求、安全需求和生理需求的“五层次”,提出了以隐私需求为核心的个人隐私价值体系(System of Privacy-values):包括身体隐私、个人行为隐私、个人交流隐私、个人数据隐私和个人经历隐私。克拉克提出的多层次隐私价值体系能够涵盖在智能音箱使用过程中,从具象到抽象、从低层次到高层次的用户隐私环境风险和威胁。
首先,对应马斯洛需求层次理论中的生理需求和安全需求,第一类隐私为身体隐私,即人们需要保护个人身体的物理信息。智能音箱对于用户身体隐私的侵犯主要集中在两方面,一方面是作为个人重要生物特征数据之一的声音本身,在智能音箱的使用中可能被侵犯——当数据管理和规范缺位,上传至云端的用户声音和产品序列号足以定位到个人。另一方面,基于声音信息开发出的一些智能音箱的升级功能可能给身体隐私带来更多威胁:例如智能音箱正在开发的新功能,可以通过比对记录下的音频样本,来监控心脏的不正常反应,当发现用户心脏器官突然停止而出现无法呼吸或喘气时,智能音箱可以自动发起求助;再比如,小度音箱接入百度搜索资源,为老人提供科学养生知识,并能够提醒老人按时吃药、测血压。而此项服务的前提是老人身体及健康信息在智能音箱面前全面曝光。
第二类隐私为个人行为隐私,对应着人的社交需求和尊严需求,具体指在私密场所(比如家庭中)用户的个人行为和活动隐私需要得到保护。使用智能音箱时,个人行为的发生地和具体活动信息很容易被获取。目前一些智能音箱运用的麦克风矩阵技术可以侦测附近物体表面的声音反射,从而自动感知具体的地理位置,这意味着智能音箱能够在私密的家居空间中,进一步细分出活动区域。此外,与智能音箱的互动,如通过智能音箱定制每天闹钟、设置备忘提醒、网购娱乐等,看似并不连贯的生活片段,在日积月累后足以勾勒出用户的行动规律和生活图景。智能音箱还能够获知用户社交需求的信息。通过导入手机通讯录或联系人,智能音箱的通讯功能可以实现拨打电话或者语音留言。一些智能音箱能够根据不同家庭成员的声音推送不同服务,实际上也是基于家庭人际关系信息的分析和处理。
第三类隐私是个人交流的隐私,也对应着社交需求、尊严需求和部分自我实现需求。个体需要保证个人的交流不受障碍,不受监听监控。这是智能语音技术发生侵害最容易且最普遍的用户隐私层面。早前谷歌和亚马逊公司均被媒体披露使用人工听取用户与智能音箱间的对话录音,用户的交流某种意义上被“监听”。此外,由于人工智能技术并未完善,误唤醒率高和不稳定仍然是所有智能音箱都面临的问题。在误唤醒情况下被语音收集,极大地侵害了用户交流的隐私。目前,大部分智能音箱的隐私条款中,既没有提及会有人工听记用户录音,也没有提及哪怕是误启动的状态下,对话也会被人工听取。因此,用户在不知情的情况下,其交流隐私已经被侵犯。
第四类隐私是个人数据的隐私。个人数据的隐私对应马斯洛需求体系的高等级需求,包括自尊需求和自我实现需求。这类隐私更强调个人拥有对于个人数据的处理权。智能音箱收集的数据不仅是语音数据,还包括有关个人信息的数据以及从第三方获取的共享数据。智能音箱的系统设计和依附的平台方,让用户在注册当下就可能授予智能音箱大量的个人信息。例如,天猫精灵使用淘宝平台为用户提供服务,用户需要按照淘宝平台的要求创建账户,以淘宝的用户名和密码登录天猫精灵客户端。智能音箱将用户信息提供给第三方技能和服务的同时,却并不对第三方如何处理用户数据负责。这些个人数据并不受到智能音箱的隐私政策保护,而取决于第三方技能提供方的隐私权政策。
第五类隐私有关个人经历的隐私对应个人最深层次的需求,这是最难量化和评估,其影响却也最为深远的隐私类别。当用户使用智能音箱,与语音助手聊天交谈,在某个时刻已经无从分辨其所面对的是机器还是朋友。媒体等同理论的研究范式认为,人们会将计算机、电视等媒体视为社会中的人,根据社会化线索(如语音、语言风格等),形成一定的社会规则(如以礼相待、互惠交往等),对其产生社会化反应(如信任、喜爱等)。运用在人与智能音箱的交往中,用户其实很难意识到自己究竟流露了多少个人感受和经历。甚至,用户与智能音箱的互动,并不完全是机器在为用户服务的过程,而是相互适应的过程:用户的所见所闻所感,在与智能音箱语音助手交互中也在潜移默化受到改变。从这个层面上来说,不仅用户的过往个人经历极易在交流中自我暴露,其也正在与智能音箱共同创造某种有关经历的隐私。
用户在个体隐私环境的体验和担忧
克拉克所提出的多层次隐私理论的最核心特点是其从个体需求与具体情境出发,重视个人感受与价值。延续这种理念,本文采用半结构式访谈的方式访问了13名智能音箱的使用者,讨论在智能音箱的具体使用中,用户是否意识到智能音箱给其隐私环境造成威胁以及采取怎样的隐私决策。考虑到过短时间的使用难以对访谈问题有所共鸣,因此本次研究只考虑使用智能音箱超过三个月的用户作为访谈对象。对于被访者按照N1-N13进行编码,访谈结束后的资料分析按照脆弱感知、隐私意识和信息管理三个维度进行归纳和总结。访谈开展于2020年8月份,在被访者的工作场所、家里,或以视频电话形式进行,每人访谈时间持续约30分钟。
本文对用户隐私担忧的访谈内容,按照脆弱感知、隐私意识和信息管理三要素进行编码分析。有关“脆弱感知”方面,受访者在使用智能音箱前的设想和行为准备,显示了他们在面对智能语音交互技术时,对于隐私环境的脆弱感知度很低,换言之,用户并未对可能的隐私风险有合理预判。用户在使用前对于智能音箱本身的特性和隐私风险认知是缺位的。此外,对于技术的初始设想简单化,也决定了用户对于隐私风险的预防程度较低。“跟手机程序一样的,能升级,越来越聪明,差不多就是能跟人互动的小机器人吧。”访谈中还发现,尽管智能音箱通常在相对私密的家庭环境中使用,但基本所有受访者其使用是公共的,家人抑或是客人都可以随时与之对话。这表明,不仅受访者个体缺乏对于隐私环境的脆弱感知,家庭其他成员也是如此。
在有关“隐私意识”的回答中,受访者通常能够意识到使用智能音箱时“自己的隐私一定会(部分)丧失”,但都倾向于对此表示宽容。即使13名受访者无一例外都遇到过智能音箱误启动的情况(即机器在没有唤醒词的情况下仍然启动),大部分(11名)表示这种情况可以接受。除了3名受访者主动提及自己在使用中偶尔会想到存在隐私风险,其它受访者对于自身的隐私环境均表示乐观,认为对自己的危害并不大。此外,没有一名被访用户从头至尾浏览过智能音箱的隐私条款。超过一半的受访者主动将智能音箱的隐私威胁与别的智能设备,如手机等相比较,指出智能音箱的隐私威胁更小。
在围绕“信息管理”能力方面,访谈发现用户采取主动控制个人隐私数据的行为并不多。约半数受访者表示,会在初始使用时进行智能音箱的权限设置,但没有用户会定期更新或检查智能音箱所获取的数据权限,例如查看智能音箱是否新授权了第三方技能引用获取自己的个人信息等。只有4名受访者在应用软件中查阅过自己与智能音箱的语音对话记录,但频次很少:没有一名用户在最近一周内查阅过记录。在对于个人隐私管理方式的态度和选择上,约有一半的受访者(7名)明确表示他们愿意放弃一部分隐私来得到方便。对于未来智能音箱如何保护用户隐私数据,被访者期待主要集中在确保用户信息匿名和保证语音交互中的敏感词汇不被上传这两方面。访谈中,全部受访者均谈到,科技公司应该承担最主要的保护用户隐私环境的责任。
访谈还显示了智能音箱的使用对于用户隐私环境产生侵害时所隐藏的其它问题。首先,在访谈中尽管被访者家庭中儿童使用智能音箱是常态,但没有一名受访者提及未成年子女的隐私泄露风险,以及在使用中如何保护未成年子女的个人信息。而两位年龄超过50岁的受访者均不同程度表达出对智能音箱的情感连结和依赖。鉴于智能语音交互技术对年长者和幼童更有吸引力,因此这两类人群与智能音箱的关联更紧密。然而,相对普通用户来说,老人与儿童的个人信息却更为敏感。再加上这两类人群很少或根本没有能力主动设置隐私权限,既不具有脆弱感知,更没有隐私意识和信息管理,其面临的隐私环境也就最为脆弱。
其次,受访者较为突出地表达了这样的隐私观念:只有放弃便利才可能获得隐私,而牺牲个体隐私环境则是获取便捷的必须代价。当用户和科技公司的关注点都在围绕如何在隐私和便利这两者取其一的时候,就会忽视更加核心和关键的问题:应该制定怎样的数据收集和处理规则,才能给用户带来真正长久的便利。
基于用户需求和体验的隐私保护设计
提高用户的隐私意识和管理个人隐私的能力,一直被视为解决隐私泄露和规制问题的最终出路。然而,个人的自主性和能力,需要由公权力和技术方支撑。这种支撑绝不仅仅是“亡羊补牢”式的,而应该是回归到用户需求和具体情境的“追根溯源”。因此,无论是政策设立,还是技术设计,都应该遵循以用户为本的原则。本文在梳理现有的隐私保护政策和产品的基础之上,就如何实现这一原则提出以下建议。
(一)考虑技术和产品特性,丰富用户信息处理权
对于智能语音交互技术可能造成的隐私侵害,国内外的主要隐私保护法案都有所回应。然而,将法规真正落到实处,切实改善用户的隐私环境,则需要更密切地关注智能语音技术和语音产品的技术特性给用户带来的特别隐患。例如智能语音产品多用于家居或车载等较为私密的场所,隐私等级高;音箱搭载数量众多的第三方软件缺乏统一的隐私政策体系;再如传统的“技术弱势群体”,譬如老人儿童是产品的重要用户群体,其信息需要特别保护等等。此外,法律还应让数据主体以便捷可行的方式,顺利实施信息处理权。在当前背景之下,用户主要依赖知情同意或自主退出,来实践其自身的信息处理权。而在强势的科技公司和技术力量面前,用户的同意和退出常常是“不知已同意”和“不得不退出”。因此,需要立足数据主体的现实条件和需求,解决个体在信息保护中的具体实践困境。如将个人信息处理行为加以区分和细化:在对不涉及人格尊严和自由发展的个人信息处理行为,可适用默示同意;反之,则应适用明示同意。不单一依赖数据主体的“同意”来保护个人隐私,也应是隐私保护相关法律的趋势。只有赋予数据个体明确的权利和易操作的实现方式,才能提高其维护自身隐私环境的动力和能力。
(二)回归用户需求,隐私保护嵌入技术设计
访谈发现,即使用户认为自己重视隐私保护,并且认为智能音箱存在隐私威胁,但在现实中采取的隐私保护措施仍然非常有限。这种一方面对于隐私问题有巨大担忧,另一方面又总在不断泄露自身隐私的“隐私悖论”,需要技术对用户隐私意识进行提醒和鼓励。当用户主动保护个人隐私环境意识缺位时,在产品设计中嵌入合理的隐私设计显得尤为重要。技术有责任关注如何将隐私保护预先嵌入产品设计中,以及如何与用户就个人隐私数据保护进行更加透明的沟通。隐私保护的相关研究已经证明,科技公司提高对信息处理实践的透明度、提供更为有效的隐私提醒,有助于提高用户隐私意识,并减少用户在作出隐私决策时的认知负荷。
在目前的技术实践中,设计隐私助推(Privacy Nudge)被证实对用户的隐私决定有明显作用:用户依赖技术设计的外部帮助和简短即时提示来迅速决定个人信息是否披露和服务是否接受。此外,在用户需要作出隐私决策时,为用户推送更多背景信息,例如信息被收集分析的总体频率是多少,有多少用户已经授权分享个人信息,也能够帮助用户减轻认知负荷,作出隐私决策。总之,设计更加有效的隐私通知界面和应用,为用户提供解释性信息来提高用户的隐私敏感度,是科技公司更迫切的责任所在。
(载《传媒观察》2021年06月号,原文约11000字,标题为:智能语音交互技术下的用户隐私风险——以智能音箱的使用为例。此为节选,图表和注释等从略,学术引用请参考原文。本文为国家社科基金重点项目“人工智能时代公民隐私保护研究”<19AXW009>阶段性成果。)
【作者简介】管佖路,南京师范大学新闻与传播学院博士研究生
顾理平,中国新闻史学会媒介法规与伦理研究委员会会长,南京师范大学新闻与传播学院教授,博士生导师