陈祥雨，刘 畅

（东南大学外国语学院，江苏 南京 211189）

生物科技的深入发展在给人类社会带来福祉的同时，也对生态环境和社会生活的正常秩序构成了一定威胁，引起国际社会对生物安全问题的广泛关注。生物安全指生物的生存及生态系统的结构不受人类不当活动的干扰和侵害[1]。由此，生物安全问题便指人类生产生活的不当活动对生物的正常生存与发展造成的损害[2]。2020年新型冠状病毒肺炎的爆发表明生物领域在维护国家安全、促进可持续发展方面的重要意义，也为进一步重视国家生物安全提出了现实要求。在此背景下，2020-02-14，习近平总书记在中央全面深化改革委员会第十二次会议上强调，“要从保护人民健康、保障国家安全、维护国家长治久安的高度，把生物安全纳入国家安全体系，系统规划国家生物安全风险防控和治理体系建设，全面提高国家生物安全治理能力”。这一重要论述标志着生物安全建设将被纳入国家战略，在丰富国家总体安全观、保障人民群众的生命健康、维护经济社会的长治久安上有更大作为。

生物信息是调节和控制生命活动的信号，由生物遗传信息和能够描述生物体性状的各类衍生信息构成，如指纹、面部特征、虹膜、声音、基因、步态、笔迹等。鉴于自然人的生物信息具有独一无二、不可替换的特性，基于个人生物信息的识别技术已被广泛应用到军事防御、治安防控、医疗卫生、轨道交通等社会生活领域，由生物识别而带来的个人信息泄露也将直接导致生物原始特征曝光，侵犯个人关键信息安全。与此同时，部分发达国家牵头的国际生物信息资源竞争也日趋激烈，通过汇集、控制甚至隐性掠夺生物信息谋求高额利润或达到军事目的[3]。由此可见，生物信息发展为公民隐私与国家安全带来了新挑战，生物信息安全成为商业竞争和国际战略博弈的新疆域，建设生物信息安全体系的重要性也上升至关乎科技产业长期稳定发展和国防安全的层面。

语言与指纹、人脸一样，属于生物信息的范畴。人类个体及群体语言表现出可识别的特征属性，从中能够提取可识别、可重复的生物特征样本数据，如个体声纹身份鉴定、群体方言识别鉴定等，具有生物信息独一无二的属性，一旦泄露便终身失效。近年来，随着信息技术的巨大发展，中国多类智能设备相继推出了基于用户语音的身份认证服务，一些社交或即时通讯类应用也可以得到用户的大量语言信息。尽管技术本身是中性的，但使用不当会对个人信息安全构成风险[4]，如用户的网络乃至现实行为被监视、企业收集的个人数据遭到不适当公开等。此外，在维护生物信息安全的国家战略指引下，尽管已有越来越多学者就如何运用法律法规、科技产业、行政监管等多种手段提升中国的生物信息综合安全能力提出了有益见解[1，5-7]，但有关语言生物信息安全的专门研究还相对缺乏，学界有待就如何确保语言信息在收集、流通、利用和管理等各个环节不会对个体或社会造成消极影响展开更深入的探讨。并且，落实习近平总书记讲话精神、开展国内生物安全相关研究也需要与其他学科的理论方法相融合，通过切换不同的学科视角，增加生物安全研究和实践探索的宽度和深度[8]。

由此看来，语言生物信息安全研究能够将生物安全与语言学科结合，不仅符合信息时代公民保护自身信息安全的现实需要和国家发展安全策略的战略布局，有助于延展生物安全研究的学科视野，也体现了在语言政策与规划对国家非传统领域安全的重要性与日俱增的背景下[9]，将生物安全融入到政府、企业等组织机构的语言规划实践中的可循路径，有利于深化语言学科的研究内容。因此，本文将以网络语言监听为例分析中国语言生物信息安全情况，以期为进一步加强语言信息安全保护提供有益对策。

1 网络语言监听的分类

1.1 用户浏览文字监听

用户浏览文字监听指网络服务商有目的地主动记录并分析用户浏览过的文字信息。近年来，随着人们对手机终端传递信息和获取服务依赖程度的提高，这类监听常见于搜索引擎和网购平台，具体如下：搜索引擎能够记录并显示用户的最近浏览历史，并在一定时间段内允许用户恢复关闭的页面，甚至有时即使用户在浏览商家网页时没有留下联系方式也会收到推销电话；购物软件可以监控并分析用户花费更多时间浏览的商品，并在用户下次打开APP 时将这些商品标注成“最近浏览过”放至首页，或在用户关闭购物软件后一段时间内发送手机短信以再次引起顾客对浏览商品的关注，争取购物行为的发生；社交平台也有监测用户本人和已添加好友最近访问、最近关注的功能等。尽管商家可以通过记录用户的浏览信息带来一定的个性化便捷服务，如帮助用户减小意外关闭活动窗口带来的损失、有重点地挑选商品、获取工作进度等，但与此同时，用户的浏览数据被供应商掌握也意味着更大的隐私泄露、个人信息被失效的风险。

2018年，问答网站鼻祖Quora 的计算机系统遭黑客侵入，造成上亿用户的浏览记录等被网站主动观测到的数据或已泄露。鉴于Quora 庞大的用户群，每月至少有3 亿人使用Quora 参与对政治、宗教信仰等相关话题的讨论，因此服务商通过主动记录或分析用户浏览记录而得到的个人偏好等信息将面临流失，可能为用户带来巨大的损失。2019年3月，总部位于深圳的上市公司跨境通旗下的自营跨境电商平台Gearbest因服务器漏洞泄露了数百万用户的个人信息和购物订单。Gearbest 以经营电子类业务为主，服务客户包括华硕、华为、英特尔和联想等品牌，泄露的数据包括订单轨迹、支付和发票等由企业主动观测到的信息，引起了全球范围的舆论反响。

1.2 用户输入文字监听

用户输入文字监听即网络服务供应商有目的地主动记录并分析用户输入过的文字。用户输入文字监听常与广告的精准投放相关，如在搜索引擎输入单词或查询英语学习方法，页面却自动弹出了成人口语速成班或各类英语培训机构的广告；消费者最近在购物平台搜索过女装，女装商品就会自动出现在APP 主页面的推荐栏中，并标注“猜你感兴趣”；用户在即时通信软件的聊天信息也会被各类商户关注，通过监听聊天内容获取用户的星座、生日、年龄、所在地区等进行有针对性的广告文案编辑，并投放至用户经常浏览的好友动态分享页面；输入法也会记录并分析用户的惯用语，甚至在输入文字后弹出一些相关的广告产品或直接打开购物软件等。当然，由此类语言信息监听而引发的安全事件也屡见不鲜，2017年，一家医疗服务机构存储在亚马逊上的约47 GB 的文件遭到意外泄露，造成至少15 万病人的就医情况以及医生的病例管理笔记等具有商业价值的语言文字内容流失；同年，中国58同城求职网址因服务器安全问题泄露了2亿条由用户提供的包括电子邮箱、电话、期望薪资在内的简历信息和与招聘单位的沟通记录，这些信息一旦被不法分子利用，将导致不可追回的后果。上述案件表明服务供应商主动记录并分析用户输入过的文字可能对个人信息安全造成潜在风险。

1.3 用户被动语音监听

用户被动语音监听的定义为用户在无意识的状态下被后台运行的APP 监听对话语音并提取文字信息。例如用户在与朋友的语音聊天中谈到考研报名，几分钟后便接到询问是否对考研课程感兴趣的推销电话，或是打开购物软件后首页就会推送考研科目的辅导书，如果使用PC 端浏览器还可能出现在线考研辅导班的广告弹窗等。此外，不同的APP 之间也有用户信息分享之嫌，如在某购物平台搜索商品，打开另一购物软件后也会推送相关品牌或类别的商品。因网络服务供应商对用户实行被动语音监听而引发的安全事件时有报道。2018年3月，Facebook 卷入了史上最严重的个人信息泄露风波，一家名为剑桥分析的英国数据机构公司，在未告知用户并未获得其授权许可的情况下违规获取了Facebook 上5 000 万名用户的个人信息。此次数据泄露源于Facebook 开放API 接口让第三方公司在平台上提供心理测验或者各种小游戏以丰富社交平台的内容，并通过在社交圈内分享来提高关系网的黏着度。这种权限一旦开放，后果远远超出了预期。事实上，剑桥分析早在2014—2015年就曾邀请Facebook 用户参加性格测试，并在此期间于后台盗用窃取了包括用户身份、朋友清单和赞过的内容等广泛的个人数据。包括语音文字信息在内的数据流失将可能被用作描述测写网民，并在网民关心的公共事件上用更能让他们产生共鸣的语言和图像给予信息，进而操纵社会舆论，造成深远的政治影响。

根据上述讨论可知，用户浏览文字和输入文字监听属于用户主动释放语言信息，其文字或语音被服务供应商关注并利用。用户在多向信息交流（例如购物、网页搜索、文字通讯交流）的过程中，作为信息发起的一方，必须主动提供个人数据以获得想要的服务或信息，而信息的提供则多以语言为载体。与此不同的是，用户被动语音监听属于用户非主动地信息收集和分析，即APP 在后台运行，语言信息在采集和利用的过程中并未由用户主动要求或现场实时确认过，因此具有更强的隐蔽性和未知性，这也大大增加了用户防范个人信息泄露和被非法利用的难度。

2 网络语言监听的根源分析

2.1 以商业利益为终极目标的市场竞争

互联网经济的发展在一定程度上造成了企业一心追逐商业利益，先讲利、再讲害的市场竞争风气。大数据技术创新关联着财富创造[10]，网络服务商可以通过技术创新搜集、汇聚、挖掘并利用人们生产的琐碎数据，探测特定产品的市场前景，抓住潜在的商机。以网络消费为例，从2013年起，中国已连续7年成为全球最大的网络零售市场。2020年，在新冠肺炎疫情爆发的严峻形势下，网络零售的重要性进一步凸显，截至2020年6月，中国网络购物用户规模达7.49 亿，占网民整体的79.7%，网络零售占社会消费品零售总额的比例也已达到25.29% （此数据来自2020 中国互联网消费生态大数据报告）。网络经济对企业追逐市场利润、开辟新蓝海、实现创新发展的战略意义可见一斑，经营者也因此将更多关注点放在如何决策以把握最新的网络消费趋势上，相较之下对消费者信息安全权益的保护却有所忽视，更有企业甚至将通过包括监听在内的各种渠道获取和挖掘用户的个人数据视作利润增长的突破口，基于掌握的海量数据，通过科学方法进行用户分析、预测市场走向，进而推出更受目标群体青睐的产品和服务[11]。如谷歌会对用户的网页浏览、购物记录进行复杂的统计算法，分析推导出用户的购物偏好、消费能力、休假意向等隐私信息，并据此精准投放广告以争取消费行为。由此看来，以商业利益为终极目标的市场竞争促使商家对各个节点的个人数据进行监听、分析和整合，建立起包括地址、电话、爱好在内的信息体系，大大降低了用户对个人信息的主动控制权。

2.2 供应商有过度操纵用户个人信息之嫌

隐私权指自然人个人信息不被侵犯、不涉及公共利益的个人活动及空间以及住宅等不被他人骚扰，并且受到法律保护的权利[12]。在网络坏境中，APP 以提供服务为由向用户索要语音或文字权限，而用户必须无条件服从以获得所需的功能。在这种情况下，运营商很有可能对用户的语言行为展开监听，如消费平台监听用户的通话记录甚至平时的闲聊，读书软件等非必须使用录音功能的应用甚至也会索要权限来推广广告，部分社交软件的数据收集范围甚至涉及聊天记录、发表的私密文字等，均有对用户信息的过度搜集之嫌。相关商家为了加强合作，还会允许消费者用一个账户授权登录多个网站或APP，消费者因为操作方便往往会选择直接登录，造成第三方平台在看似退出后实则仍在后台运行，于无形之中监听用户的语言行为，对账户安全构成极大的威胁。

此外，一些网络运营者也未遵循公开透明的原则制定完善的隐私政策，给予用户切实保障自身知情权与隐私权的明确依据，如在隐私政策中未说明其保护用户信息安全的具体措施和当用户个人信息遭到披露、篡改、损毁时的应对机制[13]，有些甚至还未阐明所收集的个人数据的真正去向和用途，为企业在用户无法拒绝或不知情的情况下同第三方交易、给消费者推销产品、发布精准广告留下了余地。即使服务供应商明确说明不会主动共享所收集的语言信息，他们仍有可能规定诸如将数据用于提供特定内容，包括但不限于展示广告、进行人群画像、推出个性化服务等条款，意味着用户必须接受商家的网络监听并将其用于投放广告的商业行为，而且“包括但不限于”这样的描述也未尽到明确告知的义务，给用户维权带来了困难。同时，很多APP 的隐私条款只位于首页最底部小字部分，在查找和阅读时非常不方便，并且当企业更新隐私政策时，往往不会及时主动地通知用户，不免有故意淡化隐私保护责任之嫌。

最后，一些电信运营商还会与学校达成合作向广大学生推销家校联系产品或合约手机业务，强制消费者只能使用特定供应商提供的业务。这样的霸王条款不仅剥夺了用户选择更有利于自身信息安全服务的权利，也为企业打下一剂定心针，使其包括语言信息监听在内的不当商业行为难以得到市场的规范和监督。考虑到在来自购物、学习、社交、旅游、娱乐等各类渠道的数据内容可以交叉检验的大数据时代，个人信息与社交圈、位置、娱乐活动等看似独立的数据和行为痕迹早已形成相互关联的信息网络，使人们的身份很容易被识别，加之数字信息的易复制性和终身有效性，不良网络服务商过度操纵个人信息，使用户的信息安全保护处于被动局面。

2.3 法律监管有待完善

面对网络用户信息安全风险日益加剧的严峻形势，当前中国在网络生物信息安全管理上仍存在诸如信息安全法律法规不健全，高素质的信息安全管理和技术人才不足，政府、企业和用户之间缺乏有机联动并缺少建立各司其职、相互配合的信息安全职能划分体系等[14]。就法律约束而言，目前中国关于生物信息的规范性文件仍十分欠缺，调整基于生物信息发生的社会关系的法律更是几近空白[3，6]。在对企业操控用户个人生物信息行为进行法律规范和监管的呼声下，2020-05-28，第十三届全国人民代表大会第三次会议通过的《中华人民共和国民法典》（以下简称“民法典”）对包括自然人声音在内的生物信息保护做出了更加明确的法律规定，首先，用户声音等生物识别信息的采集不得通过偷拍、偷录等方式，任何组织或个人不得在未经权利人的明确同意或者法律另有规定的情形下，窃听、公开他人的私密活动；其次，在收集、存储、使用、加工和传输个人信息时，要遵循合法、正当、必要原则，既要征得该自然人或者其监护人的同意，明示处理信息的目的、方式和范围不违反法律、行政法规和双方的约定，又要遵循合理实施、符合比例原则，即收集个人信息是为了服务于人，符合用户使用APP 的目的；最后，信息处理者应当采取技术和其他管理措施，确保其收集或存储的用户信息不会被泄露、篡改和丢失[15]。民法典为进一步完善个人信息保护的法律体系提供了基本法支撑和重要的立法依据，是维护个人生物信息安全的有力盾牌。但与此同时，鉴于民法典采用的还是个人信息保护的说法，并未将个人信息以独立人格权的形式加以保护[16]，因此《个人信息保护法》的专门立法工作仍须有序推进，规定维护个人信息权的具体可操作的法律规则，在保护个人信息安全的同时促进对个人信息的合理收集和有益使用[12]。

3 改善网络语言监听现象的对策分析

3.1 完善个人生物信息保护的法治建设

生物安全立法是保护中国生物信息安全的必然要求。依据学者对国内生物安全研究的总结，生物安全立法是近年来的热点主题之一，但其核心主要围绕如何确保生物技术的科学合理使用，如转基因生物安全监管的立法分析、生物安全损害赔偿等[8]，相比之下，个人生物信息在新科技革命中体现出的多元形式和巨大价值仍需得到更多的关注。为此，需对侵犯个人生物信息的行为，如不经过自然人的同意对之进行录像拍摄、使用录音或通讯录权限等进行规定，尤其要为一些打擦边球的非法活动提供明确的有效识别和依法处置的依据，通过将网络供应商必须尽到告知义务[17]、信息安全监管机构的职责划分以及公民生物信息遭到侵犯时行之有效的维权手段等写进法律规章，进一步规范生物识别信息的采集、用途、监管和维护，并由相关监管机构进行不定期的抽查和测评，对拒绝履行网络安全管理义务致使用户信息泄露的网络供应商依法追究刑事责任，从立法、执法和司法3个方面协调出击[15]，解决好管理网络语言监听中存在的发现难、取证难、处理难的问题。因此，完善信息安全法治建设对约束企业监听行为、帮助用户维权、指导行政职能部门检查评估、服务指导和处罚违规具有重要意义，是完善生物信息安全管理的突出问题之一。

3.2 明确网络服务商保护用户生物信息安全的主体责任

网络与生物信息安全治理体系的建设离不开企业治理能力的提升以及企业安全产品和业务的推进。网络服务提供者在维护用户生物信息安全方面负有主体责任，必须将保证用户信息安全、建立客户信任感作为企业提升市场核心竞争力和综合实力的战略路径之一，结合组织、制度、机制队伍等方面统筹考虑，不断创新。为此，首先，应加强网络服务行业自律，行业自律对提高企业保护用户隐私的责任意识、规范行业发展具有更直接灵活的指引作用[18]，商家可以通过自觉制定并遵守自律公约和奖惩机制的方式互相监督，改善秘密收集用户语言信息的不良局面，减少引诱、误导用户甚至将用户数据肆意泄露或低价倒卖给第三方的恶意行为。加强网络行业的自律机制可以填补实体法的许多漏洞，是保护用户生物信息不可忽视的环节。其次，互联网企业应在组织和战略层面建立独立垂直的安全治理架构，围绕数据的生成、使用、存储、传输、销毁等生命周期各阶段明确安全岗位责任，提升网络安全组织能力。最后，考虑到技术漏洞是威胁个人隐私不可忽视的风险来源[19]，企业须在预测、检测、响应和防御等网络安全领域加大技术研发力度，推动5G、AI、大数据等新技术在网络安全领域的进一步广泛应用，通过数据库加密、数据库防火墙、感知安全态势、评估系统漏洞、安全事件系统化管理等手段提高防范和应对种植病毒、入侵数据库等犯罪行为的能力[20]，有效应对网络安全新挑战。

3.3 提升用户对个人语言生物信息的重视程度与保护能力

尽管语言信息等生物信息的保护与公民个人的安全权益息息相关，但在互联网普遍使用的背景下，用户对个人信息的自我保护意识仍有待提高。针对中国网购用户的研究表明，消费者一旦习惯了线上购物带来的便捷和丰富，即便感知到网购对其个人隐私造成的威胁，其内生消费需求也会促使他们继续线上购物，只是其中一些隐私关注程度高的用户会选择在熟悉的平台反复消费以减少风险，而非轻易地规避消费；同时，用户很大程度上认为企业用更好的服务和折扣来获取消费者信息的行为是无可非议的，他们也愿意为获得经济利益或个性化的服务带来的价值而披露个人信息[21]。由此看来，对公民进行网络时代下生物信息保护之重要性和有效途径的教育普及的需求是紧迫的。为此，用户一方面要对自己的语音内容保持敏感，一旦发现有泄露的可能，应及时检查APP 索要或已经获取的隐私权限，必要时还应删除网页或平台的浏览痕迹以及一些跟踪网络行为的临时文件，同时谨慎使用身份认证和网上支付；另一方面要了解维权的有效途径，例如根据民法典对个人信息主体所设权利的规定，用户可以依法向网络供应商提出查阅或者复制个人信息，发现企业违反法律、行政法规或未按双方约定处理其个人信息的，有权采用强制手段让对方立即删除并停止一切利用个人信息牟利的商业活动[15]。因此，加大社会宣传，普及生物信息安全知识，让民众便捷地获取相关信息并产生相应的行动，对提升公众安全意识、维护生物信息和个人隐私乃至国家安全具有重要意义。

4 结语

在当前中国信息化进程全面加快、互联网业务激增与数据流动性加剧的背景下，个人生物信息安全保护面临的挑战不断升级[22]，应当受到学界和社会的高度重视。本文聚焦互联网环境下的用户语言生物信息安全现状，从网络语言监听现象入手，通过分析网络服务商对用户浏览文字监听、用户输入文字监听和用户被动语音监听的具体表现和产生的根源，认为加强个人语言生物信息安全首先应完善信息安全法制建设，为安全管理提供执法依据，同时形成职能明确、责任落实、有机配合的监管体系，充分调动政府、企业和个人的积极性，既满足用户保护个人信息的需求，又明确网络运营者收集使用信息的权利和保护用户信息的义务，同时规范政府机关利用和管理信息的双重责任[12]，更好地回应信息化时代所产生的个人语言信息的收集与处理问题，构筑国家语言生物信息安全保障体系。