2
0欢迎收听《AI 星辰电台》。在通勤的 10 分钟里,我们带你快速浏览全球 AI 治理与数据合规的最新图景。本期节目聚焦从虚假技术承诺到可穿戴设备监管的执法前沿——从美国 FTC 对“主动监听”营销欺诈的重拳出击,到韩国预防体系的落地实施,再到德州对 Meta 智能眼镜的隐私调查,展现 AI 时代隐私保护从技术真实性到设备规范性的完整链条。
🕒 节目导航
第一条 美国 FTC 要求 Cox Media Group 等公司支付近百万美元和解虚假“主动监听”营销服务指控
核心进展:美国联邦贸易委员会(FTC)于2026年5月宣布,要求 Cox Media Group(CMG)及其合作伙伴 MindSift 和1010 Digital Works 支付总计93万美元,和解他们欺骗客户声称提供 AI 驱动的“主动监听”服务的指控
虚假技术承诺:三家公司声称其“Active Listening”品牌营销服务可以通过智能设备实时监听消费者对话,使用特殊算法检测相关对话内容,从而向特定地理区域的消费者投放精准广告
真相揭露:FTC 调查发现,该服务根本不监听对话或使用任何语音数据,实际上只是从其他数据经纪商那里购买电子邮件列表并以高价转售;服务也无法准确地将广告投放到客户期望的地理位置
虚假同意声明:公司声称消费者已“选择加入”该服务,但实际上从未征求或获得消费者同意;所谓的“选择加入”仅指消费者在下载应用时点击了强制性服务条款。FTC 明确指出:点击强制性服务条款不构成对如此侵入性服务的“选择加入同意”
和解条款:CMG 支付88万美元,MindSift 和1010 Digital Works 各支付2.5万美元,用于向受影响客户提供赔偿;三家被告被禁止对广告/营销服务的质量或功能、语音数据的收集和使用及消费者同意情况、地理定位能力做出任何虚假陈述
FTC 声明:消费者保护局局长 Christopher Mufarrige 表示:“这些公司营销的产品不仅没有做到他们声称的那样,而且他们还误导潜在客户,声称消费者已经选择加入这项服务,但事实显然并非如此。诚实对待客户是商业的基本规则。”
企业启示:
数字营销服务提供商不得夸大或虚构技术能力,特别是涉及 AI 和数据分析的声明必须有实际技术支撑
涉及语音数据或其他敏感个人信息的服务必须获得明确、知情、具体的同意,不能依赖强制性服务条款中的笼统授权
地理定位等核心功能承诺必须准确,不能误导客户对服务效果的预期
数据经纪商转售邮件列表等传统服务不能包装成“AI 监听”等高科技服务欺骗客户
第二条 韩国个人信息保护委员会从6月开始正式实施基于风险的实态点检
核心进展:韩国个人信息保护委员会于2026年5月22日在经济长官会议上发布《预防中心个人信息管理体系转型计划》后续措施,宣布从2026年6月开始正式实施基于风险的个人信息处理实态点检
政策背景:这是5月12日向国务会议报告转型计划后的具体落地行动,旨在应对 AI、平台、云服务扩散导致的个人信息处理规模和方式快速变化,以及黑客攻击等风险扩大为产业全局风险的挑战
风险分级管理体系:
高风险领域:
根据个人信息处理规模、敏感度、产业特性分为高、中、低三个风险等级
高风险领域提前公开点检领域,通过定期和不定期点检重点检查内部控制运营实态
2026年重点:平台、金融机构、公共机构、教育科技(Edutech)、养老医院等处理大规模或敏感信息的领域
非高风险领域:
引导实施个人信息影响评估、遵守 Privacy by Design(PbD)原则
提供自主点检工具和咨询服务,帮助确保基本保护水平
必要时由相关部门和个人信息保护委员会进行联合点检
风险地图与预警机制:
分析个人信息处理现状和风险因素,制作基础风险地图用于选择点检对象
运营民间和政府的个人信息威胁早期预警联络体系
2026年9月起实施个人信息保护责任者(CPO)指定申报制度
通过 CPO 协会等组织运营热线,快速传播最新威胁信息,引导企业对类似事故进行事前应对
新技术领域前瞻管理:对物联网(IoT)设备、代理 AI(Agent AI)等新技术领域选制点检侵害担忧事项,避免个人信息保护盲区;中长期将修订安全性确保措施标准,从一律适用转向基于风险分析由处理者自主决定安全措施适用与否及适用水平
Privacy by Design 制度化:
将 PbD 原则从服务企划、设计、开发阶段就作为默认选项反映
过去仅对 IP 摄像头、扫地机器人等部分产品运营 PbD 认证,适用范围有限
计划修订《个人信息保护法》,制作企划设计参考指南和优秀案例,将 PbD 原则反映到 ISMS-P 认证等现有评估认证标准
激励投资机制:
通过信息保护公示引导企业超越法定最低标准,扩大实质性保护投资
在现有公示项目中增加额外保护措施内容、CPO 内部控制流程等
确认企业有效实施和运营额外保护措施后,给予罚款减免等激励
对中小、小微企业的轻微违法通过技术支援等方式改正时减轻处分
生态系统强化:加强对 SaaS、云服务、专业受托者等供应链全环节管理;推进预防型个人信息保护增强技术(PET)研发;培养专业人才;扩大儿童青少年及脆弱群体教育;点检和改善暗黑模式(Dark Pattern)等损害信任的惯例
委员会主席表态:宋庆熙主席表示:“我们将与相关部门合作,持续点检重点领域的个人信息处理实态和脆弱因素,建立与风险相称的预防中心管理体系。”
企业启示:
高风险领域企业需在6月前做好定期点检准备,重点完善内部控制运营体系
所有企业应从产品/服务设计阶段嵌入 PbD 原则,参考即将发布的指南和优秀案例
9月前完成 CPO 指定申报,建立与行业协会和监管机构的威胁信息共享机制
主动进行超越法定要求的保护投资,通过信息保护公示展示,争取罚款减免激励
供应链企业(SaaS、云服务商、受托方)需提升自身合规水平,满足客户的供应链管理要求
第三条 德州总检察长 Ken Paxton 启动对 Meta 智能眼镜的隐私调查
核心进展:德州总检察长 Ken Paxton 于2026年5月20日宣布启动对 Meta AI 智能眼镜(Meta Glasses)的调查,关注其隐私声明以及这款眼镜暴露德州居民私人数据、录音和面部几何信息的能力
设备功能与隐私风险:
Meta 智能眼镜配备摄像头、扬声器和其他通信工具,佩戴者可以捕获和分享周围的音频和视频数据
具有“始终启用”(always enabled)模式,允许设备持续处理视频数据以用于 Meta AI 产品
配备小型 LED 指示灯,设置为在录制音频和视频时激活,但该指示灯容易被隐藏
关键问题:在“始终启用”模式下,LED 指示灯并不会激活
数据处理不透明性:
虽然 Meta 宣传其眼镜“为隐私而设计”并声称保护私人和关键可识别信息,但严重担忧已出现
Meta 的分包商 Sama 位于肯尼亚,其数据标注员可以访问消费者私人信息,尽管 Meta 做出了隐私承诺
Sama 员工声称可以访问用户私密时刻的视频材料(如上厕所和其他亲密时刻)
虽然声称标注数据中的面孔会自动模糊,但员工指出情况并非总是如此
面部识别计划:《纽约时报》报道显示,Meta 计划将面部识别技术引入 Meta 智能眼镜;内部代号“Name Tag”的功能将允许 Meta 通过智能眼镜内置的不显眼摄像头收集毫无戒备的个人的面部几何信息
执法背景:2024年7月,Paxton 总检察长就 Meta(前身为 Facebook)在其应用程序中未经授权使用面部识别技术软件,与 Meta 达成了14亿美元的和解协议
调查行动:Paxton 已向 Meta 发出民事调查要求(CID),调查并确定 Meta 是否违反德州法律,欺骗性地歪曲其使用消费者私人数据的程度
总检察长声明:“我将继续坚定地对抗任何威胁德州居民隐私和安全的公司。Meta 的眼镜引发了严重担忧,我的办公室将彻底调查这些设备,以确保没有人被非法录制、追踪或未经授权收集其数据。”
企业启示:
可穿戴设备制造商必须确保录制指示灯在所有数据处理模式下都能正常工作,不能在“始终启用”等模式下关闭指示
涉及面部识别等生物特征技术的产品功能必须获得明确的用户同意和监管批准,不能秘密开发或部署
数据处理外包给第三方(特别是海外分包商)时,必须确保分包商遵守同等的隐私保护标准,不能让分包商访问用户私密时刻
“为隐私而设计”等营销声明必须有实际技术和流程支撑,不能仅是营销话术
有面部识别违规历史的公司在推出新的生物特征产品时将面临更严格的监管审查
💡 主编深度洞察:从技术真实性到设备规范性的隐私保护全链条
虚假技术承诺的“AI 洗白”陷阱
FTC 对“主动监听”营销服务的执法揭示了数字营销行业的一个危险趋势:AI 洗白(AI-washing)。在 AI 和大数据的光环下,一些公司会夸大甚至完全虚构技术能力,利用客户对新技术的不了解来牟利。这个案例中,所谓的“AI 驱动的实时语音监听服务”实际上只是从数据经纪商那里购买邮件列表——这是最传统、最低技术含量的营销方式,却被包装成最前沿的 AI 技术。这种欺诈不仅损害了购买服务的小企业客户,也加剧了公众对智能设备监听的焦虑。更深层的问题在于“同意”的虚假化:点击强制性服务条款不能被视为对侵入性数据收集的真正同意。真正的同意应该是明确的、知情的、具体的——用户必须清楚地知道自己同意了什么,为什么同意,以及如何撤回同意。
韩国预防体系的“过程指标”创新
韩国从“事后处罚”转向“事故预防”的体系转型面临一个根本性挑战:如何证明预防措施有效?成功的预防意味着“什么都没发生”,这很难量化和展示。韩国的解决方案是建立多维度的过程指标评估体系:不仅看是否发生事故(结果指标),还看企业的安全投资额、保护措施的先进性、安全管理体系的有效性、高管的重视程度等(过程指标)。风险分级管理体系的核心逻辑是:不同规模、不同行业的企业面临的风险不同,应该采取差异化的监管策略。高风险领域(平台、金融、公共机构、教育科技、养老医院)接受定期点检和重点监管;非高风险领域通过自主点检工具、咨询服务和影响评估来确保基本保护水平。激励与威慑并重的机制设计试图改变企业的行为动机:从“如何避免被罚”转向“如何做得更好”。通过信息保护公示、罚款减免等激励,让企业看到保护投资的正面回报。
可穿戴设备的“隐蔽监控”困境
德州对 Meta 智能眼镜的调查触及了可穿戴 AI 设备的核心隐私问题:隐蔽性、持续性、未经同意的数据收集。与手机相比,智能眼镜的摄像头更加隐蔽,被拍摄者往往不知道自己正在被录制。即使有 LED 指示灯,也很容易被遮挡或在“始终启用”模式下不亮。“始终启用”模式意味着设备可能一直在处理视频数据,即使没有主动录制。这种持续的数据收集远远超出了传统摄像头的范围。如果智能眼镜配备面部识别功能(Meta 内部代号“Name Tag”),佩戴者就能在街上识别陌生人的身份。这不仅侵犯个人隐私,还可能被用于跟踪和监视。Meta 将数据发送给肯尼亚的分包商 Sama 进行标注,这些标注员可以看到用户的私密时刻(上厕所、亲密时刻等)。这条数据处理链条对用户来说是完全不透明的。最根本的问题是:被智能眼镜拍摄的路人从未同意被录制或被面部识别。与社交媒体上传照片不同,这里没有任何同意机制。
从“合规剧场”到“实质保护”的转变
这三条新闻共同指向一个趋势:监管机构正在从形式合规转向实质保护。FTC 不仅关注公司是否声称获得了同意,更关注这种同意是否真实有效;韩国不仅要求企业满足法定最低标准,更鼓励企业进行超越法定要求的实质性保护投资;德州不仅审查 Meta 的隐私政策文本,更调查其实际的数据处理实践(分包商访问私密视频、计划中的面部识别功能)。这种转变要求企业不能仅仅做“合规剧场”——在表面上满足所有形式要求,但实际的保护水平并未提升。企业必须建立真正有效的隐私保护机制,从产品设计、数据收集、处理流程、第三方管理到用户权利保障,每个环节都要经得起实质性审查。
AI 时代隐私保护的“三重验证”
综合这三条新闻,我们可以看到 AI 时代隐私保护需要“三重验证”:技术真实性验证(声称的技术能力是否真实存在)、同意有效性验证(用户同意是否明确、知情、具体)、实践一致性验证(隐私政策声明与实际数据处理实践是否一致)。FTC 案例是技术真实性验证的失败——声称的 AI 监听技术根本不存在。韩国体系是同意有效性验证的强化——从形式同意转向实质同意,从事后追责转向事前预防。德州调查是实践一致性验证的体现——Meta 声称“为隐私而设计”,但实际上分包商可以访问私密视频,计划中的面部识别功能未经充分披露。这三重验证构成了 AI 时代隐私保护的完整链条。
📚 延伸阅读
FTC: MindSift 投诉书(PDF) | 和解决定和命令(PDF)
韩国个人信息保护委员会: 개인정보위, 올해 6월부터 위험 기반 실태점검 본격 실시
📥 资源领取
欢迎关注我们的公众号“那一片数据星辰”
#AI治理 #数据隐私 #FTC #韩国PIPC #AI虚假营销 #主动监听 #风险点检 #Meta智能眼镜 #面部识别 #可穿戴设备 #Privacy_by_Design
