《窃听风云》里有句经典台词：我掌控自己的人生。

但很有可能你连自己的手机都无法操作。

很多网友都有类似经历。来自上海的韩先生称，去年他和女友在杭州九溪散步，散步时女友提到想买一双“溯溪鞋”，而当晚手机淘宝上第一个推荐的商品恰好就是“溯溪鞋”。“我不喜欢运动，从来不会主动搜索这种相关商品，更别说这三个字了？”韩先生说。

如果你在社交网站上搜索“App窃听”这个关键词，会发现无数类似的案例。比如，名为“Mike”的知乎用户在工作时和朋友聊起了富贵竹花瓶，当天晚些时候他在淘宝上看到了与富贵竹相关的店铺推广；名为“不想起床”的知乎用户在睡觉前给宝宝讲了古埃及文明，第二天他在淘宝上收到了金字塔和木乃伊摆件的推送通知；还有人说，他和家人聊起去超市买牙线的事，晚上打开京东，在推荐里看到了牙线的推荐等等。我的同事也曾有过这样的经历：刚和家人聊起银行贷款，就在头条上看到了网贷平台和银行消费贷的广告。

2018年12月28日，一网友发文称女友母亲患了脑溢血，两人聊天时谈到了“雾化”。 随后，他用“菜鸟快购”查物流时，在“猜你喜欢”栏目中看到医用雾化器带的推荐。

今年3月3日，在国内知名问答社区知乎上，有网友发文称自己可能也被“窃听”。一名网友贴出一张图片，称自己在用手机淘宝时，发现首页除了搜索的化妆品外，还推荐玉米。该网友怀疑手机APP偷听到了女友喊妈妈“明天去买玉米”的对话。

2018年11月中旬，上海的孙女士和同事聊天时提到想喝Coco奶茶，打开饿了么APP，看到推荐商家排在最前面的就是Coco奶茶。让孙女士疑惑的是，她之前从来没有在饿了么买过Coco奶茶，手机上她同时打开了淘宝、微信、知乎、微博等APP，“之前从来没用过手机APP搜索过Coco奶茶的信息。”

无独有偶，2018年11月14日晚8点左右，北京网友冉宇（化名）告诉好友想吃鳗鱼饭。一分钟后，他打开支付宝饿了么，推荐榜首正好出现一家卖鳗鱼饭的外卖店。距离他上次订鳗鱼饭，已经过去23天了。

为了验证这个现象是否纯属巧合，冉宇第二天中午在手机上做了一轮测试。他没打开APP，大声说想吃披萨，随后打开支付宝里的饿了么APP。推荐首页上出现了一家披萨店。“我以前在这家店订过披萨，不过应该是半个月前的事了。”

类似情况在国外也曾出现。一位外媒记者发表文章称，他和朋友在一家杂货店询问后，买了一些从未听说过的啤酒品牌。15分钟后，朋友的手机上出现了该品牌啤酒的广告。另一篇报道中，作者提到，在说完“我需要一些鲜花用于下周的聚会”后，手机上也出现了一家花店的广告。

《IT时报》读者向报社投诉，外卖应用正在窃听他们的生活。为了验证该情况是否属实，从2018年11月到2019年3月，《IT时报》记者用了三个多月的时间，通过模拟用户使用场景，对饿了么和美团外卖进行了多轮测试。

首次测试：饿了么准确率80%

2018年11月19日，《IT时报》记者用两部苹果手机进行了测试。首先打开饿了么和美团外卖，在前三屏确认推荐的商家后关闭屏幕（两款APP应该还在后台运行）。随后，两位记者在聊天中提到，中午想吃日本料理（为了保证测试公平，记者选择了从未点过或搜索过的菜品）。

两分钟后，我再次进入饿了么，首屏第二个推荐位置出现了“日本料理”的字样。奇怪的是，两分钟后，我再次打开页面，这家店铺竟然神奇地消失了，而第一、第三个商家却没有任何变化。

这是巧合吗？关掉屏幕后，两位记者继续聊日本料理。六分钟后，他们再次打开饿了么，神奇的“日本餐厅”又出现了，不过这次它掉到了第七位。他们再次关掉，两分钟后再次打开，还是一样的情况，这家餐厅再次消失，而其他推荐商家则基本保持不变。

随后，记者又聊起了港式美食和茶餐厅。同样的现象再次出现。10分钟后，首屏推荐位置又出现了一家“××广东肠粉”和一家知名港式连锁店。两分钟后，这两家店再次“神秘消失”。

在一个小时左右的时间里，记者进行了多次测试，发现类似现象在饿了么上出现的概率在80%左右，准确率非常高。其中一家被准确提及的门店，第一天并没有出现，而第二天就出现在了“优质精选”频道。

测试中，记者还发现，饿了么、美团外卖均未获得苹果手机授权开启麦克风，但同一系统内的天猫和微信的麦克风均被开启。

次日，记者取消了天猫和微信的麦克风权限，再次进行测试，并未出现相关情况。

经过多轮测试，饿了么下滑，美团上涨

为了获得更加精准的测试结果，在接下来的三个月里，记者进行了数十次不同场景、不同时间段的测试，并将测试设备扩大到智能手机、安卓手机和iPad。

以3月9日11点57分开始的这一轮测试为例，在多次重复输入关键词“我要点凉面”后，苹果手机美团外卖App首页第20位出现了一家名为“凉皮先生”的店。但刷新后，“凉皮先生”外卖店便消失了。

此前，记者曾以“今晚烤小龙虾”“卤鸡饭”“塔哈尔新疆菜”“元宝饺子”为关键词，分别于2018年12月20日、12月29日、12月30日、2019年1月3日在苹果版和安卓版美团外卖App上做过同样的测试，上述四次测试均显示与关键词一致的结果。

从全部测试结果来看，精准推荐和类似推荐的概率都在70%以上。不过不同的是，首次测试时类似情况发生率较高的饿了么，从今年1月1日开始基本已经消失。而之前没有出现过明显情况的美团外卖，则出现了上升趋势。

3月13日，《IT时报》记者前往上海市软件评测中心，对两款应用进行了数据包捕获测试。

在数据抓取过程中，由于饿了么App采用了开发者设置的证书绑定技术，非开发者无法抓取饿了么App的数据包。但从美团外卖App的抓包结果来看，在测试期间，抓包工具共抓取到近400个大小不等的与美团外卖相关的数据包。这其中还包括了美团在未打开美团外卖App时产生的少量数据包。

上海软件评测中心的技术人员表示，如果应用程序被窃听的情况真的存在，那么就隐藏在这些数据包中，由于区分数据包需要花费大量的时间，短期内不可能得到数据包分析的结果。

美团表示，在美团外卖App退出及切换过程中，为了改善和提升用户体验，可能会在后台同步App性能数据（如系统稳定性数据、图片加载成功率等），同步内容不涉及任何用户个人信息。

那么，有了麦克风权限，一个App是否可以通过另一个App获取信息呢？国内知名白帽公司KEEN Lab的宋宇浩认为，这项技术目前已经完全成熟，并具备共享资源的传输链路。

“如果一个应用获得了麦克风的权限，理论上聊天应用可以监听周围环境的声音。如果两个应用之间有业务合作，可以共享这个资源。”宋宇浩说，“以目前的网速和机器性能，这一波操作可以算是实时完成的。”

不过，尽管这种情况在技术上是可行的，但宋宇浩认为，这并不意味着相关APP已经进行了此类操作。

腾讯手机管家安全专家杨奇博对此表示认同，“拥有麦克风权限并不代表一定会偷听用户说了什么。”杨奇博表示，虽然很难确定麦克风是否在“偷听”，但这样的巧合很可能是App在利用从其他渠道获取的大数据进行计算，“比如根据你现在的位置、经常光顾的餐厅、以前的搜索习惯等数据来预测你的潜在需求。如今的大数据智能推荐平台已经可以从很多方面进行计算，比如有些短视频App可能会根据你每1到2小时刷新一次短视频的习惯，以及在App上停留的时间长短，来推断你的兴趣范围。”

另一家数据公司负责人表示，外卖APP推送相关门店可能有两种可能，一种是推荐系统的冷启动机制，即用户虽然没有搜索、点击APP，但推荐系统会根据用户所在地区、年龄段、时间段等多种数据进行推荐。不过也不排除部分APP会利用麦克风权限获取点餐、门店等语音信息。

如果说是“巧合”，那巧合的次数就太多了。为了避免被搜索、输入等非语音方式读取数据，后面测试的APP全部重装，有的设备甚至刷机。而测试选用的菜品，也全部是之前从未点过、手机上没有留下任何痕迹的菜品。因此很难解释为何测试中会突然出现相关门店，更难解释的是再次刷新后，其他门店依旧没有变化，唯独这家门店消失了。

但如果不是“巧合”，从现有的技术测试和业内人士的反应来看，通过麦克风“窃听”似乎是一项吃力不讨好的工作，企业不太可能去做。

但另一个巧合是，今年1月以来，大量App改变了隐私政策。随着国内《网络安全法》的收紧，以及欧盟《通用数据保护条例》（GDPR）对谷歌等互联网巨头开出罚单，中国互联网公司在获取用户个人信息、请求App权限方面都变得谨慎得多。也是在今年1月之后，饿了么的测试中没有发现类似现象。

3月20日，澎湃新闻邀请了互联网尖刀创始人曲子龙及其人工智能团队进行测试。

曲子龙团队只用了不到5个小时，就让程序员编写了模拟手机软件的示例代码，安装到安卓手机上，并设置允许模拟软件使用手机录音权限，然后锁定手机屏幕。

结果，模拟手机软件成功获取了曲子龙团队的演讲内容，并传输到后台服务器，转换成文本信息。

曲子龙告诉澎湃新闻，经过测试，该技术已经实现了在应用锁定的情况下，在后台“监听”用户讲话的功能。他认为，如果一款应用从手机后台完全关闭，“监听”依然可以实现。

对此，曲子龙建议大家尽量不要赋予相机、相册、通讯录、语音、短信记录等非社交相关软件敏感权限，最大程度保护隐私。

那么，如果一个App从手机后台彻底关闭，是否还能被“窃听”呢？

曲子龙认为，即便某个应用从手机后台完全关闭，被“窃听”的可能依然存在。

他举了一个例子，“假如某款手机后台关闭了App A，但App B还在后台运行，App A注册一个服务暴露给外界，App B可以根据服务名唤醒App A，就不用担心服务被人为杀死（编者注：手机后台彻底关闭）而无法监控。”

此外，曲子龙还指出，部分安卓手机在出厂时会设置默认的App访问权限白名单，“它们的很多App服务都不会被杀掉，白名单上的应用更容易被继续监控。”

如果APP没有监控，怎么能做出如此高度契合的用户推荐？这些数据可能接入了电商广告联盟系统，当用户端匹配上人群的各种标签后，广告推送就与标签相关联了。另外，“有些输入法可能也参与到了推送环节，当然只是怀疑。但要证明其中的因果关系，难度很大。”

另一位手机研发工程师认为，“窃听”在技术上是可行的，但“操作的可能性很小”，因为语音监控技术的成本太高，而且如果这么做，手机其他功能的使用会受到阻碍。

他告诉澎湃新闻，一旦有应用开始监听，就会占用音频锁不释放。比如在安卓手机上听音乐，同时打开一个应用，音乐播放可能会被打断，这很可能就是因为应用占用了音频锁；又或者回到微信，发现语音发不出去，应用监听就暴露了。

现在很多应用都想获得手机麦克风的权限，这背后的目的是什么？

国内主流APP多款均获取麦克风权限，例如淘宝、京东等电商APP获取麦克风权限是为了方便用户使用语音购物或者语音与客服互动；微信、QQ等社交APP获取麦克风权限是为了语音输入或者语音转文字；美团点评等生活O2O平台获取麦克风权限是为了分享点评视频等等。

然而这些应用是否会以获取摄像头、麦克风权限为幌子，随时监控用户的一举一动、一言一行呢？

国家信息安全漏洞数据库特约专家王英建（被安全圈称为“傻大神”）对澎湃新闻表示，从技术上讲，窃听确实是可以做到的。苹果系统比较复杂，在获取录音权限时，苹果系统会提醒用户。安卓系统相对容易，比如在安卓平台植入木马，获取手机较高权限，通过篡改系统实现控制麦克风、截取数据。不仅可以窃听，还可以发送位置信息。有时候看上去手机关机了，其实还在后台运行。

京东、今日头条、饿了么、美团、百度等公司回应窃听

京东：京东绝不会、也绝不会允许监控用户信息。京东的隐私政策规定，我们会收集个人信息，但不会收集法律法规禁止的信息。用户之所以觉得我们知道你想要什么，是基于京东的大数据搜索和推荐能力。通过用户搜索和购物行为产生的大数据，比如消费习惯、品牌偏好、京东多年积累的用户画像数据等，京东可以精准预测用户可能感兴趣和关注的商品，进而出现在个性化推荐中。

今日头条用户在使用今日头条（包括字节跳动旗下产品）录制短视频、记录生活时，需要使用手机麦克风，但除非用户明确点击授权，否则，无论何种手机型号，今日头条旗下产品均无法获取用户的麦克风权限，无法接收到用户的任何语音信号。

百度：百度App不会也不具备“诈骗电话”的能力，且百度App所有敏感权限均需授权，且用户可以随意关闭。

饿了么：所谓“监控用户日常对话并进行信息分析”纯属无稽之谈，饿了么没有做过类似的产品设定，也不具备相关的技术条件。饿了么严格保护用户隐私，任何必要的信息收集都会在用户事先同意的情况下进行，并在合法合规的范围内使用。

美团点评：“根据麦克风录制的语音关键词，为点外卖的用户做出推荐”的行为并不存在。美团外卖只有在获得用户语音授权，用户在美团外卖App内主动发起语音输入行为后，才会使用麦克风。此外，只有在用户表达明确需求信息，主动查询后，美团外卖才会做出相关推荐。

微信：微信不会分析特定用户的隐私信息。“数千万用户中，恰好有一个人之前提到过相关产品，也收到过该产品的广告，因此该用户误认为两者之间存在因果关系。”

安全专家李铁军：窃听可能只是用户的错觉，“如果你用过一堆相关应用，可能会看到熟悉的产品。”

但李先生所说的情景却是另外一种情况。

例如，有用户提到，自己刚刚在淘宝上把一件“粉色娃娃领中长款毛呢大衣”加进了购物车，随后打开今日头条，刚刚搜索的“娃娃领大衣”的广告就出现在了今日头条的页面上。

或者，你可以在京东搜索“移动电源”，然后打开微信，在微信公众号的广告栏中就能看到这款移动电源。

这是一项在全球范围内已经成熟应用的广告技术——程序化广告。程序化广告可以实现跨平台营销，其背后有统一的用户ID标识，但又不掌握用户个人信息。对于用户而言，程序化广告因其千人精准推荐，往往表现出“比你更懂你”的特性。

据了解，淘宝与今日头条、京东与微信分别在广告层面展开合作。

如果你在手机上使用第三方输入法，有一定的概率在你输入一些内容后会看到相关的推荐。虽然搜狗等输入法不会主动与第三方分享用户输入数据，但还是有可能有黑客利用漏洞偷偷记录用户信息。

据央视3.15晚会报道，在商场、超市、便利店、写字楼等场所都会安置一些小型探测盒子，探测附近开启了无线局域网（Wi-Fi）的移动设备，然后迅速识别出用户手机的MAC地址，转换成IMEI号，再转换成手机号码，在用户不知情的情况下收集个人信息，甚至包括婚姻状况、受教育程度、收入等大数据个人信息。

黑市上为何会有这么多用户信息？一位从事黑市工作的人士称，“现在我们安装软件，第一步就是填写用户服务条款，必须点击同意。安装完成后，又被要求授予访问用户通讯录、手机文件夹、通话记录、短信等权限。获得权限后，我们才能使用软件，而随后你使用软件产生的用户数据，又可能被用于商业营销目的。”

换句话说，该应用程序在得到您的同意和授权后出售您的信息。

回应疑虑：大量数据成本高昂且吃力不讨好？

无需大数据量

有网友质疑，语音数据量巨大，能耗高，“窃听”用户的成本太高，降低了App“窃听”用户的可能性。

但目前的技术可以将需要触发的词语储存在App上的一个库中，一旦用户的语音触发了特定的词语，App就会被唤醒，开始监测和分析，从而减少能耗。

国内知名白帽公司KEEN实验室的宋宇浩认为，APP可以把麦克风听到的语音先转换成文字再上传，这个已经是成熟的技术了。然后通过提取文本中的关键词，发送到云端，在云端分析文本特征，并与用户身份关联，给你一个精准的画像。在大数据时代，这些技术已经相当成熟。其实通过App的语音输入法，语音在本地就转换成文字，只需要上传少量的标签，所以不存在数据量大的问题。

“如果把一个人一天的语音处理成文字，也就几页纸而已。如果用关键字唤醒，数据量就会大大减少。语音转文字的技术并不先进，现在很多输入法都可以做到。”

不过宋宇浩也强调，虽然技术上可以做到这一点，但就目前的观察来看，还无法得出App是否“窃听”的结论。

回应疑虑：技术发展将进一步降低“窃听”成本

其实离线语音输入的PC客户端软件早在上世纪90年代就已经出现，随着近几年人工智能的发展，这项技术已经非常成熟，可以不依赖网络在手机上顺利输入，甚至一些语音输入APP可以在手机离线、没有网络的情况下实现语音输入。

“一分钟的音频，只有（毫秒）的延迟。”科大讯飞技术专家介绍，以目前的网速和机器性能，上述操作可以算是实时完成的。

同时，随着边缘计算越来越成熟，“窃听”的成本也会大大降低。

这不是猜测，在车险行业，车险服务商已经推出了基于驾驶行为的保险，通过车载摄像头和边缘计算+人脸识别技术，系统可以捕捉到驾驶员的异常动作，比如打哈欠、闭眼、打电话、抽烟等，这些数据会用来做车险的风控模型，比如保险公司的保费计算，数据来源就是车内摄像头拍到的视频，通过边缘计算，可以大大减少上传的数据量。

近两年，AI手机概念逐渐成为主流，随着手机算力越来越强，计算已经边缘化，不需要云计算过多的参与，因此“窃听”技术的成本越来越低，这个未来并不遥远。“在目前的终端成本上再加1000元左右，就能支持边缘计算。”

回应疑虑：未经允许怎能“偷听”？

数据共享无处不在

在同一个生态系统中，底层数据库是共享的。

3月15日，恩慧（化名）和同事正在讨论共享电动车电池回收的事情。十分钟后，她打开闲鱼，突然看到满屏的电池、电瓶、逆变器、二手电动车转让信息。此前，她从未在闲鱼和淘宝上搜索过相关产品。恩慧怀疑闲鱼在“窃听”她，但她打开设置发现，闲鱼和淘宝的麦克风都关闭了，但阿里巴巴App里高德地图的麦克风是打开的。

只要其中一个应用被授权访问麦克风，所有关联应用都可以获得精准的推送数据，从而让显示的内容“正是你想看到的”。

2018年3月26日，在中国发展高层论坛上，百度董事长兼首席执行官李彦宏表示，“中国人对隐私问题比较开放，敏感度也相对较低。如果能用隐私换取便捷、安全或者效率，很多时候他们是愿意这么做的。”

但这是我们主动想要用隐私换取便利的事情，还是被动接受的事情？恐怕很多人都有过这样的经历：你不让一个应用开启权限，它就不让你用。在中国法律不健全的情况下，每个应用都在想方设法地从用户那里获取更多信息。对于厂商来说，获取的信息越多，数据就越有价值，对用户行为的分析就越准确。

东南大学法学院副教授单平吉：我们现行的法律还没有明确规定信息的收集是否需要个人的明示同意，或者对个人的使用范围进行限制，或者在个人信息的收集、使用和披露方面是否有提供特别提醒的义务。

保护个人信息最根本的途径还是立法层面。目前，《个人信息保护法》已经列入立法规划，正在制定的《民法典》对个人信息保护也有更明确的规定。希望随着立法的不断完善，网络个人信息的保护能得到进一步加强，手机APP不再随意践踏我们的隐私。