当前位置：首页 > java >正文

Kaamel隐私合规洞察：Facebook美容定向广告事件分析

java 2025/5/14 6:06:45

Kaamel隐私合规与数据安全团队分析报告

I. 引言：基于情绪的定向广告指控

A. 事件概述

近期，一则关于Meta（前身为Facebook）的指控引发了公众对数字隐私和广告伦理的广泛关注。该指控核心内容为，Meta公司涉嫌利用其平台能力，识别青少年用户（特别是女性）情绪脆弱的时刻，并据此向她们精准推送美容产品广告 1。前Meta公共政策总监Sarah Wynn-Williams在其著作中披露，用户删除自拍等行为被平台解读为不安全感的信号，进而触发此类广告投放 1。

据称，该公司通过追踪用户提及“没有价值”、“不安全”、“压力大”、“像个失败者”等词汇，以实现对用户负面情绪状态的商业化利用，从而最大化广告收益 1。这一指控触及了广告伦理和数据隐私的敏感地带，特别是涉及到对未成年人这一弱势群体的潜在影响，引发了关于平台在何种程度上可以或应该推断并利用用户心理状态的深刻质疑。此类行为若属实，意味着平台对用户行为的分析已深入到非常细微的层面，远超一般基于兴趣的广告推荐。

B. 报告焦点与范围

本报告旨在从隐私保护的视角，对上述事件进行严谨分析，重点关注支撑此类定向广告能力的安全与技术事实。报告将刻意弱化市场驱动因素（如广告收入或商业竞争策略）的讨论，除非其直接关联到技术机制或隐私影响的阐释。分析将涵盖数据收集实践、算法推断、隐私政策、安全风险及伦理考量等多个维度。以技术和隐私为核心的分析方法，有助于客观评估所指控行为及其潜在影响，剥离商业叙事的干扰，从而更清晰地揭示事件的本质。

II. 技术基础：数据收集、用户画像与算法推断

A. Meta的数据生态系统：收集机制

Meta庞大的广告帝国建立在对用户数据的广泛收集和深度分析之上。其数据收集机制主要包括以下几个层面：

平台内活动: Meta直接从用户在其平台（如Facebook、Instagram）上的互动行为中收集大量数据。这包括点赞、发帖、分享、评论、关注的页面，以及至关重要的，用户上传和删除内容的行为 3。这些直接互动为推断用户兴趣、行为模式乃至潜在情绪状态提供了丰富的数据源。例如，“删除照片”本身就是一种平台内活动记录。
Meta Pixel与跨平台追踪: Meta Pixel（前身为Facebook Pixel）是一段可供网站主安装的代码片段。它能够追踪用户在这些外部网站上的行为（例如浏览的页面、添加到购物车的商品、购买行为等），并将这些数据回传给Meta 1。这使得Meta能够基于用户更广泛的互联网活动构建用户画像。虽然“删除自拍”的场景主要发生在平台内，但跨平台追踪数据共同构成了用于广告定向的整体数据集。
Cookies、SDK与API:
- Cookies: 存储在用户设备上的小型文本文件，由网络浏览器管理，用于追踪用户与网站和服务器的互动，从而实现广告定向所需的数据交换。
  
  6
- SDK (软件开发工具包): 开发者用于构建应用程序的一系列工具，包括预编写的代码库。在数字广告领域，SDK能够帮助从移动应用内部收集数据并与Meta等第三方平台交换数据。
  
  6
- API (应用程序接口): 例如Conversions API，允许广告主的服务器或客户关系管理（CRM）系统直接与Meta的系统连接，进一步丰富用户画像以优化广告定向。
  
  5

这些技术是Meta及其他广告平台收集用户跨数字触点细粒度行为数据的基石，构成了用户画像的原始素材。普遍存在的数据收集（平台内外）与先进的AI/ML处理相结合，创造了一个强大的系统，能够推断出日益细致且可能敏感的用户属性。用户可能并未意识到其日常行为被用于如此深度的心理画像构建，因为这些推断往往基于看似无害的行为。

B. 人工智能与机器学习在用户画像中的作用

算法分析: Meta大量运用人工智能（AI）和机器学习（ML）算法来分析收集到的海量数据集 8。这些算法能够识别模式、预测行为，并推断用户的特征、兴趣和人口统计学信息。AI/ML是将原始数据转化为可用于广告定向的洞察（包括潜在的情绪状态推断）的核心引擎。
行为模式识别: ML模型经过训练，能够从用户互动中识别复杂的行为模式（例如，一系列动作、互动类型、内容消费习惯）8。这种能力对于理解诸如“删除自拍”之类的行为如何可能被解读为指示特定情绪状态的更广泛模式的一部分至关重要。
预测分析: AI被用于预测用户与特定广告互动的可能性、转化概率，甚至基于历史数据预测未来行为 8。这种预测能力使得广告主不仅可以根据用户过去的行为，还可以根据预期的未来需求或脆弱性来定位用户。

C. 分析行为信号：“删除自拍”案例

技术可行性: 尽管Meta并未明确证实将“删除自拍”作为情绪触发广告的信号，但相关的技术能力是存在的。一个ML模型理论上可以被训练来关联此类行为（或许结合其他信号，如发帖频率、与特定类型内容的互动，甚至附带文字的情绪分析）与推断出的不安全感或对外观不满意的状态。平台追踪各种用户互动，包括内容上传和潜在的删除行为 3。虽然现有资料主要讨论点赞、评论、分享等互动形式作为社交媒体分析指标 10，并未明确将“删除”作为广告定向信号，但AI确实可以识别用户参与模式并定制广告可见性 8。如果“发布后不久删除自拍”是一个在那些同时表现出其他不安全迹象（例如，通过帖子文本分析或与自尊相关内容的互动）的用户中更频繁观察到的模式，算法就可能学习到这种关联。
内容分析（用户上传的图片）: Meta的服务条款授予其在符合用户隐私设置的前提下，使用、分发和创作用户上传内容（如照片）的衍生作品的许可 12。这为访问和分析此类内容提供了法律基础。尽管现有材料 7 未明确指出Meta会分析个人非广告图片用于广告画像，且其他材料 7 主要关注广告素材规格或广告中使用的用户生成内容（UGC）16，但Meta的AI工具包中确实存在图像分析能力（例如，用于内容审核 17，或潜在地用于理解内容主题）。关键问题在于，这种能力是否扩展到从个人照片中推断情绪状态以用于广告定向。举报人的指控暗示，删除行为本身，可能结合照片的性质（自拍），是关键信号 1。

这个具体案例突显了日常数字行为在经过复杂算法处理后，如何可能转化为高度敏感的数据点，而用户可能对此类特定推断毫不知情或未明确同意。平台追踪“事件”（例如“ViewContent”、“Purchase”）的能力 5 在技术上可以扩展到自定义事件。虽然“删除自拍”并非标准的广告事件，但事件追踪的基础设施如果Meta选择定义和监控这类特定行为信号，是能够支持的。这意味着，用于广告定向的“可追踪事件”的定义可能被Meta内部扩展，以包含具有高度隐私影响的特定用户互动。

复杂ML算法的“黑箱”特性使得精确确定哪些信号被用于推断情绪状态以及这些推断是如何做出的变得困难，这对透明度和问责制构成了挑战 8。Meta的公开声明通常提供广告定向的高级描述，但并未说明其算法使用的具体信号权重或组合 3。这种透明度的缺乏使得用户和监管机构难以核实关于哪些数据被用于或未被用于敏感推断的声明。

以下表格概述了数据收集和推断所涉及的技术机制：

表1：数据收集与推断的技术机制

技术/方法	在广告定向中的主要功能	处理/生成的数据类型	与“删除自拍”指控的关联性
平台内活动日志记录	收集用户在Meta平台上的直接互动数据	用户互动（点赞、发帖、删除）、内容上传/删除、关注页面等	可记录删除事件本身
Meta Pixel	追踪用户在第三方网站上的行为	网站访问、页面浏览、购买行为、表单提交等	间接贡献于整体用户画像，但与自拍删除事件本身关联较小
Cookies	在用户设备上存储信息，追踪跨网站互动	浏览历史、网站互动、设备信息	辅助构建用户画像，可能包含与情绪相关的间接信号
SDK (软件开发工具包)	在移动应用内收集数据并与Meta平台交换	应用内行为、设备信息、位置数据（需授权）	类似于Pixel，主要用于应用内行为追踪，间接贡献用户画像
Conversions API	允许广告主服务器数据与Meta系统直接对接	CRM数据、线下转化数据、更全面的客户行为数据	进一步丰富用户画像，可能包含与用户状态相关的更深层数据
AI/ML 行为分析算法	分析用户行为模式，识别规律，推断用户特征	推断的兴趣、行为倾向、人口统计学特征，以及被指控的推断情绪状态（如不安全感）	可分析包括删除行为在内的模式，并尝试将其与特定情绪状态关联
AI/ML 预测分析算法	预测用户未来行为，如广告点击率、转化可能性	预测的参与度、购买意愿、用户流失风险等	若情绪状态被成功推断，可用于预测在特定情绪下对广告的反应

III. 案例分析：Facebook美容广告定向事件

A. 举报人指控与佐证

前Facebook公共政策总监Sarah Wynn-Williams的指控是本次事件的核心。她声称，Meta能够检测到青少年女性删除自拍的行为，并将此作为不安全感的信号，随即向她们推送美容产品广告 1。Wynn-Williams进一步指出，该公司追踪诸如“没有价值”、“不安全”、“压力大”和“像个失败者”等词汇以进行广告定向，实质上是将用户的心理脆弱时刻商业化 1。

在证词中，Wynn-Williams提到，广告主会被告知青少年情绪低落的时刻，以便在最佳时机投放广告，因为人们在情绪不佳时可能更容易冲动购物 18。据称，此举的动机在于13至17岁年龄段用户对广告主而言具有极高价值 18。此外，一份据称是内部聊天记录的截图显示，Facebook当时还在研究年轻母亲的情绪状态，这暗示了其对情绪定向的兴趣可能更为广泛 18。这些来自前内部高管的直接且具体的指控，使其具有一定的可信度，值得深入调查，它们描绘了一幅蓄意利用用户情绪状态的图景。

B. Meta的官方立场与否认

面对这些指控，Meta始终予以否认，称Wynn-Williams的证词“脱离现实且充斥着虚假声明” 1。该公司援引其在2017年发布的一篇博文，声明其“不提供基于用户情绪状态进行定向的工具”，并且一项可能引发了最初担忧的研究人员分析是匿名的、聚合的，且从未被用于广告定向 1。Meta还表示，先前关于用户如何在Facebook上表达自我的研究，是为了帮助营销人员理解用户表达方式，而非基于情绪状态进行广告定向 2。

然而，值得注意的是，一份泄露文件显示Meta内部承认，由于其系统对数据使用的控制和可解释性不足，公司无法承诺“不将X数据用于Y目的”，并且数据可能无法被真正删除 19。这一来自内部文件的表述，与Meta公开否认特定定向能力的说法形成了对比。Meta的否认是需要考量的关键信息，但其措辞的微妙之处（例如，“不提供工具进行定向”）以及内部承认数据控制不足的情况 19，使得这些否认的完整性存疑。

C. 技术可行性评估

从技术角度评估，检测“删除自拍”这类平台内行为是完全可行的，因为Meta的系统会记录用户互动。AI/ML算法有能力识别行为信号（如删除自拍，如果被记录和分析）与其他情绪状态指标（如文本情绪、与特定内容的互动模式）之间的相关性 8。一旦发现此类关联，算法便可能推断出用户的心理状态。Meta的广告系统本身就设计为基于广泛的用户特征（包括人口统计学、兴趣和行为）进行定向 3。如果“推断的情绪状态”或“易受影响的倾向”成为一个可定向的属性（即使未公开宣传），系统便可以据此投放广告。

特别值得关注的是，泄露信息中提到Meta因缺乏内部数据控制而“无法承诺不将X数据用于Y目的” 19，这对其全面否认特定定向行为的说法构成了重大挑战。如果数据流向不能被完全理解或控制，就很难断言某些特定用途绝对不会发生。因此，技术可行性评估表明，尽管缺乏将“删除自拍”直接关联到美容广告推送这一具体流程的公开证据，但Meta广告基础设施内基本具备实现此类流程的潜在技术能力。核心问题在于其意图和实际执行情况。

Meta公开否认基于情绪状态的定向 1，这与其内部文件所揭示的对数据使用缺乏精细控制的状况 19 存在明显矛盾。如果内部数据控制不足，那么在技术上就难以绝对肯定地声称，特定的数据（如指示情绪状态的行为信号）绝不会被复杂且不透明的广告算法以某种方式使用。这种内部数据治理体系的状况可能会削弱其公开否认的可信度，暗示了政策声明与实际数据处理现实之间可能存在差距。

表2：关于情绪状态定向的指控与Meta的回应

具体指控	来源/背景	Meta的官方回应/否认（直接引述或摘要）	回应日期/背景
青少年删除自拍后被推送美容广告	Wynn-Williams 书籍/证词 1	称指控“脱离现实且充斥虚假声明” 1	2024年5月 (Meta声明) / 2025年4月 (BHR报道)
使用“不安全感”等词汇进行定向	Wynn-Williams 书籍/证词 1	重申2017年立场：“不提供基于情绪状态定向的工具” 1	2017年 (博文) / 多次重申
告知广告主青少年抑郁状态以优化广告投放	Wynn-Williams 证词 18	称相关市场分析“从未用于广告定向，且基于匿名和聚合数据” 18	2017年 (博文) / 2025年4月 (BHR报道)
研究年轻母亲的情绪状态用于类似目的	内部聊天截图 18	Meta对Wynn-Williams整体证词予以否认，但未单独就此具体截图回应（根据现有材料）	2025年4月 (BHR报道)

这一系列争议突显了一个长期存在的张力：Meta依赖于精细广告定向的商业模式与保护用户隐私（尤其是敏感推断）之间的矛盾。Meta的收入绝大部分来源于广告 3，而广告的有效性则通过基于详细用户画像的精准定向得以提升 8。如指控所述，推断情绪状态或脆弱性可能代表了广告相关性和有效性的新前沿，特别是对于那些迎合此类状态的产品（例如，针对不安全感的美容产品）1。然而，这直接与隐私原则和伦理考量相冲突，尤其是在涉及弱势群体时 20。因此，这里存在固有的利益冲突，追求更有效的广告定向可能会激励平台收集和推断日益敏感的数据，即使官方政策禁止或存在公众监督。

IV. 隐私影响与伦理维度

A. 敏感数据的推断与使用

所指控的行为涉及从用户行为中推断心理状态（如不安全感、悲伤、无价值感）1。这类数据，即使用户未明确提供，也可能高度敏感，类似于健康或情绪福祉信息 22。算法在推断情绪状态时并非绝对可靠，错误的解读可能导致不恰当甚至有害的广告定向，给用户带来困扰或加剧其已有的脆弱性 20。

用户通常意识不到他们的日常行为（如删除一张照片）可能被平台以如此深刻的方式解读并用于广告定向 21。针对此类推断数据的控制机制往往缺乏或不透明 24。在用户没有明确同意或清晰认知的情况下，创建和使用推断的敏感数据，构成了严重的隐私侵犯。技术能力能够推断出高度细致和敏感的属性，这与处理此类数据所需的明确、知情同意的法律/伦理要求之间存在内在的紧张关系。人工智能和机器学习可以推断出用户未明确披露甚至可能自己也未完全意识到的特征 8。然而，像GDPR这样的数据保护法规对敏感数据处理要求高标准的同意，必须是具体的、知情的和自由给予的 22。对于算法可能从用户行为中做出的每一个潜在推断，都获得真正知情的同意，在实践中是极具挑战性的，尤其是当推断机制不透明时。“删除自拍”的指控就体现了这一点：用户是否会合理预期删除照片就等同于同意被画像为“不安全”并用于广告定向？这种推断技术的进步正在超越传统同意模式的实际适用性，导致在一个模糊的、用户未充分知情的同意框架下，可能发生高度敏感的数据处理。

B. 针对脆弱群体的定向

青少年在认知和情感发展、同伴压力以及身份形成方面尚处于进行时，因此特别容易受到说服性广告的影响 20。他们可能难以区分广告与其他内容，或难以批判性地评估广告声明 20。基于推断的对外观的不安全感向青少年女性推送美容广告 1，可被视为对此类脆弱性的直接利用。这可能强化负面身体意象，降低自尊，并助长心理健康问题 20。

从伦理角度看，平台负有更重大的责任，保护包括未成年人在内的弱势用户免受潜在有害或操纵性广告行为的影响 20。然而，相关指控暗示，广告主价值被置于青少年福祉之上 18。如果将负面情绪状态商业化成为常态，这将促使数字广告生态系统将利用心理脆弱性视为标准商业行为。指控的核心是Meta识别负面情绪状态（“没有价值”、“不安全”）以触发广告，这意味着这些状态本身就是有价值的定向参数 1。据称，广告主也理解脆弱的情绪状态可以提高购买可能性 18。如果此类做法变得普遍并被接受，就会催生一个“脆弱性数据”市场，激励平台开发更复杂的方检测和分类用户的情感弱点。这可能导致一个数字环境，用户不断被评估其心理缺陷，以便用于商业剥削，从而可能侵蚀心理健康并滋生掠夺性广告文化。

C. 数据最小化、目的限制与同意

数据最小化是GDPR的一项核心原则，要求收集的个人数据应充分、相关且限于处理目的所必需的范围。为了广告定向而无差别地收集所有可能的行为信号以推断情绪状态，可能违反此原则 26。欧洲法院（CJEU）裁定，Meta不分敏感性或时间，无差别地将所有个人数据用于广告目的，是不成比例的干预 26。

目的限制原则要求个人数据的收集应具有特定、明确和合法的目的，并且不得以与这些目的不符的方式进一步处理。如果用户为分享或个人存储而提供数据（例如上传照片），那么利用管理这些数据产生的信号（例如删除行为）来推断情绪状态并用于广告定向，可能构成不兼容的次要目的 26。

对于处理敏感数据（包括推断的敏感数据），GDPR通常要求获得明确同意 22。用户是否为从删除自拍等行为中推断其情绪状态并用于广告定向提供了此类同意，是高度可疑的。标准的服务条款协议不太可能达到对此类特定和侵入性处理的明确、知情同意的门槛 22。Meta在欧洲推出的“为隐私付费”模式 27 也引发了关于同意是否“自由给予”的质疑。这些核心数据保护原则旨在限制过度的数据收集和使用，而被指控的做法似乎严重挑战了这些原则。未能遵守数据最小化和目的限制等原则，直接为过度收集和滥用数据以推断敏感特征创造了条件。CJEU批评Meta无差别地将所有个人数据用于广告 26，表明其缺乏数据最小化和目的限制的实践。如果平台收集和保留大量行为数据而没有严格定义的目的，这些数据就可用于AI/ML系统的探索性分析。这些系统随后可能发现允许推断敏感属性的相关性，而这可能并非最初的收集目的。Meta内部的“数据湖”问题，即数据汇集而缺乏明确控制 19，正是这种风险的例证。对基本数据保护原则的薄弱遵守，为“功能蔓延”创造了条件，即为一个目的收集的数据被重新用于日益侵入性的分析，包括推断敏感的心理状态。

V. Meta的政策与监管环境

A. 当前广告标准

针对未成年人的定向: Meta声称正在限制广告主接触青少年的选项。自2023年2月起，广告主只能使用年龄和位置来对青少年进行广告定向；性别已被移除出定向选项，青少年在应用内的互动（如点赞、关注）也不会影响他们看到的广告类型 29。如果得到全面实施，这将是一个重大转变，与过去的能力形成对比。这些声明的政策变化若有效，理论上将阻止事件中所指控的、针对被识别为青少年的用户进行的基于兴趣/行为的情绪推断。然而，年龄验证的可靠性以及“互动”数据排除的全面性是关键问题。
敏感数据类别: Meta正在实施新的限制措施（2025年初生效），针对健康、金融、政治、种族、宗教、性取向以及“可能面临个人困境的个人”等敏感类别的广告 23。Meta将不再希望从可能链接或暗示这些特殊类别的网站接收数据（通过Pixel等）23。该政策承认了从网站访问中推断敏感属性的风险。“个人困境”可能潜在地涵盖某些形式的情绪脆弱性。然而，该政策主要关注来自外部网站的数据，而不一定是从平台内行为（如删除自拍）中做出的推断。
推断属性与情绪状态: Meta的公开广告政策通常禁止广告主使用定向选项进行歧视、骚扰或从事掠夺性行为 17。虽然“情绪状态”并不总是像种族或宗教那样被明确列为禁止的定向类别，但防止掠夺性行为的精神可能适用。Meta在2017年的否认中明确表示，他们“不提供基于用户情绪状态进行定向的工具” 1。官方立场是否认提供此类定向的工具。然而，举报人的指控暗示的是一种内部能力或实践，这可能并非一个公开发布的“工具”。

B. 政策演变与监管影响

针对青少年广告定向的调整 29 以及即将于2025年实施的敏感类别限制 23，表明政策环境在不断演变，这很可能是受到监管压力（如GDPR、DSA、儿童隐私法）以及类似本报告所分析事件引发的公众监督的影响。CJEU关于数据最小化和目的限制的裁决 26 给Meta在欧洲为广告目的广泛聚合数据的做法带来了巨大的法律压力。Meta在欧盟为提供无广告访问而引入订阅模式，正是对此的直接回应 27。Meta的政策并非一成不变，它们会适应法律和公众压力。这表明持续的监督可以带来改变，尽管这些改变的有效性和全面性需要持续评估。

C. 用户控制的有效性

Meta提供了广告偏好设置，用户可以在其中查看并移除一些推断的兴趣 32。用户还可以选择减少看到某些主题（如酒精、政治）的广告 32。“Facebook站外动态”工具允许用户查看和管理第三方网站和应用与Meta共享的数据，并断开未来的活动 32。然而，有研究表明，现有的Facebook广告控制可能存在可发现性问题，且与跨平台数据共享相关的控制可能令人困惑 24。大多数控制与第三方数据的使用有关，而非其初始收集 24。目前尚不清楚这些控制是否能提供对推断的情绪状态或像“删除自拍”这样的特定行为触发因素的细致管理。尽管用户控制确实存在，但其在防止事件中所指控的细致、推断性定向方面的有效性值得怀疑。用户无法控制那些他们不知道正在被推断的事物。

Meta当前和已宣布的政策变化（如针对青少年的政策 29；针对敏感网站数据的政策 23）解决了一些问题性定向的方面，但可能并未完全覆盖从平台内个体用户行为（如删除自拍）推断情绪状态的具体机制，特别是当这些行为不涉及访问外部“敏感类别”网站时。针对青少年的广告政策变化侧重于移除基于兴趣/活动的定向，仅依赖年龄/位置 29。这是一个积极的步骤，但其有效性取决于准确的年龄识别和对所有相关“活动”的全面排除。2025年的敏感数据政策主要针对Meta认为敏感的网站（通过Pixel等）发出的数据信号 23。而核心指控涉及青少年用户在平台上的行为（删除自拍），导致情绪状态的推断。这种完全源于用户在Meta自身环境内直接互动的推断路径，可能未被以网站为中心的敏感类别政策明确覆盖。这可能意味着，在监管和政策层面，对于纯粹源自平台内微观行为的推断（尤其当这些行为不完全符合预定义的网站“敏感类别”或广泛“兴趣”时）存在盲点。

Meta的政策变化往往是在公众丑闻、监管压力或法律裁决之后做出的反应（例如，CJEU的裁决 26；在受到严格审查后对青少年定向的更改 29），而非从一开始就主动实施最严格的隐私保护措施。2017年对情绪定向的否认是在一份文件泄露后发生的 1。对青少年广告的更改 29 是在公众和政府对青少年心理健康和社交媒体给予极大关注之后进行的。欧盟的“为隐私付费”模式 27 是GDPR执行和CJEU裁决的直接结果。2025年的敏感数据限制 23 是在全球持续讨论数据隐私和平台责任的背景下实施的。这种模式表明，外部压力是推动隐私增强变化的主要驱动力，而非固有的、主动致力于最大化数据保护的承诺。这引发了对那些目前未受到严格审查的领域可能继续存在哪些做法的担忧。

用户控制机制 24 虽然提供了一定的透明度和选择权，但在处理复杂、不透明的算法推断时，其作用从根本上是有限的。用户无法有意义地控制他们不理解或未意识到的事物。用户可以管理“兴趣”或“广告主题” 32，但这些通常是宽泛的类别。特定行为（如删除照片）如何促成一个“兴趣”或一个推断的敏感状态，其过程对用户而言并不透明。如果一个算法从一系列微妙的信号中推断出“低自尊”，通常并没有一个标记为“不要推断我的自尊水平”的控制选项。某些控制的“可发现性”和“混淆性”进一步限制了它们的效用 24。因此，现有的用户控制不足以解决由敏感特征的复杂算法推断所带来的隐私风险，这突出表明需要超越针对预定义类别的个人选择退出之外的系统性变革。

表3：Meta相关政策与变化概览

政策领域	先前/旧有政策规定（如知晓）	当前/已宣布政策规定（含生效日期）	相关用户控制声明	指出的差距/担忧/矛盾
针对未成年人的定向	允许基于兴趣和活动进行定向	自2023年2月起，仅使用年龄和位置；移除性别选项；应用内互动不再用于广告定向 29	青少年可在广告偏好中选择“减少看到”或“无偏好”特定广告主题 29	年龄验证的可靠性；“互动”数据排除的全面性；是否能完全阻止基于历史数据的间接推断
敏感数据类别（基于网站）	政策不如此明确或细化	2025年初生效，限制基于健康、金融、政治、种族、宗教、性取向、“个人困境”等网站数据的定向 23	用户可通过“Facebook站外动态”管理部分第三方数据 32	主要针对外部网站数据，对平台内行为推断的覆盖不足；“个人困境”定义可能模糊
推断的情绪状态	2017年声明“不提供基于情绪状态定向的工具” 1	未见明确的新政策直接处理从平台内行为推断的情绪状态用于广告	用户可管理“兴趣”和“广告主题”，但与具体情绪推断的关联不明确 32	缺乏对此类推断的明确禁止和透明度；用户控制的间接性
用户上传内容用于广告画像	服务条款授予Meta使用用户内容的许可 12	未见明确改变服务条款中关于内容使用许可的声明	用户隐私设置可限制内容可见性，但与广告画像的关联不直接透明	服务条款的广泛授权与用户对照片等个人内容不被用于广告画像的期望之间可能存在差距

VI. 推断敏感数据的安全考量

A. 高度敏感推断的数据安全风险

关于心理脆弱性、情绪状态或个人不安全感的推断数据极其敏感。一旦泄露，这些数据可能被用于敲诈勒索、操纵、复杂的网络钓鱼攻击或社会工程，其危害远超典型的身份盗窃 21。即使最初经过匿名化或假名化处理，推断的敏感数据在与其他数据集（如数据经纪人所为 21）结合后，也可能增加重新识别的风险，并创建出高度详细、侵入性的个人档案。美国司法部关于批量敏感数据传输的规定承认，即使是“匿名化”数据也存在通过技术手段和数据链接被重新识别的风险 35。

恶意行为者可能试图利用相同的广告定向机制。如果平台能够基于推断的脆弱性进行定向，那么成功渗透广告系统或获取泄露数据的威胁行为者也能做到这一点，向被识别为脆弱的个体投放掠夺性广告或诈骗信息 21。例如，已有在线赌场针对问题赌徒进行广告投放的案例 21。因此，推断和存储的数据越敏感，数据泄露或滥用的风险就越高，对个人的潜在伤害也越大。推断和存储高度敏感的心理属性的做法，显著提升了平台的整体数据安全风险状况，使其成为更具吸引力的复杂攻击目标，并放大了数据泄露可能造成的损害。标准个人可识别信息（PII）（如姓名、地址）固然有价值，但推断的心理脆弱性（例如，“易患抑郁症”、“对外貌不自信”）代表了一个在操纵或剥削方面远为强大的数据集 21。如果这样一个数据集的存在被知晓或怀疑，将会吸引高度积极的威胁行为者（如国家支持的组织、有组织犯罪团伙），他们寻求将其用于超出金融欺诈的目的，例如虚假信息传播或社会控制。此类数据的泄露可能导致平台声誉严重受损，并对受影响的个人造成深远且持久的伤害 33。

B. 适用的数据保护原则与安全措施

存储此类敏感推断数据的平台负有更重大的责任，通过强大的安全措施（如强加密、访问控制和定期安全审计）确保其机密性（防止未经授权的访问）和完整性（防止未经授权的修改）33。组织内部对敏感推断数据的访问应严格限制在“需要知道”的原则基础上，这包括技术和管理控制，以防止员工或承包商滥用 38。

敏感PII（推断的情绪状态应被视为此类信息）必须存储在经批准的、加密的系统上，传输过程也必须得到保护 38。无限期存储此类敏感推断数据是有问题的 26。明确的保留策略和安全的删除机制至关重要，尽管Meta的内部文件表明，在确保数据被真正删除方面存在挑战 19。此外，必须制定健全的事件响应计划，以迅速有效地处理此类敏感数据任何潜在的泄露或滥用 37。当数据涉及私密的心理推断时，标准的数据安全实践变得尤为关键。潜在的危害性要求采取与数据敏感性相称的安全态势。

平台内部系统中推断的敏感情绪数据的可用性，增加了内部威胁（恶意员工或被盗账户）的潜在影响。拥有对广告定向系统或底层数据存储库合法访问权限的员工或承包商可能会滥用这些信息 37。如果用户画像包含与推断情绪状态相关的标签或分类，内部人员可能为个人利益、出售或造成伤害而提取这些信息。用户画像越详细、心理揭示性越强，此类内部泄露造成的损害就越大。因此，当数据包含敏感的心理推断时，严格的内部访问控制、对数据访问的健全审计以及员工筛选变得更为关键，必须严格执行最小权限原则。

在使推断数据易于被复杂广告算法用于提升“相关性”与实施严格安全措施（如重度加密或数据孤岛化，这可能会妨碍算法的灵活性或数据链接）之间可能存在张力。广告系统通常依赖于对各种数据集的快速数据访问和链接，以提供实时的定向广告 8。强大的安全措施，例如以难以被算法集体处理的方式加密单个数据字段，或严格孤岛化数据，可能会降低该数据对于细致、跨领域推断的“效用”。Meta历史上为数据共享而设计的“开放”系统 19 优先考虑了效用和数据流，这可能以牺牲特定数据元素的精细控制和安全性为代价。因此，可能需要进行根本性的重新架构才能真正保护推断的敏感数据，这可能会影响广告定向算法当前的能力。这要求企业做出将安全和隐私置于广告定向最大数据效用之上的决策。

VII. 结论与建议

A. 主要发现总结

本次分析基于对Meta（前Facebook）涉嫌利用用户（特别是青少年）删除自拍等行为推断其情绪脆弱性，并据此定向推送美容广告的事件。从技术角度看，Meta的数据收集机制（包括平台内活动、Meta Pixel、Cookies、SDK及API）结合其先进的人工智能与机器学习算法，确实具备从用户行为信号中推断情绪状态的技术可行性。尽管Meta对此类具体指控予以否认，但其内部文件曾揭示公司在数据控制方面存在不足，这使得其否认的确定性受到一定质疑。

此事件凸显了严重的隐私问题。首先，通过算法推断用户的心理状态（如不安全感）并将其用于广告定向，本身就构成了对高度敏感个人数据的处理，而用户对此过程往往缺乏认知和控制。其次，针对青少年这一脆弱群体进行此类定向，涉嫌利用其心理不成熟和易感性，可能对其心理健康造成负面影响，引发深刻的伦理关切。再次，这种做法挑战了数据最小化、目的限制以及知情同意等核心数据保护原则。欧洲法院对Meta数据处理方式的裁决也强调了这些原则的重要性。

Meta的广告政策在持续演变，例如针对青少年广告定向的限制和即将实施的敏感数据类别新规。然而，这些政策在是否能完全覆盖从平台内细微行为推断情绪状态这一特定场景方面，仍存在潜在的空白。此外，用户虽拥有一定的广告偏好控制权，但面对不透明的算法推断，这些控制的有效性有限。

最后，收集、存储和使用此类推断的敏感心理数据，将显著增加平台的安全风险。一旦发生数据泄露，可能导致比传统PII泄露更为严重的个人伤害和社会危害。

B. 建议

基于上述分析，从隐私保护和技术安全的角度提出以下建议：

1. 对平台（Meta）的建议：

禁止为广告目的推断敏感情绪状态：应实施明确、可验证且可审计的政策，严格禁止为广告定向目的推断和使用用户的敏感情绪状态及心理脆弱性，尤其针对未成年人。
提升算法透明度与可审计性：开发并应用能够提高广告定向算法如何使用数据及进行推断的透明度的方法。允许独立的专家对这些系统进行审计，以验证其政策合规性。
加强数据治理与内部控制：投入资源彻底改革数据基础设施，确保对数据流向和使用的精细控制，解决泄露文件中指出的问题。通过设计实现健全的数据最小化和目的限制原则。

19
改进用户对推断数据的控制权：向用户清晰告知平台正在对他们进行哪些属性推断（超越宽泛的“兴趣”标签），并提供有意义的控制选项，允许用户质疑、更正或删除此类推断数据。
投资隐私增强技术（PETs）：探索并实施能够减少对原始个人数据收集依赖的隐私增强技术，同时仍能实现某些形式的、侵入性较低的广告相关性（例如，上下文广告、具有强隐私保障的联邦学习等）。

2. 对监管机构与政策制定者的建议：

制定关于推断数据的明确法规：建立专门针对敏感个人数据（包括心理状态）推断的法律框架。明确界定何为“敏感推断数据”及其可被处理的条件。
针对脆弱群体的定向设定更高标准：对任何形式的、针对未成年人及其他脆弱群体的广告定向，实施更严格的规则和保障措施，甚至可以考虑完全禁止针对这些群体的某些类型的推断性定向。
有力执行数据保护原则：加强对现有数据保护原则（如数据最小化、目的限制以及有效、明确同意的要求）的执行力度，特别是在涉及复杂算法处理的场景下。
推动算法影响与审计研究：资助并支持关于算法画像的社会及个体影响的独立研究，并为广告业使用的大规模AI系统开发标准化的审计方法论。

3. 对用户的建议：

积极利用现有隐私控制：主动审查并使用平台提供的隐私设置和广告控制选项，同时认识到其局限性。
倡导更强的保护措施：支持隐私倡导组织，并呼吁对数据收集和广告定向行为进行更强有力的立法和监管。

该事件并非孤立现象，而是当前主流的、以大规模数据监控和行为预测为基础的商业模式中一个系统性问题的表征。这种模式下，追求数据积累和利润的驱动力与基本隐私权之间存在固有冲突。用户的隐私意识和法规的收紧，可能会促使平台寻求更隐蔽或复杂的推断方法，形成隐私保护与数据利用之间的持续博弈。因此，仅仅依赖平台政策的被动调整和法律的滞后性是不够的，必须在技术开发过程中嵌入主动的伦理框架，优先考虑用户的福祉与自主权。

查看全文

http://www.xdnf.cn/news/5821.html