
手機偷聽廣告傳聞再起:FTC 話 Cox 嘅 AI 服務根本冇用語音數據
美國和解案重點唔係證實偷聽,而係拆穿 AI marketing 嘅吹水位

圖:The Verge.原文連結
每隔幾個月,手機「係咪偷聽我講嘢再出廣告」都會再爆一次。今次 Cox Media Group 被美國 FTC 點名,表面好似又係呢個都市傳聞有新證據,但重點其實相反:FTC 指 Cox、MindSift 同 1010 Digital Works 推銷嘅 Active Listening 服務,並無真正聽取消費者對話,亦無使用 voice data。真正問題係,佢哋涉嫌用一個令人不安又好賣嘅 AI 故事,向小商戶包裝一套普通得多、但同樣需要私隱審視嘅廣告資料買賣服務。
呢宗案值得香港用家同中小企睇,唔係因為 FTC 發現手機真係大規模開咪高峰偷聽,而係因為佢示範咗現代廣告科技點樣借用大家對手機、智能喇叭、智能電視嘅恐懼嚟做 sales pitch。你喺屋企講完冷氣機,之後見到冷氣廣告,未必代表有 app 偷錄你;更常見嘅原因係搜尋紀錄、位置、電郵名單、網站 pixel、相似受眾同資料經紀已經夠多。換句話講,最科幻嗰個版本未必成立,但現實版追蹤已經足夠複雜。
FTC 真正指控係乜
FTC 喺 2026 年 5 月 21 日公布,將要求 Cox Media Group、MindSift 同 1010 Digital Works 合共支付 930,000 美元,處理佢哋被指誤導客戶嘅指控。三間公司被指向小商戶聲稱 Active Listening 可以用 AI 偵測手機、智能電視、智能喇叭等裝置附近嘅對話,再按地區向「準備購買」嘅人投放廣告。FTC 公布入面寫得好清楚:呢套服務並無聽取消費者對話,亦無使用語音資料;佢哋實際提供嘅,係由其他資料經紀買返嚟、再加價轉售嘅電郵名單。
法律狀態亦要講準確:截至 2026 年 5 月 25 日,呢個係美國 FTC 嘅擬議同意令程序,唔係香港執法,亦唔係已經走完整個 final order 流程。FTC 話會喺 Federal Register 刊出各份 consent agreement package,之後有 30 日公眾意見期,委員會再決定係咪令擬議命令成為最終命令。金額方面,FTC 文件列明 CMG 擬支付 880,000 美元,MindSift 同 1010 Digital Works 各支付 25,000 美元,款項用作補償受影響嘅 CMG 客戶。
點解一個「冇偷聽」嘅案仍然重要
Active Listening 最有殺傷力嘅地方,唔係技術已被證實,而係佢好識利用大家對「手機永遠聽住」嘅直覺。FTC 對 CMG 嘅 complaint 引述咗佢 2023 年網站同簡報入面嘅說法,包括聲稱 voice data 可以比搜尋資料更進一步,將日常對話變成廣告定位工具,甚至用 AI 同「creepy」味道做賣點。後來公開嘅 pitch deck 亦用「470+ sources」、「10-mile radius」、「real-time intent data」呢類字眼,令一件好難核實嘅事聽落好似已經產品化。
但手機作業系統嘅咪高峰權限,同廣告平台嘅受眾定位,係兩件事。Siri、Google Assistant、Alexa 呢類服務需要聽召喚詞,唔等於任何廣告商都可以任意讀取所有對話;iOS 同 Android 近年亦加入咪高峰使用提示、權限管理同私隱面板。當然,權限制度唔代表零風險,亦唔代表每個 app 或每個第三方 SDK 都值得信任;但如果有人聲稱可以跨平台、跨裝置、按地區實時收集語音再賣廣告,最少要問清楚資料來源、同意機制、平台政策同審計證據,而唔係聽到 AI 就當真。
今次 FTC 嘅說法亦點出另一個更普通、但更貼近日常嘅風險:資料經紀同名單買賣。廣告商可以用電郵地址、電話號碼、瀏覽行為、購物意向、位置分類同網站 pixel,砌出一批「可能有興趣」嘅人,再上載去大型廣告平台做 customer match 或相似受眾。呢啲做法未必需要咪高峰,已經可以令廣告似係「讀心」。如果同屋企人、同事或朋友有相似位置、相似搜尋、共用 Wi-Fi、互相傳連結,系統更容易推斷到一堆相關興趣。
AI 廣告最易吹大嘅三個位
第一個位係「資料來源」。Active Listening pitch 入面聲稱有大量來源同語音行為,但 FTC complaint 指智能裝置並無向呢套服務傳送 voice data。第二個位係「同意」。三間公司被指向小商戶講,消費者已經透過 app 或裝置條款同意;FTC 反駁,強制接受嘅 terms of service 並唔構成呢類侵入式服務或屋企語音資料使用嘅 opt-in consent。第三個位係「地區準確度」。服務聲稱可以幫本地商戶鎖定某個半徑內嘅潛在客,但 FTC 指名單實際可能來自全國,只得一部分人喺客戶想投放嘅地方附近。
呢三點對香港 marketing team 同中小企都實用。當代理公司賣「AI 精準廣告」、「即時購買意圖」、「跨裝置追蹤」呢類方案,唔好淨係問 CPM 或轉換率,應該問資料由邊度嚟、係第一方定第三方、可唔可以提供同意紀錄、會唔會上載 hashed email、保留幾耐、用咩平台投放、地區定位點驗證。講到「語音」、「鏡頭」、「屋企智能裝置」更加要提高門檻,因為呢啲唔係普通興趣分類,而係會直接觸及用家對私人空間嘅合理期望。
行業脈絡:唔係一間公司先有嘅問題
Cox 案特別誇張,因為佢將大家最驚嗰個版本講到似真有其事;但背後行業脈絡,其實係廣告科技多年嚟都靠資料拼圖運作。大型平台有自己嘅廣告拍賣、再行銷、受眾上載同轉換追蹤;外圍仲有代理、資料經紀、app SDK、網站分析工具同 lead generation 公司。就算平台本身話唔用手機咪高峰做廣告,第三方 sales deck 仍然可以借平台名氣、合作伙伴標籤或者一般化嘅「資料來源」字眼,令小商戶以為成件事獲得大平台背書。
所以今次唔應該解讀成「手機偷聽終於坐實」,亦唔應該反過來當成「全部都冇問題」。更準確嘅解讀係:廣告業已經有足夠多非語音資料可以做高度個人化定位,而 AI 包裝令銷售說法更容易越界。監管機構今次追究嘅唔只係私隱恐懼,仲係對客戶嘅誤導:你賣俾商戶嘅到底係 AI 語音意圖,定係一批買返嚟嘅電郵名單?兩者價值、風險同合規責任完全唔同。
香港角度:唔係 FTC 案,但原則有參考價值
呢宗案無直接港行產品、香港執法或本地公司指控;唔應該無 source 就推論香港市場有同類做法。不過,香港私隱專員公署對 app 權限同個人資料使用嘅一般原則,已經足以提供本地背景。《個人資料(私隱)條例》係原則為本同技術中立,適用於公私營機構;如果某啲錄音、文字轉錄、裝置識別碼、電郵名單或其他資料能夠直接或間接識別個人,就可能涉及個人資料處理。DPP1 要求收集目的合法、直接相關、必要而不超乎適度;DPP3 則限制將資料用於新目的,除非得到明確及自願同意。
直接促銷方面,公署亦講明同意要係知情,沉默唔等於同意。呢點同 FTC 對「條款入面埋咗咪高峰同意」嘅批評方向相近,雖然兩地法律制度唔同。對香港 app 開發者同品牌嚟講,最務實嘅做法係少收集、講清楚、可拒絕、可撤回;如果 app 入面加入廣告 SDK 或第三方工具,就要理解對方會唔會追蹤或建立個人資料檔案,並向用家解釋。公署嘅流動 app 指引甚至提醒,因為係開發者選擇用某個廣告供應商,開發者同樣需要為資料收集做法負責。
用家可以點查
唔需要因為一宗美國案就恐慌,但香港用家可以趁機做一次權限盤點。iPhone 可到 設定 > 私隱與保安 > 咪高峰 檢查邊啲 app 有咪高峰權限;同一區域亦可睇 追蹤,關閉或逐個管理 app 跨其他公司 app 同網站追蹤嘅要求。Apple 自家廣告個人化,則可喺 設定 > 私隱與保安 > Apple Advertising 檢查。路徑會因 iOS 版本或語言設定有少少差異,但大方向係睇私隱與保安入面嘅硬件權限同追蹤設定。
Android 方面,Google 官方支援文件指 Android 12/13 或以上可用 Privacy Dashboard 睇 camera、咪高峰、位置等權限喺最近 24 小時或 7 日內嘅使用情況;亦可經權限管理員逐個 app 改權限。部分 Android 手機有全系統 camera/mic 開關同右上角使用提示,品牌介面可能有不同叫法。廣告 ID 就要按手機品牌同 Google 服務版本檢查,有啲機可重設或刪除 advertising ID;但要記住,關咗廣告 ID 唔等於所有追蹤即時消失,因為網站 cookies、登入帳戶、電郵名單同平台內行為仍然可以用作廣告推斷。
- 移除長期冇用嘅 app,尤其係曾經攞過咪高峰、位置、相片或通訊錄權限嘅 app。
- 對錄音、短片、社交、會議、智能家居 app,改用「使用 app 期間才允許」或每次詢問,唔好長開。
- 智能喇叭同智能電視如果有實體 mute 掣,唔用語音功能時可以關咪;同時定期睇 voice history 或刪除舊錄音。
- 中小企買廣告服務時,要求代理寫明資料來源、同意依據、退出方法、保留期限同第三方名單來源。
- 見到「AI 可以聽到顧客講乜」呢類 pitch,先要求 demo、合規文件同平台政策證明,冇就當成高風險說法。
今次 Cox 案最有價值嘅提醒係,私隱風險未必一定以電影式偷聽出現,更多時係包裝成「AI 洞察」、「買家意圖」同「地區精準投放」。FTC 指控話 Active Listening 根本無用 voice data,反而令問題更值得警惕:如果一套服務用唔存在嘅語音能力去收高價,商戶係受害者;如果有日真係有人用屋企語音做廣告定位,消費者就係受害者。兩種情況都指向同一個底線:講清楚收咩資料、點樣取得同意、用嚟做乜,唔係 marketing deck 入面一句 AI 可以代替。
參考來源
- The Verge — Cox Media fined after bragging it spied on users through their phones — original report
- FTC press release on Cox Media Group, MindSift and 1010 Digital Works — 官方公布,核對 930,000 美元總額、三間公司、public comment 同 final order 程序。
- FTC Complaint: CMG Media Corporation d/b/a Cox Media Group — 官方 complaint,核對 Active Listening 對外聲稱、FTC 指無使用 voice data、無同意同地區定位不準。
- CMG Pitch Deck on Voice-Data Advertising Active Listening — 公開 pitch deck,核對 470+ sources、10-mile radius、voice data 配 behavioural data 等銷售語言。
- PCPD: The Personal Data Privacy Ordinance at a Glance — 香港私隱法本地背景,核對 DPP1、DPP3、直接促銷同知情同意原則。
- PCPD: Smart Use of Smartphones leaflet announcement — 香港私隱專員公署手機安全建議,核對 app 權限、官方 app store、私隱設定等本地實務提示。
- Apple Support: Control access to hardware features on iPhone — 核對 iPhone app 使用 camera/咪高峰前須取得權限同相關設定位置。
- Android Help: Manage permissions from the privacy dashboard — 核對 Android Privacy Dashboard 可查看同管理咪高峰、camera 等 app 權限使用情況。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







