作者:高山 知产财经
近期,字节跳动旗下“豆包手机助手”技术预览版及合作工程样机的发布,迅速在科技与法律界掀起波澜。该助手通过获取安卓系统底层权限,实现了跨应用自动化操作,直指现有“应用围墙花园”生态的核心。微信、银行App等迅速以安全警告、异常登录等技术措施反制,背后实则是流量入口与用户决策权的争夺战已从商业层面蔓延至法律战场。
面对这种可能颠覆现有商业模式的技术挑战,腾讯、阿里等互联网大厂是否会从技术封堵升级至正式的维权诉讼,成为业界关注的焦点。从全球视角看,亚马逊已就类似数据获取问题起诉AI公司Perplexity,指控其通过技术手段不当获取并利用了亚马逊网站的数据,涉嫌违反《计算机欺诈和滥用法案》等法律。这预示着,围绕AI代理的数据获取与竞争行为,全球都将面临法律考验。相信未来国内该类案件也会出现,那么这里面涉及到了哪些法律问题呢?
一、权利基石:用户授权能否跨越APP的“所有权围墙”?
面对“手机和账号都是用户的,用户同意即授权”的常见观点,全国审判业务专家陈锦川明确指出,这混淆了“使用权”与“所有权”的根本区别,必须回归法律的基本规定。
“APP本身是受著作权保护的软件作品,其著作权依法归属于开发者或运营者。这有明确的《计算机软件保护条例》第九条作为依据。”陈锦川强调,用户账号的所有权同样归属于平台方,用户享有的仅是使用权。用户协议通常明确禁止自动化访问、干扰服务或转让账号,这些约定本身受到《民法典》第四百六十五条关于合同法律约束力的保护。因此,用户同意AI助手操作,并不意味着其有权将仅限于个人使用的权利,延伸至允许第三方工具进行系统性、跨应用的自动化介入。
全国审判业务专家宋健认为,从以往数据类不正当竞争案件的裁判规则看,用户帐户权属性质本身对AI助手操作行为的定性并不产生影响,因为判断AI助手跨应用自动操作行为的正当性,一是受用户协议的约定;二是受反不正当竞争法的规制。
豆包手机助手通过获取INJECT_EVENTS(安卓系统高危权限)等系统级“上帝权限”,实现了读取屏幕内容与模拟点击操作。这固然在技术上实现了跨应用任务自动化,但在法律上,其正当性基础首先遭遇了与平台用户协议的直接冲突,并可能因自动化接入技术手段触及《网络安全法》第二十七条关于不得从事非法侵入、干扰他人网络等活动的规定。上海市人工智能技术协会理事、上海至合律师事务所合伙人邱政谈律师也指出,用户与平台之间的协议是双方权利义务的基础,AI助手作为“介入者”,其行为是否有效,首先需审视其是否帮助用户违反了该基础协议。
二、行为定性:是“智能代理”还是“不正当竞争”?
AI Agent(人工智能代理)的法律地位是另一核心争议。中国政法大学数据法治研究院范明志教授将其视为“对人的身份和能力的延伸”,但其延伸的边界模糊。范明志教授特别指出,这形成了一种新型代理关系,引发了一系列法律挑战:AI Agent是否具有《民法典》代理章节中代理人的法律地位?其行为效果归属如何划分?用户对AI代理的交易行为不满时,如何依据《民法典》关于代理责任或违约责任的规定进行救济?这不仅是平台政策与消费者权利的协调问题,更触及数据处理合规、行为效果归属等新挑战。
从不正当竞争角度,集佳律师事务所合伙人侯玉静律师认为,不能仅因技术形态新颖而预判其违法性,必须回归行为本质进行分析。
豆包手机助手引发的核心商业冲突,在于其可能对现有“应用围墙花园”造成系统性冲击。它能使用户直达任务结算页面,规避开屏广告、信息流推荐等“中间商业生态”。这是否构成《反不正当竞争法》第十二条(互联网专条)规制的“妨碍、破坏网络产品服务正常运行”?
对此,侯玉静律师指出关键区别:传统“屏蔽广告”行为是主动破坏商业模式,构成直接妨碍;而豆包助手的目标是整合信息、执行指令,除非能证明其通过攻击、破坏方式接入,否则性质不同。同样,它与通过欺骗、强制手段剥夺用户选择的“流量劫持”也有别,因为它是用户主动启用的智能代理。其法律定性的核心,在于个案中是否违反了《反不正当竞争法》第二条所规定的诚实信用原则和商业道德。
邱政谈律师补充分析,判断是否构成“妨碍”,标准需从“物理性干扰”转向“是否实质性破坏了目标软件预设的运行逻辑与商业模式”。豆包助手以提升效率为名,可能解构平台对流量和交互的控制权,这是一种更为隐蔽和深层的冲击。
宋健认为,AI助手能够实现跨应用操作,本身是建立在各类APP已长期成熟运营基础上的,这些APP需要通过商业运营实现赢利,而AI助手跨应用自动操作,实现“通吃天下”,其底层商业逻辑的正当性在哪里,值得思考,但肯定不能仅以消费者利益为名。
三、数据合规:“最小必要”原则下的灰色地带与严峻挑战
数据合规是当前反制豆包手机助手“最直接也最为有效的抓手”。其通过屏幕读取权限,不可避免会捕获远超当前指令所需的敏感信息(如浏览其他内容时附带显示的隐私数据),这种“伴随性收集”是否违反《个人信息保护法》第六条规定的“最小必要”原则,处于法律解释的灰色地带。
尽管豆包官方承诺“不在云端存储任何用户屏幕内容,不用于模型训练”,但技术现实与合规责任之间存在巨大张力。工程样机硬件能力有限,屏幕信息处理必然寻求云端支持,数据的传输、暂存环节风险凸显。用户“一次性概括同意”的方式,难以满足对个人敏感信息处理需获取《个人信息保护法》第二十九条所要求的“单独同意”。
邱政谈律师进一步指出,“用户授权”不能成为数据获取的万能挡箭牌。用户有权授权工具为自己服务,但无权将平台用户协议中仅限于个人使用的数据访问权,二次授权给第三方进行潜在的商业化收集与利用。这涉及到《数据安全法》下数据处理活动的合规性,以及平台数据权益的边界。豆包助手若通过用户作为“中介”,系统性获取多平台运营数据(如商品、价格),即使声称未存储或训练,其获取行为本身就可能构成对平台数据权益的侵害,面临相关诉讼风险。
范明志教授也指出,数据处理的合规性、以及AI应用伦理规则问题,比如AI Agent在执行用户委托时收集处理信息或者数据,是用户的行为还是技术来源方的行为?是否应当以及如何遵守《个人信息保护法》和《数据安全法》?对于某些政治、宗教、信仰等敏感问题的言行后果如何规制?这些问题在一定程度上是对当前法律规则的新挑战。
四、未来博弈:协同生态呼唤规则重建
豆包手机助手的尝试虽遇阻,却揭示了AI智能体跨生态协作的必然趋势。传统超级应用面临战略抉择:完全封闭可能阻碍创新并引发用户不满,但放任自流则可能瓦解其商业模式根基。国际上,欧盟《数字市场法案》(DMA)正试图以立法形式强制大型平台开放互操作性,这与AI Agent打破“围墙花园”的内在逻辑存在某种共鸣,但必须在严格的数据保护框架(如GDPR)下进行。
技术路径本身也在演进。当前基于INJECT_EVENTS的GUI-Agent方案或许只是过渡,未来更可能走向类似MCP(模型上下文协议)的标准化能力协议,实现应用功能的“对齐”与安全调用。这要求法律规则必须更具前瞻性。
多位专家共识认为,解决之道不在于简单封禁,而在于推动建立AI时代应用间交互的“交通规则”。这需要明确:
自动化介入的许可限度:在什么场景下,何种程度的AI代理操作是合法的?这需要结合《民法典》《电子商务法》等对自动交易、代理行为的规定进行细化。
数据与操作权限的边界:如何在《个人信息保护法》《数据安全法》与促进信息合理流动之间取得平衡?
利益与责任分配机制:首先是AI助手分走的流量,其利益应当如何进行合理分配;再就是当AI代理行为产生纠纷或损害时,用户、AI技术提供方、手机厂商、平台方的责任如何划分?这需要厘清《民法典》侵权责任编、《消费者权益保护法》在新型代理关系下的适用规则。
(本文仅代表作者观点,不代表知产财经立场,平台并不承诺对内容负责,如有相关疑问,请联系文章作者。)
京公网安备 11010502049464号