基于位置服务环境下的位置隐私侵权探析*
2013-03-31梁启星
梁启星
(广东商学院 法学院,广东 广州510320)
随着移动通讯技术和传感技术的普及,移动用户能够在任何时间、任何地点获得信息服务。人们不再满足于虚拟网络的新奇与趣味,力求把线上的虚拟社交转变为现实的社会关系,从而获得人际上、物质上、甚至感情上的现实利益。于是,基于位置服务(location based service,LBS)的出现使这种期许成为了可能。查找距离用户最近的电影院、查找附近正在促销的商品、查找两公里范围内同样寂寞的陌生朋友、向餐馆范围内300米的用户发送电子优惠劵等。然而,LBS给我们生活带来便利的同时,关于“位置隐私”的安全问题也日益凸显。
一、LBS环境下位置隐私概述
基于位置服务是指在用户授权下通过无线通讯技术和定位技术获得移动用户的位置信息,并将此信息提供给移动用户本人或特定的应用系统,以实现各种与当前用户位置相关的信息服务。LBS一般包含两个层面:首先是确定移动设备或用户所在的地理位置,其次是提供与位置相关的各类信息服务。LBS应用中,通常需要移动用户将自身的位置信息提供给基站和位置服务器才能享受到相应的信息服务。例如通过手机寻找附近的餐馆,必要前提是让特定服务器获得用户当前的位置数据。然而,当人们感叹于LBS给我们生活带来便利的同时,也开始意识到自己随时可能被跟踪,被人获知去过哪里或者做过什么,人们的安全随着技术的发展出现了新的威胁——位置隐私安全问题。
所谓“位置隐私”,是指由行为人所支配和控制的、自己所处的空间位置信息以及与之相应的时间信息。对于位置隐私,行为人有权决定自己的位置信息是否发布、向谁发布、以何种方式发布等。隐私权问题随着公众的关注已经得到了普遍的重视,2010年实施的《侵权责任法》第二条也明确地赋予其绝对权的地位,给予法律上的保护。然而,与传统的隐私不同,位置隐私因其特有的属性,往往被人们低估,没能引起足够的重视。其特点主要表现在以下几方面。
1.间接性
与一般的隐私(例如行为人的家庭信息、情感问题、医疗信息等)受侵害后,直接地对行为人造成的损害不同,位置隐私所造成的危害没有那么明显和直接。位置隐私的泄漏一般不会立刻给行为人造成利益或情感的伤害,但这并不能否定位置隐私的重要性。位置信息并非单纯的空间信息,它同时还包括了行为人的身份,以及行为人处于该位置的时间。换言之,一条位置信息记录同时包含了时间、空间以及人物三大要素,其内容可谓十分丰富[1]。基于某些敏感的位置信息(如特定时间经常出现在同一地点),就可以推断出行为人的个人爱好、宗教信仰、身体状况等——而这些,往往是行为人不希望被他人所知晓的。因此,位置隐私受到侵害的主要危害是间接导致其他个人隐私的泄露。
2.潜伏性
位置隐私的潜伏性主要体现在两方面:(1)危害结果的潜伏性。这是间接性在结果上的体现,对位置隐私的侵害一般不会立刻产生损害结果,危害结果是长期潜伏的。(2)位置隐私侵权在侵权行为上的潜伏性。侵权人一般是通过对被害人长时间的潜伏、观察、数据分析后,获取对被害人的位置隐私得出被害人的活动轨迹从而达到侵害的目的。
3.价值性
位置隐私以位置信息数据为载体,而位置信息数据的价值随着LBS的大规模应用迅速提升。其巨大的价值在于:(1)客户基数极其庞大。据中国移动2011年的统计,当前使用中国移动LBS服务的用户已经突破了3 000万,预计2012年将突破9 000万,呈爆炸式增长。近两年兴起的腾讯“微信”用户已经突破了1亿户。工信部的最新数据显示,当前我国手机用户已经突破了10亿[2],未来市场潜力巨大。(2)位置数据信息收集简单便利,特别适合大规模收集。位置数据的收集相比于其他个人信息收集的优势在于,一旦用户使用与LBS有关的各类服务,与其相关的位置信息就会立刻被记录下来。(3)巨大的商业潜能。信息、能源和材料被誉为现代社会发展的三大支柱。位置信息可以作为企业营销的基础,其恰当利用能为企业带来巨大的商业利益。例如某一群体的位置数据多次在车展中心出现,这些位置数据的群体就有可能成为了汽车销售商的潜在客户。
二、LBS环境下位置隐私的侵权责任构成
位置隐私的侵害一般分为两种形式:现实观察模式和网络数据轨迹分析模式。所谓现实观察模式,是指侵害人在被害人不知晓的情况下通过长期蹲点观察、跟踪等行为透析被害人的生活规律和活动周期来获取被害人特定的位置隐私。如甲通过长期观察,获知乙每个月1号必定会在肿瘤医院出现。网络数据轨迹分析模式,是指侵害人通过非法的形式获取被害人遗留在网络服务器上的位置数据,通过定点位置数据的串联轨迹,分析被害人的特定位置信息和活动踪迹。例如行为人在某餐馆通过手机使用位置信息服务,一个小时后在城市另一端的酒店再次使用位置信息服务,通过对点状的位置信息串联,结合城市的交通状况,就能分析出行为人的具体行踪。LBS环境下的位置隐私侵害就是上述第二种模式的具体化。
通过非法手段获取包括位置隐私在内的个人信息数据,所侵犯的“权源”在学术界存在很大的争议。一般认为其属于隐私利益,应由隐私权来保护;也有学者认为其属于所有权的保护范畴[3];有学者认为其属于人格权的保护范畴并且是一种新型的人格权——资料权[4];也有学者认为其是一种新型的独立的权利——个人信息权[5]。虽然关于位置隐私所侵害的“权源”尚存争论,但这并不意味位置隐私侵权问题没有得到法律的关注。《侵权责任法》第2条规定:“侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”第36条规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”据此,《侵权责任法》所保护的范围为“民事权益”而非“民事权利”。权益与权利都体现为之于主体的某种行为自由,其根本区别在于后者通过法定化的方式加以确认[6]。随着公民生活质量的提高、立法条件的成熟以及法制环境建设的需求,一些重要且与公民密切的权益逐渐法定化成权利。权利将赋予权利人行使权利的自由,要求其他人必须尊重此种权利,从而构成对他人行为自由的合法限制。因而“宣布为权利的权益不能仅是纯粹的个人利益,而应被视为能够普遍享有的、获得广泛关注的,即可能相互冲突并可竞争的利益,或可以平等地适用于同一全体或社会成员的利益”[7]。位置隐私所蕴含的公民权益的重要性在LBS应用中愈发显现,在《侵权责任法》保护范围扩展的情形下,使得包含位置隐私在内的个人数据信息的保护基础不论归类到人身权还是财产权,作为数据主体的民事权益都应该受到保护。
(一)侵权主体及其侵权行为的认定
《侵权责任法》第36条:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。”据此,我们认为在LBS环境下,侵犯位置隐私的主体主要包括以下几方面。
1.个人侵权
个人作为位置隐私侵权主体,其侵权行为一般表现为基于某种利益或恶性目的在未经被害者授权的情况下,通过窃听网络传输通道、攻击数据服务器等模式获取用户的位置信息。行为人在这种侵权模式下的行为,往往伴随着强烈的主观恶性或者说持有故意心态。因此,过错归责原则是个人位置隐私侵权的归责原则。
2.网络服务提供者侵权
根据网络服务提供者行为的性质,可分为作为侵权模式和不作为侵权模式。
(1)作为侵权模式
网络服务提供者作为侵权模式包括非法收集用户的位置数据和非法利用位置数据。非法收集用户的位置数据,主要表现在用户接受某种特定的网络服务、登录某网站或安装特定的软件时,未经用户同意秘密收集用户的位置数据。例如当前几乎所有使用安卓系统的智能手机在安装软件时,都会被软件服务器定位。此外,网络服务提供者还通过cookie记录用户包括位置隐私在内的各种网络活动数据。Cookie是在电脑或移动设备的后台运行的,很难被用户察觉,但它却能有效地收集用户的网络活动记录,如登录过那个网站、点击过那些广告、提交过怎么样的表单等。以腾讯公司的服务条款为例:“腾讯还允许其他公司,即所谓的第三方广告服务器或广告网络,在腾讯网页上展示广告。其中一些广告网络会在您的计算机上放置一个永久性的Cookie,这样便可使广告网络在每次向您发送联机广告时识别出您的计算机。这样,广告网络会搜集到有关您或使用您计算机的其他人在何处看见他们的广告,以及确定哪些广告被点击。这些信息使得广告网络能够发布他们认为将是您最感兴趣的广告。腾讯无权访问或控制可能由第三方广告服务器或广告网络放置的Cookie。”通过此声明,我们可以知悉这种在后台运行的cookie常用于收集用户的数据,虽然其同时声明:“您可以接受或拒绝Cookie。大多数Web浏览器会自动接受Cookie,但您通常可根据自己的需要来修改浏览器的设置以拒绝Cookie”作为救济手段,但是作为非专业人事往往不懂得如何进行复杂的技术操作。Cookie合法性问题一直是学术界争议的焦点,当前还没有有效的规制措施,一般只能通过网络服务提供者的自律性加以预防,但cookie存在明显的过度收集情形,法律确实应当有其介入的理由。非法利用用户的位置数据,主要是指网络服务提供者利用其合法或非法收集、存储的位置数据,在未经用户同意的情况下,进行数据的自我使用或转让给他人使用。例如网络服务提供者把一些经常在咖啡馆出现的位置数据,倒卖给相关的咖啡馆。网络服务提供者通过作为模式的侵权,同样体现出明显的主观故意,因此也是适用过错归责原则,有过错才承担侵权责任。
(2)不作为侵权模式
网络服务提供者不作为侵权模式,首先表现在网络用户利用网络实施侵权行为时,被侵权人通知网络服务提供者采取删除、屏蔽、断开链接等必要措施,而网络服务提供者有义务及时采取上述措施防止损害的进一步扩大而没有采取的。此外,由于网络服务提供者作为数据的收集、存储和保管方,应尽谨慎义务,尽可能防止数据被窃取和泄漏。例如使用技术措施使存储数据的服务器区别于一般的服务器,限制普通网络用户访问。网络服务提供者在数据收集、存储、利用上都处于优势地位,因不作为导致的数据泄漏所造成的损害是不可估量的,因而对其应实行严格的“过错推定责任”。只有其能够充分举证自己没有过错(如不可抗力)才能免责,否则就应当承担相应的侵权责认。
3.第三方数据利用者侵权
第三方数据利用者侵权是指第三方明知数据的来源是非法的依然继续使用或者数据的来源合法但在没有获得用户同意的情况下使用必然侵权的行为。第三方一般是通过向数据的非法获得者或数据的合法获得者(如上述的网络服务提供者)购买等形式获得数据信息。当前企业在开拓业务的过程中使用各种各样的营销方式,其中数据库营销被认为最高效和最节省成本。所谓数据库营销,是指企业通过收集和积累会员(用户或消费者)信息,经过分析筛选后有针对性地使用电子邮件、短信、电话、信件等方式进行客户深度挖掘与关系维护的营销方式。或者,数据库营销就是以与顾客建立一对一的互动沟通关系为目标,并依赖庞大的顾客信息库进行长期促销活动的一种全新的销售手段[8]。数据库营销的核心是数据的获得。如网络服务提供者通过位置数据发现某一人群长期在机场出现,而这类数据对网络服务提供商本身是没有实际价值的,但对于机票的销售商而言却是至关重要的客户数据。机票销售商通过对数据的购买,能高效地对潜在客户进行定点信息发送(如机票的促销信息),获取商业利益。第三方数据利用者的侵权以故意为要件,实行过错归责原则,应与数据的提供方一并承担侵权责任。
(二)侵权客体及其危害结果
如前文所述,位置隐私所保护的是行为人对位置信息不为他人知晓的权益。这种权益受侵犯所带来的影响一般不具有直接性,而是通过引发其他权益或权利被侵害作为危害结果。因此,位置隐私的侵权客体是指记录了用户位置的信息数据。美国学者Schilit首先提出了LBS的三大目标:你在哪里(空间信息)、你和谁在一起(社会信息)、附近有什么资源(信息查询)[9]。在LBS环境中,位置数据信息可以是有关用户的定位信息(用户当前所在的精确地点),也可以是查询请求内容中涉及的相关服务信息(如使用位置服务,请求查询附近的妇科医院),这样就可以推断出用户的运动模式、兴趣爱好、生活方式、医疗条件甚至政治团体活动等方面的个人隐私信息。此外,侵权行为所引起的危害结果达到一定严重程度会进入刑法调整的视野,当前我国《刑法修正案(七)》第7条已经为此作出了适当的回应。
(三)因果关系
任何一个侵权行为的构成必然要求侵权主体的侵权行为与危害结果之间存在因果关系。在一般的侵权行为中因果关系较为明显,引起与被引起的关系较易判断。然而,由于位置隐私本身的间接性和潜伏性特征,决定了在位置隐私侵权中因果关系的特殊性。对位置隐私的侵害并非直接地对被害人造成人身权或财产权的损害,因而它具有间接性;但从另一个角度去分析,《侵权责任法》所保护的并非仅仅是特定的权利,它保护的范围包含了某种能够引起利害关系的“权益”。在这个层面上分析,侵害人一旦实施了侵权行为,非法获取或利用被害人的位置隐私必然侵犯被害人对“位置隐私”所拥有的权益。而这种权益所体现的价值往往又因人而异,加之位置隐私的潜伏性,使得举证上具有极大的困难,因而应当认定侵害人一旦实施上文提到的侵权行为,就已经具备了因果关系。
(四)LBS位置隐私侵权的免责事由
免责事由是指行为即使形式上符合侵权的构成要件,但由于在特定情况不具有危害性而免除责任的情形。除普遍适用的一般免责事由外,在位置隐私侵权中以下几方面值得关注。(1)为了公共利益,强制获取用户的位置数据。如国家对恐怖分子的动态监控,在刑事侦查中对犯罪嫌疑人的位置监控等。(2)在紧急情况下,非经用户同意直接调取用户的位置数据。如某人在紧急状态下拨打110,却无法表达其具体地理位置,公安可以根据相关的信号直接调取位置数据。在这方面可以参照美国的相关情况,美国联邦通信委员会(FCC)要求移动运营商为手机用户提供紧急求助服务,即提供呼叫者的位置以便及时救援,这种移动位置服务称之为E911。(3)受害人故意。《侵权责任法》第27条规定:“损害是因受害人故意造成的,行为人不承担责任。”受害人同意作为传统的免责事由,在网络环境中有其特殊性。基于LBS运作的原理,用户由于信息不对称,往往轻易点击“同意”进行授权。因而在追究侵权责任时要充分考虑多重因素(如网络服务提供者使用的格式条款是否显著说明),考察受害人处分的意思表示是否真实,否则不能因此而免除侵权的责任。(4)《侵权责任法》第28条规定:“损害是因第三人造成的,第三人应当承担责任。”网络服务提供者并不能控制第三方在网上传输的信息内容,自始自终处于一种被动状态,因而由于第三方所造成的损害应当免责。当然,网络服务提供者的免责事由并非绝对的,根据《侵权责任法》第36条:“网络服务提供者采取删除、屏蔽、断开链接等必要措施”,否则就损害扩大部分承担连带责任。
三、LBS位置隐私保护措施的构建
我国网络技术的发展,特别是无线通讯带宽的提速以及智能手机的普及,为LBS应用创造了一个广阔的平台。而这一平台的搭建牵动了未来数百亿元的产业链,因而面对LBS技术推广过程中遭遇的种种障碍,自然会迅速成为科技界和法学界的焦点。
(一)LBS位置隐私的技术保护
对于包括LBS在内的所有与科技、网络有关的问题,首先表现为技术问题,然后才是法律问题。当前相关的技术保护措施主要集中在用户接受位置服务时,服务器故意使定位区域的模糊化或者对用户进行“子掩护”进而进行匿名转移处理。此外,科学工作者还不断地尝试各种模型去应对LBS所面临的位置信息威胁,尽管当前还没有找到一种最合适的方式。在LBS环境中,我们经常会面对这样的困境:用户使用与LBS相关的各类服务,首先得发送自己的位置信息,位置信息越精确,服务质量越高,但面临的位置隐私侵害风险越高;若我们过分追求位置隐私安全,就得通过技术措施对定位区域进行模糊,这样我们接受的服务质量也会相应下降。如何平衡服务质量与位置隐私安全之间的矛盾,是我们必须考虑的问题。
(二)LBS位置隐私的法律保护
构建位置隐私法律保护措施,企图通过单行立法去保护显然是不合理且不现实的。我们要思考的问题是位置隐私究竟作为一种怎样的权益融合到当前或即将出台的法律之中。位置隐私作为一种与传统隐私有着特定牵连的权益,是否能够通过扩展《侵权责任法》的方式,归入到其调整范围。或者说位置隐私作为个人信息的一部分,归入到即将出台的《个人信息保护法》关于个人数据信息保护的章节中加以调整;还是说把包括位置隐私在内的个人信息数据归入到所有权保护的范畴,通过物权法去调整。第三种观点的支持点在于2011年欧洲委员会最新通过的关于个人隐私保护法规中提到的一个全新的概念——“被遗忘权”。所谓“被遗忘权”,是指网络用户对在网络活动过程中(如登录某些网站、接受某项网络服务或者注册某个网络账号等)沉积在网络服务器中的各种个人数据资料,有权要求网络服务提供者对其变更或者消灭的权利。如网络用户在长时间没有使用某网络服务后,其所沉积在特定服务器中的元数据应当被注销或彻底删除,不能通过服务器后台或者相关的网络搜索引擎被检索到。被遗忘权是对网络数据所有权归属的确认,其实质是认定网络用户对沉积在网络上的各种数据具有真正的所有权,而网络服务提供者只具有特定期间或特定情况下的使用权。网络用户作为信息数据的真正所有权人,有权要求网络服务提供者变更、消灭其所收集的数据,而“被遗忘权”正是所有权人行使其对所有物的处分权,要求作为数据使用权人消灭其用益物权。
对于位置隐私保护的法律保护,上述三种模式都有其理论价值,特别是欧洲委员会所提出的“被遗忘权”,给法律界众多的遐想,但考虑到中国当前的法律体系,笔者还是认为把位置隐私归入到《侵权责任法》的隐私权中加以保护,最符合实际且切实可行。《个人信息保护法》因为各种原因迟迟不能出台,未来具有很多不确定性;即使其顺利颁布,在实施过程中也将面临种种问题,最终还是会调用侵权法去追究侵权责任[10]。通过物权模式去保护位置数据信息,这种假设在法律上是可行的,但在现实中践行比较艰难。因为这种保护方式遇到的第一个障碍是数据的归属权问题。网络服务提供者(如百度、谷歌、腾讯等网络巨头)以网络数据为生存和发展基础,若要否定它们对自己艰难收集的网络数据的所有权,它们必然会动用自己强大的影响力去游说立法。法律是社会利益平衡的工具,保持社会稳定是其追求的价值,因此在当前的情况下,通过物权的模式去保护位置隐私还不具有立法基础。在这种情况下,通过《侵权责任法》的模式去保护成为了最佳选择。但当前《侵权责任法》对隐私权的规定依然处于原则性阶段,对于非传统的位置隐私更是难以覆盖。因此,笔者建议通过对《侵权责任法》作出司法解释或修正案的模式扩充隐私权保护的范畴并使之具体化。
(三)LBS位置隐私的专门委员会保护
包含位置隐私在内的各类数据信息,愈发展现出其价值的同时,也引发了越来越多的问题。在LBS应用过程中,用户数据大量被收集,但并非所有的数据都能立刻产生价值,时间一长,服务器收集的“无用”数据越来越多,这就像“定时炸弹”一样,随时威胁着用户的安全。数据在收集、存储、利用过程中面临着各种各样的风险,为此必须在全国范围内建立某种机构对数据进行有效的管理。笔者早年曾尝试构建一个实行特许经营的“全国数据银行”去管理和保护数据。各网络服务提供商作为“数据银行”的客户,把自己收集到的数据存入对应的“银行账号”中;“数据银行”内部实行分层权限管理体系,只有权限足够高的人才能接触到最隐私的元数据;网络服务器要对数据进行利用时,须在数据银行中“取款”并在其监督之下使用。这种保护模式的尝试具有一定的启发性,但存在致命的缺陷:数据信息和货币之间存在本质性的区别,数据信息能够被无限地复制和修改,而货币却不能。基于数据的这种特性,网络服务提供者把数据存进“数据银行”的同时,完全可以自己私下复制备份数据,这就彻底破坏了银行的存在基础。因此,笔者倡导的是建立一个由若干技术和法律专家组成的全国数据保护委员会,而这个委员会除了对全国的网络服务提供者实施监管外,还能发挥着行业“仲裁职能”和证据固定的“公正职能”,因为对网络数据侵权的判断是一门对专业技术有特定要求的工作,一般的司法机构很难准确判断。
(四)LBS位置隐私的行业自律保护
当前LBS发展迅猛,网络服务提供者是位置数据的收集、存储和利用方,守住其自身的第一道关卡对位置隐私保护至关重要。网络服务提供者应当深刻认识到用户的数据信息是其生存的根基,谨慎保护用户数据就是保护企业的信誉和未来。计算机安全组织Sophos曾经在2010年对1 588位Facebook用户进行调查,结果显示60%的用户正考虑从这一社交网站上删除自己的账号,以避免个人信息的泄露。此外,作为网络服务提供者,在用户使用LBS的过程中,必须履行充分的提示义务,告知用户那些信息可能被收集到,敏感信息还必须得到用户授权才能收集,并且告知用户提交位置数据可能面临的风险等。
[1]刘云浩.物联网导论[M].北京:科技出版社,2011:292.
[2]古晓宇.我国手机用户突破10亿[N].京华时报,2012-03-21(42).
[3]汤擎.试论个人资料与相关的法律关系[J].华东政法学院学报,2000(5):45-49.
[4]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:109.
[5]张素华.个人信息商业运用的法律保护[J].苏州大学学报:哲学社会科学版,2005(2):36-39.
[6]朱岩.侵权责任法通论[M].北京:法律出版社,2011:127.
[7]张文显.法哲学范畴研究[M].修订版.北京:中国政法大学出版社,2001:307.
[8]汤莉萍,王伟.我国财经报刊数字化分析——以 《中国经营报》、《第一财经日报》和 《经济观察报》为例[J].新闻界,2010(4):32-33.
[9]张百玲.LBS的隐私之痛[N].人民邮电报,2011-09-09(7).
[10]刁胜先,周璐,谢文彦.论个人信息网络侵权的民法规则[J].重庆邮电大学学报:社会科学版,2012(1):17-21.
