关联方信息共享与公民的隐私保护*
——基于手机App的研究
2019-10-11顾理平俞立根
■ 顾理平 俞立根
“隐私权”概念起源于1890年第4期《哈佛法律评论》中的《论隐私权》一文。由于现代化报刊业的发展,拥有照相技术的记者频繁侵入私人生活空间,Samuel D.Warren和Louis D.Brandeis感受到技术对个人私生活的威胁,提出了公民具有“不被打扰的权利”(The right to be let alone)①。若是追溯人的动物性起源和原始社会中的社会交往,Alan·Westin认为“隐私”(Privacy)并非一个现代的观念,而是“人类进化的遗产”(Man’s evolutionary heritage)②,出于对原始社会距离保持和领土区域划分的思考,他将隐私权定义为“个人、组织或机构拥有自主决定何时、何种方式及何种程度将私人信息告知他人的权利”③,在赋予个人对隐私事项决定权利的同时,也顺应了人的天性——对隐私保护范围的诉求。
一、图阿雷格人(Tuareg)的面纱与隐私保护范围的期待
原始部落中个人隐私的诉求主要体现在人际交往时对信息的控制和社会距离的维持。Robert F.Murphy在对北非图阿雷格部落的观察中发现,族群内的男性无论在家还是旅行,甚至睡觉时都会一直戴着面纱(Mask),只露出眼睛和鼻子周围的区域。在面见长辈或是求偶时他们会将面纱戴得很高,而遇见外邦人或陌生人时会将面纱放宽松。尽管面纱的运作方式与常规相反——“他们通过增加而不是减少面部暗示来掩饰自己”④,但面纱所象征的隐喻“与隐私和回避(withdrawal)联系在一起”⑤,作为一种象征社会距离的工具,图阿雷格人通过戴上面纱并调整面纱的高度实现人际交往中的信息传递和一般距离的维持。在这一过程中,信息控制和社会距离的维持渗透进社会交往,Murphy将这种带有个人特征的选择视为“社会系统作为一个整体的需求”⑥。在齐美尔(Georg Simmel)的社会学理论中,“人与人间所有的关系都是基于彼此了解(Knowing something about one another)”⑦,从知晓他人信息的相识到寻求真正的认识对方,关系的发展需要增进彼此间的了解,而了解的过程或者说人际交往是“建立在每一个人对另一个人了解的比后者愿意向他公开的东西还要多的基础之上”⑧,双方都受“自我揭露”和“自我抑制”的心理驱使,选择或安排部分信息呈现给彼此,并尊重对方的秘密,不去了解隐瞒的事情,这一点戈夫曼(Erving Goffman)的“拟剧理论”诠释得更加形象。
戈夫曼认为,人与人之间的交往总是信息间的流动,无论是给予的表达或是流露的表达,个体是在以控制自己信息呈现的方式来实现印象管理。除了自我信息的控制以外,个人的呈现是置于特定的社会场景之中的,因此区域的划分在信息呈现中尤为重要。参照戏剧的舞台表演,戈夫曼提出了“特定表演场所”的前台、“辅助表演及休息”的后台以及“非表演相关地方”的“局外”区域⑨,通过前台呈现、后台掩盖和局外隔离等方式,清晰地分开了剧班人员和观众,以及剧场内和剧场外。其中,个人对场景界限不被打破的期待,剧班成员对界限的守护,观众和局外人对区域范围的遵守,都成为进行完整表演的重要元素。这正是Alan·Westin个人隐私理论的营养源泉,一方面,Westin指出,个人每天在社会舞台上都会“从一个场景到另一个场景扮演不同的心理角色”⑩,如任何一天,男士的角色都可能在严厉的父亲、恩爱的丈夫、合格的员工等角色间转换,个人需要“一段 ‘下台’(off stage)做‘自己’(himself)的时间”或“一个将面具置于一边获得休息的机会”;另一方面,个人隐私也是一个以自己为核心的区域逐渐外扩的圈层,最核心的部分是个人通常不愿分享的“终极的秘密”(ultimate secrets),第二层是个人愿与亲密人分享的“亲密的秘密”(intimate secrets),再向外是可以和朋友公开的秘密,直到最终信息对所有人可见。当个人角色的面具被揭开,圈层间界限被打破,尤其是“终极秘密”遭泄漏时,都会使个人受到不同程度的伤害。基于此,个人可以依据心理距离的划分进行信息分享,也有限制圈层间信息流通的权利。
新技术冲击下,电子媒介使虚拟空间流行,也使圈层界限变得模糊。梅洛维茨评价戈夫曼的场景模式是“一组静态舞台,它仅局限于面对面交往中”,而“新媒介具有的融合现存的信息系统趋势,导致了‘侧台’或‘中区’行为”。在梅洛维茨笔下,电子媒介打破面对面交往的同时,使场景之间的距离越来越小,各场景间的行为也就越相似。“中区”就象征着前后台边界变化下的混合和行为模糊地带,短期的融合会导致隐私丢失和行为混乱,而长期的融合则会形成新的行为方式——“统一新规则和角色的新场景”。这种趋势下,Alan·Westin的隐私理论看上去既无法准确界定范围,又不能漠视隐私自由让渡,因为他将场景设想得泾渭分明,个人对隐私及范围可以清晰地区分并且有极强的控制能力。当大数据与手机媒介紧密结合,一方面,手机媒介将具有颠覆性的移动型、贴身型和综合型等多维度、立体式数据填满隐私的各个圈层;另一方面,更多的隐私因涉及公共利益被克减或基于个人权利被放弃,让隐私圈层间的信息共享越发难以控制,圈层间的相互渗透也使边界变得模糊。然而,作为人类尊严象征的隐私是个人存在的根基,可以暂时丢掉的面纱终归要重新拾起,个人在社会交往中依然有强烈的社会距离维持的期待。
二、关联方超范围的信息共享
隐私的圈层划分在新媒介对场景和行为的混合中变得模糊起来:手机媒介中多种多样的App平台将现实空间中的前台和后台行为混合,用户也将自己的数据授权给App平台换取服务,手机成为一个从室内到室外、从生理到行为的全能型数据采集器。但即使是中区行为,人们也有对隐私界限划分的要求——剧场外的局外人是绝对隔离的。因此,基于享受服务的需要,用户授权平台隐私信息使用的权限,超出平台承诺的范围就违背了公民对隐私范围的期待。
Finn Lutzow-Holm Myrstad团队研究了国外社交App和健身App中第三方信息共享的隐私政策,发现规定的内容并不明确,“不清楚具体是共享哪些类型的数据,谁可以访问这些数据,第三方如何处理这些数据”。基于中国互联网络第42次《中国互联网络发展状况统计报告》中手机群体和媒介依赖的绝对力量,及中国消费者协会《App个人信息泄漏情况调查报告》中反映的手机隐私泄漏现状,本文选取手机App作为研究对象,并参考中国互联网协会与工业和信息化部信息中心的《2018年中国互联网企业100强报告》,筛选出前5家互联网企业中有影响力的手机应用,分别是支付宝、微信、百度、京东商城和网易云音乐。另外,从11-60名中,以10为单位、0.1为样本比例,分别抽取今日头条、凤凰新闻、哔哩哔哩、同程旅游和斗鱼等5款App应用,通过对各应用隐私政策的文本分析,重点对比研究App关联方信息流动的名词定义、共享现状、流动范围与个人控制等问题。
1.模糊且不统一的关联方定义
根据《企业会计准则第36号——关联方披露》的规定,本文认可关联方为“一方控制、共同控制另一方或对另一方施加重大影响,以及两方或两方以上同受一方控制、共同控制或重大影响的,构成关联方”,即与平台有相关的子公司、业务往来的合作机构、提供服务的部分第三方都在关联方的范畴以内。统计分析隐私政策的文本可知,App普遍存在第三方与关联方区别对待且划分模糊不清的状况。其中微信、网易云音乐、凤凰新闻等6款App未对关联方做出定义且没有对关联方或第三方范围的划分。支付宝、百度、京东商城、今日头条等虽有对关联方的定义,但定义及范围并不统一,支付宝关联方仅限于蚂蚁小微金融集团相关范围,支付宝中的服务与合作平台未算入,百度将关联方与合作方分离划分,今日头条将关联方与第三方和合作方分离。由此可见,各平台对于关联方是否有定义及定义内容并不一致。
2.关联方间信息的普遍共享
依据本文对关联方的定义,我们验证了关联方之间信息的共享与获取情况。仅从契约文本的内容上可知,超过半数App都承认会从关联方或第三方主动获取用户个人信息,多以“授权使用即视为同意收集”为说明,另有3个App未说明是否获取,但如网易云音乐会将Cookies应用到关联方平台中,也可能造成信息收集。共享方面,除同程旅游表示不会与第三方共享信息,只提供统计信息给合作伙伴外,其余各方均有与关联方共享信息的机制(如哔哩哔哩表示需要用户许可授权才共享)或默认共享的说明(如微信与腾讯集团内部直接共享),多数采用类似关联方与第三方分离并区别对待的形式,即集团内部默认共享、外部第三方需要授权,详细情况见表2。
表1 平台对关联方的定义
表2 关联方信息的共享
3.关联方信息流动的范围庞大
由于各App提供的服务及隐私政策中规定内容的详细程度不同,经过概括,我们将共享的内容主要分为个人信息和行为轨迹。个人信息如支付宝会与合作机构直接共享“交易号与相关支付信息”“有效证件信息与联系方式”“房产户名和姓名”等敏感信息。行为轨迹如百度“反映您观影习惯和爱好的相关个人信息可能会与我们的关联公司爱奇艺共享”。这些具有私密性的内容在关联方共享的推动下逐步外扩,形成一个巨大的信息流动范围。Balachander Krishnamurthy和Craig E.Wills在对隐私扩散的研究中发现,除了单方面收集隐私信息外,行业内的收购兼并进一步改变了这一现状,形成“拥有多个用户浏览习惯观看视角的公司家族(Families of companies)”。这些关联的公司家族可以有更广泛的用户信息收集渠道,更深入的用户数据分析能力。本文以微信为例,根据隐私政策中的“腾讯集团内部共享”制作图1,说明“公司家族”的共享范围在不断扩张。微信将关联方共享分为需要授权的腾讯集团外部和默认授权的腾讯集团内部,由此形成了集社交、娱乐、工具、金融、资讯、平台、人工智能和第三方机构的广泛关联共享圈。
图1 腾讯集团信息共享范围
4.个人对信息流动范围的失控
各App对于信息共享的保障手段可以汇总归纳为“及时告知与征得同意”“内部审查与安全评估”“签署协议与要求遵守”“匿名处理与技术保障”,虽然各方会选取不同的手段加以保护,但对于责任的划分基本统一(第三方负责)。基于公民对个人隐私信息的控制权利,观察个人可更改的流动范围发现,网易云音乐和同程旅游无相关管理权限的说明;今日头条、凤凰新闻等虽无针对范围管理的说明,但可以采用终止协议、信息删除等间接的方式来管理范围。在有范围管理说明的应用中,支付宝、微信和百度有实际对授权范围调整的说明,即可以有针对性地进行部分调整,但按照政策步骤实测效果并不理想。因此,个人面对关联方间的信息共享,实际可控制能力微弱,绝大多数情况下只能是“用与不用”的两难抉择,即解除绑定或删除信息。百度、京东商城和今日头条还附有类似说明“您撤回同意或授权的决定,不会影响此前基于您的同意或授权而开展的个人信息处理”。
表3 用户对信息流动的范围管理
表3 用户对信息流动的范围管理
App管理权限说明范围管理说明范围管理内容范围管理步骤管理效果实测支付宝有有修改授权范围取消信息授权1.“我的→设置→隐私”修改授权范围;2.“我的→设置→账号管理→账号授权”取消向第三方共享信息的授权根据步骤未找到可修改窗口,而“我的→设置→安全设置→账号授权”中可解除部分授权微信有有撤回信息授权步骤说明模糊“授权管理”中可取消授权应用极少,众多微信小程序未在其中。百度有有解除绑定关系京东有有删除信息关闭设备隐私设置注销账户网易云音乐无无无管理说明今日头条有无1.改变或撤回敏感信息;2.拒绝推送及营销信息凤凰新闻有无更新个人信息哔哩哔哩无无终止服务删除信息同程旅游有无无管理说明斗鱼无无终止服务协议
三、超边界信息流动下的隐私危机
在大数据时代,用户通过让渡个人数据换取服务已成常态,这种让渡可以理解为用户将对隐私边界的捍卫放宽,信息管理者可以在授权范围内行动。但用户让渡数据并非放弃隐私,个人对隐私边界的期待使得授权范围以内的信息可以共享,而超过范围的则可能构成隐私侵犯。在SINTEF对移动App隐私风险的调查报告中,以Google和Facebook为代表的应用程序经常会与第三方共享个人信息,而“广泛的与第三方服务共享个人信息可能会对个人隐私产生巨大影响”。
1.增加隐私的风险范围
国外研究中将关联方(The affiliated party)置入更大范围的第三方(Third-party)视域下,探讨第三方生态系统中信息超边界流动的隐私危机。第三方网站构成了一个庞大又多样的生态系统。Marjan Falahrastegar等人研究第三方生态系统发现,人们担心隐私的一个主要来源是“日益普遍存在的第三方服务之间的个人信息交易越来越频繁,以及第三方逐个网页追踪用户的能力越来越强”。一方面,各平台信息保护的能力差异很大,当Google和Facebook也无法幸免于信息攻击时,信息间的关联共享就等同于信息数据库的破口更多向地展开在数据窃取者面前,而信息保护的技术水平、应急预案、操作方式则主要由第三方负责;另一方面,网站强大的追踪能力使得第三方生态系统变成地理视角下的全球问题,跨境的第三方追踪系统将国家或区域法律保护的个人隐私信息带入全球体系中,而不同地区法律效力的区域局限性,无法为公民隐私提供有效的跨区域保护。例如,尽管美国大多数网站在中国处于被屏蔽状态,“中国凭借超过80%的本地网站在可视网络中占据主导地位,但这些网站仍包含大多数美国追踪者”。
2.提高隐私的获取深度
Daniel J.Solove将提高信息获取度的行为视为隐私侵权的方式之一,他认为“零碎的信息碎片和一份完整的档案是不同的”,提高信息获取度的行为是从量变到质变的过程,隐私侵犯的风险也在增加。如SINTEF报告所言,这些第三方机构接收到大量个人数据的组合,“当所有被第三方机构跟踪的用户行为数据相互链接或与个人信息相结合时,其对用户的隐私问题和隐私影响将会是显而易见的”。大数据时代,单一数据,甚至是敏感数据,都难以发挥价值,服务商需要用户的整合型数据来预测用户下一步的行动。当部分平台无法实现有效的数据整合时,依托其他平台对用户信息和行为组合的有效分析和再识别化,可以更好地利用用户隐私进行广告投放、内容服务和用户跟踪。另外,基于《网络安全法》的目的限制原则,各方会规范信息收集的程度,但关联方共享可以使各方算法之下的整合型数据(隐私)互惠互通,因特定目的收集的用户数据,就可以在其他目的中深化使用。公民的许多隐私在这种情况下被普遍泄露。
3.弱化义务主体的责任
用户与服务商构成了信息权利主体和信息义务主体的两个方面,用户与服务商的权责划分本应很清晰,而由于关联方或第三方的出现,服务商会将全部或部分安全及管理责任交由第三方履行,由此弱化自身的责任和义务。Facebook和剑桥分析公司(Cambridge Analytica)的信息泄漏事件在2018年发酵成了一场重大的政治丑闻。事件背后,Facebook、Aleksandr Kogan和Cambridge Analytica构成本文中的关联方关系,三方针对5000万用户信息泄露的责任归属互相推脱。Facebook以Kogan“通过合法途径和适当渠道获取信息”为由,否认数据泄漏;Aleksandr Kogan以学术用途获取了Facebook的个人数据收集许可,并坚称合法;Cambridge Analytica以与Kogan的合同规定为依据,为自己的信息来源辩护。尽管说辞并非具有说服力,但也呈现出信息多方共享之下的责任危机。
法律责任的明确可以有效地保护隐私主体的权利,反之,则可能令公民的隐私保护面临更多困境。由于目前手机App在关联方信息共享方面存在共享信息广泛多样、共享边界不清、法律责任不明等现实情况,而数据挖掘技术的不断进步又令公民的各种数据被以各种方式整合成新的隐私,使隐私侵权的风险不断增加。同时,一旦发生隐私侵权,侵权责任方较难确定,也容易产生责任承担时的推诿扯皮,导致公民隐私受损严重。
四、隐私信息界限的明确与隐私保护
1.个人有效的控制力
目前,我国相关法律对个人隐私的控制主要体现在《侵权责任法》中广泛的承担侵权责任,包括“停止侵害”“排除妨碍”“消除危险”等,以及《网络安全法》第四十三条中的“删除其个人信息”“予以更正”。这种基于二元对立的控制方式在本文的10家App服务平台中基本都能够做到,或“终止服务协议”,或申请“删除更正信息”,而隐私范围的有效控制是以动态多元的形式呈现的,它基于个人对“隐私”和“信息”在不同范围和不同程度的心理区分,个人应该能够决定是否与关联方共享、关联方共享的范围、共享个人信息的内容,并且可以及时有效地修改共享范围或取消部分授权,这一点参考表3可知,本文中的10家App平台均无法做到。因此,个人有效的控制力应该包括“针对隐私范围调整的申请渠道”和“具有实际效果的调控方式”。
鉴于大数据时代隐私形成的特殊性(客观存在的自然隐私和可借助机器学习与数据挖掘形成的整合型隐私),作为隐私主体的用户应该有权利根据自己对隐私的认知决定哪些信息可以共享,哪些信息应该不被他人知晓(即不被共享)。手机App在制定隐私政策时,应设置有可操作性的、可动态调整的政策,以有效保护用户的隐私。
2.信息流动的摩擦力
信息摩擦是信息圈中与信息流反向的力量,卢西亚诺·弗洛里迪认为:“信息摩擦是保护隐私的关键”,但这种摩擦不同于围墙对墙内外的隔离那样一劳永逸,而是建立在个人对信息流动的控制之上,更像是窗帘与外界的分隔,个人可以让屋内的信息流出,也可以选择以模糊化的方式分隔。在信息时代想要搭建一个密不透风的围墙,实现公共和私人的绝对二分虽然不太可能,但在公私混合之间增加信息隔阂,使信息可获取的难度增加是有效的方法。授权数据管理者使用个人数据是公民对隐私的让渡,如同打开家门将私人生活赤裸裸地呈现在管理者的面前,然而这种让渡并非放弃数据的隐私属性,数据管理者需要先关上门,隔离对外的信息共享,将公民的数据置于隐私范围之中,再拉上窗帘,增加用户数据的模糊和可再次识别程度,由此增加信息共享间的摩擦力。“现有的隐私保护技术分为3类:数据扰动技术、数据加密技术和数据匿名化技术,而个人隐私数据经历收集、存储和使用过程(使用包括数据的二次使用、数据共享以及数据发布),因此,应该实施数据的多级安全保护。”也就是说,可以通过有效的技术手段,增加信息流动的摩擦力。
3.共同保护中的权利协调
“权利协调原则,是通过一种权利在其保护范围和程度上做出让步使另一种权利得到基本满足而得以实现的”。主要用于协调相同主体间不同性质权利中的矛盾。大数据时代,数据授权变得常规化,个人数据被平台收集,经过平台处理成为共同所有的信息,根据Sandra Petronio的CPM(Communication Privacy Management)理论,“人们经常会与他人共同拥有私人信息,所以需要协调他们共有的边界”。用户和App平台的关系就适用于CPM理论中的“包含边界的协调”(Inclusive Boundary Coordination),其中用户因放弃个人隐私而在信息管理者面前完全被动。然而依据CPM理论,从契约文本上来看,公民选择或自愿放弃部分隐私数据来换取服务便利,或受制于平台要求,属于链接中的“强制性链接”(Coercive Linkages)或“角色性链接”(Role Linkages);从个人隐私范围期待的角度来看,公民有权查看源于自身隐私的内容、决定信息的使用范围,属于“适度控制”(Moderate Control)状态;从企业的合法权益来看,部分处理过的数据可能涉及商业机密,平台会有正当的拒绝理由,这是基于“仁慈所有权”(Benevolent Ownership)中的动态协调。因此,打通个人申请渠道,提供动态协商机制的同时,也要做到权利间的协调与平衡。针对此种情况,可以以限制关联方的超范围共享为基础,涉及双方权益的信息因为难以协调,维持在双方契约范围内即可;涉及敏感的个人数据如生物特征的数据、银行卡相关的数据等优先保护,禁止关联方共享(包括集团内部);其他次要信息如行为记录,通过控制在有能力保护的集团内部共享,或通过只提供匿名化(不可再次合成识别)、统计记录的形式和外部的平台共享。
五、结语
当数据之于信息社会如同燃料之于工业革命时,对数据资源的攫取就成了大数据时代的显著特征,但与工业资源不同的是数据在共享中能实现资源的扩大和开发。大数据时代将信息流动的悖论聚焦于区分是不是“隐私”似乎很难,而将焦点从隐私数据转换为交换行为,“为交换行为划定出可靠的技术范围”时,新的安全观念就会出现。面对是要隐私还是要共享的困境,我们提倡回归隐私原始的诉求,尊重隐私不同范围间的期待,双方协调沟通、共同治理,将信息流动维持在合理的范围之中。
注释:
① Samuel D.Warren,Louis D.Brandeis.TheRighttoPrivacy.Harvard law Review,vol.4,no.5,1890.p.193.
④⑤⑥ Robert F.Murphy.SocialDistanceandtheVeil.American Anthropologist,vol.66,no.6,1964.p.1265,p.1271,p.1273.
⑦ Georg Simmel.TheSociologyofGeorgSimmel.Kurt H.Wolf,trans.Glencoe,Illinois:The Free Press.1964.p.307.
⑧ [德]盖奥尔格·齐美尔:《社会是如何可能的:齐美尔社会学文选》,林荣远译,广西师范大学出版社2002年版,第169页。
⑨ [美]欧文·戈夫曼:《日常生活中的自我呈现》,肖志军译,北京大学出版社2008年版,第113-114页。