吴 颖

一、问题的提出:位置何以成为隐私

(一)“位置信息”的重要性:公共安全维护与数字经济驱动

1994年,美国学者Schilit首先提出了位置服务的三大项目:基于空间信息的“你在哪里”、基于社会信息的“你和谁在一起”、基于信息查询的“附近有什么资源”。这也成为LBS最基础的内容。①其实LBS并不是新鲜事物,建设GPS的最初目的就是为了方便给用户提供位置服务。位置信息同样是公权力机关保障公民安全、维护社会治安的重要信息。例如,疫情期间对新冠病毒携带者行程路线的精准跟踪和定位,可以有效控制疫情的蔓延,确保老百姓的公共健康安全。

随着媒介化生活实践的渗透,智能手机等移动终端的位置服务已经成为公民日常生活必不可少的内容。公民为了日常生活实践正常开展而向互联网服务商透露的位置信息,成为了网络经济新的增长方式。网络广告商借助对用户的精准定位和分析有针对性地投放广告,实现了广告的精准营销。②为了推动数字经济的发展,大量包括位置信息在内的个人数据必须进入网络流通中,而用户的位置信息一旦进入信息洪流就难以进行自我控制。然而“不能因为个人数据具有私有性就赋予个人数据排他控制权,个人信息的‘私有化’会使法律失去正当性,甚至与人类社会的进步与发展相悖”③。在信息的自由流动和对位置信息的严格保护之间,法律偏袒哪一方都不恰当。

(二)位置数据折射隐私威胁

位置数据作为一项具有强大经济价值的信息要素,展示了巨大的生产潜力。《2021中国卫星导航与位置服务产业发展白皮书》指出,北斗卫星导航与位置服务的产值已经超过4000亿元。④高速且精准的位置服务在带来丰厚经济利润的同时,也潜藏着位置信息的隐私忧患。根据位置服务的物理环境不同,可将位置服务分为室内位置服务(Indoor LBSs)和室外位置服务(Outdoor LBSs)。位置服务者通过用户的移动智能终端连接传感器或者Wi-Fi,以获取用户位置信息的服务属于室内位置服务。室外位置服务是指移动智能终端通过发送用户移动过程中的位置信息定位将用户的位置信息不间断地发送至临近的基站。这两项位置服务通过长时间的观测和数据收集,推测出用户具有可识别性的认证信息。通过对这些可识别信息的追踪,服务提供商可以获取用户的行踪轨迹,进而勾勒出用户“画像”。用户所面临的隐私威胁来自两个方面,一是通信信道内个人信息的窃取导致的隐私泄露,二是服务提供商经过后台收集和整合勾勒用户画像造成的隐私威胁。⑤

通信信道中的隐私威胁是指,信息窃取方对用户采取窃听、中间人攻击等行为,通过不间断地、大量地收集用户位置信息,进而推断并利用用户的位置信息,最终导致用户的隐私遭到泄露。公权力部门的隐私威胁主要表现在通信信道中:首先,政府可能通过监听、监视等手段对公民日常生活造成干扰,最终导致公民人格权益受到伤害。因为虽然定位追踪可以用于侦破刑事案件,但低廉的跟踪成本和难以把握的自由裁量权可能导致公权力的滥用,进而改变政府与公民的关系⑥。其次,政府可能通过强大的监视、监听能力,过度干预公民的日常生活,最终导致“为保障人权却牺牲人权”⑦的严重后果。

商业公司的隐私威胁表现在,其后台通过对位置信息的收集和分析得出用户的行为习惯。例如手机应用程序Shopkick要求用户在手机商店内进行签到,零售商通过用户的签到行为对用户进行推断,以了解用户感兴趣的商店和购物行为习惯。根据中国消费者协会发布的《App个人信息泄露情况调查报告》⑧结果显示,位置信息被过度索取的情况非常突出。

(三)位置隐私保护的正当性

正当利益需要以一定的外在形式在法律上得以表现,这种固定正当利益和追求正当利益手段的制度就是权利。⑨位置隐私的保护具有正当性,首先是因为位置隐私符合权利主体“隐私的合理期待”。“隐私的合理期待”一直是司法实践中判断隐私权是否遭到侵害的重要标准,权利主体必须表现出实际的隐私期待,如若权利主体根本对在公共场合暴露个人隐私(包括被他人窥视、窃取和滥用)没有芥蒂,那么便不存在隐私侵害或信息自主控制权遭受侵害的问题。同时,“隐私的合理期待”必须符合社会认可的期待⑩,因为当公民自愿将个人生活暴露在公众的视线时,公民的事务就具有了社会利益。不是所有人都乐意将个人事务暴露在公众的视线之中,当媒体环境由“全景式监狱”逐渐走向“共景式监狱”,我们不得不承担隐私在时间空间双重维度的暴露风险。衡量全面监控语境中权利主体的位置信息是否具有“隐私的合理期待”有以下三点原则:第一,公民是在未经同意的情况下在特定的场合被电子记录位置信息,未经许可就被无缘无故拍照定位成为众人的焦点,那么公民就无所谓自愿或不自愿地主动追求名气。第二,风险自担的原则并不是一个推论,普遍存在的监控和来自官方或非官方的各种电子设备的记录汇聚了大量公民不愿被他人知悉的与己相关的位置信息,因此从根本上说,公民无法得知自己何时会被记录。由此,风险自担原则也需要公民时刻意识到可能面临的风险并注意公共场合的言行举止。第三,公民自愿在公共场所被看见以及自愿在公共场合被记录之间是存在差异的,并不是说公民在公共场合的每一个举动都会被广泛传播。公民进入到公共场合需要有被看到的风险自愿,但是不能要求他承担其行为被广泛传播的风险。

其次,位置信息具有保护的正当性,是由于位置信息具有敏感性。位置信息的敏感性不仅是隐私保护的先决条件,同时也是个人信息保护的重点。《个人信息保护法》第29条规定,处理敏感个人信息应当取得个人的单独同意。随着卫星通讯技术的日新月异,位置数据的定位也日益精确,例如,车载GPS会不断获取行驶中的汽车位置,精确度达到1米之内。同时位置信息的私密性使权利主体有意愿隐藏自己“不为人所知”的私密事务。虽然在某些情境下,权利主体乐意主动分享位置信息,但是作为数字生活的产物,大量位置信息的披露将导致个体的可识别性增强,当足够多的位置信息与其他个人信息相结合,很容易聚焦具体个体,形成合成型隐私。

(四)位置信息的法律规范

1.公法保护:公民控权式微

位置信息的公法保护不仅需要对抗国家机关或公权力部门利用职务之便非法出售或提供公民的位置信息,更需要防范公权力对个人位置信息的越界索取,即不受公权力部门非法收集、存储和利用个人位置隐私以及不受非法搜查位置隐私的权利。然而,我国的公法在这一方面的立法保护相对薄弱。《个人信息保护法》仅在第34至37条对国家公权力机关处理个人信息进行了规定,且存在大量“例外情形”,这就极易造成对国家公权力机关的制约流于表面的状况,《关于建立实名制信息快速查询协作执法机制的实施意见》《关于加强信用信息共享及司法协助机制建设的通知》以及《关于建立快速查询信息共享及网络执行查控协作工作机制的意见》,其内容都有将个人信息在国家公权力机关之间互相流通的趋势。因此,个人信息的控制权不仅没有得到法律的完整规范,更令人揪心的是,国家的法律规范以及企业和个人之间所签订的协议或合同正在将信息自决权的重大要素逐步掏空,使得信息自决权浪得虚名。

2.私法保护:“知沟”“黑箱”与限度

私法对个人位置信息的请求权保护有两条路径,第一条路径是依据个人信息进行保护,《民法典》第1034条规定,自然人的个人信息受法律保护,其中个人信息包括了个人的行踪信息,《民法典》第111条、1035条和1036条对个人信息的保护制定了具体规定。第二条路径是依据隐私权进行保护,《民法典》1032条规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。《个人信息保护法》区分了一般个人信息与敏感个人信息,其中第28条规定行踪轨迹属于个人敏感信息。敏感信息一旦遭到泄露或非法使用,权利主体的人格尊严将会受到侵害或人身财产安全受到危害。《民法典》第1034条规定,个人信息中的私密信息,适用有关隐私权的规定；没有规定的,适用有关个人信息保护的规定。因此,位置信息属于一般信息还是私密信息,很难一概而论。鉴于《个人信息保护法》将行踪轨迹归于个人敏感信息,可见如若一个人行踪轨迹足够丰富,和其他个人信息结合能够完整展示公民在一段时间内的私密活动和私密生活,那么此时行踪轨迹则可被视为私密信息。

虽然私法针对个人信息保护制定了一定数量的法律规范,然而互联网商业公司对于个人信息的收集和利用却依然存在大量法律难以规制之处。首先,权利主体存在“知情同意”的“知沟”。《民法典》《网络安全法》都将“经数据主体同意”视为网络运营者能够处理和利用个人信息的前提条件,《个人信息保护法》根据不同的信息类型细化了同意形式。但现实情况是,且不论权利主体是否能够以自己现有的知识水平读懂由专业律师团队打造的隐私免责条款并与之平等协商,更有甚者,在权利主体明确拒绝位置信息读取的前提下,部分应用程序依然非法读取位置信息。理想状态下,权利主体拒绝位置读取,那么小程序就主动关闭位置信息,然而测评发现,只要开启平台定位,即使权利主体关闭了坐标信息,小程序依然可以读取位置信息。这一技术“黑箱”的存在,引发了“透明”和“数据安全”的焦虑。《个人信息保护法》第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。2021年3月22日,国家网信办、工信部、公安部、国家市场监管总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了地图导航、网络约车、即时通信、网络购物等39种常见类型移动应用程序必要个人信息范围,要求App不得因为用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务。部分互联网公司在法律明令禁止的情况下铤而走险非法获取权利主体的位置信息,巨大的经济利益是主要动因。其次,关于位置信息采集的限度问题,目前出台的相关法律较少集中关注此事项。针对权利主体的“知沟”和互联网商业公司在数据收集过程中的“黑箱”现象,《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》提出了针对包括位置信息在内的个人信息采集指引条款,在一定程度上规制了互联网商业公司过度“索权”现象。需要特别指出的是,虽然位置信息的详细披露在现阶段可有效帮助防控疫情,但也势必引起人们对隐私泄露的恐慌。2020年12月,一个20岁确诊女孩的流调信息显示,她在12月6日夜晚至12月7日凌晨转场多家酒吧。网友对该女孩进行人肉搜索,以电话或短信形式对其实施辱骂。有学者研究发现,身体或性暗示场所的隐私敏感度高。虽然为了疫情防控的公共健康安全而让渡部分个人隐私信息无可厚非,但因此导致的权利主体的隐私遭到侵害、人格尊严遭受贬损等问题却是一无可取的,这一现象却需要立法者建立相关法律规范进行约束。

二、位置隐私的保护困境

(一)经济驱动与隐私保护的权衡

随着网络社会的来临,广告投放的方式更具有针对性。为了精确定位用户的喜好、预测其行为,广告商已经开发出大量便捷和成熟的网络跟踪技术,通过这些技术可以跟踪和掌握每一个网络用户的购物喜好和行为模式。与此同时,用户的隐私却面临被侵害的风险。因为网上的定位跟踪并不像网络商业公司所言,不具有身份的可识别性,足够的信源能够拼凑出完整的人格画像。矛盾的是,如果全面立法禁止个人信息的跟踪,那么整个网络广告业务将受到巨大的冲击进而对经济发展造成负面影响。大数据时代,个人信息已经成为部分行业的立身之本。一旦法律禁止个人信息的收集,那么矛盾积累到一定程度甚至会影响国家稳定。因此,我们需要在个人信息与经济发展之间进行权衡,如何妥善处理好民事权益保护和信息自由流通之间的平衡关系,既保障互联网的有序发展又创造多赢局面,这是隐私保护的困境之一。

(二)公私领域边界消融:第三方原则失效

第三方原则起源于《美国宪法第四修正案》,指的是当公民在自愿“同意”情形下将信息披露给第三方,那么该公民就不再享受《美国宪法第四修正案》有关信息隐私保护方面的权利。从最初适用于警方刑事案件的“卧底”密探到向商业领域渗透,第三方原则的诞生存在充分的预设性规范,如较少的隐私合理期待可被视为“同意”情形。我国法律虽然没有明确的“第三方原则”表达,但在立法过程中却将该理念纳入其中。《民法典》第1036条第2款就规定了自然人自行公开和合理公开信息的处理办法。

随着技术对公民日常生活实践的重构,我们的生产生活建立在网络服务之上,为了日常生活能够正常开展,公民将个人信息“自愿同意”提供给服务商,如网购时填写个人地址信息、使用地图时打开GPS定位服务,这些行为便具有了“自动放弃保持信息隐秘性”的属性,暗含着“同意”的意思表达,公民的位置信息就成为了自行公开或合法公开的信息了。传统媒体时代,公私领域的边界是清晰且明确的,边界之间也不存在互相渗透的关系,因此一旦发生隐私泄露事件,隐私主体可以很快找到侵权对象,并通过司法途径将隐私侵害降至最低,从而避免隐私进一步向公共领域扩散。媒介化对日常生活实践的渗透,使网民处于相互联系、不可分割的数字化环境中,个体私人领域的行为会通过网络传播进入到公共领域。公民用隐私换取便捷服务,更是将公民最为隐秘的私人空间暴露于公众视野之中。在现代社会,对于隐私的侵害往往不是发生在私人领域,商业公司或政府正是通过数据的挖掘、对比、抓取、监督等形式使隐私侵害发生在公共领域。

第三方原则的隐私理念将隐私视为保护个体私人信息和私人价值的法学概念。这一观念包括以下三点假设:首先,隐私不存在于公共领域,只存在于私人领域,受到私人控制；其次,无论公私领域发生怎样的变化,隐私都能通过抽象的判断与公共领域相抽离；最后,个人信息或隐私进入到公共领域,那么就不再具有隐私的价值。传统的隐私理论也正是依照这一逻辑展开。然而当我们的日常生活实践全面依赖网络展开,私人控制的信息也不得不对公共领域呈现用以换取公民日常生活服务,公私二元对立的隐私观日趋萎靡。在这一环境下,第三方原则使位置隐私保护流于形式。

(三)公共空间的隐私保护:“线上”“线下”是否受法律同等保护？

《民法典(学者建议稿)》“第二编人格权”第377条将“公共场所的隐私权保护”列入其中,该条规定了自然人在公共场所的隐私权受到法律保护。行为人在公共场所跟踪、监控、监听他人,例如在他人机动车上安装GPS定位系统实施跟踪行为,或者在他人机动车上安装针眼摄像头进行监视监听,这些行为就是对公共场所隐私权的侵害。《民法典》第1033条规定,除法律另有规定或者权利人明确同意外,任何组织或个人不得实施“拍摄、窥视、窃听、公开他人的私密活动”。因此《民法典》含有针对公共场所隐私权的保护意涵。然而公民受法律保护的“线下”位置数据合法录入“线上”,在“线上”是否受到法律的同等保护呢？

在中国新冠疫情期间,防疫部门通过网民的手机定位、道路街道的监控视频,精准流调新冠患者行动轨迹以及空间流动路径,寻找时空伴随者、密切接触者,此时公共场所的位置信息收录可避免疫情外溢、维护国家长治久安,然而这些被公权力部门收集的空间位置信息在“线上”是如何被利用的？例如,合法进入到“线上”的位置信息是否有相关政策针对收集、使用以及删除等一系列步骤的保护规制？在全球疫情彻底结束之后,这些位置信息又将会如何处理？

虽然监控技术在很多方面都被证明卓有成效,但是政府执法人员对监控技术的使用也带来了公民隐私和自由问题。人们会担心,这些协助公权力部门工作的位置隐私,是否会被用于建立另一个数据库,在这个数据库中,收录的可能是所有遵纪守法的公民在每一时刻的行踪轨迹,而这些位置信息源源不断被更新,勾勒出一个个清晰的公民日常生活轨迹,进而使公民日常行踪彻底掌握在部分公权力部门手中。如果政府需要使用这些利用公共场所监控技术和定位设备收集的个人位置信息,是否需要遵循一套规则,以确保政府是在遵守法律的前提下运用位置定位技术,同时也能确保公民在享受公共安全监控技术所带来好处的同时,避免这一技术所造成的潜在负面影响。

(四)技术困境带来的位置信息隐患

除了上述经济、社会、法律等现实层面造成的位置隐私保护困境,技术本身也对位置隐私保护形成安全威胁。就技术层面而言,大数据管理形式过程中的数据搜集、传输、存储和处理这四个过程都会出现技术漏洞,带来隐私安全隐患。

首先,在数据搜集环节,技术“黑箱”使权利主体不知道自己的位置隐私在哪一步遭到了泄露。传感器收取和数据检索分类工具是当前最为常见的数据收集手段,它们自动收集和记录权利主体在使用智能设备过程中输入的数据,并随时传输回数据终端,通过后台设备将这些数据发送出去,一旦这些个人数据通过智能设备传送到某些组织机构或个人手中,个人隐私保护就会岌岌可危。例如,权利主体通过手机定位在某地签到打卡,与该地相关的咨询信息就可能被推送给权利主体。这说明权利主体的位置信息在短短几分钟内已经被搜索分析了。可怕的是,权利主体不知道位置信息是如何被搜集和处理的,最终在毫无察觉的情况下隐私就遭到了侵害。

其次,在数据传输过程中遭受网络攻击而造成数据遗失和隐私泄露。由于建设成本的原因,数据传输一般采用无线传输的方式。无线网络本身的开放性和移动性导致安全管理的难度加大。无线网络终端不仅移动范围广,还可以跨区域漫游,面对海量的数据,通常无法做到对每一个碎片化的数据都采取加密保护方式。因此,无线数据传输过程就存在相当的不稳定性和脆弱性。一旦在传输的过程中遭到不法分子的网络攻击,例如口令破解、黑客入侵、恶意篡改等,就极易造成数据的遗失与隐私的泄露。

再次,数据存储系统不能达到保护数据的目的,个人数据存储删除不彻底将会使权利主体彻底失去信息自控能力。大数据时代,结构化与非结构化数据规模呈现指数增长态势,海量数据的存储系统必须具备管理大规模数据的能力。然而现有的数据保护技术,例如访问权的限制、登录访问的控制技术等均不能完全达到数据保护目的,这就导致数据在存储过程中更易受到篡改、窃取或破坏等恶意攻击。智能设备本身同样具有数据存储功能,它们可以将人们日常的消费记录、聊天记录、信用卡信息、搜索记录等全部保存下来,并自动发送至网络移动终端产生数据交互。巨量且繁杂的数据往往很难通过简单的方式将其彻底删除,残留在智能设备中的数据使得隐私随时面临被侵害与泄露的风险。

最后,缺乏监管的数据处理使个人信息被用于第三方甚至许多方。数据挖掘在带给人们更具针对性的个性化服务同时,网络服务商也通过隐私声明条款承诺其服务范围,例如保证位置信息只在打开该App时读取。但是实际情况是,由于缺乏有效监管,隐私保护承诺并不具有任何实际约束力。在获得权利主体的个人信息后,往往就会出现信息被用于第三方甚至许多方的情况。

三、位置隐私保护的体系化规则策略

(一)明确行为规范:提升责任伦理,升级反向技术

通过法律将标准与原则融入技术的底层逻辑,促进技术向善,使责任伦理的核心指向未来。清晰的责任伦理规范可以减少科学技术带来的负面效应,明确科学活动的边界,提升人的责任意识。位置隐私的保护首先需要满足责任伦理意识,不能游走于法律的灰色地带。服务提供商需要兑现在隐私协议中的承诺,LBS服务商则需要自觉提升行业自律约束责任意识,否则权利主体有权主张位置隐私的合同自始无效。

从位置隐私侵权责任认定与抗辩事由来看,用户作为位置隐私的权益主体,在隐私侵犯与权益保障上处于天然的弱势地位。而在当前第三方监管机制缺失、法律滞后的现实情形下,用户的位置隐私保护依赖于LBS服务商在行业自律约束下提供支持个性隐私偏好的高强度隐私保护技术,目前的技术大多在服务器端采用可信第三方匿名器(trusted third party,TTP)实现用户位置隐私保护,借助于第三方中心服务器将单一用户的真实位置点替换为包含多个用户的空间区域,从而达到隐藏用户真实位置的效果,该结构既适用于位置隐私保护,也适用于查询隐私保护,因此得到学术界广泛认可。但是由于并没有一个权威机构来评估TTP的可信度,故TTP并不完全可信,而且TTP容易成为系统性能瓶颈和集中攻击点,因此,越来越多研究倾向使用无TTP架构。在无TTP架构中,根据移动用户间合作与否,分为分布式点对点体系结构(peer-to-peer network,P2P)模式与独立结构模式,前者通过用户间协作构建P2P通信网络,然后在模糊区域实现单个用户身份与隐私位置保护；后者通过移动终端以假位置点代替真实位置的方式直接发送给服务提供商进行增量近邻查询,直至返回用户所需的近邻结果位置。

(二)动态协商机制:建构场景化“知情同意”

1.“真实同意”:知情同意原则的基础

“自由意志虽然很难用科学的方式证明,但是自由意志是值得向往和保护的。”“知情同意”应该建立在权利主体自由意志的选择之上而不能被强迫。《一般数据保护条例》(简称“GDPR”)规定“同意须是自由做出的”(consent is freely given),同时第7条还制定了具体规则确保权利主体的同意是真实的内心表达。《个人信息保护法》的内容也强调了权利主体真实性同意是保障个人信息处理合法性的基本要求。通常情况下,个人信息处理需要遵循权利主体在“知情”的基础上“同意”的意思表示,也即权利主体“真实”的同意。“为避免过分抽象化的法益概念并充分发挥其限制处罚的作用”,确保权利主体知情同意的有效性,应制定具体且落地的政策,包括:在知情同意的原则下,明确告知权利主体个人信息的使用目的、使用方式和使用途径；在隐私条款中不得改变字体大小来弱化重要信息,在程序软件隐私条款中不得将点击“同意”的方式设置为程序使用的必须选项；涉及个人敏感信息的收集时,必须及时、准确告知其可能涉及的信息类型和目录；不得利用商业公司与权利主体不平等的市场支配地位,迫使权利主体授权同意其提供的服务。

2.“动态同意”“宽泛同意”:不同场景中的“知情同意”

个人信息被处理之前是否必须经过权利主体的明确同意,这在各个国家没有定论,欧盟“GDPR”将“知情同意”视为个人信息处理过程中的基本条件,但是也规定了例外条款,例如第66条紧急程序中规定了例外情形,对权利进行了适当限制的同时也给予责任和义务一定的豁免。这在很大程度上缓和了知情同意原则的严厉性,也为其根据数据类型、处理目的等进行区别对待提供依据,为场景化知情同意原则的确立提供依据。我国《个人信息保护法》也体现了根据场景化确立知情同意的意涵。第二章“个人信息处理规则”,第三节“国家机关处理个人信息的特别规定”体现了场景化知情同意的分类倾向。

所谓“动态同意”,即原则上要求任何第三方在对信息进行处理之前必须征得权利主体的明示同意,否则权利主体有权要求相关执法部门处罚未经同意处理个人信息的行为。例如在智能手机上使用小程序需要获取位置信息时,每一次使用都需要征得权利主体的同意。动态同意是传统知情同意原则的延续。由于敏感的个人信息一旦泄露,极易导致权利主体人格尊严或人身财产安全受到侵害。因此《个人信息保护法》将包括行踪轨迹在内的信息列为敏感信息,采取动态同意的形式,有效保护权利主体在网络环境中的人格尊严和财产安全。所谓“宽泛同意”即要求权利主体在特定的场景中一次性同意将部分个人信息出让至公共领域,这部分个人信息在未来的使用中将不再需要每次都征得权利主体的明示同意。

动态同意与宽泛同意实则是根据不同的场景形成的两种同意形态。理论的冲突与张力需要通过实践来进行缓和与协调,在何种场景下法律明确宽泛同意或动态同意,可通过对以上两种同意形式进行概率性的判断和分析把握。例如针对政府、司法机关等公权力部门,如道路监控设备对公民位置信息的读取,可以采取宽泛同意为主、动态同意为辅的同意机制。因为通过新闻媒体的监督机制、行政司法的监督渠道,可以推动公权力部门及时履行对个人信息处理的告知义务,用以确保权利主体在做出同意表示之前的知情权。因此在不损害权利主体个人利益的前提下,为了维护公共利益、保障社会安全秩序、维护公民的财产安全等场景下的位置信息的处理皆可视为“宽泛同意”的形态。商业程序对个人位置信息的读取,一般采取“动态同意”的形式。由于行踪轨迹属于敏感个人信息,而大数据环境下合成型隐私成为隐私披露常见形态,“点线面”结合最终就会完整呈现权利主体的私人生活和私人空间。针对商业程序,无论是静态的位置数据“点”,还是动态的行程轨迹“线”,都可能完整呈现权利主体的日常生活“面”,因此都需要采取“动态同意”的形式,且尊重权利主体在关闭程序时的位置信息读取意愿。

(三)重构媒介环境:打开技术黑箱,变革权力结构

技术黑箱导致信息收集过程的不透明进而对隐私侵害的查证构成严重妨碍。《个人信息保护法》第十七条规定了个人信息处理者在处理个人信息之前的告知义务,这说明平衡权利主体与个人信息处理者权力地位的初步共识已经达成。提高权利主体权力地位的核心在于给予权利主体在信息决策过程中的话语权。给予话语权并不是要求互联网商业公司披露其数据抓取和读取的技术细节,因为这会暴露商业公司的商业秘密,并且权利主体也会由于无法理解使披露显得毫无意义。解释决策过程的目的是为司法机关审理判断是否存在隐私侵害提供具有法律意义的信息。此时,位置信息的抓取逻辑、隐私平衡的决策考量等都可以被纳入解释的范围。如若未来我国公益诉讼将拓展至数字领域,检查机关就必须通过功能解释掌握人工智能系统的决策过程。就对象而言的算法解释必须结合一般意义上的系统功能解释以及根据具体个人的决策解释。

技术黑箱的存在,其实质是技术精英话语掌控中自上而下的数字霸权。消除数字社会的傲慢霸权,必须从一般规律的技术进路中提取出一条各方联动的数字平权之路,用以遏制结构性不平等导致的权利主体对个人信息把控能力的丧失。首先,在商业互联网团队中明确多元人才构成。工具理性凌驾于价值理性之上的媒介环境将导致无意识的霸权表达,为了能够在程序设计开发、战略部署层面开展有效商谈,团队可以考虑增加法律、伦理专家等具有人文背景学科的专业人员,为工具理性和价值理性的平衡寻找支撑点。其次,数字霸权的存在还在于专业壁垒的阻隔,知识和技能的扩散对于不平等的削弱起着关键作用。加大网络技术基础知识的科普教育,不以“高精尖”数字技术壁垒使其禁锢于精英大学教育集团内部,将智能科技的基础知识普及于一般公民。最后,解构技术壁垒,开展数字平权,实现社会治理。社会层面以科普知识眼光领悟数字领域的基本知识,不再将其看作技术精英阶层的“话语霸权”,科技科普精准投向社会各个领域引导,实现从大水灌溉式向精准施策转变的数字平权,可以有效弥补我国的数字鸿沟,最终利用数字技术实现社会治理。

(四)统一行业标准:搭建上下联动的规范体系

数字化的社会环境中,数据正逐渐将各行各业都汇聚到网络空间,医疗、教育、金融、销售、保险等行业都逐步向数据处理转型。《个人信息保护法》是我国第一部系统的、全面保护个人信息的专门法案。《民法典·人格权编》对隐私权予以明确保护,并辅之以相应的单行法和司法解释。位置信息兼具个人信息与隐私信息双重属性,一旦遭到非法披露,那么权利主体在精神层面和经济层面都会受到伤害。因此我们需要统一各个行业数据收集标准,弥补网络环境中数字化发展技术性安全纰漏,将各部门零散的概念、实例和规制整合成体系化的数据检索库,在端口、服务、地址、属性和协议五个层面实现个人信息和隐私保护的知识图谱化。

作为公权力部门,政府部门的数据和关键信息是最庞大和最完整的,政府部门可定期向各行各业开放可利用的国家数据库,以统一的标准为各行各业数字化转型助力,避免在数据收集的过程中因不规范收集和没有统一标准而残留个人信息在网络中造成隐私泄露。2021年3月31日,北京国际大数据交易所正式成立,它是我国首家基于“数据可用不可见,用途可控可计量”理念而成立的新型交易规范的数据交易场所,其服务内容包括“明晰数据权利取得方式及权利范围”。我们要将政府数据作为权威来源,统一行业标准,以交易所为依托,在金融、教育、医疗等领域率先打开技术黑箱,打造技术沙盒,再以点带面逐步向全国、全行业推广数据安全示范服务,循序渐进地推进包括位置隐私在内的个人信息和隐私保护的应用落地。

注释:

① 李联宁:《物联网安全导论》,清华大学出版社2013年版,第302页。

② 林子杉:《互联网精准营销,是在偷窥还是帮助用户》,《人民法院报》,2015年9月21日,第06版。

③ 高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》,2018年第3期,第92页。

④ 材料来源:http://www.csgpc.org/bencandy.php?fid=113&id=8337,2021年5月19日。

⑤ Mauro Conti,Nicola Dragoni,Viktor Lesyk.ASurveyofManinTheMiddleAttacks.IEEE Communications Surveys & Tutorials,vol.18,no.3,2016.pp.2027-2051.

⑥ [美]布鲁斯·施奈尔:《数据与监控——信息安全的隐形之战》,李先奇、黎秋玲译,金城出版社2018年版,第142页。

⑦ 李延舜:《位置何以成为隐私？——大数据时代位置信息的法律保护》,《法律科学》,2021年第2期,第108页。

⑧ 资料来源:https://www.sohu.com/a/251503286_100017648,2018年9月2日。

⑨ 彭诚信:《现代权利理论研究》,法律出版社2017年版,第315页。

⑩ 张民安、宋志斌编:《公共场所隐私权研究——公共场所隐私权理论的产生、发展、确立、争议和具体适用》,中山大学出版社2016年版,第337页。