这是最好的时代,也是最坏的时代。这是数据的时代,也是数据泄露的时代。
一方面,5G技术的发展进一步产生了海量的数据,让物联网与万物皆媒走向现实。物联网基于大量的数据为人们的网络使用提供便利,将采集于人们的数据用于提升人们的使用体验,给日常的生活赋予便利。
另一方面,数据的采集模糊了隐私边界,各种个人数据都可能被挖掘、被预测甚至被监控,这就使具有个人隐私的数据在网络空间由“匿名”变为“透明”。
事实上,当信息传播技术的发展对空间进行了重新定义时,也同时突破了传统隐私权的范畴。个人隐私权由传统的消极侵权扩展到积极侵权,即从侵犯个人的时间和空间的自由,到侵犯个人自身信息(数据)的控制权。
这也从法律上对社交媒体的隐私合理期待提出了新的挑战:模糊的隐私边界如何界定?数字时代的信任基石又何以为立?
模糊的隐私边界
事实上,隐私的概念在社会科学中已经被研究了100多年,但隐私的范围始终争论不休。
1980年,美国法学家萨缪尔·沃伦和路易斯·布兰代斯在《哈佛法学评论》发表的《隐私权》一文,标志着隐私权理论的诞生。最初的隐私权在“私人的”和“公共的”两种领域间作出明显的区隔,使个人在“私人的”领域中享有高度的自主。
而随着时代和生活经验的不断变化,过往凡“私”皆“隐”的观念在大数据时代已经发生了颠覆性的改变。不论是5G带来的物联网还是智媒化,都以大数据为基础。这些数据中自然也包含着海量的用户隐私,社交媒体的普及让人们的私生活大量暴露在互联网上,隐私信息在大数据时代变得唾手可及。
因此,界定数据合理使用与隐私侵犯的隐私边界显得尤其重要。美国学者桑德拉·彼的罗尼奥曾提出隐私边界的三条规则:控制边界链接、掌握边界渗透和明晰边界所有权。然而,这三条规则在大数据时代下几乎消解殆尽。
首先,控制边界链接即由人们决定向谁说,但无处不在的媒介和公共空间中的媒介都可能使人们在无知无觉中表露个人信息,比如,监控交通的摄像头,某地的进出门记录等,而公共空间对于个人的信息采集往往是难以拒绝的。
其次,掌握边界渗透即由人们决定多大程度上暴露自己的隐私,但同样,因为信息采集的途径日益隐蔽,人们越来越难知道自己的哪些信息被泄露。在前物联网时代,数据间的联系尚不完全,但随着智媒化的发展,用户的隐私将以网状结构出现在互联网的后台之中,使得用户隐私泄露的可能性将大大提高。
最后,尽管边界的所有权毫无疑问属于用户,但是如何明晰边界则显得极为困难。从现行法律来看,未经用户知情同意的信息采集会受到法律的制裁,但是以欧盟《通用数据保护条例》(GDPR)为代表的各国法律都存在除同意以外的合理使用,视为其他可以进行数据处理的合法事由。
于是,在现实情况中,信息采集者很容易为自己的采集行为寻找到合理的借口。而出于对商业机密的保护,数据被如何处理应用则很难被监督。合理使用与侵犯隐私之间,有着漫长的灰色地带,这使得几乎所有的数据使用都披上了合法的外衣。
在这样的背景下,合理的隐私期待被赋予了重要意义。
合理隐私期待的主观和客观
“合理隐私期待”源于1967年凯茨诉联邦案,其提出正是为了解决隐私权的边界问题。
在此案中,由于凯茨使用的公共电话亭被联邦官员窃听,凯茨将其告上法庭,美国最高法院最终认定“保护人民而非保护场所”。这个判决就意味着,只要个人的行为意愿并非想要公之于众并刻意避免引起注意,即使发生在公开场合也应该被保护。
显然,“合理隐私期待”这一概念,在大数据时代对隐私边界的界定也具有重要意义:一方面,社会的不断发展令隐私权的涵盖范围随之变化而呈现多样性。当个人利益与公共利益相冲突时,个人的隐私期待和社会对个人隐私期待有一个共同的价值判断,法院可以依据“合理隐私期待”主客观标准判定隐私侵权的多样性。
另一方面,法律的可预测性有限,当一些新型的隐私权益被侵犯时,引入“合理隐私期待”理念,充分运用“合理隐私期待”主客观判断标准,则可以解决司法实务中许多难以判断的侵权问题,从而最终实现法律自身的调节功能,保护公民合法隐私权。
“合理隐私期待”规则有两个构成要件:首先是主观要件,即个人的行为是否表现出他确实享有主观的隐私期待;其次是客观要件,即社会是否认可他的隐私期待是“合理的”。
从合理隐私期待的主观要件来看,美国学者BrianJ.Serr依据美国宪法第四修正案的判例,归纳了衡量隐私合理期待主观标准的披露三要素,包括信息的披露、风险的披露和范围的披露。
信息的披露:即当被披露信息的内容能被外界极易知晓的时候,外界既能够预见到且知晓被披露信息内容,则他人的隐私期待程度也就越弱。
风险的披露:行为人在上网过程中对自己的信息完全不设防,把自己暴露在网络世界中,其信息被披露的风险强度是很大的,因而在网络世界主张其隐私期待是很难的;同样,行为人在网络世界中处处设防,处处加密,其信息受到披露的风险较低,因而其在网络世界中的私人事务就具有非常充分的隐私期待。
范围的披露:当信息主体的信息是向一般公众披露时,其披露程度越高,其隐私期待的诉求就越弱。
事实上,传统的隐私权主要以个人意志自由为控制目标,其个人情感、思想以及信息是否能让公众知晓完全由个人来决定。而大数据背景下,个人隐私的自控权不断被削弱,个人隐私权的法益也在不断被侵犯,在披露三要素下,用合理隐私期待的主观标准将为判断多样化隐私侵权提供了更多可能。
从客观隐私期待来看,客观隐私期待标准强调了社会对个人隐私期待的合理性的评判,包括了社会要素和事实要素。
从社会要素来看,由于隐私权保护的事项范围在“合理隐私期待”标准中没有事先规定,所以根据客观标准,在衡量他人对其个人信息是否具有隐私期待时,需要充分注意社会公众所能接受的社会事实。
对于事实要素来说,隐私侵权的审判中既要考量案件发生的社会环境因素,还要综合隐私侵犯的场所、隐私侵犯程度甚至是对象和目的。首先,他人私生活如果和信息传播发生场所的联系越紧密,他人对该信息的隐私期待也就越高。其次,信息侵犯的程度越大,侵犯他人隐私期待的可能性就越大。最后,如果信息行为的对象具有显著的私密性,其隐私期待的合理性的强度也就越大。
构建数字社会的信任基石
在大数据时代,合理隐私期待为隐私边界和隐私侵权的界定提供了更具弹性的判定标准。但合理隐私期待依旧有新的问题需要回答。比如,社交媒体对隐私期待的客观性挑战,亦或合理隐私期待”主客观标准的融合的新生问题。
社交媒体对隐私合理期待理论提出的挑战在于,如何界定社交媒体用户隐私期待的客观性。以脸书(Facebook)为例,注册脸书新账户需要首先在脸书中央服务器创建个人账号并将信息存储于脸书的中央内容服务器。注册账号之后,用户可以访问已保存的个人信息,同时也可以设置个人信息的可见范围,如“仅自己可见”“仅好友可见”。除了用户设置的可见范围之外,脸书的内容管理者同样可以查看用户信息。
而如果用户在社交媒体的“好友”允许警方查看用户的隐私信息,则用户的隐私期待不再成立。但是,如果用户好友并不同意搜索,那么警方又是否可以依据用户将个人信息交给社交媒体保存而将其视为自动放弃隐私合理期待?
此外,在大数据时代“合理隐私期待”主客观标准的融合下,公民个人信息在特定目的及针对特定对象公开后,行为人是否可以对其进行“人肉”搜索,并将个人信息进行技术处理和组合完整后是否可以公开?
当个人在行使网络电子交易时,个人的相关数据信息被服务提供商以其“消极同意”的名义存储,依据“隐私的合理期待标准”这些数据信息的存储能否构成“隐私”权的侵犯?如果能,个人数据信息保护的立法依据何在,如果不能,是否就意味着存储于服务提供商的信息可以随意向他人披露?
事实上,在迈向数字社会的过程中,我们比任何时刻都更加渴望信任。但正如同其他领域的法律制度一样,隐私与个人信息保护的立法过程,就是回应—滞后—再回应—再滞后的循环递进过程。想要构建数字社会的信任基石,除了法律的回应,还需要技术、实践的协作共建,以及我们更多的耐心、包容和探索。
(千寻专栏 陈根)
关键词: 数据