人文历史

無隱私,何來安全?


上周五,我趁去重慶郵電大學講學之機參觀了蔣介石和宋美齡在抗日戰爭期間居住了八年的黃山官邸。聽講解員說,宋美齡有個原則,就是不化妝不穿戴整齊不見人,以至於蔣介石都沒見過她素顏。直到105歲去世,她一直都是以整潔的儀容示人。

許多人可能會認為這樣太惺惺作態,不夠真實率性,但這種持之以恆的自我管理和儀式感無疑是令人欽佩的。

法律乃至整個「文明」都是以人在公共活動中的形式規範為核心的,赤膊相見的率性更多見於文明程度較低的社會。每個人自主控制自己的公共形象,在私域與公域之中保持不同的面貌和行為方式,恰是人之尊嚴的題中應有之義。

只不過,在宋美齡那裡,二人為公,哪怕是對自己的配偶,也要以見得公眾的形象來相見。大多數人不會像宋美齡那樣極端注重自己的公共形象,但都有把握和控制自己想讓別人看到和知道的自身形象的需求。

從對自己的身體、自己的私下言行的自主自控便衍生出了隱私權。我們的私下形象和言行,只要沒有對他人造成影響,無關公共利益,就不應收到公權力和其他私人的干預。隱私權是一種典型的消極自由,它的要義在於「不關你事兒,別管我」。

當塞繆爾・沃倫和路易斯・布蘭戴斯於1890年在《哈佛法律評論》上發表「隱私權」(The Right to Privacy),從而發明了這個新概念的時候,他們把隱私權視為生命權的自然延伸:「生命權現在開始也意味著享受生命的權利――不受他人打擾的權利。」

傳統的隱私權概念包含四個向度:獨處(seclusion)、親密關係(intimacy)、秘密(Secrecy)和自治(autonomy)。它以個人的人身為圓心劃出一個個同心圓,保護個人私人空間和私密關係的秘密性。但這種基於空間想象的秘密模式隨著技術的發展而遭受了顛覆性的挑戰,信息技術的發展使得個人主義的「隱私孤島」與現實脫節。

無隱私,何來安全?免費安全的隱性收費

在通信和電話時代,公與私的邊界是相對明確和固定的。

因此,法律可以根據空間來界定隱私權的邊界。比如,你在家裡和在私人通信中可以享受充分的隱私權保障(住宅自由、通信保密),而家可以延伸到旅舍等臨時住處。但你一旦進入公共場所,比如街道、購物中心或餐館,隱私權變減弱乃至消失了。同時,點對點的通信和通話雖然發生在郵電通訊服務商所提供的公共平台上,但平台提供者對消費者負有保密義務,法律保障人們的通訊自由,禁止第三方干擾或竊取個人之間通訊的內容。

但隨著互聯網進入物聯網階段,你即使在家裡獨處,你所使用的手機,佩戴的可穿戴電子設備,乃至你的家用電器也在隨時隨刻將你同無遠弗屆的網路鏈接起來,向某個伺服器傳送著你的各種信息。這些信息可能被分析、被利用、被出售。基於靜態空間結構想象的隱私權概念已被宣告死亡,取而代之的是對數據流的控制權。

早在1983年,德國憲法法院便在一個判決中提出了「信息自主權」概念,多年之後又在2008年的一個判決中提出了「信息系統中的信任與整全性權利」。其要義在於強調個人對涉及自身的信息流嚮應當享有知情和自主控制的權利,出於特定目的而提供的個人信息不能被用於其他目的,向某個特定主體提供的信息不能被轉送給其他人。

即將生效的歐盟《一般個人數據保護條例》把個人數據定義為「關於任何已被識別出(identified)或者可被識別出(identifiable)的自然人的任何信息」。這也是一個十分寬泛的定義,使得個人數據的範圍變得非常大。一旦被界定為個人數據,未經同意的使用就會受到嚴格限制。

該條例強化了個人對涉及自身的個人數據的自主控制權,他人對個人數據的使用必須滿足數據主體的知情權和自主控制權,使用前必須徵得數據主體的同意,使用時不能超出同意的範圍,使用后也要按照數據主體的要求予以更改或刪除。同時,個人數據具有可攜帶性,數據主體可以將個人數據從一個平台完整地帶到另一個平台,平台服務商不得施加不合理的限制。

為了使隱私權和個人數據保護的成本降低,使相應的救濟不必非得通過成本巨大的司法渠道,許多國家和地區都設立了專門的行政機構或法定獨立機構,以簡便快捷的程序來處理公民的隱私權訴求。

比如,我國香港地區在回歸前便制定了規範個人資料之採集、匯總、處理和使用過程的個人資料保護法,《個人資料(隱私)條例》於1996年生效,同年,個人資料隱私專員公署成立。獲取與使用包括姓名、住址、相片、視頻、證件號碼、信用卡資料等一系列個人資料,均需滿足理由正當、用途合理、範圍有限、當事人知情並有權查驗等法定條件。不論是政府還是私營部門,想在機場、地鐵站、餐館、健身房或其他公共場所安裝攝像頭或其他用於獲取個人資料、識別個人身份的設備,都必須嚴格遵守該法例所規定的程序及實體要求。同時,任何個人都可以對已經運行的個人資料採集和處理措施提出異議,藉助行政複議或司法審查來保障自己的隱私權。

我國內地在隱私權和個人數據保護法治化方面也已經取得了顯著的成就:

第一,《憲法》第三十七條至第四十條分別保障著公民的人身自由、人格尊嚴、住宅安全、通信自由與通信秘密,築起了公民隱私權的圍牆。

第二,在民法層面,《民法通則》中雖然沒有明確提到「隱私權」,但姓名權、肖像權、名譽權、榮譽權卻覆蓋了個人隱私的重要方面。2010年7月1日起施行的《侵權責任法》第二條明確將「隱私權」列入「本法所稱民事權益」之中。該法第36條針對網路服務提供者侵權的特殊性做了專門規定,直接侵犯隱私權的要承擔侵權責任,明知網路用戶利用網路服務侵權的,必須採取刪除、屏蔽、斷開連接等必要措施,否則要承擔連帶責任。2017年10月1日起施行的《中華人民共和國民法總則》第一百一十條規定了隱私權,第一百一十一條則明確規定:「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。」

第三,在行政法層面,2017年6月1日起施行的《網路安全法》第四十至第五十條規定了網路運營者在收集和使用個人信息方面的保密義務、徵得個人同意的義務、安全管理義務、告知義務等等,要求收集和使用個人信息的行為遵循合法、正當、必要的原則,並授權國家網信部門和其他有關部門監督和管理網路運營者履行上述義務的情況。

第四,在刑法層面,在刑法修正案七和九通過之前,我國刑法中已有的涉及侵犯隱私和個人信息方面的罪名便已經包括:非法搜查罪,非法侵入他人住宅罪,侵犯通信自由罪,私自開拆、隱匿、毀棄郵件、電報罪,非法使用竊聽、竊照專用器材罪,破壞計算機信息系統罪,竊取、收買、非法提供信用卡信息罪和侮辱罪等等。刑七和刑九進一步針對網路時代侵犯個人隱私行為的新特點,對上述罪名進行了補充和修改,例如,刑九對刑法第二百五三條進行了修改,規定:「違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。」

第五,我國還正在制定《個人信息安全規範》等國家標準,致力於將個人信息保護嵌入互聯網行業的產品和服務標準之中,使罔顧公民隱私的商業模式難以立足。

最後,對未成年人等需要特殊保護的群體,《未成年人保護法》等法律還對隱私權做了特殊規定,披露未成年人個人信息的行為受到更嚴格的限制。網路直播如果涉及未成年人,不僅需徵得其本人的同意,還需徵得其法定監護人的同意。

無隱私,何來安全?「對個人而言,安全是內嵌於隱私之中的,盯著你的人越少,你就越安全。」

在這樣的法治背景下,最近引起廣泛關注的「一位92年女生致周鴻t:別再盯著我們看了」的確讓人怵目驚心,其中所描述的公眾在毫不知情的情況下被餐廳、健身房和超市的360攝像頭拍下並在水滴app被直播、被品頭論足的場景,不僅觸犯了人們的道德底線,也明顯觸犯了包括刑法在內的一系列法律。不知情狀態的直播不是直播,而是偷拍或竊照。難怪周鴻t本人緊急回應,解釋說進入直播狀態要經過五個步驟的操作,不知情狀態下被直播是不可能的。

在撰寫本文的過程中,我專門下載了水滴app,在裡面的確沒有找到文章里提到了餐廳直播等畫面。在無法掌握事實、全部事實、只有事實的情況下,本文的評論只針對上述文章中所描述(或虛構)的場景。除了上述法律分析外,我還想補充兩點關於個人如何在如今的萬物聯網時代有尊嚴地生存的建議。

首先,我們需要想想,老大哥在看著你和無數陌生人在看著你,哪個更可怕?

對個人而言,安全內嵌於隱私之中,你把控自己的個人信息流的能力越強,你就越安全。我們不需要周老闆、李老闆或馬老闆來確保我們的安全。試想,如果無數個不特定的陌生人都可以直接在手機上看到你吃飯、健身和購物的樣子,其中不乏見財起意或見色起意之徒,而他們可以不費吹灰之力知道你的位置和行蹤,這是一件多麼可怕的事情。即使這些圍觀者什麼也沒做,只是隨手敲下幾句評論,或者只是單純圍觀,你在此時也是被「物化」了,成為了別人娛樂的工具。而這些都是在你沒有同意甚至毫不知情的情況下發生的。因此,我們每個人都應該對各種網路產品和服務保持適當的警覺,對以安全為名的服務報以審視的目光。

與微博和微信等社交網路平台不同,被文中所描述攝像頭拍下的人對涉及自己的影像資料沒有任何控制能力,她們無法刪除一段特定的影像,也無法控制哪些人在圍觀自己。這種使數據主體完全失去對數據之控制的商業模式不僅是不道德的,也是違法的。

其次,我們要儘力去了解我們所使用的產品和服務的盈利模式。

2017年5月6日,英國《經濟學人》雜誌發表了一篇文章,題為「世界上最有價值的資源不再是石油,而是數據」,專門幫人們從出售匿名化個人數據獲利的Datacoup公司的口號就是:「別讓一個免費app就騙走你的寶貴個人數據。」它的創辦人和CEO馬特・霍根說:「如果消費者很清楚地認識到與他們的數據相關的交易,並且能夠參與到他們的數據的價值鏈之中,而不是被一個看似與數據買賣無關的免費app或服務的不透明性所蒙蔽,一個更有效率的市場就能夠形成。」

在商言商,一個負責任的商人應該讓消費者知道自己的盈利渠道和商業模式是什麼,而不是用安全、硬體免費等公共利益幌子來掩飾自己的賺錢手段。如果一家網路公司聲稱自己的唯一目的是提供免費的安全服務,那麼它的老闆更應該是報考公務員,服務於技偵和網安部門。

世上沒有免費的午餐,商人對自己的盈利模式越是諱莫如深,越是值得懷疑。作為個人消費者,我們應當選擇商業模式透明的產品和服務,避開那些讓你以隱私為代價的「免費午餐」。