位置何以成为隐私?
——大数据时代位置信息的法律保护
李延舜
摘 要:在数据这一新型生产要素中,位置数据的应用日益广泛,不仅“基于位置的服务”雨后春笋般涌现,政府也基于位置数据创新社会治理方式、辅助案件侦破。然而,位置数据获取技术的进步及智能手机(作为现代最主要的定位工具)的普及,使得公民私密生活受到无处不在的位置监控威胁。位置信息的敏感性、位置获取技术的侵入性、公民对位置信息的隐私期待合理性以及位置信息保护的价值,足以让我们反思当前“过度”及不受实质限制的位置信息采集利用行为。位置信息的法律保护需要公法与私法的合力。就公法保护而言,应重视“个人信息自决权”,遵守比例原则,创新令状制度;就私法保护而言,应选择恰当的请求权路径、审视数据控制者或处理者的相关义务以及对位置信息的收集利用予以限制。
关键词:位置信息;隐私权;隐私合理期待;比例原则
一、问题的提出
1、当“位置”成为一种生产要素
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,数据作为一种新型生产要素被纳入其中,与土地、资本、劳动力、技术等一道,共同构成此次要素市场化改革的重要组成部分。在数据的诸多种类中,位置数据的采集利用异军突起。
1994年,美国学者舍利特(Schilit)率先提出“位置”与“服务”的结合,提出基于位置服务(Location Based Services, 简称LBS)的三大目标:你在哪里、你和谁在一起、附近有什么资源,这些构成了位置服务可能表达的基本内容。随着位置数据化以及位置获取技术的进步,LBS的应用越来越广。大体而言,LBS可分为四类:第一类是基于位置发送定向广告。“这些定位广告的溢价很高:2013年,匿名的、未定位的在线广告平均支付1.98美元/千人;一个定向广告支付4.12美元/千人。这意味着一个互联网科技公司,如脸书(Facebook)、雅虎或谷歌,如果他们可以收集消费者的可识别信息,就可以获得两倍的数字广告收入。”有项技术叫地理围栏(Geofencing),商家用它来识别某个特定地理位置附近的人群,并向他们发送定向广告。不仅如此,我们手机中的各类APP也在与用户的实时位置进行匹配,继而向用户推送“周边美食”、“周边停车”、“周边住宿”等信息;第二类是基于位置创新产品应用。常用软件如高德地图、百度地图、谷歌街景车、安吉星服务以及各类定位追踪软件等都离不开地理位置,共享单车及网约车也仰赖于位置,甚至美团外卖、社交交友、旅行购物,医院挂号,也需要位置数据的支撑;第三类是基于位置进行重大决策。位置大数据中蕴含人类行为特征,在消除贫困、疫情防控、城市规划、减灾救灾等重大社会决策上发挥重要作用;第四类是基于位置优化治安及案件侦破。根据治安大数据,可以把有限警力投入到重点防控区域中去。警察也越来越多地将GPS、手机定位技术应用于刑事侦查。美国一项研究报告表明,仅在弗吉尼亚州的费尔法克斯(Fairfax),警方在2005至2007年间使用GPS证据的案件数量约159个。相应地,不仅仅作为警察的一种侦查工具,越来越多的刑事案件中,GPS证据开始扮演具有关键意义的角色,因为检察官们认识到了GPS证据对陪审团的说服力,并已将之用作法庭上的实质性证据。
位置数据的要素价值凸显,不仅是因为LBS的种类日益增多,还在于位置数据的采集更加便捷。除传统的五种方式外(三角测量法、GPS定位、Wifi定位、IP地址、传感设备识别),日常生活中的电子商务、射频识别芯片、信用卡消费、ATM等可以显示公民位置,随身携带手机中的APP,如地图类APP,社交、健身等带“签到”或“打卡”功能的各类APP,都在悄无声息地收集用户的位置信息。
2、位置数据折射诸多隐私威胁
位置数据作为一种生产要素潜力无限,据瑞典市场研究公司贝格视界(Berg Insight)发布的报告预测,全球基于位置服务的市场规模到2020年将达到348亿欧元。但正如硬币有两面,位置数据的采集利用也伴随着隐私问题。位置数据不仅具有规模大(Volume)、速度快(Velocity)、多样化(Variety)及价值高(Value)这“4V”特征,还具有隐蔽性、间接性、潜伏性等独特特征。举例而言,现在人手一部或多部手机,但谁能意识到它也是定位追踪器呢!据统计,脸书(Facebook)提供的“位置”(Places)功能,每天处理的“签到”信息近200万条,且有位置标签的文本信息约为2000万条……每个移动对象平均15s提交一次当前位置,这样算来,全球上亿手机、车载导航设备等移动对象每秒提交的位置信息将超过一亿条。李·查德在其著名小说《通缉犯》中曾感慨:“假如20年前国会制定一项法律,要求每个公民不论白天黑夜都必须在其脖子上戴上无线电应答器,无论他走到哪里,政府都可以找到他。你能想象这一愤怒吗?但公民们现在正自发这么做。这个应答器不在脖子上,而在他们的口袋和钱包里。”
位置数据采集利用产生的隐私难题分为两大类:政府侵权隐忧及企业侵权难题。
首先,隐私权至少包含两个方面,第一个方面关注人格保护,第二个方面关注远离规范化的自由。前者确保公民能够按照自己的意愿实施行为,它禁止政府通过挑出个别公民的身份信息来干扰公民的日常生活;后者关注政府能够在多大程度上为公民的生活方式制定标准。 而政府对位置数据的强大收集能力恰好在这两个方面威胁公民隐私,一方面,定位追踪是刑事侦查的一种有效方式,但一旦这种高效侦查手段滥用,便可能产生“为保障人权而牺牲人权”的后果。美国大法官索尼娅·索托马约尔(Sonia Sotomayor)曾在琼斯(Jones)案中就调查人员给汽车安装GPS一事发表评论:“政府搜集数据,披露私人信息,这种不受约束的权力很容易被滥用。最终的结果是GPS监控——相对低廉的成本,大量获取所有人的隐私信息,不受限制的自由裁量权,选择性跟踪——可能改变公民与政府的关系。”索托马约尔(Sotomayor)的评论已经延伸到位置监控威胁的第二个方面,即隐私“皮之不存”,其他社会价值“毛将焉附”?2010年,美国密歇根地区的警察根据定位,搜索了所有可能出现在一个预期的劳工抗议场地附近的手机信息。2014年,乌克兰政府对一定时间内手机在某个特定区域的基辅人发送明确的“奥威尔式”短信:“亲爱的用户,您已被登记为大规模骚乱事件的参与者。”可以想象,被定位识别者肯定战战兢兢。若位置隐私不保成为常态,那公民结社、集会、游行示威等自由就无法实现。就此而言,“隐私权的丧失是大部分其他基本权利与自由遭到侵犯的先决条件。”
其次,大数据企业也对公民的位置信息虎视眈眈。2018年中国消费者协会曾就“APP个人信息泄露情况”做过调查,发现APP过度索权、超范围收集个人信息等现象明显。“读取位置信息和访问联系人权限是安装和使用手机APP时遇到情况最多的,分别占86.8%和62.3%。”2019年12月5日,南都个人信息保护中心发布《2019个人信息安全年度报告》,报告显示,在默认获取非必要权限行为检测中,定位权限仅次于设备识别码,位列第二,在受测100款移动金融类APP中,有44款调用定位权限频率超过50次/分钟,其中“拍拍贷借款”1分钟内调用了1468次。过度采集用户位置信息的情况中外都有,美国黄金海岸公司曾推出一款应用——“最亮手电筒”(Brightest Flashlight Free),这款APP因其“酷炫”深受青少年喜欢。但该应用程序“默默地”搜集用户位置信息,并出售给广告商。后来美国联邦贸易委员会(以下简称FTC)介入,将该行为认定为“欺诈”。 随着大数据企业对数据合规认识的深化,企业开始重视用户协议及隐私政策的展示功能与合规效能。用户协议与隐私政策造就了事实层面数字生活管理的法律制度,其中就有对用户位置信息收集利用情况的说明。但一来这些规则既不精致,也不通俗易懂,二来基于经营者与消费者地位、资源、知识上的不对等,使得当前的隐私政策并未走入法律实践而沦为经营者表面上公开、透明义务的展示。以苹果(iPhone)事件为例,早在2014年,苹果(iPhone)用户隐私泄露事件就披露出苹果公司曾私自记录用户每次使用LBS时的位置信息。2018年8月谷歌也被曝在安卓和苹果(iPhone)设备上的很多服务中都存储了用户的位置数据,即使用户已经通过隐私设置禁止它这么做。这一事件持续酝酿,终于在2020年5月27日,谷歌被亚利桑那州指控非法收集用户的行踪信息。
二、位置数据保护的文本考察及保护难题
1、法律文本中的位置数据保护考察
位置数据保护的重要性日益彰显,有必要对国内外现行相关法律进行文本层面的考察。就我国而言,关于位置数据保护的规定散见于多部规范性法律文件中。
规范性法律文件 |
涉及“位置”的法律条款或内容简述 |
《中华人民共和国民法典》 |
第1034条将个人信息界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,其中包括住址、行踪信息等。 |
《中华人民共和国网络安全法》 |
附则第76条关于个人信息的界定中,将自然人的住址纳入其中。 |
《个人信息安全规范》(GB/T 35273-2020) |
第3.1(个人信息)及3.2(个人敏感信息)条中包含了行踪轨迹和住宿信息,并在附录A(个人位置信息举例)中增添了精准定位信息、经纬度等。 |
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》[法释(2017)10号] |
将个人信息范围扩大至能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,在此理念下,住址、行踪轨迹也纳入刑法保护范围。 |
《中华人民共和国测绘法》 |
第47条将个人地理信息使用纳入了法律保护范围,该条第3款规定:地理信息生产、利用单位和互联网地图服务提供者收集、使用用户个人信息的,应当遵守法律、行政法规相关规定。 |
《电信和互联网用户个人信息保护规定》 |
第4条指出,用户个人信息指能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 |
《移动互联网应用程序信息服务管理规定》 |
第7条第4款指出,应用程序经营者未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能。 |
《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》 |
对16类基本业务功能正常运行所需的个人信息提供参考,并将位置信息的收集纳入地图导航、网络约车、网上购物、快递配送等业务。 |
就国外而言,美国是数字经济时代的引领者,在数据的自由流动与严格保护之间更偏向于前者,但位置数据的采集利用所产生的社会矛盾也屡见不鲜,如谷歌街景车事件。美国的位置信息保护有鲜明特色:第一是侵权法与宪法协同推进,侵权法主要针对大数据企业非法收集和利用公民的位置信息,FTC会通过敦促企业发布隐私政策,如果企业未能遵守自身的通知、规程和声明,在大多数情况下就会受到侵权法或反不正当竞争法等的处罚。前述FTC对“美国黄金海岸公司”推出的手电筒应用进行执法即为典型。另外,为保证自律规范的实施效果,美国商务部也有权验证企业在实践方面是否遵守隐私政策。宪法层面的位置数据保护更为复杂,它与《宪法第四修正案》紧密关联。在涉及行踪信息的一系列判决中,可以发现如下规律:早期通过无线电发射装置(如蜂鸣器)监控犯罪嫌疑人在公共场所行踪信息的情形,不受宪法保护,如1983年的诺茨(Knotts)案和同年的卡罗(Karo)案。而通过GPS长时间监控犯罪嫌疑人的行踪信息以及通过手机定位全方位监控嫌疑人行踪轨迹的情形则已纳入宪法保护,前者如2012年的琼斯(Jones)案,后者如2018年的卡彭特(Carpenter)案。美国法对位置信息保护的第二个特色是判例法和制定法齐头并进。如果说宪法领域的公民行踪保护多是通过判例法实现的,那作为消费者位置隐私保护的主要依据就是制定法,如《2018年加州消费者隐私法案》,其第二节(e)项消费者个人信息列举中就有居住地址、准确的定位信息等。再看数据保护法域的另一个典型——《通用数据保护条例》(以下简称GDPR)。GDPR并未把位置数据列入“特殊类型个人数据”范围,但位置信息在进行“用户画像”时被明确列入,GDPR第4条(4)规定了进行“用户画像”时可对自然人的“位置或行踪”等信息进行自动化处理,就此而言,位置信息属于GDPR中的“限制处理”数据。实际上,早在“95指令”时期,第29条工作组就于2011年5月16日通过了《关于智能移动设备地理位置服务的第13/2011号意见》,描述了基于位置的服务所涉及的技术,评估了隐私风险,并阐明了适用于地理位置信息的法律框架。
综上,位置信息受到越来越多的关注,一方面,住址、住宿信息、行踪轨迹、定位信息、地理位置信息等皆是位置;另一方面,法律文本中关于位置的涵摄范围虽广,但并非所有的位置数据都受法律保护,这取决于该位置数据是否具有“可识别性”及“敏感性”。哈瑞斯在评价政府从第三方获取个人信息时谈到,“带有地理标签和时间邮戳的通讯数据比任何孤立记录所显示的内容都要多,足以重建个人过去与现在的所有私人生活。”所以,越来越多的法域通过立法限制位置信息的获取,除非经个人明示同意或执法部门获得司法授权。
2、位置数据的保护困境
尽管位置数据保护已入法,但现实中想要实现它则很难。早在2007年,郑州光明山盟乳业有限公司曾因给员工配备GPS定位手机而被员工起诉,但法院认为,原告从公司领取并使用改款手机,说明原告服从被告对员工采取的管理模式。被告通过手机获取的定位信息主要是在公共空间,客观上也没有造成损害后果,故驳回了原告的诉讼请求。事件过去十多年,当时的判决逻辑如今并未发生改变,下将从三个方面进行阐述。
(1)第三方当事人规则之掣肘
第三方当事人规则衍生于美国《宪法第四修正案》,是判断警察从第三方获取犯罪证据的效力法则。其内容很简单:如果公民自愿将信息披露给第三方,那该公民就不再享有《宪法第四修正案》有关保障其信息隐私方面的权利。第三方当事人规则最初适用于刑事案件的“卧底”密探,后逐渐适用于各种商业纪录(如银行记录、纳税记录等),终于在网络时代,第三方当事人规则迎来了它的爆发。不管是注册人信息、交互信息,抑或内容信息,公民都不得不主动将自己的信息披露给网络服务提供者,而依据该理论,公民的位置信息不受法律保护。
第三方当事人理论之所以广为接受,是因为该理规则对打击犯罪、维护公共利益具有重要作用。用科尔(Kerr)教授的话说,就是它维持了《宪法第四修正案》的技术中立原则,“如果没有第三方当事人理论,投机的犯罪分子就会巧妙地利用公民与第三方当事人之间的信息隐私受到宪法保护这一点,使他们的整个犯罪活动受到《宪法第四修正案》保护。而这个结果将导致《宪法第四修正案》为平衡公民隐私和社会安全之间的利益所作出的努力付之东流,并削弱了刑法的威慑和惩罚作用。”不仅如此,第三方当事人理论的诞生并非无源之水,而是有充分的预设性规范,比如“较少的隐私合理期待”、“视为‘同意’的情形”。我们每天都与各种服务提供商发生关联,其隐含的潜台词就是“我把个人信息提供给你,你给我提供各项网络服务”。当公民将自己的位置信息自愿、主动披露给第三方,这一行为便具有“自动放弃保持信息隐秘性”的属性,是一种“同意”的表达。继而,该位置信息成为公民自行公开或合法公开的信息。
我国个人信息保护领域虽未出现“第三方当事人规则”之类的表述,但已有立法实质上已将该规则纳入其中。如《民法典》第1036条规定的“处理个人信息免责事由”第二款:“合理处理该自然人自行公开的或者其他已经合法公开的信息”。《个人信息安全规范》(GB/T 35273-2020)第5.6条(征得授权同意的例外)规定的11种情形中,c款和f款的实质即“第三方是当事人规则”。探讨至此,我们发现,无论是在宪法层面,还是私法层面,智能网络时代公民位置信息的保护受到第三方当事人规则的重重阻碍。
(2)数字经济驱动及公共安全优先
LBS已经渗透进生活的方方面面,可以说,一部智能手机在手,吃穿住用行都“始于足下”。不仅如此,位置数据使得很多行业找到了新的经济增长点,尤其是广告业的精准定向广告投放。一旦对位置数据的采集利用严格限制,数字时代的广告业成本会大大增加。据南方都市报报道,苹果公司正在公测的iOS14系统推出新的隐私保护功能——“追踪”用户信息前需用弹窗申请授权,这一功能遭到欧美诸多广告商协会的反对,脸书和谷歌两大巨头也加入其中。在对位置数据的严格保护与自由流动之间,任何偏向一方的做法都是不恰当的。从数据保护的个人维度和社会维度而言,个人数据“仅因为与个人存在关联或具有识别性,即赋予个人对个人数据的排他控制权,使个人信息‘私有化’,有失法律正当性,甚至与人类社会进步发展的制度基础相悖。”数字经济的发展必然使得诸多位置数据进入流通领域,就此而言,对位置数据的保护十分必要但不能因噎废食。
除数字经济因素外,位置数据还关乎打击犯罪与公共安全,比如确认某嫌疑人是否在案发时出现于现场或附近,再如通过手机定位对嫌疑人实施抓捕。隐私,民之所欲也,公共安全,亦民之所欲也。两利相权取其重,两害相权取其轻,自然应舍小我而顾大家,这也是为什么苹果公司在2016年和2019年两次拒绝美国司法部要求解锁苹果(iPhone)手机之请求引起广泛讨论之原因。不久前韩国“N号房”事件后,Telegram平台一直拒绝向韩国警方提供视频上传者个人信息,英国前首相特蕾莎·梅公开批评Telegram等小型平台可能会迅速被罪犯和恐怖分子占据。比起制造设备的硬件公司,社交软件似乎自带“原罪”。问题在于,类似苹果与社交软件,该为打击犯罪牺牲隐私吗?牺牲的正当性及边界又在哪里?这些问题,持不同立场的人有不同的答案。但现实中,无论是法律文本中的“数据利用免责条款”、“同意的例外规则”,还是警察调取嫌疑人位置信息,无不表明了公共安全利益的优先。
(3)特殊空间的位置
位置信息保护的第三个难题在于空间要素。位置数据是连接公民线下与线上行踪的纽带,而一个人“线下”位于公共场所,则其“线上”数据是否受到法律的同等对待?这是个非常有趣的问题,值得深入思考。
公共场所没有隐私生存的土壤,《美国侵权法复述(第二版)》用“自担风险原则”揭示了“公共场所无隐私”的内涵。英国亦如此,公民保护隐私权的关键就在于公民是否能够占有并控制其私人场所,隐私只存在于私人领域。虽然1967年的凯茨(Katz)案承认了公共场所中亦存在隐私,但严格说来,此类案件中“电话亭”、“包厢”、“汽车内”等事实上从公共场所中分离了出来,具备了“私人场所”的性质。正如哈兰(Harlan)法官在Katz案的意见中写道:“本案的关键不在于电话亭在其他时间‘能够为公众所进入’,而在于当他人使用电话亭时,电话亭就成为一个临时的私人场所,临时使用电话亭的他人享有免受侵扰的自由,并且这种隐私期待是为公众所认可的隐私合理期待。”更进一步,在公共场所的位置信息也几乎得不到法律的保护,如1983年的诺茨(Knotts)案,警察在贩毒团伙购买的化学制剂中放入了蜂鸣器,并一路跟踪找到了诺茨(Knotts)的宅院,由此申请到搜查证并发现了地下毒品实验室。该案中,法院认定警察在未获得搜查证的情况下使用跟踪器并不违反《宪法第四修正案》,因为车辆一直行驶在公共街道及高速公路上,过程是公开的,据此警察所获取的位置信息也是公开的。在同年的卡罗(Karo)案中,美国联邦法院遵循了同样的逻辑。在2012年美国联邦第六巡回法庭审理的斯金纳(Skinner)案中,警察利用嫌疑人手机自带的GPS定位功能获取了其“实时位置信息”,也因该位置信息处于公共场所,法院认定该位置信息也不受宪法保护。当然,公共场所中的位置信息也有受法律保护的案例,如2012年的琼斯(Jones)案和2018年的卡彭特(Carpenter)案,然而,这两个案件各有其特殊之处,也是下面将要重点分析的。
三、位置隐私的证立
尽管位置信息的保护受到较多掣肘,但随着位置获取技术的进步以及最主要的定位载体(智能手机)的普及,公民位置信息泄露已足以威胁一个人的私密生活。位置隐私的证立既要克服前述难题,又要在价值层面论证其正当性。
1、敏感性:位置信息折射出更多的私密生活
位置信息的敏感性既是隐私权保护的先决条件,也是个人信息分类、分级保护的参照因素。《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条规定,一般个人信息的收集,事前无需取得用户明示同意;敏感个人信息的收集,则事先必须得到用户的明示同意。南京朱某诉北京百度网讯科技有限公司案中,南京市中院推翻鼓楼区法院一审判决的理由就在于此,认为“将个人信息区分为个人敏感信息和非个人敏感信息……允许采用不同的知情同意模式,旨在保护个人人格尊严与促进技术创新之间寻求最大公约数”。
位置信息的敏感性源于三个方面:位置数据的精确性、位置信息的私密性以及位置信息的复合性。
首先,卫星通信技术的进步使得位置数据越来越精确,以GPS为例,车载GPS能够不间断地获取该车的位置、速度、驾驶方向等信息,其精确度可以达到1米以内。再配合公共道路上的监控,如智能交通系统(ITS)和车辆自动识别系统(AVI),车和人无处遁形。不仅是GPS或手机定位,越来越多的移动应用及商业纪录中也包含了精确的位置信息,比如各类“签到”或“打卡”。2014年,脸书(Facebook)推出一款“在我身边的女孩儿”APP,该应用基于脸书(Facebook)和四方(Foursquare)上的公开信息研发而成,让男人们可以根据地理位置定位自己身边有哪些女生,还可以看到她们在脸书(Facebook)上公开的个人信息和照片。这款APP招致了很多批评,被认为这等同于让男人们可以随意跟踪女性。无独有偶,国内著名APP“航旅纵横”于2018年推出飞机版“附近的人”,只要进入值机选座页面点击“已选”座位的图标,就有可能看到同机的座位上坐着谁,并能进行私聊。线上数据和线下位置交融于同一机舱,让乘客在陌生人面前也不再陌生。
其次,位置信息的私密性。每个人都有或多或少的难言之隐,都有想要隐藏“不为人所知”的私密事务,这些“难以对外言说之事”算不上高尚,也算不上劣迹斑斑,纯属私人事务。但某些位置信息与这些私人事务紧密相关,从位置可以获悉很多。美国著名计算机专家、ATM的主要发明人约翰·迪博尔德(John Diebold)曾因一件小事改变了他对“中央数据银行”计划的看法。迪博尔德(John Diebold)的客户在某地区新装了一部ATM,但接下来几周的数据记录非常异常:每天午夜12点到2点之间,有大量现金被提出。后经调查发现,当地不远有家色情俱乐部,顾客使用现金是不想在银行卡上留下“不体面”的消费记录。迪博尔德(John Diebold)分析道:当你在银行存取款的时候,你留下的绝不仅是一笔交易,其实还告诉了银行你在某一时刻的位置。这些信息,很可能会成为你其他行为的解释,从而透露你的隐私。
再次,位置信息的复合性。位置信息往往需要与其他信息相结合才能识别到具体的个人,比如在案发当时,嫌疑人的历史位置数据能够证明其在案发现场,但还需要其他证据进行佐证。位置信息的“复合性”与个人信息的“可识别性”密切相关,早在2011年,第29条工作组在第13/2011号意见中就提出:“当提及识别可能性(Identify-ability)时,应当注意个体分享揭露自身越来越多的个人地理位置数据,例如将自己的其他可识别数据与他们的住址和工作地点以及一些经常出入的场所相结合进行分享,有些分享其实信息主体本身并不自知。当信息与地址相联系的时候,信息的价值就提升了,因为可以根据行为模式进行特定个体的识别。”大多数情境中,位置数据并不起眼,很多人也乐于分享“定位”或带有位置标签的照片或小视频,但容易被忽略的是,位置信息是生活数字化的结果,越多的定位,意味着被识别的可能性越大,这也是马赛克理论告诉我们的:“虽然某些个人信息似乎不是重要的信息,但是当它们被编制时,它们所形成的整体数据就会变成重要的情报信息,这种情报信息要求得到更高程度的隐私保护。”
2、合理性:全方位位置监控强化了公民隐私期待
隐私合理期待是论证隐私权的不二之路,主要由两个层面构成:“第一,他人必须表现出实际的(且主观的)隐私期待;第二,社会公众认可他人的隐私期待是‘合理的’。”这个概念的精妙之处在于它将论证过程分为两个部分:一个主观的隐私期待是一个人对某地或某情形是否是隐私的观点,一个客观的隐私期待是被社会认同,而被社会认同意味着被法律所承认。位置监控技术的进步及监控程度改变了人们关于位置隐私的认知,如果说偶然地出现于公共或他人摄像头之中、偶然被获取了隐秘位置的信息,公民尚能“容忍”的话,那跨越了时间与空间的全方位位置监控则强化了公民的隐私期待,并使之合理化。
从时间维度上看,位置监控时间的延长让公民产生一种“人生尽在他人掌控”的恐慌,想想那部经典的电影——《楚门的世界》——就能理解。生活于数字时代的我们,也许能理解某款应用调用我们位置信息的意义,也许能容忍无处不在的摄像头记录下一整天的行踪,但绝不会料到、也不能理解持续数周或数月的长时间位置监控,这毫无疑问侵犯了公民的合理隐私期待。一个理性人无论如何都会期待他在一段较长时间内匿名或不会连贯地被他人知晓,一些著名的案例也佐证了这点,如2003年的华盛顿州杰克逊(State v. Jackson)案,警察在其汽车上安装了GPS设备并持续追踪了一个月;2009年的韦弗(People v. Weaver)案,警察也是利用GPS追踪了嫌疑人65天;2012年的琼斯(Jones)案,警察持续定位追踪了28天。这些案件中,法院都认可了嫌疑人的隐私合理期待。
从空间维度上看,即使是发生于公共场所的位置监控也可能侵犯公民的合理隐私期待。有个细小却重要的区分:“将自己暴露在其他人的随机观察之下与完全放弃自己的隐私期待有着非常显著的差别。”当公民身处公共道路上时,他当然知道会有其他人观察到他的行踪。但沿途的其他人对特定公民的观察是有限的,往往只会产生短暂的、转瞬即逝的兴趣。这与全方位的、持续的位置监控不同。想象一下,你的大门口就是一条公共街道,而马路对面的不远处有个摄像头,正对准大门一眼不眨地盯着。
现实生活中,位置监控的时间与空间维度往往交织在一起,毕竟,一个人既不会长久地在一段时间内静止不动,也不会在一个固定的地点呆很长时间。在前述韦弗(Weaver)案中,纽约州上诉法院将该案与利用蜂鸣器追踪的诺茨(Knotts)案区分开来,认为GPS技术带来一种新的世界观。通过GPS信息,警察可以勾勒出一个人行踪轨迹的全貌,无论是在公共场所还是在其私人场所。诸多位置信息与公民的隐私密切关联,比如公民前往艾滋病防治中心、整形医院、堕胎诊所、戒毒中心、脱衣舞俱乐部、同性恋酒吧等。这些行踪轨迹,足以让人了解我们的政治、宗教、交友、健康、家庭、性、职业等各个方面。在琼斯(Jones)案中,美国联邦法院认为长期、不间断的GPS监控使得定位追踪的性质发生了变化。原因在于:一是一个正常人能预料到他会被持续一个月之久被追踪的可能性为零;二是虽然琼斯(Jones)的各段行踪都发生于公共道路,但并不能由此推定其长达28天的所有路线都暴露于社会公众之中。就此而言,完整的行踪轨迹所反映出的隐私期待远远高于各段行踪之和。2018年的卡彭特(Carpenter)案,也是跨越时间与空间进行位置监控的典范,存储于通讯商的位置数据保留期限长达5年。
3、价值性:“政企共谋”下的位置监控危及公民自由
在进行隐私合理期待判断时,法院要做一个评估,即“我们该问的问题不是被告是否选择隐藏他所实施的‘私密’行为,而是政府的侵扰行为是否侵犯了《第四修正案》所保护的社会价值。”“谁在看着我们,用什么方式看着我们,看了多久以及为什么要看着我们,这些都是很重要的问题”,“当技术赋予政府永远保持警惕和怀疑的眼睛时,公民自主性的界限已经被政府破坏了,取而代之的是利维坦式的景象。”对大规模、全方位位置监控行为的规制,能够最大程度地维护公民生活的多样性,无论是政治生活还是私人生活。
当前位置数据监控的形成是“政企共谋”的。首先,无论是通讯公司、设备制造商、还是网络服务提供者都致力于用户位置数据的收集。更令人绝望的是各种APP,每一条推文、每一张照片或每一段视频、每一次出行,甚至每一次“点击”都会留下位置足迹,这些足迹足以绘制一幅用户“从哪里来、到何处去”的精准路线图。其次,斯诺登事件揭露了美国国家安全局(以下简称NSA)依靠众多企业来监控互联网的事实,该事件引发公众共鸣的部分原因在于,“斯诺登事件暴露了数百万人的隐私数据被商业公司和政府安全机构收集和分析的事实,它们经常使用的是相同的技术甚至共享平台”。据最近的新闻报道,NSA一直利用谷歌、雅虎、脸书等网络服务提供商(ISP)对公民的通讯信息实施监控。根据第三方当事人理论,政府执法人员可以在完全不受《第四修正案》限制的情况下恣意收集公民的网络通讯信息。这对于公民的隐私权而言无异于一场巨大的灾难。
大规模位置监控对自由的减损主要体现在“私”及“公”两个层面:从“私”来说,位置监控无视公民对位置数据收集作出选择“同意”的自由。第三方当事人规则的逻辑是,只要公民用手机拨打了电话或下载安装了某应用程序,就视为“同意”通信公司或其他网络服务提供商(ISP)收集他们的位置信息。这种“推定同意”不是基于自由意志的同意。且不说在安装APP的时候,往往只有两个选项:“同意”或“离开”,更不用说基于平台及知识上的劣势,公民甚至对自己的位置数据被收集情况一无所知。“今天的技术给政府和企业提供了强大的大规模监控能力。……它没有给公民提供任何追索权或者选择退出的机会,就直接被执行了,也没有任何有意义的核查与制衡。这让我们缺乏安全感,也毫无自由可言。”从“公”的方面看,政府不受实质限制的位置监控将会从根本上改变政府与公民间的关系,从而减损公民的自由。托马斯(Thomas)在撰写《英国宪政历史》时对圆形监狱认识如下:“在公民所享有的自由权之中,有一种自由是非常重要的,即公民可以免受别人(尤其政府机构)带有猜忌性意味的观察。”面对政府强大的信息收集能力,如果不能用隐私权加以制衡,那么我们就会对自己的行为进行自我抑制与自我审查,因为“行为的自由”已经失去了生存的土壤。美国一些州已经制定了专门法律来限制政府对电子追踪设备的使用,也有些州通过设置法院命令的程序来规范执法机关对电子追踪设备的安装和使用。最严格的一项制定法当属加利福尼亚州刑法典,它严格限制政府在没有得到被追踪的车主同意之前就使用电子追踪设备来确定公民的位置以及活动。颁布该法的立法机关宣称:“在一个自由和文明的社会中,隐私权是公民的基本权利之一,执法机关对电子追踪设备的使用的增多会侵蚀公民的个人自由,……如果执法机关在未得到公民同意的情况下就使用电子追踪设备获取公民的定位信息,那么,执法机关的行为侵犯了公民的合理隐私期待。”
四、位置信息的法律保护
位置隐私的保护离不开公、私法的合力。纵观美国与欧盟两大法域,对信息隐私的保护也是公私兼顾的。值得肯定的是,刚刚公示的《中华人民共和国个人信息保护法》(草案)第二章第三节将“国家机关处理个人信息的特别规定”纳入其中,体现了个人信息保护法公私属性兼备的特性。
1、位置信息的公法保护
目前公法中对个人信息提供保护的主要是刑法,但位置信息的公法保护与刑法保护不同。公法的核心是控权,位置信息的公法保护旨在规范公权力机关采集利用公民位置信息行为。下从两种不同的位置隐私出发进行探讨。
(1)不受政府非法收集、存储及利用的位置隐私
近几年广受推崇的“个人信息自决权”便立基于此。德国“联邦宪法法院实际上是针对国家强制的信息收集行为,发展出了信息自决权这一概念,并没有提及这一概念对于私法领域的影响。”德国1969年“小普查案”和1983年“人口普查案”孕育了个人信息自决权,针对的是国家强制收集数量大、种类多的个人信息行为,即使表面上看收集信息并不涉及到私密经历,但在自动化信息处理技术面前,不再有不重要的信息。美国法对公权力的不信任更是彻底,体现在通过制定法和判例法对政府收集个人信息的行为予以规制,如除《隐私权法》外,还有各州宪法(如《加利福尼亚州宪法》第1章、《夏威夷州宪法》第6章);判例法中的代表即Whalen v. Roe案,该案确立了信息性隐私权的宪法地位。相较而言,我国的个人信息保护侧重私法,而缺少针对公权力机关侵犯公民信息隐私的保护。如《网络安全法》主要规制对象是“网络运营者”而非政府机关;再如《民法典》,唯一明确指向公权力机关的是第1039条——政府机关及工作人员不得泄露或向他人非法提供“履职过程中获悉的信息隐私”。个人信息保护规范要以何种姿态面对拥有庞大数据库的政府机关?《个人信息保护法》(草案)关于公权力机关处理个人信息的实质性规定仅有四条(第34-37条)。且不说此四条与相应的“法律责任”(第64条)在“职权与责任”方面不太匹配,单就大量存在的“例外情形”,就可能使得规定流于表面。以第36条“不可公开个人信息的例外”为例,2011年公安部牵头联合发布《关于建立实名制信息快速查询协作执法机制的实施意见》,2014年最高法、证监会联合发布《关于加强信用信息共享及司法协助机制建设的通知》,2016年最高法、公安部联合发布《关于建立快速查询信息共享及网络执行查控协作工作机制的意见》。这些规范性文件可以清晰地看出国家权力机关间信息互通的趋势。正如学者所言,“在个人资讯自决权的保护上,不仅缺乏完整的规范保护措施令人不安,更令人忧心的是,一些目前关于调查、储存、利用及传递个人资料的规范(包括国家的法令规章以及企业与个人间签订的合同或协议)内容,却逐步地将资讯自决权的重大要素(例如:资料调查和处理的必要性,目的拘束,当事人的同意、参与及更正权等)掏空和掩盖,使得资讯保护只是徒有虚名。”
(2)不受非法搜查的位置隐私权
该项隐私权不仅在国外受重视,在国内也有重要的理论价值和实践意义。先看国外,以美国为例,联邦最高法院在先后经历了蜂鸣器追踪、GPS追踪和手机定位追踪后,通过判例确定了《宪法第四修正案》位置隐私的保护标准——将长时间、全方位监控嫌疑人定位追踪的行为视为搜查。2018年卡彭特(Carpenter)案具有重要意义,不仅在于联邦最高法院在该案中认识到了第三方当事人规则存在重大漏洞,还极为严肃地探讨了手机定位追踪的侵入性。该案首席大法官罗伯茨在发表意见时表示,“手机位置信息是一种‘近乎完美’的政府监控工具,类似于电子监控脚镯。”手机定位信息不仅数量庞大,而且具有长达5年的存储期,能全面、细致地展示公民的生活习惯和日常。联邦最高法院总结了此类案件中认定为非法搜查的几个因素,包括隐蔽性(秘密监控)、持续性(跨越时间和空间界限)、无差别性(只要政府愿意,可以对所有智能手机用户获取位置信息)和侵入性(极易侵犯公民的政治倾向、宗教信仰、家庭信息、性生活等敏感信息)。
既然将此信息收集及处理行为视为搜查,那规制此类行为的路径就可分为两种:实质意义上的比例原则和程序层面上的令状制度。首先,随着隐私权及个人信息保护研究向公法领域扩展,比例原则在位置信息公法保护中的地位凸显,它是权力行为与权利保护的“黄金分割点”。在大数据侦查规制理念中,比例原则化身“愈……愈……”公式:“若资料愈是涉及当事人的私密领域或一个特别的信赖关系时,则对于比例原则的检验要求就应愈严格……若资料愈能回溯推论出创作者身份或是产生羞辱效应时,则应更加清楚与严格地说明其目的拘束。”在美国,位置信息可以分为“实时位置信息”和“历史位置信息”两种,相较而言,对实时位置信息的获取等同于相关法律规定的信息拦截,它的敏感性更高、侵入性更强,所以相应的标准越严格。另外,《网络犯罪公约》将个人信息分为注册人信息、交互信息和内容信息三类,而“根据网络犯罪公约委员会2014年在30个成员国中进行的调查,披露注册人信息的基本要求是至少怀疑某人实施了某项犯罪行为。鉴于披露注册人信息对于隐私权的影响最低,对于交互信息和内容信息的披露条件更高。”其次,自由权演进的历史恰是法律程序性保护演进的历史,程序层面的令状制度是规范政府位置信息获取行为的有效手段。在美国,《宪法第四修正案》就是通过搜查令制度对抗“非法搜查及扣押”,保护公民信息性隐私权。《电子通信隐私法》 规定了三种信息获取程序:搜查令、法院令和法院传票。三者间存在递进关系,搜查令严于法院令,法院令严于法院传票,政府执法人员的证明负担逐渐加重。德国刑事诉讼法典针对“计算机排查侦缉”规定了严格的法律程序,比照电话监听实施法官令状制度。并且,在数据比对过程中,基于比对的数据库来源不同,所设程序的严格性也有不同——在“刑事司法部门自身所属数据库间比对”要比跟“司法机关之外的其他部门或单位所属数据库”进行比对要稍微宽松一点,毕竟后者对公民的个人信息自决权造成的干涉更多。此外,意大利《刑事诉讼法》第254-2条、俄罗斯《刑事诉讼法》第29条也分别规定了只有法院有权决定是否调取通信商或其他第三方持有的用户信息,包括定位信息。转向我国,大数据侦查可适用《公安机关办理刑事案件程序规定》及《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》。问题在于,依据这两部法律,公安机关收集公民位置信息仅需向设区的市一级以上公安机关负责人呈请“采取技术侦查措施报告书”,向通讯商或其他网络服务提供商(ISP)调取定位信息仅需办案部门负责人批准,开具《调取证据通知书》。可见,我国是由侦查机关内部进行事前审批和实施过程的监督制约,不利于公民的位置隐私保护。较为可行的路径是将令状的核准权交由检察机关,不仅可以做到事前把控,也可以在后续的批捕决定、审查起诉阶段对侦查机关提交的证据进行合法性审查、对非法搜查所得证据限制适用,还有助于实现“控辩平等”。
隐私权自创制之初就被赋予限制政府权力、保护公民权利的意味。美国《宪法第四修正案》更像是在平衡案件侦破与隐私保护之间的冲突,用科尔的话讲,“这个理论是一个纠错的机制。一方面,当不断变化的技术或者社会实践实质性地增加了政府执法人员搜集证据的难度时,美国联邦最高法院就会降低《美国联邦宪法第四修正案》为公民提供保护的程度,以恢复政府权力的事前状态。另一方面,当不断变化的技术或者社会实践实质性地降低政府执法人员搜集证据的难度时,美国联邦最高法院就会提高《美国联邦宪法第四修正案》为公民提供保护的程度,以便恢复公民隐私权的事前状态。”卡彭特案中,法院正是注意到手机定位信息对公民隐私所具有的潜在威胁能力,才将其纳入宪法保护。
2、位置信息的私法保护
首先,位置信息私法保护的请求权路径“二选一”。《民法典》第1034条规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”就隐私权保护而言,可适用第1033条“隐私权侵害行为”类型中的第5种——处理他人的私密信息;就个人信息保护而言,可适用第111条、第1035条及第1036条。那么,位置信息属私密信息还是普通信息?不可一概而论。《个人信息安全规范》将“行踪轨迹”归入了“个人敏感信息”之列,可见,若位置数据的数量足够多,能够“由点成线”、完整地反映公民在一段时期内的地理位置生活,则可视为私密信息。除此之外,还要注意位置信息与其他信息相结合的情形,也就是说,单条的位置信息并不敏感,但若与其他信息结合,则可能反映一个人的私密生活,此时,也应将该位置信息归入私密信息。一句话,“线”状的行踪轨迹属于私密信息,与其他信息结合能够反映公民私密生活的位置信息也属于私密信息。
其次,位置信息收集与处理的合法性问题。GDPR第6条规定了数据处理行为需要遵守的六种合法性基础,我国《民法典》《网络安全法》等相关规范将“经数据主体同意”视为网络运营者收集、处理个人信息的必备要件,除非遇到“免责事由”。两种规定形式上不同,实质上差异不大,都旨在实现数据“自由流动”及“权利保护”间的平衡。现实中的突出问题是公民对自己位置信息的收集与处理不具有“同意”的能力。2020年6月11日,南都个人信息保护研究中心发布《小程序个人信息保护研究报告》,对微信、支付宝、百度、今日头条四大主流平台的52款常用小程序进行测评。理想合规状态下,小程序想要获取用户位置信息,需要先弹窗申请,只有用户点击“同意”才能获取。然而测评发现,只要开启平台定位,即使用户拒绝,小程序依然可以获取坐标信息。那平台获取位置信息的情况如何呢?据《IT时报》记者实测,从华为手机自带的应用商店下载“百度”APP,默认状态下,不仅被“允许”读取用户联系人、通话记录、位置信息,还被允许新建/修改通话记录。
再次,经营者收集和处理位置信息相伴随的义务问题。诸多义务中,“透明”和“数据安全”两项最为重要。先看透明义务,《民法典》第1035条“个人信息处理条件”中的第(二)(三)项即透明义务:“公开处理信息的规则”、“明示处理信息的目的、方式和范围”。为何要透明?因为阳光是最好的防腐剂,唯有透明,才能有效杜绝“算法黑箱”,避免将个人沦为实现他人利益的客体;唯有透明,消费者才能放心地交由企业收集、处理其个人数据。透明通过经营者的“告知”实现,美国虽没有统一的个人数据保护法,FTC却创制规则,要求企业提供在消费者看来有价值的信息,这种规则被称作“强制告知”。如何告知?通过经营者发布的隐私政策!隐私政策是互联网企业向消费者发布的关于个人信息收集、存储、利用等行为的告知或解释性声明。现实中,互联网企业发布的隐私政策质量参差不齐。尽管“无隐私政策或隐私政策晦涩难懂”问题呈下降趋势,但一来各类APP数量众多,二来依附于各大主流平台的各类小程序数量也急剧扩张,其隐私政策状况更不容乐观。可见,“透明”义务之履行还任重道远。再看数据安全义务,该义务规定于《民法典》第1038条。常态下,是否建立信息安全管理制度,并有完备、可行的信息安全保护措施是衡量一个企业数据保护水平的重要参考依据。但同时,巨大经济利益的驱动可能会让占有或处理位置信息的经营者铤而走险。《路透社》报道,2020年2月27日,美国联邦通讯委员会(FCC)计划对美国四大运营商处以总计至少两亿美元的罚款,原因是它们不正当地披露了用户的实时位置数据。据《VICE》旗下媒体“母板”(Motherboard)报道,记者仅向一名线人提供了手机号,并支付了300美元,就成功定位了另一个人的手机。这是一项面向个人和企业开放的定位服务,……而位置数据的源头正是这些运营商。
最后,位置信息收集与利用的限度问题。可以从两个方面来探讨,一方面是经营者推出的产品/服务本身对位置信息的采集利用限度问题。《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》针对16类基本业务功能给出个人信息采集“最少够用”的指引,其中就包含哪些功能业务可以收集用户的位置信息。尽管该《指南》仅是“指南”,但它也是APP专项治理中解决 “过度索权”顽疾的重要依据。另一方面是在维护公共利益时对公民位置信息采集利用的限度问题。比如,为防控疫情,我国使用“健康码”定位追踪个人健康状况;韩国通过GPS定位、信用卡消费等手段将确诊病例的位置标示于地图上;新加坡要求民众安装Trace Together,该程序利用手机蓝牙追查感染者接触人群;以色列使用手机定位收集疑似或确诊患者的移动数据等。然而,任何主动的定位系统都可能引起隐私问题。毕竟,即使用以采集分析的位置数据是匿名的,但在程序使用过程中,总需将姓名和手机号绑定。面对严酷疫情,欧盟数字主管蒂埃里·布雷顿(Thierry Breton)发表声明说:“严格的隐私保护措施是使用这些应用程序的先决条件。”2020年4月21日,欧洲数据保护委员会(EDPB)发布了“关于在COVID-19疫情爆发的背景下使用位置数据和接触追踪工具的指南”,下将结合该指南简要分析一下疫情防控期间公民位置信息采集利用的限制。第一,目的限制。位置数据的采集利用仅支持对疫情的应对措施,用以评估隔离措施和追踪接触者,不得进行与健康危机管理无关的(如商业或执法)的二次处理;第二,非歧视原则之限制。位置数据的采集利用可能会被基于国籍、种族、宗教、地域等偏见所滥用,不得控制、污名化或压制个人;第三,比例原则之限制。在收集与处理位置数据时,应遵循有效性、必要性和相称性;第四,存储限制。不应以公共卫生危机为借口过度留存位置信息,存储期限应考虑真正的需求和医学上的相关性;第五,安全义务及责任之限制。当局或相关数据控制者、处理者负有保障数据安全、不得非法披露之义务。国内疫情爆发期间,大量进出武汉公民的个人信息在网上曝光,包括其姓名、电话、家庭住址、行踪轨迹等,可谓简单粗暴的隐私侵权行为。总之,如果位置隐私必须暂时排在公共健康之后,那么必须有明确的协议来结束这种异常状态。当我们的位置信息被强制收集、利用时,应当在应用程序或操作系统中附带一个“日落条款”,以便在危机过去后逐步取消。
结语
作为个人信息的一种,位置信息日益凸显它的重要。数字经济、共享经济离不开它,社会治理、重大决策、案件侦破也多仰赖于它。但作为“线上”与“线下”连接点的位置信息,极易折射个人的私密生活。伴随位置信息获取途径的增多、位置数据精确度的提高以及长时间、全方位位置监控的形成,我们必须要反思日常生活中位置信息的过度采集和利用。当面对政府或企业无处不在的定位诉求时,每个人都想做“人群中的匿名者”,它反映了公民对位置信息复杂的隐私期待——既希望主动地与他人交流、参与社会公共事务,又希望能“全身而退”,不被他人知晓自己的行踪,因为位置信息不是别的,它能找到你!
How Does Location Become Privacy?
--Legal Protection of Location Information in the Era of Big Data
Abstract: In the new factor of production of data, location data has become increasingly important. Not only "location-based services" are springing up, the government is also increasingly interested in location data as a means to innovate social governance and assist in case investigation. However, advances in location data acquisition technology and the proliferation of cellphones (the primary modern location-based tool) have exposed and threated citizens' private lives by ubiquitous location-based surveillance. The sensitivity of location, the reasonableness of citizens’ expectations of location information privacy, and the value of location information protection have proved the legitimacy and necessity of location privacy protection. The legal protection of location information requires the joint efforts of public law and private law. In terms of public law protection, we should pay attention to “the right of personal information self-determination”, comply with the principle of proportionality and innovate the writ system; In terms of private law protection, we should select the appropriate claim path, review the relevant obligations of the data controller or processor, and restrict the collection and use of the date.
Keywords: location information;right of privacy;reasonable expectation of privacy;principle of proportionality
本文原载于《法律科学》2021年第2期,由于篇幅原因注释予以删除,如有引用请参考原文。
李延舜,英国威廉希尔中文网站副教授,法学博士。