关键词:位置信息;隐私权;隐私合理期待;比例原则
一、问题的提出
1、当“位置”成为一种生产要素
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,数据作为一种新型生产要素被纳入其中,与土地、资本、劳动力、技术等一道,共同构成此次要素市场化改革的重要组成部分。在数据的诸多种类中,位置数据的采集利用异军突起。
2、位置数据折射诸多隐私威胁
位置数据采集利用产生的隐私难题分为两大类:政府侵权隐忧及企业侵权难题。
二、位置数据保护的文本考察及保护难题
1、法律文本中的位置数据保护考察
规范性法律文件
涉及“位置”的法律条款或内容简述
《中华人民共和国民法典》
第1034条将个人信息界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,其中包括住址、行踪信息等。
《中华人民共和国网络安全法》
附则第76条关于个人信息的界定中,将自然人的住址纳入其中。
《个人信息安全规范》(GB/T35273-2020)
第3.1(个人信息)及3.2(个人敏感信息)条中包含了行踪轨迹和住宿信息,并在附录A(个人位置信息举例)中增添了精准定位信息、经纬度等。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》[法释(2017)10号]
将个人信息范围扩大至能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,在此理念下,住址、行踪轨迹也纳入刑法保护范围。
《中华人民共和国测绘法》
《电信和互联网用户个人信息保护规定》
《移动互联网应用程序信息服务管理规定》
第7条第4款指出,应用程序经营者未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能。
《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》
对16类基本业务功能正常运行所需的个人信息提供参考,并将位置信息的收集纳入地图导航、网络约车、网上购物、快递配送等业务。
2、位置数据的保护困境
尽管位置数据保护已入法,但现实中想要实现它则很难。早在2007年,郑州光明山盟乳业有限公司曾因给员工配备GPS定位手机而被员工起诉,但法院认为,原告从公司领取并使用改款手机,说明原告服从被告对员工采取的管理模式。被告通过手机获取的定位信息主要是在公共空间,客观上也没有造成损害后果,故驳回了原告的诉讼请求。事件过去十多年,当时的判决逻辑如今并未发生改变,下将从三个方面进行阐述。
(1)第三方当事人规则之掣肘
第三方当事人规则衍生于美国《宪法第四修正案》,是判断警察从第三方获取犯罪证据的效力法则。其内容很简单:如果公民自愿将信息披露给第三方,那该公民就不再享有《宪法第四修正案》有关保障其信息隐私方面的权利。第三方当事人规则最初适用于刑事案件的“卧底”密探,后逐渐适用于各种商业纪录(如银行记录、纳税记录等),终于在网络时代,第三方当事人规则迎来了它的爆发。不管是注册人信息、交互信息,抑或内容信息,公民都不得不主动将自己的信息披露给网络服务提供者,而依据该理论,公民的位置信息不受法律保护。
第三方当事人理论之所以广为接受,是因为该理规则对打击犯罪、维护公共利益具有重要作用。用科尔(Kerr)教授的话说,就是它维持了《宪法第四修正案》的技术中立原则,“如果没有第三方当事人理论,投机的犯罪分子就会巧妙地利用公民与第三方当事人之间的信息隐私受到宪法保护这一点,使他们的整个犯罪活动受到《宪法第四修正案》保护。而这个结果将导致《宪法第四修正案》为平衡公民隐私和社会安全之间的利益所作出的努力付之东流,并削弱了刑法的威慑和惩罚作用。”不仅如此,第三方当事人理论的诞生并非无源之水,而是有充分的预设性规范,比如“较少的隐私合理期待”、“视为‘同意’的情形”。我们每天都与各种服务提供商发生关联,其隐含的潜台词就是“我把个人信息提供给你,你给我提供各项网络服务”。当公民将自己的位置信息自愿、主动披露给第三方,这一行为便具有“自动放弃保持信息隐秘性”的属性,是一种“同意”的表达。继而,该位置信息成为公民自行公开或合法公开的信息。
(2)数字经济驱动及公共安全优先
除数字经济因素外,位置数据还关乎打击犯罪与公共安全,比如确认某嫌疑人是否在案发时出现于现场或附近,再如通过手机定位对嫌疑人实施抓捕。隐私,民之所欲也,公共安全,亦民之所欲也。两利相权取其重,两害相权取其轻,自然应舍小我而顾大家,这也是为什么苹果公司在2016年和2019年两次拒绝美国司法部要求解锁苹果(iPhone)手机之请求引起广泛讨论之原因。不久前韩国“N号房”事件后,Telegram平台一直拒绝向韩国警方提供视频上传者个人信息,英国前首相特蕾莎·梅公开批评Telegram等小型平台可能会迅速被罪犯和恐怖分子占据。比起制造设备的硬件公司,社交软件似乎自带“原罪”。问题在于,类似苹果与社交软件,该为打击犯罪牺牲隐私吗?牺牲的正当性及边界又在哪里?这些问题,持不同立场的人有不同的答案。但现实中,无论是法律文本中的“数据利用免责条款”、“同意的例外规则”,还是警察调取嫌疑人位置信息,无不表明了公共安全利益的优先。
(3)特殊空间的位置
位置信息保护的第三个难题在于空间要素。位置数据是连接公民线下与线上行踪的纽带,而一个人“线下”位于公共场所,则其“线上”数据是否受到法律的同等对待?这是个非常有趣的问题,值得深入思考。
三、位置隐私的证立
尽管位置信息的保护受到较多掣肘,但随着位置获取技术的进步以及最主要的定位载体(智能手机)的普及,公民位置信息泄露已足以威胁一个人的私密生活。位置隐私的证立既要克服前述难题,又要在价值层面论证其正当性。
1、敏感性:位置信息折射出更多的私密生活
位置信息的敏感性既是隐私权保护的先决条件,也是个人信息分类、分级保护的参照因素。《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条规定,一般个人信息的收集,事前无需取得用户明示同意;敏感个人信息的收集,则事先必须得到用户的明示同意。南京朱某诉北京百度网讯科技有限公司案中,南京市中院推翻鼓楼区法院一审判决的理由就在于此,认为“将个人信息区分为个人敏感信息和非个人敏感信息……允许采用不同的知情同意模式,旨在保护个人人格尊严与促进技术创新之间寻求最大公约数”。
位置信息的敏感性源于三个方面:位置数据的精确性、位置信息的私密性以及位置信息的复合性。
2、合理性:全方位位置监控强化了公民隐私期待
从空间维度上看,即使是发生于公共场所的位置监控也可能侵犯公民的合理隐私期待。有个细小却重要的区分:“将自己暴露在其他人的随机观察之下与完全放弃自己的隐私期待有着非常显著的差别。”当公民身处公共道路上时,他当然知道会有其他人观察到他的行踪。但沿途的其他人对特定公民的观察是有限的,往往只会产生短暂的、转瞬即逝的兴趣。这与全方位的、持续的位置监控不同。想象一下,你的大门口就是一条公共街道,而马路对面的不远处有个摄像头,正对准大门一眼不眨地盯着。
3、价值性:“政企共谋”下的位置监控危及公民自由
在进行隐私合理期待判断时,法院要做一个评估,即“我们该问的问题不是被告是否选择隐藏他所实施的‘私密’行为,而是政府的侵扰行为是否侵犯了《第四修正案》所保护的社会价值。”“谁在看着我们,用什么方式看着我们,看了多久以及为什么要看着我们,这些都是很重要的问题”,“当技术赋予政府永远保持警惕和怀疑的眼睛时,公民自主性的界限已经被政府破坏了,取而代之的是利维坦式的景象。”对大规模、全方位位置监控行为的规制,能够最大程度地维护公民生活的多样性,无论是政治生活还是私人生活。
当前位置数据监控的形成是“政企共谋”的。首先,无论是通讯公司、设备制造商、还是网络服务提供者都致力于用户位置数据的收集。更令人绝望的是各种APP,每一条推文、每一张照片或每一段视频、每一次出行,甚至每一次“点击”都会留下位置足迹,这些足迹足以绘制一幅用户“从哪里来、到何处去”的精准路线图。其次,斯诺登事件揭露了美国国家安全局(以下简称NSA)依靠众多企业来监控互联网的事实,该事件引发公众共鸣的部分原因在于,“斯诺登事件暴露了数百万人的隐私数据被商业公司和政府安全机构收集和分析的事实,它们经常使用的是相同的技术甚至共享平台”。据最近的新闻报道,NSA一直利用谷歌、雅虎、脸书等网络服务提供商(ISP)对公民的通讯信息实施监控。根据第三方当事人理论,政府执法人员可以在完全不受《第四修正案》限制的情况下恣意收集公民的网络通讯信息。这对于公民的隐私权而言无异于一场巨大的灾难。
四、位置信息的法律保护
位置隐私的保护离不开公、私法的合力。纵观美国与欧盟两大法域,对信息隐私的保护也是公私兼顾的。值得肯定的是,刚刚公示的《中华人民共和国个人信息保护法》(草案)第二章第三节将“国家机关处理个人信息的特别规定”纳入其中,体现了个人信息保护法公私属性兼备的特性。
1、位置信息的公法保护
目前公法中对个人信息提供保护的主要是刑法,但位置信息的公法保护与刑法保护不同。公法的核心是控权,位置信息的公法保护旨在规范公权力机关采集利用公民位置信息行为。下从两种不同的位置隐私出发进行探讨。
(1)不受政府非法收集、存储及利用的位置隐私
(2)不受非法搜查的位置隐私权
隐私权自创制之初就被赋予限制政府权力、保护公民权利的意味。美国《宪法第四修正案》更像是在平衡案件侦破与隐私保护之间的冲突,用科尔的话讲,“这个理论是一个纠错的机制。一方面,当不断变化的技术或者社会实践实质性地增加了政府执法人员搜集证据的难度时,美国联邦最高法院就会降低《美国联邦宪法第四修正案》为公民提供保护的程度,以恢复政府权力的事前状态。另一方面,当不断变化的技术或者社会实践实质性地降低政府执法人员搜集证据的难度时,美国联邦最高法院就会提高《美国联邦宪法第四修正案》为公民提供保护的程度,以便恢复公民隐私权的事前状态。”卡彭特案中,法院正是注意到手机定位信息对公民隐私所具有的潜在威胁能力,才将其纳入宪法保护。
2、位置信息的私法保护
首先,位置信息私法保护的请求权路径“二选一”。《民法典》第1034条规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”就隐私权保护而言,可适用第1033条“隐私权侵害行为”类型中的第5种——处理他人的私密信息;就个人信息保护而言,可适用第111条、第1035条及第1036条。那么,位置信息属私密信息还是普通信息?不可一概而论。《个人信息安全规范》将“行踪轨迹”归入了“个人敏感信息”之列,可见,若位置数据的数量足够多,能够“由点成线”、完整地反映公民在一段时期内的地理位置生活,则可视为私密信息。除此之外,还要注意位置信息与其他信息相结合的情形,也就是说,单条的位置信息并不敏感,但若与其他信息结合,则可能反映一个人的私密生活,此时,也应将该位置信息归入私密信息。一句话,“线”状的行踪轨迹属于私密信息,与其他信息结合能够反映公民私密生活的位置信息也属于私密信息。
结语
HowDoesLocationBecomePrivacy
--LegalProtectionofLocationInformationintheEraofBigData
Keywords:locationinformation;rightofprivacy;reasonableexpectationofprivacy;principleofproportionality
本文原载于《法律科学》2021年第2期,由于篇幅原因注释予以删除,如有引用请参考原文。