一、问题的提出
(一)当“位置”成为一种生产要素
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,数据作为一种新型生产要素被纳入其中,与土地、资本、劳动力、技术等一道,共同构成此次要素市场化改革的重要组成部分。在数据的诸多种类中,位置数据的采集利用近年来异军突起。
1994年,美国学者舍利特(Schilit)率先提出“位置”与“服务”的结合,提出基于位置服务(Location Based Services, 简称LBS)的三大目标:你在哪里、你和谁在一起、附近有什么资源,这些构成了位置服务可能表达的基本内容。
位置数据的要素价值凸显,不仅是因为LBS的种类日益增多,还在于位置数据的采集更加便捷。除传统的五种方式外(三角测量法、GPS定位、Wifi定位、IP地址、传感设备识别),日常生活中的电子商务、RFID芯片、信用卡消费、ATM等可以显示公民位置,随身携带手机中的APP,如地图类APP,社交、健身等包含“签到”或“打卡”功能的各类APP,都在悄无声息地收集用户的位置信息。
(二)位置数据折射诸多隐私威胁
位置数据作为一种生产要素潜力无限,据瑞典市场研究公司贝格视界(Berg Insight)发布的报告预测,全球基于位置服务的软件市场规模到2020年将达到348亿欧元。
位置数据采集利用产生的隐私难题分为两大类:政府侵权隐忧及企业侵权难题。首先,隐私权至少包含两个方面:第一个方面关注人格保护,第二个方面关注远离规范化的自由。前者确保公民能够按照自己的意愿实施行为,它禁止政府通过挑出个别公民的身份信息来干扰公民的日常生活;后者关注政府能够在多大程度上为公民的生活方式制定标准。
其次,大数据企业也对公民的位置信息虎视眈眈。2018年中国消费者协会曾就“APP个人信息泄露情况”做过调查,发现APP过度索权、超范围收集个人信息等现象明显。“读取位置信息和访问联系人权限是安装和使用手机APP时遇到情况最多的,分别占86.8%和62.3%。”
二、位置数据保护的文本考察及保护难题
(一)法律文本中的位置数据保护考察
就我国而言,关于位置数据保护的规定散见于多部规范性文件中。
规范性法律文件 | 涉及“位置”的法律条款或内容简述 |
《民法典》 | 第1034条将个人信息界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,其中包括住址、行踪信息等。 |
《网络安全法》 | 附则第76条关于个人信息的界定中,将自然人的住址纳入其中。 |
《个人信息安全规范》(GB/T 35273-2020) | 第3.1(个人信息)及3.2(个人敏感信息)条中包含了行踪轨迹和住宿信息,并在附录A(个人位置信息举例)中增添了精准定位信息、经纬度等。 |
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》[法释(2017)10号] | 将个人信息范围扩大至能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,在此理念下,住址、行踪轨迹也被纳入刑法保护范围。 |
《测绘法》 | 第47条将个人地理信息使用纳入法律保护范围,该条第3款规定:地理信息生产、利用单位和互联网地图服务提供者收集、使用用户个人信息的,应当遵守法律、行政法规相关规定。 |
《电信和互联网用户个人信息保护规定》 | 第4条指出,用户个人信息指能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。 |
《移动互联网应用程序信息服务管理规定》 | 第7条第4款指出,应用程序经营者未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能。 |
《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》 | 对16类基本业务功能正常运行所需的个人信息提供参考,并将位置信息的收集纳入地图导航、网络约车、网上购物、快递配送等业务。 |
就国外而言,美国是数字经济时代的引领者,在数据的自由流动与严格保护之间更偏向于前者。其位置信息保护有鲜明特色:第一是侵权法与宪法协同推进。侵权法主要针对大数据企业非法收集和利用公民的位置信息,美国联邦贸易委员会(FTC)会敦促企业发布隐私政策,如果企业未能遵守自身的通知、规程和声明,在大多数情况下就会受到侵权法或反不正当竞争法等法律的处罚。前述美国联邦贸易委员会(FTC)对“美国黄金海岸公司”推出的手电筒应用进行执法即为典型。另外,为保证自律规范的实施效果,美国商务部也有权验证企业在实践方面是否遵守隐私政策。
综上,位置信息受到越来越多的关注,一方面,住址、住宿、行踪轨迹、定位、地理位置等皆是位置信息;另一方面,法律文本中关于位置的涵摄范围虽广,但并非所有的位置数据都受法律保护,这取决于该位置数据是否具有“可识别性”及“敏感性”。哈瑞斯在评价政府从第三方获取个人信息时谈到,“带有地理标签和时间邮戳的通讯数据比任何孤立记录所显示的内容都要多,足以重建个人过去与现在的所有私人生活”。
(二)位置数据的保护困境
尽管位置数据保护已入法,但现实中想要实现它则很难。早在2007年,郑州光明山盟乳业有限公司曾因给员工配备GPS定位手机而被员工起诉,但法院认为,原告从公司领取并使用该款手机,说明原告服从被告对员工的管理模式。被告通过手机获取的定位信息主要在公共空间,客观上也没有造成损害后果,故驳回了原告的诉讼请求。
1.第三方当事人规则之掣肘
第三方当事人规则衍生于美国《宪法第四修正案》,是判断警察从第三方获取犯罪证据的效力法则。其内容很简单:如果公民自愿将信息披露给第三方,则该公民就不再享有《宪法第四修正案》有关保障其信息隐私方面的权利。第三方当事人规则最初适用于刑事案件的“卧底”密探,后逐渐适用于各种商业纪录(如银行记录、纳税记录等),在网络时代第三方当事人规则迎来了它的爆发。不管是注册人信息、交互信息,抑或内容信息,公民都不得不主动将自己的信息披露给网络服务提供者,而依据第三方当事人规则,公民的位置信息不受法律保护。
第三方当事人规则之所以被广为接受,是因为该规则对打击犯罪、维护公共利益具有重要作用。不仅如此,第三方当事人规则的诞生并非无源之水,而是有充分的预设性规范,比如“较少的隐私合理期待”“视为‘同意’的情形”。我们每天都与各种服务提供商发生关联,其隐含的潜台词就是“我把个人信息提供给你,你给我提供各项网络服务”。当公民将自己的位置信息自愿、主动披露给第三方,这一行为便具有“自动放弃保持信息隐秘性”的属性,是一种“同意”的表达。继而,该位置信息成为公民自行公开或合法公开的信息。
我国个人信息保护领域虽未出现“第三方当事人规则”之类的表述,但有立法已实质上将该规则纳入其中。如《民法典》第1036条第2款规定:“合理处理该自然人自行公开的或者其他已经合法公开的信息。”《个人信息安全规范》(GB/T 35273-2020)第5.6条(征得授权同意的例外)规定的11种情形中,c款和f款的实质即第三方当事人规则。探讨至此,我们发现,无论是在宪法层面,还是私法层面,智能网络时代公民位置信息的保护受到第三方当事人规则的重重阻碍。
2.数字经济驱动及公共安全优先
LBS已经渗透进生活的方方面面,可以说,一部智能手机在手,吃穿住用行都“始于足下”。不仅如此,位置数据使得很多行业找到了新的经济增长点,尤其是广告业的精准定向广告投放。一旦对位置数据的采集利用严格限制,数字时代的广告业成本会大大增加。在对位置数据的严格保护与自由流动之间,偏向任何一方的做法都是不恰当的。从数据保护的个人维度和社会维度而言,个人数据“仅因为与个人存在关联或具有识别性,即赋予个人对其数据的排他控制权,使个人信息‘私有化’,有失法律正当性,甚至与人类社会进步发展的制度基础相悖”。
位置数据还关乎打击犯罪与公共安全,比如确认某嫌疑人是否在案发时出现于现场或附近,再如通过手机定位对嫌疑人实施抓捕。隐私,民之所欲也,公共安全,亦民之所欲也。两利相权取其重,两害相权取其轻,自然应舍小我而顾大家。问题在于该为打击犯罪牺牲隐私吗?牺牲的正当性及边界又在哪里?这些问题,持不同立场的人有不同答案。但现实中,无论是法律文本中的“数据利用免责条款”“同意的例外规则”,还是警察调取嫌疑人位置信息,无不表明了公共安全利益的优先。
3.特殊空间的位置
位置信息保护的第三个难题在于空间要素。位置数据是连接公民线下与线上行踪的纽带,而一个人“线下”位于公共场所,则其“线上”数据是否受到法律的同等对待?这是个非常有趣的问题,值得深入思考。
公共场所没有隐私生存的土壤,《美国侵权法重述(第二版)》用“自担风险原则”揭示了“公共场所无隐私”的内涵。
三、位置隐私的证立
尽管位置信息的保护受到较多掣肘,但随着位置获取技术的进步以及最主要的定位载体(智能手机)的普及,公民位置信息泄露足以威胁一个人的私密生活。位置隐私的证立既要克服前述难题,又要在价值层面论证其正当性。
(一)敏感性
位置信息的敏感性不仅是隐私权保护的先决条件,而且是个人信息保护的重点对象。《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.3条规定,一般个人信息的收集,事前无需取得用户明示同意;敏感个人信息的收集,则事先必须得到用户的明示同意。在南京朱某诉北京百度网讯科技有限公司案中,南京市中级人民法院推翻鼓楼区人民法院一审判决的理由就在于此,认为“将个人信息区分为个人敏感信息和非个人敏感信息……允许采用不同的知情同意模式,旨在保护个人人格尊严与促进技术创新之间寻求最大公约数”。
位置信息的敏感性源于三个方面:位置数据的精确性、位置信息的私密性以及位置信息的复合性。首先,卫星通信技术的进步使得位置数据越来越精确,以GPS为例,车载GPS能够不间断地获取该车的位置、速度、驾驶方向等信息,其精确度可以达到1米以内。再配合公共道路上的监控,如智能交通系统(ITS)和车辆自动识别系统(AVI),车和人无处遁形。除了GPS或手机定位,越来越多的移动应用及商业纪录中也包含了精确的位置信息,比如各类“签到”或“打卡”。2014年脸书(Facebook)推出一款“在我身边的女孩儿”APP。这款APP招致了很多批评,被认为这等同于让男人们可以随意跟踪女性。
其次,位置信息的私密性。每个人都有或多或少的难言之隐,都有想要隐藏的“不为人所知”的私密事务,这些“难以对外言说之事”算不上高尚,也算不上劣迹斑斑,纯属私人事务。但某些位置信息与这些私人事务紧密相关,从位置可以获悉很多。美国著名计算机专家、ATM的主要发明人约翰·迪博尔德(John Diebold)曾因一件小事改变了他对“中央数据银行”计划的看法。约翰·迪博尔德(Diebold)的客户在某地区新装了一部ATM,但接下来几周的数据记录非常异常:每天午夜12点到2点之间,有大量现金被提出。后经调查发现,当地有家色情俱乐部,顾客使用现金是不想在银行卡上留下“不体面”的消费记录。约翰·迪博尔德(Diebold)分析道:当你在银行存取款的时候,你留下的绝不仅是一笔交易,其实还告诉了银行你在某一时刻的位置。这些信息,很可能会成为你其他行为的解释,从而透露你的隐私。
再次,位置信息的复合性。位置信息往往需要与其他信息相结合才能识别到具体的个人,比如在案发当时,嫌疑人的历史位置数据能够证明其在案发现场,但还需要其他证据进行佐证。位置信息的“复合性”与个人信息的“可识别性”密切相关。早在2011年,“第29条工作组”在第13/2011号意见中就提出:“当提及识别可能性(Identify-ability)时,应当注意个体分享揭露自身越来越多的个人地理位置数据,例如将自己的其他可识别数据与他们的住址和工作地点以及一些经常出入的场所相结合进行分享,有些分享其实信息主体本身并不自知。当信息与地址相联系的时候,信息的价值就提升了,因为可以根据行为模式进行特定个体的识别。”
(二)合理性
隐私合理期待是论证隐私权的不二之路,主要由两个层面构成:“第一,他人必须表现出实际的(且主观的)隐私期待;第二,社会公众认可他人的隐私期待是‘合理的’。”
从时间维度上看,位置监控时间的延长让公民产生一种“人生尽在他人掌控”的恐慌。生活于数字时代的我们,也许能理解某款应用调用我们位置信息的意义,也许能容忍无处不在的摄像头记录下一整天的行踪,但绝不会料到、也不能理解持续数周或数月的长时间位置监控,这毫无疑问侵犯了公民的合理隐私期待。一个理性人无论如何都会期待他在一段较长时间内匿名或不会连贯地被他人知晓,一些著名的案例也佐证了这点。如2003年的华盛顿州诉杰克逊(State v. Jackson)案,警察在其汽车上安装了GPS设备并持续追踪了一个月;2009年的韦弗(People v. Weaver)案,警察也是利用GPS追踪了嫌疑人65天;2012年的琼斯(United States v. Jones)案,警察持续定位追踪了28天。这些案件中,法院都认可了嫌疑人的隐私合理期待。
从空间维度上看,即使发生于公共场所的位置监控也可能侵犯公民的合理隐私期待。有个细小却重要的区分:“将自己暴露在其他人的随机观察之下与完全放弃自己的隐私期待有着非常显著的差别。”
现实生活中,位置监控的时间与空间维度往往交织在一起,毕竟,一个人既不会长久地在一段时间内静止不动,也不会在一个固定的地点呆很长时间。在前述韦弗(Weaver)案中,纽约州上诉法院将该案与利用蜂鸣器追踪的诺茨(Knotts)案区分开来,认为GPS技术带来一种新的世界观。通过GPS信息,警察可以勾勒出一个人行踪轨迹的全貌,无论是在公共场所还是在其私人场所。诸多位置信息与公民的隐私密切关联,比如公民前往艾滋病防治中心、整形医院、堕胎诊所、戒毒中心、脱衣舞俱乐部、同性恋酒吧等。这些行踪轨迹,足以让人了解我们的政治、宗教、交友、健康、家庭、性、职业等各个方面。
(三)价值性
在进行隐私合理期待判断时,法院要做一个评估,即“我们该问的问题不是被告是否选择隐藏他所实施的‘私密’行为,而是政府的侵扰行为是否侵犯了《第四修正案》所保护的社会价值”。
大规模位置监控对自由的减损主要体现在“私”及“公”两个层面:(1)从“私”来说,位置监控无视公民对位置数据收集作出选择“同意”的自由。第三方当事人规则的逻辑是,只要公民用手机拨打了电话或下载安装了某应用程序,就视为“同意”通信公司或其他ISP收集他们的位置信息。这种“推定同意”不是基于自由意志的同意。且不说在安装APP的时候,往往只有两个选项:“同意”或“离开”,更不用说基于网络平台及知识上的劣势,公民甚至对自己的位置数据被收集的情况也一无所知。“今天的技术给政府和企业提供了强大的大规模监控能力。……它没有给公民提供任何追索权或者选择退出的机会,就直接被执行了,也没有任何有意义的核查与制衡。这让我们缺乏安全感,也毫无自由可言。”
四、位置信息的法律保护
位置隐私的保护离不开公、私法的合力。纵观美国与欧盟两大法域,对信息隐私的保护也是公私兼顾的。值得肯定的是,我国刚刚公示的《个人信息保护法(草案)》第二章第三节将“国家机关处理个人信息的特别规定”纳入其中,体现了个人信息保护法公私属性兼备的特性。
(一)位置信息的公法保护
目前公法中对个人信息提供保护的主要是刑法,但位置信息的公法保护与刑法保护不安全相同。公法的核心是控权,位置信息的公法保护旨在规范公权力机关采集利用公民位置信息的行为。下面从两种不同的位置隐私出发进行探讨:
1.不受政府非法收集、存储及利用的位置隐私
近几年广受推崇的“个人信息自决权”便立基于此。德国“联邦宪法法院实际上是针对国家强制的信息收集行为,发展出了信息自决权这一概念,并没有提及这一概念对于私法领域的影响”。
2.不受非法搜查的位置隐私权
该项隐私权不仅在国外受重视,而且在国内也有重要的理论价值和实践意义。先看国外,以美国为例,联邦最高法院在先后经历了蜂鸣器追踪、GPS追踪和手机定位追踪后,通过判例确定了《宪法第四修正案》位置隐私的保护标准——将长时间、全方位监控嫌疑人定位追踪的行为视为搜查。2018年卡彭特(Carpenter)案具有重要意义,不仅在于联邦最高法院在该案中认识到了第三方当事人规则存在重大漏洞,还极为严肃地探讨了手机定位追踪的侵入性。该案首席大法官罗伯茨在发表意见时表示,“手机位置信息是一种‘近乎完美’的政府监控工具,类似于电子监控脚镯”。
既然将此信息收集及处理行为视为搜查,那规制此类行为的路径就可分为两种:实质意义上的比例原则和程序层面上的令状制度。(1)随着隐私权及个人信息保护研究向公法领域扩展,比例原则在位置信息公法保护中的地位凸显,它是权力行为与权利保护的“黄金分割点”。在大数据侦查规制理念中,比例原则化身“愈……愈……”公式:“若资料愈是涉及当事人的私密领域或一个特别的信赖关系时,则对于比例原则的检验要求就应愈严格……若资料愈能回溯推论出创作者身份或是产生羞辱效应时,则应更加清楚与严格地说明其目的拘束。”
隐私权自创制之初就被赋予限制政府权力、保护公民权利的内容。美国《宪法第四修正案》更像是在平衡案件侦破与隐私保护之间的冲突,用科尔的话讲,“这个理论是一个纠错的机制。一方面,当不断变化的技术或者社会实践实质性地增加了政府执法人员搜集证据的难度时,美国联邦最高法院就会降低《宪法第四修正案》为公民提供保护的程度,以恢复政府权力的事前状态。另一方面,当不断变化的技术或者社会实践实质性地降低政府执法人员搜集证据的难度时,美国联邦最高法院就会提高《宪法第四修正案》为公民提供保护的程度,以便恢复公民隐私权的事前状态。”
(二)位置信息的私法保护
首先,位置信息私法保护的请求权路径“二选一”。《民法典》第1034条规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”就隐私权保护而言,可适用《民法典》第1033条“隐私权侵害行为”类型中的第5种——处理他人的私密信息;就个人信息保护而言,可适用《民法典》第111条、第1035条及第1036条。位置信息属私密信息还是普通信息?不可一概而论。《个人信息安全规范》将“行踪轨迹”归入了“个人敏感信息”之列,可见,若位置数据的数量足够多,能够“由点成线”、完整地反映公民在一段时期内的地理位置生活,则可视为私密信息。除此之外,还要注意位置信息与其他信息相结合的情形。也就是说,单条的位置信息并不敏感,但若与其他信息结合,则可能反映一个人的私密生活,此时,也应将该位置信息归入私密信息。一句话,“线”状的行踪轨迹属于私密信息,与其他信息结合能够反映公民私密生活的位置信息也属于私密信息。
其次,位置信息收集与处理的合法性问题。GDPR第6条规定了数据处理行为需要遵守的六种合法性原则,我国《民法典》《网络安全法》等相关规范将“经数据主体同意”视为网络运营者收集、处理个人信息的必备要件,除非遇到“免责事由”。两种规定形式上不同,实质上差异不大,都旨在实现数据“自由流动”及“权利保护”间的平衡。但现实中的突出问题是公民对自己位置信息的收集与处理不具有“同意”的能力。2020年6月11日,南都个人信息保护研究中心发布《小程序个人信息保护研究报告》,对微信、支付宝、百度、今日头条四大主流平台的52款常用小程序进行测评。理想合规状态下,小程序想要获取用户位置信息,需要先弹窗申请,只有用户点击“同意”才能获取。然而测评发现,只要开启平台定位,即使用户拒绝,小程序依然可以获取坐标信息。
再次,经营者收集和处理位置信息相伴随的义务问题。在诸多义务中,“透明”和“数据安全”两项最为重要。(1)先看透明义务。《民法典》第1035条“个人信息处理条件”中的第(二)(三)项即透明义务规定:“公开处理信息的规则”“明示处理信息的目的、方式和范围”。为何要透明?因为阳光是最好的防腐剂,唯有透明,才能有效杜绝“算法黑箱”,避免个人沦为实现他人利益的客体;唯有透明,消费者才能放心地交由企业收集、处理其个人数据。透明通过经营者的“告知”实现,美国虽没有统一的个人数据保护法,FTC却创制规则,要求企业提供在消费者看来有价值的信息,这种规则被称作“强制告知”。
最后,位置信息收集与利用的限度问题。可以从两个方面来探讨。一方面是经营者推出的产品/服务本身对位置信息的采集利用限度问题。《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》针对16类基本业务功能给出个人信息采集“最少够用”的指引,其中就包含哪些功能业务可以收集用户的位置信息。尽管该《指南》仅是“指南”,但它也是APP专项治理中解决 “过度索权”顽疾的重要依据。另一方面是在维护公共利益时对公民位置信息采集利用的限度问题。比如,为防控疫情,我国使用“健康码”定位追踪个人健康状况;韩国通过GPS定位、信用卡消费等手段将确诊病例的位置标示于地图上;新加坡要求民众安装合力追踪(Trace Together),该程序利用手机蓝牙追查感染者接触人群;以色列使用手机定位收集疑似或确诊患者的移动数据等。
结语
作为个人信息的一种,位置信息日益凸显它的重要性。数字经济、共享经济离不开它;社会治理、重大决策、案件侦破也多仰赖于它。但作为“线上”与“线下”连接点的位置信息,极易折射个人的私密生活。伴随位置信息获取途径的增多、位置数据精确度的提高以及长时间、全方位位置监控的形成,我们必须要反思日常生活中位置信息的过度采集和利用问题。当面对无处不在的定位诉求时,每个人都想做“人群中的匿名者”,它反映了公民对位置信息复杂的隐私期待——既希望主动地与他人交流、参与社会公共事务,又希望能“全身而退”,不被他人知晓自己的行踪,因为位置信息不是别的,它能找到你!
(本文为文章摘录版,如需引用,参阅原文)
文章来源:法律科学(西北政法大学学报). 2021,39(02)