黃佳鈺
(武漢大學,湖北武漢 430072)
地理信息與個人信息顯然共同構成對隱私的威脅。在大數(shù)據(jù)環(huán)境中,地理信息系統(tǒng)能夠綜合多渠道來源的多元化信息。某些數(shù)據(jù)具有個人屬性,使個體被識別或可能被識別;其他數(shù)據(jù)具有空間屬性,通過地理編碼數(shù)據(jù)庫,個人可被定位。與傳統(tǒng)學說相反的是,對隱私的威脅并不來自于通過GIS檢索的信息,而是來自于那些對含有個人信息的關聯(lián)地理信息檢索后推理而得出的相關信息,這些信息可共同繪制出一張個人信息圖譜。
地理信息技術包含妥協(xié)讓步的隱私。隨著地理信息技術的擴張,個人信息組合、交叉匹配及傳播程度的不斷提升,隱私的范圍受到了抑制。個人很難找出知道其個人信息的人,很難知道個人信息被知曉到什么程度。另一方面,從一定范圍而言,隱私損失是由于人們對個人信息的采集路徑及使用目的缺乏了解所導致。
我國現(xiàn)行法沒有對地理信息主體的隱私權作出規(guī)定,僅對測繪成果的保密問題做出行政法規(guī)定?!稖y繪成果管理條例》第十六條規(guī)定“測繪成果秘密范圍和秘密等級依照有關保密法律、行政法規(guī)的規(guī)定予以確定?!睆拿裆谭ń嵌榷?,對于地理信息的隱私問題,無論立法或學術研究,都是空白點。隱私權問題一直是民商法學術爭論的焦點之一,隱私權是否應作為人格權保護,尚無定論。而對地理信息主體的隱私權的學術討論幾乎不存在。主要是因為地理信息的市場化僅發(fā)展十幾年時間,法學研究者和立法工作者沒有足夠的時間和知識背景對地理信息的隱私法律問題進行研究。
我國現(xiàn)行法規(guī)定了數(shù)據(jù)保護,但數(shù)據(jù)保護無法同時保護隱私。數(shù)據(jù)保護,不管從立法或實務層面討論,都是針對數(shù)據(jù)本身的保護而非針對個人。這種保護針對的是數(shù)據(jù)主體及遵照一定原則搜集操作數(shù)據(jù)的機構或組織。這些原則包括履行法定或約定的先決條件。在數(shù)據(jù)的搜集、使用和傳播過程中,數(shù)據(jù)主體的授權是至關重要的環(huán)節(jié)。在不同的背景環(huán)境中,人們以各種方式泄露個人細節(jié)信息,比如:在醫(yī)院、診所、銀行,甚至是通過電話提供銀行卡密碼,通過網絡或快遞填寫訂單。可見,我們不斷將具有隱私屬性的“所有物”向他人揭示。我們的隱私信息通過日?;顒佣粩?shù)據(jù)庫虜獲,比如:個人收入,家庭信息,健康及職業(yè)細節(jié)。
我國現(xiàn)行法對個人信息保護做出了規(guī)定,但個人信息保護與個人隱私保護存在區(qū)別。前者是對個人信息秘密的保護,而后者是有關個人對事實真相私下采取的措施。當通過數(shù)據(jù)可以定位個人身份時,個人信息隱私成為問題。另一個問題是當個人可能因某種原因泄露個人信息,之后是否可以再次給予允許?特別是當信息被偽裝成集合的形式或者以其他形式改變用途,以至于全新的綜合性數(shù)據(jù)與個人最初所提供的信息有極大的不同。因此,對個人隱私的入侵威脅要么在于包含個人信息的數(shù)據(jù)和信息的發(fā)布,要么在于不含個人信息的異樣片段信息的發(fā)布,這些信息是由地理定位信息、交易活動、電子足跡和其他途徑推理而得。
通說認為,定位是指:空間和時間維度上的事件或實體的相對位置,即對事件或實體相對于其他已知對象或參考點的空間描述,常用(x,y,z)坐標來表示??臻g定位即確定實體的空間位置。在這方面,運用最廣泛的當屬GPS(全球定位系統(tǒng))技術。它起始于1958年美國軍方的項目,1964年投入使用,主要運用于軍事領域。它由24顆衛(wèi)星(包括21顆工作衛(wèi)星和3顆備用衛(wèi)星)組成,能夠覆蓋全球范圍。在GPS的基礎上又衍生出差分 GPS(DGPS)和輔助GPS(AGPS)。它們的工作原理與GPS相似,但是具有定位精度高、節(jié)約時間人力物力、降低復雜性等優(yōu)點。
相對于定位的靜止狀態(tài),追蹤強調的是位置的動態(tài)變化。追蹤是指:在特定空間和時間區(qū)段內對運動實體的位置蹤跡或序列的繪制。若對實體的跟蹤發(fā)生在一個設備與發(fā)出連續(xù)傳輸脈沖的實體之間時,這種追蹤可能是實時的,比如GPS坐標的追蹤。同時,跟蹤數(shù)據(jù)也可以從以往路徑分析中獲得。無論是過去或現(xiàn)在的位置數(shù)據(jù)都可能為對未來相似的行為模式的推論和預測提供必要的信息。定位和追蹤技術的核心部分是地理空間技術,主要體現(xiàn)在地理空間數(shù)據(jù)的獲取、處理和可視化上。而其他輔助技術包括無線通信技術、圖像識別技術、生物識別技術和視頻技術等。通過這些技術的結合和協(xié)作,使得定位和跟蹤技術得以融合。
第一、追蹤個體行蹤。個人穿越邊境時,移民部門通常通過檢查核實身份并在其國家護照或地區(qū)通行證上蓋章來控制和追蹤個人的行跡。很多國家和地區(qū)正在推行在旅行證件中嵌入電子芯片,個人通過電子掃描來獲得進入或通過檢查點的許可。該數(shù)據(jù)可能衍生出一種市民和旅客進入和離開的模式。微觀尺度上看,在室內的行動可以利用錄像監(jiān)測設備來監(jiān)控。結合在室內的視頻證據(jù),運用模式識別或模式匹配算法,能夠分析出最繁忙和擁堵的區(qū)域,為信息發(fā)布和告示欄選址確定合適的戰(zhàn)略位置。雖然這種監(jiān)控系統(tǒng)可以為確保特定建筑物的安全提供較大效益,但由于它的入侵性也造成了對個人隱私的侵犯。
第二、追蹤交易。如今,獲取交易數(shù)據(jù)的手段越來越多,包括用MICR(磁性墨水字符識別)攜帶數(shù)據(jù)的支票和已嵌入用戶提交、驗證并返回自動模式的周轉文件。其他數(shù)據(jù)獲取手段有磁條、壓花數(shù)據(jù)代碼、條形碼、RFID(射頻身份標簽)以及像電話插座那樣帶有位置標識的裝置。這些手段應用于金融活動的各個環(huán)節(jié):從存款到償還貸款,發(fā)放工資,ATM(自動取款機)提取現(xiàn)金,使用信用卡或借記卡和EFTPOS交易以及其他的金融交易方式。非記錄性或匿名的活動現(xiàn)在正逐步轉化成有記錄或可確認的交易。數(shù)據(jù)正在以更為緊湊的方式聚合,這些數(shù)據(jù)有一個相應的位置標記和數(shù)據(jù)蹤跡。有些電子交易工具內置了實時定位器,使得被動監(jiān)測和監(jiān)督轉變?yōu)閳?zhí)法的方式。交易記錄暴露了個人的經濟狀況、投資方式,這些都是大多數(shù)人不愿被他人所知的隱秘部分,這些信息的外泄將對個人的財產安全構成極大的威脅。
第三、追蹤通訊。通過公共交換電話網絡(PSTN)、移動電話、衛(wèi)星電話追蹤人和位置相對困難,使用定位信息和位置標簽進行類似的操作卻是簡單可行的。自從有了移動通信技術,無論是在實時應用還是登陸其消息庫上,追蹤設備的使用都將更加動態(tài)。隨著技術的發(fā)展,用個人化的號碼取代位置識別號碼為手機客戶提供給服務成為趨勢。這樣一來通過移動設備自動報告?zhèn)€人的位置就可以提供更準確和及時的監(jiān)測數(shù)據(jù);由此產生的將個人位置追蹤進一步深化的結果是不可避免的。
數(shù)據(jù)集成是把不同來源、格式、特點性質的數(shù)據(jù)在邏輯上或物理上有機地集中,從而提供全面的數(shù)據(jù)共享。由于數(shù)據(jù)的獲取方式不同,可能是遙感影像獲取的圖像數(shù)據(jù),可能是GPS坐標數(shù)據(jù),還可能是監(jiān)控設備獲取的監(jiān)控數(shù)據(jù)。要將這些數(shù)據(jù)集中在同一個系統(tǒng)中或框架下需要通過數(shù)據(jù)集成技術來實現(xiàn)。目前采用的方式有:聯(lián)邦式、基于中間件模型和數(shù)據(jù)倉庫等。同時,解決各種數(shù)據(jù)的交互也是關鍵點。
數(shù)據(jù)庫技術是信息系統(tǒng)的核心技術,是一種計算機輔助管理數(shù)據(jù)的方法,它研究如何組織和存儲數(shù)據(jù),如何高效地獲取和處理數(shù)據(jù)。然而,地理空間技術所涉及的數(shù)據(jù)庫技術不同于傳統(tǒng)的數(shù)據(jù)庫技術。地理空間數(shù)據(jù)庫不僅包含屬性數(shù)據(jù),還包括空間數(shù)據(jù),同時還有這兩種數(shù)據(jù)的關聯(lián)。
第一、位置信息數(shù)據(jù)庫。隨著GIS和LBS(基于位置的服務)的商業(yè)化發(fā)展,大眾對數(shù)據(jù)的需求日益增加。LBS的實現(xiàn)須要后臺數(shù)據(jù)庫的支持。LBS模式有休閑娛樂型、生活服務型、社交型和商業(yè)型4種。以生活服務型為例,人們通常通過這項服務來對周邊生活服務設施如商場、飯店、旅館、電影院等進行搜索。這時,服務器通過終端所發(fā)送的位置信息與數(shù)據(jù)庫中的數(shù)據(jù)進行匹配,反饋用戶所感興趣的結果。這些結果可能是以文字或圖片的形式呈現(xiàn)。由于系統(tǒng)的開放設計,數(shù)據(jù)庫信息大部分來自于曾經過該地點的用戶所上傳的各種形式的數(shù)據(jù)。這些信息可能包含侵犯他人隱私的部分。例如,上傳的照片中涉及公眾人物的住宅、汽車,甚至是室內的家居擺設。
第二、商業(yè)數(shù)據(jù)庫。有些企業(yè)從事有關個人數(shù)據(jù)的收集、處理和存儲。這些企業(yè)從信用局、公共記錄、電話記錄和專業(yè)存儲文件等數(shù)據(jù)集成中獲得消費者信息。他們通過名稱或地址的變動信息來凈化數(shù)據(jù)。無論是選擇還是退出進程都是收集過程的一部分,所獲得的數(shù)據(jù)用以開發(fā)家居或專業(yè)產品。例如,美國三大信用報告機構(EQUIFAX EXPERIAN Trans-Union)保存約1.9億人的個人數(shù)據(jù),這些數(shù)據(jù)來自各種授信業(yè)務公共記錄中的添加信息。保有的數(shù)據(jù)包括:姓名、地址、社會安全號碼、電話號碼、出生日期、就業(yè)信息和信用歷史記錄。
《歐盟數(shù)據(jù)保護指令》規(guī)范“個人數(shù)據(jù)”的“處理”行為。“個人數(shù)據(jù)”是指與一個身份已被識別的或者身份可被識別的自然人相關的任何信息?!疤幚怼笔侵?對個人數(shù)據(jù)進行的任何操作或一系列操作,無論該操作是否以自動方式進行?!皵?shù)據(jù)控制者”指的是,在決定個人數(shù)據(jù)的處理方式和用途的過程中起作用的任何人。指令對“數(shù)據(jù)控制者”的數(shù)據(jù)處理行為進行限制。首先,限制數(shù)據(jù)類型及數(shù)據(jù)處理方式。個人數(shù)據(jù)只能因特定用途而收集,不得以與其目的相悖的方式進行數(shù)據(jù)處理。數(shù)據(jù)量應與數(shù)據(jù)用途相匹配,保證數(shù)據(jù)的準確性和實時性。數(shù)據(jù)應以個人可識別的方式保存并能夠向個人說明數(shù)據(jù)用途。第二,個人數(shù)據(jù)的處理應該經過“數(shù)據(jù)主體”的明示同意。對于“必要的同意”有嚴格的規(guī)定。第三,通常情況下,禁止處理敏感個人數(shù)據(jù),即“透露種族或民族起源、政治觀點、宗教或哲學信仰以及工會會員身份”的數(shù)據(jù)。第四,數(shù)據(jù)控制者必須向數(shù)據(jù)主體公開部分數(shù)據(jù),包括:數(shù)據(jù)控制者的身份、處理數(shù)據(jù)的目的,任何與數(shù)據(jù)主體有關的附加數(shù)據(jù)。第五,在合理期限內且不增加額外費用的前提下,數(shù)據(jù)主體有權向數(shù)據(jù)控制者確認正在處理的、與數(shù)據(jù)主體有關的數(shù)據(jù)。第六,數(shù)據(jù)控制者必須確保所處理的數(shù)據(jù)的保密性與安全性。第七,在任何自動數(shù)據(jù)處理開始之前,數(shù)據(jù)控制者必須通知國家監(jiān)督機構。歐盟數(shù)據(jù)保護指令要求每個歐盟成員國都必須設立這樣的機構。第八,歐盟數(shù)據(jù)保護指令對數(shù)據(jù)控制者將個人數(shù)據(jù)轉移到歐盟成員國以外的國家做了限制。只有在接收國有足夠的數(shù)據(jù)保護水平的情況下,才允許將個人數(shù)據(jù)向該國轉移。
美國公平信息實踐原則包括5個基本原則:通知意識、選擇同意、參與機會、安保完整、實施救濟。第一、通知意識是公平信息隱私保護的基本原則。在收集任何個人信息之前,應將信息處理的全部細節(jié)通知當事人。未經通知,任何人不得披露個人數(shù)據(jù)。第二、選擇同意是指:被收集者對個人信息的收集形式有選擇權。更特別地,這個選擇與信息的次級使用者們有關,這一點并不是達到原始目的所必需的。一般情況下,該原則含有選擇性加入與選擇性退出機制。選擇性加入機制需要一個同意步驟,確認當事人允許信息的收集及使用;選擇性退出機制同樣需要一個同意步驟,確認當事人不允許信息的收集及使用。這兩種機制的不同之處在于未經當事人同意時的違約責任不同。第三、參與機會。該原則是指個人獲取數(shù)據(jù)、更正數(shù)據(jù)及完善數(shù)據(jù)的能力。獲取及參與數(shù)據(jù)收集都是保證數(shù)據(jù)準確完整的必要條件,在數(shù)據(jù)校驗機制及記錄數(shù)據(jù)修改及缺陷的方法的保證下,獲取數(shù)據(jù)必須及時、便宜,簡單。第四、安保完整。所得數(shù)據(jù)必須準確且安全。為保證數(shù)據(jù)的完整性,收集者必須采用合理的步驟,使用值得信賴的數(shù)據(jù)源及交叉檢驗的數(shù)據(jù),而不是多個數(shù)據(jù)源,這樣就可以給用戶提供使用數(shù)據(jù)的入口,并剔除陳舊數(shù)據(jù)。數(shù)據(jù)安全包括數(shù)據(jù)管理及技術措施,以免數(shù)據(jù)丟失、未經許可的進入、使用及數(shù)據(jù)公開。第五、實施救濟。隱私保護原則只有在有適當?shù)臋C制保障下才能得以實現(xiàn)。沒有機制保障,原則無法轉化為解決問題的辦法。保障原則得以實施的救濟方法包括:行業(yè)自治、自力救濟和司法救濟。
《歐盟數(shù)據(jù)保護指令》與美國公平信息實踐原則存在差異。首先,《歐盟數(shù)據(jù)保護指令》對個人數(shù)據(jù)的收集數(shù)量規(guī)定了實質性的限制?!跋鄬τ跀?shù)據(jù)收集的用途,和/或進一步處理而言,收集的數(shù)據(jù)不宜過多”。第二,個人數(shù)據(jù)必須“以一種允許數(shù)據(jù)主體鑒定,對于收集數(shù)據(jù)的用途或進一步進行數(shù)據(jù)處理有必要的形式進行保存”。第三,某些敏感數(shù)據(jù)的處理是禁止的:除了某些例外,對于“泄露種族或民族來源、政治觀點、宗教或哲學信仰、工會會員資格,與健康或性生活有關的個人信息是不允許處理的”。第四,個人數(shù)據(jù)的連續(xù)轉移應遵守以下限制:接受個人數(shù)據(jù)轉移的個人在接收數(shù)據(jù)后必須維持“保護的適當程度”。
美國和歐盟的數(shù)據(jù)保護方法不同。首先,在歐盟,隱私是基本人權,立法只是用來保護隱私的方式。數(shù)據(jù)庫的獲取及個人信息的處理須經政府批準。美國的數(shù)據(jù)保護制度立足于數(shù)據(jù)和個人信息的自由市場,避免政府對市場行為的過度干預。因此,美國的保護方法是政府綜合運用法律、法規(guī)和行業(yè)自治規(guī)則,對數(shù)據(jù)保護狀況進行監(jiān)管;其次,美國憲法第一修正案嚴格限制政府的信息(包括個人信息)轉移行為,而《歐盟數(shù)據(jù)保護指令》的配套規(guī)則可能與此相違背。《歐盟數(shù)據(jù)保護指令》限制移轉的數(shù)據(jù)僅限于特定數(shù)據(jù),即:財務記錄、健康信息、錄像帶出租活動、駕駛執(zhí)照詳細信息以及信用評級;最后,美國沒有特定的政府數(shù)據(jù)保護組織機構。而是由各政府機構共同監(jiān)督隱私信息和數(shù)據(jù)的保護,如:商業(yè)部、衛(wèi)生與公眾服務部、交通部、聯(lián)邦儲備委員會、聯(lián)邦貿易委員會、國稅局、國家電訊管理中心、財政部貨幣管理署、消費者事務局、行政管理和預算局以及社會保險部門。
正如前文所述,歐盟與美國在地理信息隱私保護方法上存在差異。為了保護美國在數(shù)據(jù)跨境轉移中的商業(yè)利益,避免依據(jù)歐洲隱私法的潛在訴訟,美國商業(yè)部提出了“安全港框架”。該框架允許美國公司在滿足歐洲的“適當性”標準的同時,維持對數(shù)據(jù)保護的傳統(tǒng)監(jiān)管方式。為了取得安全港的保護資格,企業(yè)必須每年以書面形式通知商業(yè)部,公開自己披露的隱私,陳述已遵守安全港原則。
作為平衡不同司法轄區(qū)法律差異的一種制度選擇,安全港框架原則對我國地理信息隱私法律制度的構建有借鑒意義。安全港框架數(shù)據(jù)處理實體原則共有七項,美國企業(yè)在處理來自歐盟數(shù)據(jù)時必須遵守這些原則。①通知。企業(yè)應清楚告知個人搜集個人數(shù)據(jù)的目的;個人如何問詢和申訴;數(shù)據(jù)披露的對象類型;限制第三方使用和再次披露的方式和手段;②選擇。如果企業(yè)以個人未授權的方式披露或使用個人數(shù)據(jù),個人有權選擇不同意收集、使用,披露個人數(shù)據(jù)。對于敏感信息,應得到個人的明示同意;③連續(xù)轉移。向第三方披露個人數(shù)據(jù)時,企業(yè)必須遵守注意和選擇原則。另外,企業(yè)應判斷:第三方受安全港原則約束,或是受歐盟數(shù)據(jù)保護指令的管轄,還是屬于“適當性”保護范圍。企業(yè)應確保第三方會按要求提供同等程度的保護的合同才滿足本原則;④安全。企業(yè)必須采取合理的預防措施,保護個人數(shù)據(jù)免受損失、濫用、未經授權的訪問、泄露、改變和破壞;⑤數(shù)據(jù)一致性。人數(shù)據(jù)必須與使用這些數(shù)據(jù)的目的有關。企業(yè)不得以未經授權的方式處理任何個人數(shù)據(jù)。企業(yè)應采取合理預防措施保證數(shù)據(jù)的可信賴性以及數(shù)據(jù)的準確、完整和實時性;⑥獲取:個人有權合理獲知與其有關的信息,并有權更正、修改補充和刪除不準確的信息。獲取權可以合理的原則加以限制,企業(yè)可因提供數(shù)據(jù)收取費用,也可在一定時期內限制申請次數(shù);⑦執(zhí)行:企業(yè)必須建立獨立、便利,成本合理的爭端解決機制。該機構應具有獨立的審核程序及足夠的處罰力度。處罰方式包括:公開調查結果、刪除數(shù)據(jù)、中止隱私項目的成員資格、頒布禁令和損失賠償。對雇員數(shù)據(jù)的轉移,企業(yè)應與數(shù)據(jù)保護署合作。目前,歐盟各國數(shù)據(jù)保護署已建立專門小組,裁決安全港爭議及標準的申訴形式。
在大數(shù)據(jù)背景中,地理信息數(shù)據(jù)與其他數(shù)據(jù)的結合將地理科學轉化為強大的追蹤、儲存及分析個人信息的工具。地理信息技術具有追蹤、數(shù)據(jù)整合,數(shù)據(jù)分析的能力,使其比其他技術更具有對個人隱私的侵略性。然而,不能以此為由排斥技術,應構建科學合理的地理信息法律制度,并依法使用地理信息技術。在隱私保護方面,《歐盟數(shù)據(jù)保護指令》的規(guī)定與美國公平信息實踐原則存在差異。安全港框架數(shù)據(jù)處理實體原則共有七項,美國企業(yè)在處理來自歐盟數(shù)據(jù)時必須遵守這些原則。以上法律制度設計對于我國地理信息隱私法律體系的構建有借鑒意義。
[1]王澤鑒.人格權法:法注釋義學、比較法、案例研究[M].北京:北京大學出版社,2013.
[2] 克里斯托弗.庫勒.歐洲數(shù)據(jù)保護法:公司遵守與管制[M].北京:法律出版社,2008.
[3] 郭瑜.個人數(shù)據(jù)保護法研究[M].北京:北京大學出版社,2012.
[4] 黃杏元,馬勁松.地理信息系統(tǒng)概論[M].北京:高等教育出版社,2008.
[5]何建邦,閭國年,吳平生等.地理信息資源產權研究[M].北京:科學出版社,2010.
[6] 李建松.地理信息系統(tǒng)原理[M].武漢:武漢大學出版社,2006.
[7] 湯國安,趙牡丹,楊昕等.地理信息系統(tǒng)[M].北京:科學出版社,2000.
[8] 王利明.人格權法研究[M].北京:中國人民大學出版社,2012.