信息隐私保护原则：困境与重建

唯物史观认为，法律和政治是建立在经济基础之上的上层建筑。隐私保护的原则也只能是从“直接生活的生产和再生产”中提炼和总结，这就要求互联网环境中的信息隐私保护原则要贴合互联网社会运行的特点，符合互联网信息传播的规律。

信息隐私面临的价值困境充分反映出互联网环境中的价值多元性：一边是隐私所承载的个人基本权利和自由，另一边是社会交往、数据利用和集体安全等价值。在个人信息产生和被利用的过程中，多种价值之间既有冲突，又有统一，这就要求信息隐私的保护遵循价值兼顾的原则。

1.信息运动中的几种主要价值

从保护信息隐私的角度来说，互联网信息运动过程所涉及的价值主要包括隐私利益、社交需求、数据价值以及集体安全等。

首先，隐私利益在实质上所承载的是个人的安全与安宁，是人类社会所珍视的永恒价值。早在19世纪末，被誉为“隐私权之父”的美国大法官布兰代斯在其名著《隐私权》一文中就指出：“如今，生存权开始意味着享受生活的权利——不受打扰的权利。”^[1]自此，“免受打扰”成为隐私权的核心含义。如果说在布兰代斯所生活的报刊时代，隐私权的保护重点还是“免受（媒体）打扰”，那么到了互联网时代，隐私保护的意义已经扩展至个人的财产和人身安全。发生在2016年8月的“徐玉玉案”就是一起因个人信息泄露和被恶意利用引发的刑事案件。受害人徐玉玉因学费被骗走而心脏骤停，经抢救无效离世，引起了全社会对隐私泄露、个人人身财产安全的高度关注。在这起案件里，诈骗团伙能够得逞的一个关键原因就是掌握了受害人的个人信息，在通过电话实施诈骗的过程中能够准确地说出受害人的姓名、学校以及父母姓名，才骗得了受害人的信任。所以，在互联网时代，尽管隐私保护的难度增加了，其重要和紧迫程度却只增不减。

其次，参与社会交往作为人的本能需求，也是需要正视的一项基本价值。互联网已经成为现实世界的基础性联通方式，人们越来越习惯于在互联网上购物、聊天、晒生活，购物活动的完成需要以提供一定的个人信息为条件，聊天、晒生活本身就是一种分享个人信息的过程。此外，人们也在网上通过获取和传播新闻和资讯来参与公共生活，为保障信息传播的秩序，平台也会依据法律法规的规定要求作为用户的个人在进入网络空间时进行实名注册，需要用户提供一些基本的个人信息。所以，在互联网环境中，个人信息已经成为人们参与社会交往的前提条件和主要形式。

再次，数据自由流动可以促进产业发展、社会进步以及国家竞争力的提高，也体现着一定的正面价值。2016年年末，德国内政部公布的《数据保护法修订草案》，对用户知情权做出了一定限制，规定如果信息披露有损德国国家利益，或者严重损害企业的商业活动，可以不用告知用户其哪些数据会被收集。德国的举动在隐私保护氛围浓厚的欧洲，可谓一种突破性的尝试。在我国，正式出台的《网络安全法》也在“总则”部分表明：“国家坚持网络安全与信息化发展并重。”并且在“网络信息安全”一章里明确规定，“经过处理无法识别特定个人且不能复原的”个人信息，不受“对外提供个人信息须先取得同意”规则的约束。相应地，在第43条中规定不得“非法出售或者非法向他人提供公民个人信息”，这意味着将来有可能出现“合法出售或合法提供”。德国的尝试与中国立法上的调整反映出两国相似的政策态度，即对“定制经济”趋势的重视，在德国表现为“工业4.0”计划，在中国则是“大数据国家战略”。定制经济的一个重要基础就是数据的自由流动和充分融合，数据集越大，计算的结果就越趋近于真实，生产与潜在需求的匹配度就越精确。这意味着数据自由流动基础上的大数据应用，在优化资源配置、提高生产效率以及增强相应的国家竞争力等方面仍然具有积极的意义。

最后，集体安全成为各国政府和社会高度关注的焦点问题，也是人类社会的一项重要价值。在互联网时代，暴恐袭击、种族战争、枪击惨案、“黑客”攻击等各种形式的灾难，频繁地刺激着整个世界。新的信息传递技术及其所带来的新的社会运行方式，在为灾难制造者创造了更多机会的同时，也为反对恶行、保护安全提供了便利和条件。其中，通过数据掌控来实现密切监听就是情报工作中普遍使用的一种方法。在实践中，数据监控也在打击恐怖分子、阻拦外部攻击等方面发挥了重要作用。然而，如同“一枚硬币总有两个面”一样，这种密切的数据监控，意味着个人的隐私也随着数据监控而暴露了。斯诺登事件让全世界震惊，也给世人带来了关于价值悖论的思考。

2.多种价值之间的关系

客观地讲，这些与信息隐私保护有关的各种价值，都有着稳定的正当性。从立法态度来看，其价值分量也表现出愈益接近的趋势。“坚持隐私保护与数据流动并重”“坚持网络安全与信息化发展并重”，已经成为许多国家或地区对待多种价值关系的政策定位。从互联网信息运动的规律来看，这些价值之间既有冲突又有统一。

一方面，冲突关系将长期存在。无论从语言文字的含义还是从权利发展的历史过程来看，隐私的核心诉求都是“免于打扰”“不被侵入”，在权利实现方式上属于被动的、消极的内向生长，只要求别人不要来窥探、挖掘或侵入就好。而数据流动、社会交往需求以及集体安全中的监听，争取的则是主动的、积极的外向生长，要求尽可能突破封闭，实现开放。可以说，数据利用自由度的扩大必然会增加个人隐私泄露的风险，而隐私保护尺度的收紧也必然会加重数据利用自由度的限制。所以，各种价值从一开始就存在着冲突和竞争，需要正视。

另一方面，冲突中仍然有统一。就隐私保护与社交需求而言，虽然两种价值有着相互排斥的一面，但随着信息技术及其应用的发展，用户对隐私的态度也在不断发生着变化。价值追求的复杂性是互联网时代的一个重要特征，当人们发现自己从衣食住行到精神交流都越来越依赖各种互联网场景的时候，他们也不得不承认自己已经喜欢上了互联网。新近发布的《中国个人信息安全和隐私保护报告》指出：“公民个人信息安全意识强，但维权动力与能力有限。”从数据上看，当被问及是否“愿意提供个人信息以获得更便利的服务享受”时，更多的人（53%）选择了“愿意”。这说明，信息共享带来的便利是客观存在的，多数人并不赞同为保护隐私而过分限制信息流动。这与一个多世纪前在“流言蜚语”轰炸下产生隐私权的时代已经有所不同，个人开始自愿让渡一部分私人领域，以换得更多享受服务的机会。

统一关系也体现在集体安全与隐私保护之间。集体利益与个人利益一直是辩证统一的关系。国家与社会的集体安全是每一个个体安全的保障，反过来，个体成员基本自由的实现又是集体利益的组成部分和意义所在。“9·11”事件之后，在集体安全遭受严重威胁的背景下，无论是崇尚“政府限权”的美国，还是有着“严格保护个人权利”传统的欧洲，都不约而同地扩大了政府对个人数据的截留和审查权力。而在“棱镜门”事件之后，各国又掀起了反对监听的高潮，对跨国公司的数据处理行为也有了更加严格的要求和限制。这些制度发展过程说明，在不同时期，由于凸显出来的问题不同，政策和法律的价值侧重也有所不同，处于一个不断变化的过程中。但是，不论如何变化，都能看到立法上对两种价值的兼顾。从严格保护信息隐私到扩大政府监听权，再到反对监听权滥用，这一变化过程本身就反映了政策和法律对集体安全与个人隐私的兼顾与平衡。

说到底，作为个人的一项基本权利，隐私保护的意义在于使人能够更好地生活。而基于数据流动的产业发展、社交便利以及集体安全等价值的实现，其意义也是为人们的美好生活提供条件和保障。所以，各种价值之间不是绝对的背离关系，对个人信息的处理应该鼓励还是禁止，需要分情况对待。

互联网生态环境的复杂性决定了用户隐私保护制度在路径选择上不能是“大而全”，而只能是有区别、有步骤地循序渐进。互联网环境中体现出来的价值多元性要求制度设计在隐私保护问题上分情况对待，收紧“两头”，宽容“中间”。

有些信息，诸如身份证号码、银行密码以及位置信息、行动踪迹等，由于可以直接用来识别到具体的个人或者关涉重要的人身财产安全，属于敏感信息，与隐私利益距离最近，应该在法律上获得明确而有力的保护。相对地，也有一些信息，诸如购物痕迹、浏览习惯等，如果不与其他信息放在一起，不能单独用来识别到具体的个人，一般以结构化数据集的形式加以利用或公开，与信息流动的价值距离最近，在隐私保护上可以有条件地获得“豁免”。我国新出台的《网络安全法》就增加了例外性规定，即“经过处理无法识别特定个人且不能复原的”个人信息，不受“对外提供个人信息须先取得同意”规则的约束，这一规定为结构化数据集的流动开启了一扇窗。除开这两种信息之外，其他在敏感度上处于中间区域的信息，则可以通过一些原则性的规定，引导各方主体自觉遵守（图7-1）。

图7-1 隐私敏感度及相应的规制力度

从各国的立法文件和学术文献来看，“识别”成为“个人信息”概念的核心内涵，已经在各界达成共识。这意味着判断一种信息是否属于个人信息，关键是看这种信息是否已经或能够对某个具体个人完成识别。那么，对信息进行“去识别”处理就成为信息隐私保护的重要方法。

“去识别”处理的第一种方式是通过对信息进行加工形成结构化的数据集。其原理是将那些能够单独识别到具体个人的信息，如姓名、肖像、身份证号码等，从原始数据库里转移或清除，只留下无法单独识别具体个人的一般信息，再按照数据利用的目的将它们进行结构化加工，形成只反映总体性特点或趋势的数据集，如季度消费结构、人群需求偏好、区域性迁移趋势，等等。

在结构化的数据集中，每一个贡献数据的个人被隐去了名字、遮住了面容，只是作为整个数据集合里的一个构成部分，对这些数据的利用意义只在于发现集合性的结论，而非挖掘某一个具体的人是谁。以数据可视化中的人口迁徙图为例，每隔一段时间，数据公司就会制作一些反映人口流动的数据图谱（如图7-2）供人们使用。在这些纵横交错的箭头里，每一个人都只是一个数据，没有人能知道从北京去往广东的箭头里，谁是因为工作、谁是为了度假、谁是去参加一场考试……所以，“结构化”是一种可以兼顾数据利用和隐私保护的数据处理方法。

图7-2 2014年春运期间北京人口迁徙图（来源于IT专家网）

互联网的机制性特点决定了“去识别”处理除了由数据公司在数据利用阶段进行结构化加工之外，还需要对数据的存储状态进行“正本清源”式的干预，这是因为，信息在网上的集中存储和长期滞留直接增加了隐私泄露的风险。(www.xing528.com)

1.信息滞留成为隐私泄露隐患

信息在互联网上的集中存储和长期滞留，为数据加工提供了用之不竭的原材料，同时也为隐私泄露埋下了隐患。在线下世界里，互相信任的人之间交流隐私通常是在有围墙、有窗帘的房间里，交流完了打开门窗，不会留下任何痕迹。但在互联网世界里，上网行为的痕迹每时每刻都在形成，并自动存储在某处的存储器里，长久不会消失，形成长期滞留。这就像是个“潘多拉的盒子”，一旦有人打开它，曾经的秘密就会展现无遗，很快进入信息流，这些秘密很难重新被关进盒子，变成了公开的信息。原本属于私人领域的那些事务，一经公开，谁都可以看到、谁都可以评论。在这些信息中，有些是直接以档案形式集中存储的，一旦这些信息被窃取，可以直接定位到具体的个人，如“徐玉玉案”中的高考名单；有些则是以单条信息的方式分开存储的，但通过搜索工作仍然有相当一部分信息可以被集中到一起，形成对具体个人的识别。

2.删除义务的局限

在网上生成的信息不会自动消失，这就对信息管理者提出了要求。从保护信息隐私的角度出发，根据不同情况，信息管理者的义务可以包括删除、更新、保密等。但是，这些义务的履行涉及管理成本和可行性，尤其是删除义务。面对每时每刻都在生成的海量信息，由数量有限的数据公司来负责信息的删除，会带来可观的成本。发生在2014年的“谷歌诉西班牙数据局”案，被视为“被遗忘权”确立进程中的里程碑，作为该案审判机构的欧洲法院，将谷歌公司认定为“数据管理者”，从而判令其履行“删除”个人数据的义务。但判决做出后，谷歌公司的数据删除工作却遇到了诸多麻烦，他们在短时间内就接收到数万条删除申请，处理这些申请需要花费内部审查小组大量的人力与时间。同时，在删除申请中，除了真正有需求的申请之外，还充斥着大量出于其他目的的申请。^[2]由此，欧洲法院的这项判决也受到了一些质疑。

3.数据存储分散化

从成本和可行性的角度看，既然数据的产生是自动的，那么实现“去识别化”的理想方法也应该是带有自动性的。欧盟的一项新举措似乎为我们提供了一种新的思路，即通过分散化存储来瓦解信息的集中存放状态。

欧盟新立法《一般数据保护条例》（以下简称《条例》），提出了一项重要举措，就是引入了“假名化”（pseudonymisation）制度。《条例》在“原则”一章里将假名化作为判断是否属于“合法处理数据”的情形之一。根据《条例》第4条的规定，“假名化是指一种个人数据的处理方式，在不使用其他附加信息的情况下，个人数据不能再（单独）用来识别到具体的数据主体，因为附加信息被分开存放，技术和管理措施确保这些个人数据不能指向一个明确的或可识别的自然人”。pseudonymisation一词在《条例》中出现了十余次，多次与“加密”或“数据最小利用”放在一起，作为达到数据保护要求的具体方法之一。关于“假名化”的作用，《条例》在前言中明确指出：“个人数据假名化的应用，能够减少数据主体的风险，并帮助控制者和处理者完成数据保护的义务。”

在这里，将pseudonymisation译作“假名化”而不是“匿名化”，一方面是因为“pseud-”

这个词根的本义是“虚假的，伪装的”，作为实名词的pseudonym所对应的中文意义是“假名，化名，笔名”；另一方面是因为译作“假名化”更符合信息在网上的存储状态，匿名意味着将名字藏起来，不要名字，而假名则是指允许名字存在，只是这个名字仅仅是一个化名，一个符号，无法用来识别到真实的主体。所以匿名化适用于结构化处理的情形，而假名化则更加符合分散化存储的语境。

《一般数据保护条例》中的假名化制度，其亮点在于明确要求对信息进行分开存放。由于数据之间存在关联性，互相关联的数据放在一起，可以互相佐证，互相推断，从而指向具体的个人。从理论上说，只要存在数据结合的条件，从一个数据出发，最后识别到具体的个人，只是一个时间过程，当数据足够多时，识别就会实现。有一个著名的案例：2006年美国在线（AOL）公布了大量的旧搜索查询数据，本意是希望研究人员能够从中得出有趣的见解。但《纽约时报》在几天之内通过把“60岁的单身男性”“有益健康的茶叶”“利尔本的园丁”等搜索记录综合分析考虑后，发现数据库中的441749号代表的是佐治亚州利尔本的一个62岁寡妇塞尔玛·阿诺德。当记者找到她家的时候，这个老人惊叹道：“天啊！我真没想到一直有人在监视我的私人生活。”^[3]

单一数据的识别能力主要与数据的数量及其关联程度有关，数据越丰富、关联程度越高，就越容易推断出确定的数据主体，而这里的关联程度又可以通过数量的扩大来加强。所以，“假名化”制度特别强调“数据存储的分散化”，就是要阻止数据之间的结合，从而阻断数据集合的识别路径。即便有人侵入系统，得到的也只是信息碎片，而不是现成的个人档案。信息的分散化存储是对集中存储状态的瓦解，有利于从源头上降低互联网机制带来的隐私泄露风险。

在漫长的历史发展中，隐私作为一种私性正义，最有效的管理人一直是隐私主体自己。但到了互联网时代，传统的自我保护方式显现出了较大的局限性。线下“个人+政府”的二元结构转变为线上“用户+平台+政府”的三角关系，这种变化使作为个人的用户正在失去对自己隐私的实际控制力，个人自决与平台管理需要结合起来。

隐私以个人信息的形式在网上呈现和存储，意味着隐私突破了与主体一体化的存在状态，开始脱离主体的直接控制。这是互联网环境中隐私的一个重要特点。信息的流动性在互联网上得到充分扩大，隐私泄露的数量和造成的影响常常触目惊心。2017年3月，我国警方破获了一个从事网络密码盗窃的犯罪团伙，其成员在上网时偶然从别人的百度网盘里下载了一个文档，里面就有1亿多个网络账户信息，而且信息非常全面，包含了用户的姓名、生日、手机号码、家庭住址、账号密码及以前使用过的密码。这些个人信息被轻易获取，是信息主体无法预知也无法控制的。由于缺乏对信息流动的实际控制力，个人对自己的隐私决定权常常成为空中楼阁。

然而，对信息实际控制力的丧失，并不意味着作为信息主体的个人就应该放弃这份权利，或者转让给他人。个人自决仍然是隐私保护的根本性原则。这一方面是因为隐私本身是属于绝对意义上的私权，不关涉其他人，应当由隐私主体来决定是否公开关于自己的信息；另一方面是因为隐私具有主观性，不同人对同一信息的价值评判不一定相同，什么样的信息属于隐私，应该由隐私主体自己判断。在互联网环境中，尤其需要对个人自决权做出支持和保护。事实上，这也是许多国家在立法上始终坚持的一项基本原则。比如，对个人信息的收集和使用，我国从《全国人民代表大会常务委员会关于加强网络信息保护的决定》到《消费者权益保护法》，再到《网络安全法》，都安排了“前置同意”制度，即收集和使用个人信息前，必须先取得信息主体的同意。在《网络安全法》中还增加了个人对网络运营者的信息删除和更正请求权：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

互联网信息运动的生态环境决定了平台需要承担特殊而重要的管理责任。我们在“隐私保护与平台责任”一章里，论述了平台责任的内容和正当性依据。在这里，我们强调个人自决与平台管理相结合的原则，主要分析平台管理与个人自决权的关系。

如前所述，个人信息是否要提交、是否允许平台使用、在何种范围内使用，以及是否公开等，都属于作为信息主体的用户个人的自主决定权范围。在线下传统世界里，在多数情况下个人具有直接控制自己个人信息的能力。而到了互联网环境中，个人信息脱离了信息主体，平台成为用户个人信息的实际控制者，从而被法律赋予个人信息管理者的角色。这是平台承担管理责任的逻辑基础。

那么，站在用户的立场上尽到善意使用和审慎管理的责任，就是信息隐私保护中平台责任的核心内涵。如果说信息技术突破了个人信息与信息主体的一体性，在二者之间拉开了一道沟壑，那么平台的管理就是填平沟壑的泥土，也是防止这种分离性无限扩大的控制机制。芝麻信用隐私官聂正军在“2017首届中国城市信用建设高峰论坛”的发言中提出要“对用户隐私心怀尊重和敬畏”，道出了平台管理用户信息的关键。如果缺乏“尊重和敬畏”，法律将会变得事无巨细，用户与平台之间的信任也难以真正建立。对于平台而言，需要正视个人信息所承载的隐私利益是用户的基本权利，处理个人信息的决定权在用户个人。对于一个具有社会责任感的企业而言，主动承担起管理用户个人信息的责任，应该是这个企业整个生产经营活动的一个部分，也是企业参与推动社会发展进步的题中之义。

从还原用户对自己个人信息的决定权出发，平台的责任内容就变得清晰了。首先是在信息处理过程中征询用户同意；其次是设置退出机制，让用户能够方便地行使对商业信息推广的拒绝权；再次是设置有效的信息接触机制，使用户在发现自己的个人信息出现隐私威胁或信息质量问题时，能够有渠道与平台取得联系，通知平台删除或更改个人信息；最后是平台有责任尽力使自己的数据使用计划清晰明确地呈现给用户，实现用户的知情权。当然，这些制度安排还需要考虑“价值兼顾”“合理责任”的原则要求，保证可操作性。

信息隐私面临的各种困境反映了信息隐私保护的复杂性，这种复杂性就像横亘在隐私安全与信息正常利用之间的一道沟壑。如果说价值兼顾、“去识别”处理、个人自决、平台管理等原则是填平沟壑的泥土，那么消减信息滥用带来的实际影响就是跨越沟壑的桥梁。

信息隐私作为“与个人信息相关的那部分隐私”，其最终诉求仍然是隐私主体的安宁与安全，这是所有隐私共同追求的要旨。那么，威胁这份安宁与安全的主要因素到底是什么？严格地讲，人们的尊严与安全受到侵犯是多种因素共同作用的结果，而个人信息的泄露和滥用只是其中一个——尽管这个因素很重要，但并不是唯一的突破口。

以“人肉搜索”为例，受害人（搜索对象）受到的实际影响一般会经历几个阶段：首先是个人信息在网络号召下的集中呈现；然后是由一些“好事之徒”通过组合多条个人信息准确定位到搜索对象的身份，这时候受害人身边的“熟人”开始发现他（她），受害人开始感受到现实的压力；接着是“熟人”开始表达态度，当单位的同事、学校的同学、街道的邻居、朋友开始评论、质疑、询问甚或只是面露惊讶时，受害人的压力升级；再接着就是各种没有根据的言论、信息肆意扩散，“熟人”和公众一起表现出排斥、指责或歧视，受害人的压力就会临近忍受限度，从而可能出现一些自我伤害式的逃避，“网络暴力”也由此形成。可以看到，在整个过程中，受害人没有任何对抗“暴力”的机会和途径。那么，如果社会能够给受害人一个表达和自我辩护的渠道，比如设立一个具有公信力的发声平台，让受害人可以陈述事实、发表观点，很多悲剧或许能够避免。在这里，由立法禁止在网络上公开他人个人信息固然是必要的，但是从长远来看，“疏导”机制的建设有着“未雨绸缪”的意义。因为以人工智能为代表的“未来互联网”的发展方向，是信息和数据不断走向融会贯通，解决因信息传递而带来的隐私侵犯问题，需要在“堵漏”的同时探索有效的“疏导”方式。

再以因个人信息泄露导致存款被盗为例，他人能够凭借一串数字密码将银行里的存款盗走，既暴露了信息系统管理的漏洞，也反映出以无形符号作为取款条件的机制本身就具有高风险的事实。密码、身份证号码、电话号码，等等，都是一种信息符号，无形无影，便于复制盗取。现在有一些走在实践前沿的金融机构开始推出“刷脸”进入账户的办法，来防治高发的金融盗窃及诈骗。这实际上是将识别媒介从无形的信息返归有形的身体，可以说，有形状、体积大、稳定性好的物理媒介是盗窃的天然克星。在这里，脸部识别技术在金融行业的应用，使防治盗窃这个任务绕开了对个人信息泄露的穷追猛堵，在另一个维度上开辟了一条新路。当然，“刷脸”的办法应该是真人站在传感器前面，如果面部识别变成了照片识别，那就又绕回了老路。

值得一提的是，面对信息易复制、易传送、易泄露的特点，对于那些已经泄露的个人信息，在其使用效力上也应当给予应有的限制。比如，如果一个人在日常生活中的言论被偷录、被窃听，而这些录音内容又被用来作为证据，意图使这个人在法律上被认定为违法或犯罪，那么这种所谓“证据”的证明力就不应当成立。克林顿总统绯闻事件中的女主人公莫妮卡·莱温斯基最近在TED讲台上发表了一场公开演讲，指出有一名曾经被自己当作朋友的人在当年偷录自己的言谈，并作为事件调查报告的一部分提交给国会。如果我们不能完全防范藏匿在各个角落的窃听器，我们至少可以否定这些窃听内容的合法性，这也是消减隐私泄露所带来的实际影响力的重要举措。