2018年3月,美国媒体报道了一家名为剑桥分析的数据公司泄露了从脸书(Facebook)用户那里所获取的数据。剑桥分析公司的研究员开发了一款名为“你的数字生活”的心理测试应用程序,并借此采集用户及其好友的资料数据,涉及用户达到五千万。脸书泄露用户信息引起了世界舆论的广泛关注,也对隐私权保护提出了新的挑战。
行业自律的失败
美国的隐私保护主要依赖行业自律,数据隐私管理公司TRUSTe是美国隐私权行业自律的代表。TRUSTe是一家位于旧金山的非营利性公司,该公司为全球5000多家企业提供隐私认证服务。隐私认证是美国互联网行业自律的主要模式,这一模式关键在于隐私认证的行业公信力。行业自律就是借助隐私认证的行业公信力督导网络服务供应商安全合理地收集、使用用户数据,以此实现行业的自我规范。TRUSTe、BBB Online等公司就试图通过隐私认证机制,为用户和服务供应商搭建起互信的合作平台。
脸书也是TRUSTe的客户之一。早在2010年,《华尔街日报》就曾报道脸书关联的某些应用程序,将用户的账户信息出售给广告商。TRUSTe对脸书的隐私认证在当时就受到了质疑,而其给出的回复是:脸书的服务属于该公司隐私认证的核查范围,而第三方应用程序却不在TRUSTe的考察范围之内。TRUSTe、BBB Online等第三方监督机构在隐私保护方面提供了申诉、评估、争端解决等服务,但是剑桥分析公司泄露用户信息事件,再次暴露出美国以行业自律保护隐私权的做法缺乏足够的公信度和执行力。
美国自1993年实施“国家信息基础设施”计划以来,对互联网行业采取放任自由的新自由主义政策,在隐私规范方面以行业自律为调剂手段。在私有化、市场化、全球化的新自由主义浪潮下,互联网企业以逐利扩张作为行业发展的主要目标,用户隐私成为互联网企业发展带来的“必要代价”。在数据商品化的趋势下,行业自律作为规范手段越来越缺乏规制力度。
法律规制的困境
鉴于行业自律中存在的问题,许多美国学者呼吁建立严格的信息隐私权保护法律。加州大学洛杉矶分校法学教授杰瑞·康(Jerry Kang)在《网络交易中的信息隐私权》一文中区分了自治性隐私权和信息性隐私权。自治性隐私权主要涉及个人在性、生育、私人空间等问题上的自主决策权,这是美国宪法保障的个人自由的延伸,属于消极权利。而信息性隐私权则强调个人对信息的使用、加工和转移享有控制权,属于积极权利的范畴。对于信息性隐私权,美国一直没能平衡好商业力量与法律规制之间的矛盾。
美国在1974年就通过了《隐私权法》,之后又通过了《消费者网上隐私法》《儿童网上隐私保护法》《电子通讯隐私法案》等一系列法规,但是这些法规的立法目标明显倾向于维护网络服务供应商的运作,而不是优先保障用户隐私权。《电子通讯隐私法案》规定,只要不涉及毁灭性黑客攻击或窃听等犯罪行为,电子通信运营商的运营权受到法律保护。在2000年双击(DoubleClick)公司侵犯用户隐私权一案中,法院认定双击公司并不是出于主观故意侵犯用户隐私,而该公司通过网络服务赚取经济利益的做法受到《电子通讯隐私法案》的许可,并依此判决双击公司胜诉。
美国联邦贸易委员会一直在推动信息性隐私权立法工作。1998年,美国联邦贸易委员会对1400家网站进行抽查后,明确要求互联网企业采取管理措施,防止未经授权的个人信息泄露。此后,联邦贸易委员会试图以立法的形式推进信息性隐私权的保护,这一举动遭到在线隐私联盟(Online Privacy Alliance)的联合抵制。在线隐私联盟的会员包括微软、苹果、美国电话电报、迪士尼、时代华纳、戴尔、易贝等互联网公司,这些互联网巨头的集体抵制使得美国的信息性隐私权立法迟迟不能就位。
而欧盟在信息性隐私权立法方面一直走在前列。1995年,欧盟就出台了《个人数据保护指令》。2012年开始起草《通用数据保护条例》(General Data Protection Regulation,GDPR),脸书对用户数据的泄露促使欧盟加快了GDPR的实施进度。GDPR被称为史上最严格的数据保护条例,该条例规定用户享有违规通知权、访问权、数据转移权、数据删除权等与隐私保护有关的权限。不仅如此,企业还需要在产品的默认设置中加入隐私保护的设计,企业内部也必须配有数据保护官。违反GDPR规定的公司将面临最高可达2000万欧元或上一财年公司全球总收入4%的罚款(以较高者为准)。
GDPR全面实施之后,谷歌、苹果、微软、亚马逊、腾讯等公司的业务按照条例的要求做出了相应的修改。微软在隐私保护方面投入了1600多名工程师,便于用户查看、删除和移动其个人数据。中小型互联网公司并没有微软、谷歌、苹果等巨头的资金实力,无法完全按照GDPR的要求更新隐私保护业务。GDPR的苛刻条件和惩罚条款令很多媒体和网络公司望而却步,该条例实施两天后,《洛杉矶时报》《芝加哥论坛报》等多家媒体关闭了在欧盟的网站。
严苛的法律在短期内确实能够遏制网络公司不合理使用用户信息的行为,但是长期来看,过于苛刻的法规不利于企业的创新发展,同时也会对用户的体验造成负面影响。因此,即便是严格的GDPR也坚持“不能以保护个人数据中的相关自然人为由,对欧盟内部个人数据的自由流动进行限制或禁止”。如何既保障用户权利,同时又不限制数据的自由流动,这是法律规制面临的结构性困境。
技术赋权的挑战
互联网技术精英对于隐私保护有自己的看法,行业自律、法律规制对个人隐私的保护措施均不能实现他们的期待。20世纪80年代末,美国的网络技术精英提出用强加密的方式保护个人数据的私密性。他们反对加密技术被政府和军方独占,试图通过免费加密软件为用户赋权。到20世纪90年代,娴熟运用加密技术的网络精英将自己定义为“密码朋克”,致力于用算法对隐私进行加密。公钥加密成为他们运用的核心技术。密码朋克大卫·乔姆(David Chom)在公钥加密的基础上,发明了“盲签名”技术。乔姆认为,数字投票和数字现金都可以使用盲签名技术实现。
密码朋克们对政府权力保持高度警惕,他们怀疑政府保障公民隐私的能力,崇尚公民自由精神。密码朋克的精神领袖蒂姆·梅(Tim May)将加密技术与中世纪的印刷术相提并论。蒂姆·梅认为,印刷术打破了王权和宗教对平民的控制,而加密技术将帮助互联网用户摆脱权力的渗透。提出“隐私权”概念的沃伦(Warren)和布兰代斯(Brandeis)将其定义为“不被打扰的权利”。沃伦和布兰代斯所说的隐私权就是自治性隐私权,它强调私密空间与私人议题不受政府和其他机构或个人的侵扰。当时的侵权主体主要是政府和媒体,而随着互联网技术的普及,隐私权的侵权主体逐渐扩展到了互联网企业,所以法学界才提出信息性隐私权,以延续隐私权在信息时代的合法性。
密码朋克认为,只是从法律层面提出信息性隐私权并无法切实保障用户的权利。互联网时代的信息流通格局发生了变化,互联网企业与政府联合侵犯用户隐私,使得信息性隐私权成为空头支票。密码朋克坚持,保障信息性隐私权的方法只能是技术性的,声称加密的方式既可以保证信息的私密性,又不影响信息的自由流通。但是,这又会引出新的问题。首先,加密的方式将隐私带入了市场,隐私变成了一种可以交易的商品,失去了隐私权作为政治性、社会性权利的本来面目。其次,密码朋克的“加密无政府主义”必然会导致政府与技术精英无休止的战斗。最后,加密的方式并不能保证不会出现新的技术霸权——技术精英对隐私权的垄断。
行业自律、法律规范和技术赋权是目前保证信息性隐私权的三种解决方案,每一种方案都没能完全解决隐私权保护的问题。脸书泄露用户数据事件再一次提醒我们当前隐私权保护面临的困境。隐私权保护困境背后是行业、法律、技术三者的博弈。我们需要深入思考的是,如何在互联网时代重新建构一套权利哲学体系,并以此协调商业、法律和技术三者的关系。以互联网技术为基础的全新权利架构以及由此衍生出的制度性规范,才是隐私权保护的根本解决之道。
(作者单位:中国社会科学院新闻与传播研究所)