地理空间技术利用的隐私法律对策

黄佳钰

(武汉大学 法学院，湖北 武汉 430072)

(一)地理空间技术利用的隐私风险

1.定位和追踪技术

定位是指空间和时间维度上的事件或实体的相对位置，即对事件或实体相对于其他已知对象或参考点的空间描述。空间定位即确定实体的空间位置。在这方面运用最广泛的当属GPS(全球定位系统)技术，它始于1958年美国军方的科研项目，于1964年投入使用，主要运用于军事领域，由24颗卫星(包括21颗工作卫星和3颗备用卫星)组成，能够覆盖全球范围。之后在GPS的基础上又衍生出差分GPS(DGPS)和辅助GPS(AGPS)，它们的工作原理与GPS相似，但是具有定位精度高、节约时间和人力物力、降低复杂性等优点[1]。

相对于定位的静止状态，追踪强调的是位置的动态变化。追踪是指在特定空间和时间区段内对运动实体的位置踪迹或序列的绘制。若对实体的跟踪发生在一个设备与发出连续传输脉冲的实体之间时，那么这种追踪，就可能是实时的，比如GPS坐标的追踪。同时，跟踪数据也可以从以往路径分析中获得。无论是过去的还是现在的位置数据都可能对未来相似的行为模式的推论和预测提供必要的信息。定位和追踪技术的核心部分是地理空间技术，主要体现在地理空间数据的获取、处理和可视化上，而其他辅助技术包括无线通信技术、图像识别技术、生物识别技术和视频技术等，通过这些技术的结合和协作，使得定位和跟踪技术得以融合。

第一，追踪个体行踪。当个人穿越边境时，移民部门通常通过核实身份并在国家发放给个人的护照或地区通行证上盖章来控制和追踪个人的行迹。现在很多国家和地区推行个人在旅行证件中嵌入电子芯片，通过电子扫描批准进入或通过检查，该数据可能衍生出一种市民和旅客进入和离开该地区的模式。从微观尺度上看，在室内的行动可以利用录像监测设备来监控。通过结合在室内的视频证据，运用模式识别和/或模式匹配算法，能够分析出最繁忙和最拥堵的区域，从而为信息发布和告示栏选址确定合适的战略位置。虽然这种监控系统可以为特定建筑物的安全提供较全面的信息，但它的入侵性也造成了对个人隐私的侵犯。

第二，追踪交易。如今，获取交易数据的手段越来越多，包括用MICR(磁性墨水字符识别)携带数据的支票和已嵌入用户提交、验证并返回自动模式的周转文件。其他数据获取手段有磁条、压花数据代码、条形码、RFID(射频身份标签)，以及像电话插座那样带有位置标志的装置。这些手段应用于金融活动的各个环节，从存款到偿还贷款，发放工资，ATM机(自动取款机)提取现金，使用信用卡/借记卡和EFTPOS交易及其他的金融交易方式。值得注意的是，非记录性或匿名的活动现在正逐步转化成有记录/可确认的交易。更重要的是，数据正在以一种更为紧凑地方式聚合，这些数据有一个相应的位置标记和数据踪迹。有些电子交易工具内置了实时定位器，使得被动监测和监督转变为执法的方式。交易记录暴露了个人的经济状况、投资方式，这些都是大多数人不愿被他人所知的隐秘，这些信息的外泄将对个人的财产安全构成极大的威胁。

第三，追踪通讯。通过公共交换电话网络(PSTN)、移动电话、卫星电话追踪人的位置相对困难，但使用定位信息和位置标签进行类似的操作却是简单可行的。自从有了移动通信技术，无论是在实时应用还是登陆其信息库上，追踪设备的使用都将更加动态。随着技术的发展，用个人化的号码取代位置识别号码为手机客户提供服务成为趋势。这样一来通过移动设备自动报告个人的位置就可以提供更准确和及时的监测数据，不可避免产生对个人位置的进一步追踪。

2.数据集成和数据库技术

数据集成是把不同来源、格式、特点性质的数据在逻辑上或物理上有机地集中，从而提供全面的数据共享。由于数据的获取方式不同，可能是遥感影像获取的图像数据，也可能是GPS坐标数据，还可能是监控设备获取的监控数据，要将这些数据集中在同一个系统中或框架下，需要通过数据集成技术来实现，目前采用的方式有联邦式与基于中间件模型和数据仓库等，同时解决各种数据的交互也是关键点。

数据库技术是信息系统的核心技术，是一种用计算机管理数据的辅助方法，它研究如何组织和存储数据，如何高效地获取和处理数据。然而，地理空间技术所涉及的数据库技术不同于传统的数据库技术。地理空间数据库不仅包含属性数据，还包括空间数据，同时还有这两种数据的关联。

第一，位置信息数据库。随着GIS和LBS的商业化发展，大众对数据的需求日益增加。LBS(基于位置的服务)的实现需要后台数据库的支持。LBS模式有休闲娱乐型、生活服务型、社交型和商业型四种。以生活服务型为例，人们通过这项服务对周边生活服务设施，如商场、饭店、旅馆、电影院等进行搜索。这时，服务器通过终端所发送的位置信息与数据库中的数据进行匹配，反馈给用户其所感兴趣的结果，这些结果以文字或图片的形式呈现。由于系统的开放设计，数据库信息大部分来自于曾经过该地点的用户所上传的各种形式的数据，这些信息可能包含侵犯他人隐私的部分。例如，上传的照片中可能涉及公众人物的住宅、汽车，甚至是室内的家居摆设等。

第二，商业数据库。有些企业从事有关个人数据的收集、处理和存储，他们从信用局记录、公共记录、电话记录和专业存储文件等数据集成中获得消费者信息。他们通过名称或地址的变动信息来净化数据，无论是选择还是退出进程都是收集过程的一部分，利用所获得的数据开发家居或专业产品。例如，美国三大信用报告机构保存了约1.9亿人的个人数据，这些数据来自各种授信业务公共记录中的添加信息，包括姓名、地址、社会安全号码、电话号码、出生日期、就业信息和信用历史记录。

(二)地理空间技术利用隐私法律保护的不足

现有的法律保护方式不足以防范地理信息技术利用的隐私风险。数据保护从立法或实务层面来说，都是针对数据本身的保护而非针对个人，其针对的是数据主体(自然人、公司和法人)及遵照一定原则搜集操作数据的机构或组织[2]。这些原则包括履行法定或约定的先决条件，在数据的收集、使用和传播过程中，数据主体的授权是至关重要的环节。

数据保护无法同时保护隐私。在不同的背景环境中，人们以各种方式泄露个人信息，比如：在医院、银行，甚至是通过电话提供银行卡密码，通过网络或快递填写订单，我们不断将具有隐私属性的“所有物”向他人揭示。结果隐私信息通过日常活动而被数据库虏获，比如：个人收入、家庭信息、健康及职业细节等。

个人信息保护与个人隐私保护存在区别[3]。前者是对个人信息秘密的保护，而后者是有关个人对事实真相私下采取的措施。当通过数据可以定位个人身份时，个人隐私的保护成为问题。另一个问题是当个人可能因某种原因泄露了个人信息，之后是否可以再次给予允许？特别是当信息被伪装成集合的形式或者以其他形式改变用途，以至于全新的综合性数据与个人最初所提供的信息有极大地不同。因此，对个人隐私的入侵威胁要么在于包含个人信息的数据和信息的发布，要么在于不含个人信息的异样片段信息的发布，这些信息是由地理定位信息、交易活动、电子足迹和其他途径推理而得。

(三)域外地理信息隐私保护的相关规定及协调

1.欧盟关于个人数据处理的相关规定

《欧盟数据保护指令》规范“个人数据”的“处理”行为。 “个人数据”[4]是指与一个身份已被识别的或者身份可被识别的自然人的相关信息。“处理”是指对个人数据进行的任何操作或一系列操作，无论该操作是否以自动方式进行。该指令旨在欧盟地区构建高水准的个人数据隐私法律保护框架。同时，通过该指令协调各成员国的隐私保护政策，以促进个人数据的转移。欧盟数据保护指令约束私营部门的数据处理行为，不包括公共安全、防卫、国家安全、司法、个人及家庭活动。

“数据控制者”指的是，在决定个人数据的处理方式和用途的过程中起作用的任何人。指令对“数据控制者”的数据处理行为进行限制。首先，限制数据类型及数据处理方式。个人数据只能因特定用途而收集，不得以与其目的相悖的方式进行数据处理。数据量应与数据用途相匹配，保证数据的准确性和实时性。数据应以个人可识别的方式保存并能够向个人说明数据用途。第二，个人数据的处理应该经过“数据主体”的明确同意，对于“必要的同意”有严格的规定。第三，通常情况下，禁止处理敏感个人的数据，即“透露种族或民族起源、政治观点、宗教或哲学信仰、工会会员身份”的数据。第四，数据控制者必须向数据主体公开部分数据，包括数据控制者的身份、处理数据的目的及任何与数据主体有关的附加数据。第五，在合理期限内且不增加额外费用的前提下，数据主体有权向数据控制者确认正在处理的、与数据主体有关的数据。第六，数据控制者必须确保所处理的数据的保密性与安全性。第七，在任何自动数据处理开始之前，数据控制者必须通知国家监督机构。欧盟数据保护指令要求每个欧盟成员国都必须设立这样的机构。第八，欧盟数据保护指令对数据控制者将个人数据转移到欧盟成员国以外的国家做了限制。只有在接收国有足够的数据保护能力的情况下，才允许将个人数据向该国转移。

2.美国公平信息实践原则

美国公平信息实践原则包括五个基本原则：通知意识、选择同意、参与机会、安保完整、实施救济。(1)通知意识是公平信息隐私保护的基本原则。在收集任何个人信息之前，应将信息处理的全部细节通知当事人。未经通知，任何人不得披露个人数据。(2)选择同意是指被收集者对个人信息的收集形式有选择权。这个选择与信息的次级使用者们有关，这一点并不是达到原始目的所必需的。一般情况下，该原则含有选择性加入与选择性退出机制。选择性加入机制需要一个“同意”步骤，确认当事人允许信息的收集及使用；选择性退出机制同样需要一个“同意”步骤，确认当事人不允许信息的收集及使用，这两种机制的不同之处在于未经当事人同意时的违约责任不同。(3)参与机会。该原则是指个人获取数据、更正数据及完善数据的能力。获取及参与数据收集都是保证数据准确完整的必要条件，在数据校验机制和记录数据修改及缺陷的方法的保证下，获取数据必须及时、便宜，简单。(4)安保完整。所得数据必须准确且安全。为保证数据的完整性，收集者必须采用合理的步骤，使用值得信赖的数据源及交叉检验的数据，而不是多个数据源，这样就可以给用户提供使用数据的入口，并剔除陈旧数据。数据安全包括数据管理及技术措施，以免数据丢失，未经许可的进入使用及数据公开。(5)实施救济。隐私保护原则只有在适当的机制保障下才能得以实现。没有机制保障，隐私保护原则无法转化为解决问题的办法。保障原则得以实施的救济方法包括：行业自治、自力救济和司法救济 。

3.欧盟与美国地理信息隐私保护方法的差异

《欧盟数据保护指令》与美国公平信息实践原则存在差异。首先，《欧盟数据保护指令》对个人数据的收集数量规定了实质性的限制。“相对于数据收集的用途和/或进一步处理而言，收集的数据不宜过多。”第二，个人数据必须“以一种允许数据主体鉴定，对于收集数据的用途或进一步进行数据处理有必要的形式进行保存”。第三，某些敏感数据的处理是禁止的，除了某些例外，对于“泄露种族或民族来源、政治观点、宗教或哲学信仰、工会会员资格，与健康或性生活有关的个人信息是不允许处理的”。第四，个人数据的连续转移应遵守以下限制，接受个人数据转移的个人在接收数据后必须维持“保护的适当程度”。

美国和欧盟的数据保护方法不同。首先，在欧盟隐私是基本人权，立法只是用来保护隐私的方式。数据库的获取及个人信息的处理须经政府批准。美国的数据保护制度立足于数据和个人信息的自由市场，避免政府对市场行为的过度干预。因此，美国的保护方法是政府综合运用法律、法规和行业自治规则，对数据保护状况进行监管。其次，美国宪法第一修正案严格限制政府的信息(包括个人信息)转移行为，而《欧盟数据保护指令》的配套规则可能与此相违背。《欧盟数据保护指令》限制转移的数据仅限于特定数据，即：财务记录、健康信息、录像带出租活动、驾驶执照详细信息、信用评级。最后，美国没有特定的政府数据保护组织机构，而是由各政府机构共同监督隐私信息和保护数据，如商业部、卫生与公众服务部、交通部、联邦储备委员会、联邦贸易委员会、国税局、国家电讯管理中心、财政部货币管理署、消费者事务局、行政管理和预算局、社会保险部门。

4.欧盟与美国地理信息隐私法律的协调

为了保护美国在数据跨境转移中的商业利益，避免依据欧洲隐私法的潜在诉讼，美国商业部提出了“安全港框架”。该框架允许美国公司在满足欧洲的“适当性”标准的同时，维持对数据保护的传统监管方式。为了取得安全港的保护资格，企业必须每年以书面形式上报商业部，公开自己披露的隐私，陈述自己已遵守了安全港原则。

安全港框架数据处理实体原则共有七项，美国企业在处理来自欧盟数据时必须遵守这些原则。(1)通知：企业应清楚告知当事人收集他们数据的目的；个人如何问询和申诉；数据披露的对象类型；限制第三方使用和再次披露的方式和手段。(2)选择：如果企业以个人未授权的方式披露或使用个人数据，个人有权选择不同意收集、使用、披露个人数据。对于敏感信息，应得到个人的明示同意。(3)连续转移：第三方披露个人数据时，企业必须遵守注意和选择原则。另外，企业应判断第三方是受安全港原则约束，或是受欧盟数据保护指令的管辖，还是属于“适当性”保护范围。企业应确保第三方会按要求提供同等程度的保护合同才满足本原则。(4)安全：企业必须采取合理的预防措施，保护个人数据免受损失、滥用、未经授权的访问、泄露、改变和破坏。(5)数据一致性：数据必须与使用这些数据的目的有关，企业不得以未经授权的方式处理任何个人数据，企业应采取合理预防措施保证数据的可信赖性，以及数据的准确、完整和实时性。(6)获取：个人有权合理获知与其有关的信息，并有权更正、修改补充和删除不准确的信息。获取权可依合理原则加以限制，企业可因提供数据收取费用，也可在一定时期内限制申请次数。(7)执行：企业必须建立独立、便利，成本合理的争端解决机制，该机构应具有独立的审核程序及足够的处罚力度。处罚方式包括：公开调查结果、删除数据、中止隐私项目的成员资格、颁布禁令和损失赔偿。对雇员数据的转移，企业应与数据保护署合作，目前欧盟各国数据保护署已建立专门小组，裁决安全港争议及标准的申诉形式。

(四)结语

地理信息数据与其他数据的结合将地理空间技术转化为强大的追踪、储存及分析个人信息的工具。地理信息技术具有追踪、数据整合、数据分析的能力，比其他技术更具有对个人隐私的侵略性。然而，不能以此为由排斥该技术，应构建科学合理的地理信息法律制度，并依法使用地理信息技术。在隐私保护方面，《欧盟数据保护指令》的规定与美国公平信息实践原则存在差异；安全港框架数据处理实体原则共有七项，美国企业在处理来自欧盟数据时必须遵守这些原则。以上法律制度设置对于我国地理信息隐私法律体系的构建具有借鉴意义。

参考文献：

[1] Rowe H，Mc Gilligan.R 2001‘Data protection location technology and date protection’[J].Computer law and security report，2001，17(5)：333-335.

[2] 郭 瑜.个人数据保护法研究 [M].北京：北京大学出版社，2012：25.

[3] 王泽鉴.人格权法：注释义学、比较法、案例研究 [M].北京：北京大学出版社，2013：177.

[4] 克里斯托弗·库勒.欧洲数据保护法——公司遵守与管制 [M].旷 野，杨会永，译.北京：法律出版社，2008：99.