互联网与大数据环境下隐私保护困境与规则探讨

陈堂发

(南京大学 新闻传播学院，江苏 南京 210093)

近年来，由于互联网与大数据环境对人们日常生活的全方位覆盖，隐私焦虑意识成为社会公共性话题。“隐私权保护的强化与现代信息社会具有密切不可分的关系。由于计算机、网络、传播等各种科技的快速发展，使国家、企业或个人能够迅速地搜集、储存、传送有关个人的各种数据，以不同的方式加以组合或呈现，作为一种资源或商品加以利用。隐私权的保护旨在使个人得有所隐藏，有所保留，有所独处，得为自主而拥有一定范围的内在自我。”

这种经验性感受也日益突出。然而，隐私保护应当强化的社会期待与司法在实践上能够强化保护之间的鸿沟越来越大。在无可回避的数据化环境下，作为折中的手段，理性压缩法律之于隐私保护的范围，区分不同的隐私类型，才是可行的路径选择。

一、互联网传输与运营模式使个人信息管理存在风险

移动互联、社交网络、电子商务、大数据开发利用等大大拓展了互联网的应用领域。人们在享受互联网带来的无与伦比便利的同时，也无偿贡献了自己的“行踪”。在互联网环境下，“要想人不知，除非己莫为”成为不折不扣的事实。用户的任何行为与表达都可以被记录下来，人们对自己隐私的隐匿要么存在不经意的细节遗漏，要么被技术“劫持”，用户隐私保护的焦虑日益突出。

2013年5月，朱烨向南京市鼓楼区人民法院起诉北京百度网讯科技公司。原告诉称，她在家中和单位上网浏览相关网站过程中，发现利用“百度搜索引擎”搜索相关关键词后，在特定网站上就出现与关键词相关的广告。原告认为，百度公司未经其知情和选择，利用网络技术记录和跟踪自己所搜索的关键词，将自己的兴趣爱好、生活学习及工作特点等显露在相关网站上，并利用记录的关键词，对其浏览的网页进行广告投放，侵害了其隐私权。2014年10月，鼓楼区人民法院做出一审判决，认定被告百度公司利用cookie技术收集原告信息，并在原告不知情和不愿意的情形下进行商业利用，侵犯了原告的隐私权。

2015年6月，南京市中级人民法院撤销一审判决，做出如下认定:其一，百度公司收集、利用的是未能与网络用户个人身份对应识别的数据信息，百度个性化推荐服务收集和推送的信息终端是浏览器，没有定向识别该浏览器的网络用户身份;其二，百度公司并未直接将数据向第三方或向公众展示，没有任何的公开行为。个性化推荐服务客观上存在帮助网络用户过滤海量信息的便捷功能，网络用户在免费享受该服务便利性的同时，应对该服务的不便性持有一定的宽容度;其三，基于cookie技术而产生的个性化推荐服务仅涉及匿名信息的收集、利用，网络服务提供者对此依法明示告知即可。百度在《使用百度前必读》中已经予以说明并为用户提供了退出机制，朱烨仍然使用百度搜索引擎服务，应视为默认许可。

与一审法院意见相比，终审判决对互联网技术运用与网络运营模式给予了优先保护。法院认为cookie技术对用户个人信息与浏览事项的收集与记录行为本身并不违法，而用户在有《使用百度前必读》条款约定的前提下选择了使用百度搜索引擎，视为默许接受依据其个人信息与浏览事项所提供的个性化推荐服务。而这种个性化推荐服务仅涉及匿名信息的收集、利用，不构成侵害隐私权的基本要件，即公开扩散、明确而特定指向。此外，终审判决还援引民事法律应遵循的“价值对等”“公平自愿”原则，即与“免费享受服务便利性”相对等的“对于服务不便性的宽容”。事实上，用户并非免费享受搜索引擎服务，施加用户“宽容”的义务并不完全符合公平原则。

从技术层面看，普通用户所接触的互联网服务是基于浏览器、服务器模式(BS模式)，用户通过浏览器在网页上的每一次点击，都会经过中间代理服务器、通信服务运营商、公司的网管等一列中间环节，用户的“行踪”在各环节中可以被“劫持”，浏览器与服务器之间的信息传输采用超文本传输协议(HTTP)，即明文传输方式。而点击的痕迹也同时被网络终端设备的cookie、浏览器、操作系统等记录。用户搜索过程中，信息“劫持”(无论是DNS还是TCP劫持)的后果可能会出现“偷梁换柱”的跳转，或者代之以广告等，所有使用HTTP协议的站点都存在这一风险。解决用户信息安全传输问题，可采使加密协议HTTPS。该协议对传输的数据进行加密，而加密和解密过程仅在传输数据的浏览器和服务器之间进行。但国内一些网站并未普遍使用HTTPS协议，除了成本因素外，还有一些其他影响要素。证书颁发的认证机构(CA，通常是国外的网络公司)对拟认可的网站需要进行严格审查，有些审查标准对于国内一些网站很难达到，比如互联网政策环境方面的要求，使用HTTPS协议可能会使得政府对网站内容监管难度加大。此案被告已采取了HTTPS标准，但针对用户请求内容而有针对性地推送广告，已经成为这类网络服务商主要的营利模式。鉴于目前国内互联网传输与运营模式的整体环境，用户个人信息管理不可避免地存在泄露风险。

与此密切相关，面对互联网技术模式，用户对个人信息自我保护的行动意识比较缺乏。一项针对高校学生的隐私认知意识的问卷调查显示，在回答“使用互联网服务时，您会阅读隐私条款吗”时，406份问卷中只有21人选择了“总是会阅读隐私条款”，占总数的5.1%，而138人选择了“从来不阅读隐私条款”，占总人数的33.4%，另有68人选择“读与不读都没有实质意义”，约占总人数的16.7%。而在网络使用密码更换问题中，这一倾向更为明显。“您经常更换你重要账号的密码吗”的统计结果显示，8人约“一星期左右更换一次密码”，11人回答“1个月左右更换一次密码”，42人选择“1年更换一次”，254人表示“从来不换”，而有91人表示“没有这方面意识”。此外，在浏览网页后是否删除cookie和是否会使用SSL协议(SSL，即安全套接层，用以保障在Internet上数据传输的安全，利用数据加密技术，确保数据在传输过程中不被截取。)浏览网页的问题测试中，受访者隐私保护意识也比较薄弱。只有35%的受访者在浏览完网页后会删除cookie，而大部分受访者则不会删除。有关SSL协议，有56%的受访者表示根本不知道SSL，会使用SSL协议浏览的受访者仅占总人数的12%。接受高等教育的大学生群体尚且如此，文化层次较低的网民则更缺乏隐私保护的意识与能力。互联网的大众化使用并不代表知识壁垒的消除，技术方面的知识阻隔使得用户的隐私自主意识难以自保。

二、大数据具有构建“合成型隐私”的功能

为细致与深入讨论的需要，本文将隐私的存在形态分为自然型隐私与合成型隐私，“合成型隐私”是相对于“自然型隐私”而言的。自然型隐私是指某一单项个人信息或行为事项，其本身就可以单独构成实质性隐私，未经同意公开这些个人信息或行为事项就构成隐私权侵害。合成型隐私则指由原本不能单独构成隐私的若干单项个人信息或行为事项，经聚合后形成新的描述与指向功能而构成的隐私。亦即有些个人信息或行为事项虽具有私的属性，但其单项信息本身不能独自构成典型意义上的隐私事项，这些私信息或事项作为综合体才具有隐私特质。在传统媒体与传播环境下，由于信息整合功能的有限性，因合成型隐私的披露而构成侵权行为一般不会发生。

随着互联网、移动互联网、物联网、云计算的兴起以及移动智能终端的快速普及，网络运营商获得了无所不包的用户数据。除了常见的年龄、资费、入网渠道等基本信息外，还包括上网时间与地点、浏览内容偏好、应用软件的使用时间以及终端品牌、终端类型、终端应用功能与操作系统等，还包含了诸如Web浏览记录、传感器信号、GPS跟踪和社交网络信息等全息性数据。“大数据时代我们的行为确实可以预测，我们在享受一些免费服务的同时，也出卖了自己的喜好。”从这些庞大的用户数据中，可以分析出不同用户的行为习惯和消费喜好，使得用户成为无处隐身的“透明人”。

在社交、购物、休闲、娱乐等诸多网络空间里，虽然大部分都是有关私人情况的数据，这些分散在不同交流平台、不同空间与时间里孤立的、碎片化的数据，如果没有建立一种普遍的关联性，一般不涉及隐私披露问题。但社交网络提供了统一的接口，微博、微信扮演了用户行为数据连接器的角色。用户在网络上的碎片化行为，经由社交网络，就能完整地勾勒出一幅生动的网络生活图景，真实地反映了用户的偏好、性格、态度、心理、健康、私人生活与情感等。特别是大数据的商业运用与价值挖掘，某些原本无关隐私的数据的拼合，就会形成典型意义上的个人隐私范畴。

基于大数据而产生的合成型隐私颠覆了隐私保护以隐私主体为中心的传统理念。传统媒体时代，出于对隐私的尊重，数据收集者必须告知对方收集了哪些数据、作何用途，在收集开始之前征得对方同意。而大数据时代，收集者无法告知对方尚未确定的用途，因为收集者对其获取的初始信息在后来环节如何被若干次加工不能预测，而隐私主体亦无法同意这种未知的用途。“大数据时代，‘告知与许可’这个经过了考验的规则，要么限制了大数据潜在价值的挖掘，要么太空泛而无法真正地保护个人隐私。”“不管是告知与许可、模糊化还是匿名化，这三大隐私保护策略都失败了。”此外，“合成型隐私”使得“使不可辨识”隐私保护策略面临无效考验，即“足够的信源、充分的信息”经过有机整合可以形成明确的隐私指向。隐匿隐私主体的真实身份，对于传统媒体而言，是避免隐私侵权的有效策略，因为不同传统媒体之间存在一定的相互独立性，对同一个自然人“真实身份”信息的不同侧面“隐匿”是有效的。但大数据具有比对提取与精细信息关联性的黏合功能，若干“模糊性”信息的综合，可能指向了隐私主体。

大数据具有的基本特征是:海量的数据规模，快速的数据流转和动态的数据体系，多样的数据类型以及巨大的数据价值。大数据的融合价值实现可能形成一种副产品，即对隐私主体“被遗忘权”的侵犯。作为“隐私自主”的具体体现，“被遗忘权”即是隐私主体享有向相关主体(如索引服务提供者)随时要求移除已经成为过去状态的个人数据痕迹、使自己被社会“遗忘”的权利。大数据的广泛运用使得曾经被媒体关注过的“新闻人物”的不光彩经历可能永远被海量数据“保留”，任何一次目标搜索请求都可以重新展现那些已经成为过去的不体面经历，这些恰恰构成隐私内涵。传统媒体时代，这种不光彩事件报道属于典型的“易碎品”，迫不得已被一次报道之后，它就很快失去“新闻光环”，被受众遗忘，媒体对此“旧闻翻新”是有禁忌的。

三、自然型隐私与合成型隐私保护规则的区分

目前，无论是理论研究还是立法倾向，都主张广义的隐私保护。如学者对隐私权所作的界定具有权威性、代表性:“自然人享有的对其个人与公众利益无关的私人信息、私人活动和私人领域进行支配的一种人格权。”只要是与公众利益无关的私人信息、私人活动和私人领域的事项，均纳入隐私保护的范围。2014年最高人民法院出台的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》对隐私予以列举，即自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息。只要具备“私性”，皆为隐私。但“凡私皆隐”的隐私观既不完全符合人格价值的特定属性，更不适应互联网传播的大环境。“朱烨诉北京百度网讯科技公司侵害隐私权纠纷案”的终审判决也从一个侧面给出了信号:移动互联网纪录行为自控性、记录行为适时性增加了判别“隐私自决”意志表现的复杂性，隐私意味着私人性与隐秘性，是否侵犯隐私权，应正确把握互联网技术的特征，妥善处理好民事权益保护与信息自由利用之间的关系。

对隐私作类型化划分，区别设定其保护规则。对传统意义上的法定隐私内涵与外延作必要的压缩处理，以是否涉及伦理价值的人格尊严作为隐私保护的严格标准，将之作为“自然型隐私”对待。将无关人格尊严的一般个人信息拟由个人信息控制权的法律关系规范，但不排除一般性的个人信息具有隐私属性，即足够数量、多侧面的一般性个人信息经由互联网平台大数据技术的综合处理而形成的严格意义上隐私，作为“合成型隐私”处理。两类隐私保护的法律化原则既要缜密严谨，也应有一定区别。

“自然型隐私”的法律保护强调位序性与制约性的系列原则:以人格尊严与伦理价值作为要件的隐私庇讳原则;以主体不同身份角色与所处境遇确立隐私外延差异原则。各原则之间如果存在冲突，则拟订弥补原则或递进原则，明确价值优先的唯一性。具体而言，第一位序原则，个人信息与事项是否关涉人格尊严。递进原则，是否涉及足够的个人信息，衡量被公开的信息是否包含翔实、具体、细节的核心隐私内容。弥补(例外)原则，是否影响个人生活宁静。第二位序原则，私情信息是否构成违背道德或是违法犯罪的主要事实。递进原则，区别对待普通人与政治、社会公众人物。弥补原则，以社会可以容忍程度为判断依据。第三位序原则，是否属于共同隐私。递进原则，是否出于权利救济需要。弥补原则，涉及共同私事是否不能被确证。第四位序原则，是否属公开场合的私人行为。弥补原则，是否为失去意思自治或正常控制能力，且不影响他人利益或公共利益。第五位序原则:是否属于善意且不得已公开。递进原则，基于道德价值善的媒体救助行为，救助效果与私人信息隐匿不能两全、善意且不得已情况下，隐私公开视为当事人同意;或者作为权益受害一方，出于正当维护自身权益的不得已考虑，不可避免地涉及对方隐私内容。

“合成型隐私”涉及个人信息控制权，核心在于个人信息保护与信息自主。基于追究非法泄露个人信息的行为主体的法律责任事实上的困难，对于商业性、欺诈性使用个人信息的恶意侵害财产与人身行为，应将责任追究置于非法使用他人信息的主体，并适用惩罚性赔偿与精神损害赔偿并用的法律责任。精神损害赔偿以受害人感到明显的精神伤害为条件，惩罚性赔偿则不以受害人实际遭受精神伤害为条件，只要加害人主观上具有违背他人意愿的恶意。不能以精神损害赔偿替代惩罚性赔偿，高额的惩罚性赔偿责任具有不可替代的惩戒与劝阻功能。作为“合成型隐私”，它的经济价值不为其权利人取得并享有，而是对侵权人产生效益。隐私权的目的之一，正是要阻却其客体(隐私)产生财产。一般而言，单个的隐私不足以产生经济价值，一定数量的隐私内容有机结合才能产生有价值的信息。

从隐私人格利益保护牵涉的社会价值或价值理性考虑，“合成型隐私”保护规则应该宽容互联网对于碎片化个人信息的强大黏合功能，以“维护伦理人的基本尊严”即“人的羞耻感与内心安宁渴求本能”作为标准确立隐私保护必要性。鉴于互联网技术对于个人生活渗透的不可避免性，该类隐私保护规则还应体现“社会对涉私的违德行为可容忍度”的“中人标准”，隐私主体承担着被迫放弃部分隐私人格权益以实现社会共享价值的强制性义务。