数字经济架构中的动态隐私理论及其应用

倪蕴帷

(南京审计大学 法学院，江苏 南京 211815)

一、 问题的提出

数字经济中的底层技术架构，如大数据、云计算、物联网、区块链等，从根本上改变了人际连接方式和社群组织结构。这种异质性对于信息社会中的隐私法律机制及其相关规则会造成何种冲击，不无疑问。现行隐私理论起源于社区规模较小、数据传播体量及方式较为平缓的后工业时代。如今，信息传播不单是通过报刊和信件，更是在海量记录系统和数据库之间传递。数字档案的规模化促成了一个复杂的信息网络结构，在这个结构中，数据信息的存储、分析和使用方式不仅对经济社会产生了深远的影响，同时也亟待法律的回应。

信息构架上的变革需要法律体系上的整体革新。[1]以公私二分和个人控制为核心的传统隐私范式不仅保护效率低下，且会限制数据应用和信息流通。由Helen Nissenbaum提出的情境脉络完整性理论则通过动态的、情境导向的方式为解构和重建数字经济时代的隐私概念及相关机制提供了新的思路。本文将以该理论为基础，通过Facebook网站的隐私权政策分析、大数据伦理与隐私保护、智能手机应用许可的缺陷与改进、物联网设备的隐私规范调查等应用进行实证检验。

二、 隐私权在数字时代的概念消解与重塑

隐私作为一个哲学、心理学、社会学和法学概念，已经在社会科学的几乎所有领域诞生并被研究了100多年，法学家们曾多次尝试将不同领域的不同观点结合起来。然而，这些理论上的努力仍然得到的是一个支离破碎、定义与内涵相分离的概念，既没有充分的学说展开，也没有足够的经验验证。关于将隐私权作为一项私法上的权利有如下争论：如果存在这样一种权利，它是如何产生并在法哲学上合理化的？它的范围和边界如何，又是通过何种方式进行保护的？[2]隐私似乎包含各个价值面向上的不同属性，隐私权也存在过于泛化和不确定性的问题，始终无法形成统一观念。

进入数字时代，信息技术的应用进一步加剧了隐私权在概念上的模糊性。例如，传统上以私密范式为主要内涵的隐私定义，在公共领域与私人领域愈发难以区分的互联网情境下，面临被解构的风险。以私密性价值作为隐私判断的基准，在比较法上通常被视为确定隐私权权利边界的主流方法。德国法早期采用“领域理论”，将人格领域划分为隐密领域、秘密领域和个人领域，根据其距离人性尊严核心的远近分别予以不同强度的保护。在我国《民法典》中，隐私也被定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”但这样一种公共、私密的二元区分，在通信数据技术和数字底层构架不断扩张和变更的场景下如何维系？在互联网重塑的社会结构性关系中，何谓公共领域？何谓私人领域？公私之分在数字平台和数字场景中的消解一定程度上也使传统隐私概念面临应用的困难。

“技术变革是一场浮士德式的交易。”[3]技术的给予和技术的代价并不总是相等的，一项新技术有时创造的比破坏的更多，有时则破坏的比创造的更多。例如，早期的数字版权管理系统旨在促进受版权保护的内容在网上的自由流动，但其结果是建立了一个能够监测和跟踪用户消费的系统，从而对个人阅读、观看和聆听习惯等造成隐私威胁。[4]再例如，储存在用户本地终端上的Cookie数据也可能被用于监测用户的浏览记录。[5]新兴通信技术一方面改变了传统的信息交互模式，创造出新的问题和矛盾，另一方面也在一定层面上破坏了既有法学规则的事实基础。

如学者所言，隐私权的权属范围和概念内涵与具体语境下的习俗、惯例、文化等息息相关。[6]隐私在不同的社会时空和不同的场景下应具有不同的边界、范围和价值。由于时代背景和信息传播方式的变化，隐私的内涵也会随之不断改变。一个典型的例子就是在通信技术尚未普及的年代，隐私很大程度上以物理空间的侵入为主要内容，而进入互联网时代后，隐私更多地以信息隐私的形态进行适用。[7]各种学说和理论上的差异不仅由特定文化背景决定，更受到了不同社会时空和科技水平的影响。古典隐私起源于信息传播较为直接和简单的前信息时代，而当代数字应用则从根本上改变了人际交互方式与社群结构形态。因此，这一信息构架上的根本改变也要求隐私权在概念和制度构造上的整体重塑。

以社会资讯流动规范为核心的情境脉络完整性理论既不同于围绕人格权的私密性利益或控制性利益等建构的传统进路，也没有将隐私简单地归于个人独处、有限接触或亲密关系等基本价值。该理论摒弃了公私二分的判断基准，而将隐私保护与特定情境下的语境脉络和社会规范相连接，通过资讯主体、信息属性和传播原则等三要素所共同组成的动态框架，为评估数字经济下的新型应用提供重要参考。

三、 隐私权在我国法中的理论演进及其不足

国内的隐私理论可大体上分为三类：基于古典“个人独处权”定义的私密性理论，基于“信息控制”观念的控制性理论和通过不同信息分类进行规制的信息类型理论。由于“隐私”一词的文义限制，国内学界通常将其理解为一种私密性的权利范畴，隐私利益被严格限制在公私二分的范围之内。然而，这样一种对于隐私权的窄化理解，既无实定法上的支撑，亦不具备理论上的优势。从实践经验来看，绝对私密化的隐私定义也会导致司法裁判中狭隘的保护范围和救济困境。保有隐私不意味着不与任何人分享信息，非公即私的二元区分是将独处意义上的隐私与绝对的私密划等号，而忽略了隐私权在不同情境下具有的多重内涵。特别是在公私界限愈发模糊的数字经济时代，二元对立的隐私观念日趋萎缩，隐私内涵也越来越难以由私密性价值所决定。这些现象都表明，私密性理论难以符合当前隐私保护的现实需要。

作为国内主流观点的控制性理论，主要借鉴了德国法的信息自决等概念，认为个人信息权已然可以取代隐私权，以发挥信息自我管理和主动控制的作用。然而，德国法本无隐私之概念，信息自决权通常被视为一般人格权在私领域的具体化。在美国法中，信息控制一向被认为是隐私权的主要定义之一。在兼采德国法和美国法理论的日本法中，多数学者也将其作为隐私保护的有力学说，而没有视为一个独立的概念。因此，没有必要对隐私权和个人信息权进行区分保护，这种区分不仅缺乏学理依据，也会造成立法资源上的浪费。控制性理论在实践效果上也力有未逮，点击同意机制在根本上削弱了个人的选择权，有限理性现象则加剧了个人的决策偏差。由于信息的公共产品或公共价值属性，无法严格贯彻一物一权原则，这使得信息主体不可能对自己的信息进行绝对的排他利用或处理。人类的社会性表明个人的决定自由应当受到他项权益的限制，承认绝对的信息控制只会导向信息禁止的境地。这说明，以“通知—选择”模式为核心的控制性理论既缺乏理论上的正当性，也无法为个人提供有效、具有实质意义的保护。

由于控制性理论过度扩张了个人信息的保护范围，信息类型理论则试图通过不同信息类型的区分保护进行收缩。学理和立法上常见的信息分类包括敏感与非敏感信息，个人可识别性信息以及美国司法实践中确立的内容与非内容信息等。该理论通过划分不同的信息类型，并分别予以不同的保护力度，以兼顾信息的流通和利用价值。然而，信息类型理论将隐私利益按照不同的信息类型进行预先分配，却忽略了信息性质与其使用情境的关联性。信息是否敏感，能否表现通信的内容、主旨或含义，往往是由其在不同应用场景下的使用途径所决定的。同一信息在某些场景下是敏感的，在另一些场景中未必具有高度的敏感性。信息的规范价值会随着使用途径的变化而改变，这使得特定信息的隐私内涵难以通过静态的信息分类加以确认。

由此可见，当前主流的三种隐私保护理论都具有一定的合理性，但也存在诸多不足。它们都试图以某种单一的视角来解读隐私，这就必然导致一些情境中的合理适用，和另一些情境中的价值错位。情境脉络完整性理论则认为，信息使用方式的规范评价无法脱离特定情境进行抽象判断，不同的情境脉络具有不同的资讯流动规范，不同的资讯流动规范又决定了信息的使用方式与适当性标准。我们对于隐私内涵的认定，就是依据这些资讯规范所产生的。所谓保护隐私，即是保护信息的合理和适当使用，不是不使用，或仅基于知情同意才得以使用。通过三要素构成的适当性标准取代私密性或控制性判断，不仅巧妙地解释了隐私概念的多义性，也能够根据场景的变化而进行动态适用。

四、 动态隐私框架：情境脉络完整性理论

情境脉络完整性理论(Contextual Integrity，CI理论)，是将隐私与具体情境下的资讯流动规范相关联的概念框架。按照该理论，所谓隐私保护即是维护个人信息在特定情境下的适当流动，不是不向公共领域流动，而是仅基于个人同意才可以流动。CI理论认为，不同情境下的资讯规范或隐式或显式地塑造和限制我们的角色、行为和期望，当我们违反特定规范时，情境脉络的完整性便受到了破坏，从而也就构成我们通常认知中的隐私侵害。

与其他社会规范一样，资讯流动规范通常不是固定不变的，可能会以不同的速度缓慢或突然地发生变化、演变，甚至逆转，有时是由于文化、法律和社会层面的改变，有时是由于无法控制的突发事件。科学技术是变革的重要动因。特别是数字系统和信息技术所具有根本的破坏性，使得信息实践常常偏离根深蒂固的资讯规范。为了解释为什么这种破坏在法律评价上是有问题的——或者更确切地说是为了区分那些是和不是。基于规范的隐私评价机制，比如CI理论，可以为区分这些差异提供重要的判断基准，这使得我们能够从一个系统的角度来审视不断变化的新型实践。

简言之，资讯规范因特定情境而异。不同的社会生活场景决定了不同信息使用方式的规范评价，进而决定了何谓隐私侵害。例如，医生询问年龄通常被认为是合适的，但商品销售员则不然。无论是在与医生交谈、在商店购买物品，还是仅仅在公园散步，资讯流动规范都决定了什么类型的个人信息适合与他人共享。情境脉络完整性理论是建立在“没有不受资讯流动规范支配的社会生活领域……”这一概念的基础上。[8]这些规范解释了我们在信息隐私方面的基本权利边界，当这些资讯规范被不当地违反时，我们的隐私权便应当被认定受到了侵犯。

具体而言，不同情境下的资讯流动规范由三个要素构成：资讯主体，传播原则和信息类型。资讯主体包括信息的发送者、接收者与归属者。“特定情境中的资讯规范决定了相关主体的角色，每个角色都与一组职责和特权相关联。”[9]例如，在医疗场景下，患者(归属者和发送者)共享的信息在很大程度上取决于接收者是谁——医生、理赔员等。反之，医生传输信息的规范评价同样取决于接收者的角色——患者、同事、保险公司等。因此，各类资讯主体的角色是影响不同资讯规范下情境完整性的关键变量。

CI理论框架中的第二个要素是传播原则。传播原则是对信息流动的限制或约束，以确定信息在实际情境下所应具有的传递方式。一个典型的传播原则如私密性原则，禁止接收信息的资讯主体将该信息传输至公共领域。在某些情况下，信息流动是双向的，代表了互惠的传输原则。在另一些情况下，资讯主体可能会自愿或被强制共享信息，如新冠检疫场景中的信息披露。对网站或数字应用的隐私权政策条款而言，其目标在于获取用户同意，此时的传播原则也体现为强调个人信息自主的控制性原则。CI理论的核心论点是，没有一个可以指导全部信息使用场景的普适性原则。隐私不等于绝对的私密，隐私权的规范内涵应当根据不同的场景动态判断。

CI理论框架中的第三个要素是信息类型。与大多数隐私理论不同的是，CI理论拒绝信息类型的预先分配，如公共/私密信息、敏感/非敏感信息等，而认为应当根据具体情境动态地判断信息的规范意旨。信息是否私密、敏感，不能脱离实际场景进行抽象区分，在某个语境中的信息类型可能会因为场景的转换而做出相应改变。例如，日常交流场景中，人身信息是社会往来的必要媒介，具有标识、描述特定个人的识别功能，通常不具备高度的敏感性。但在非法使用个人资料的场合，人身信息可用于实施进一步的侵权行为或犯罪活动，此时就应当赋予其一定的敏感性。

这种动态、场景导向的判断模式同样可以适用于数字实践之上。在互联网应用中，仅仅因为一个特定的数据单元可以揭示实质内容，并不意味该数据应当或不应当受到隐私保护。信息的性质取决于该数据单位特有的多种因素，相关事实和分析也可能会在资讯传输的过程中产生变化。例如，网页的URL地址通常属于路径或寻址信息，但URL一般由英文单词所组成，从单词的词意中也可能推知网页的实际内容和主旨。一些新兴的音频处理App，可以从音频信号的非内容信息中推断数字编码和传输的音频内容。在某些情况下，甚至可以通过识别和恢复单个音素来重现会话的重要部分。看似无害的信息，如数据包大小、连接长度和所联系的网站等，通过技术手段的处理，也可以反映大量的底层内容。电话时代的公共交换网络(PSTN)结构较为简单，将信息进行不同类型的区分有一定意义。互联网协议栈的复杂分层则大幅提升了数据信息的多样性，元数据提供的信息远比PSTN环境中的普通信息要丰富得多。在互联网情境中，通信的实质内容有时可以从其相应的非内容信息中推断出来，很难在不同的数据信息之间划出明确、有意义的法律界限。基于这种复杂性，数据的敏感、非敏感状态不能抽象处理。简单的指导原则，如“电子邮件地址属于敏感/非敏感信息”往往是误导性的。一些通常意义上不重要、不敏感，无法揭示实质内容的信息，在特定情境中也可能具有高度的私密性。有必要对信息使用的特定事实和具体场景进行深入分析，以确定边界位于何处。[10]

由此可见，CI理论最为重要的特征是通过与特定情境的连接，赋予隐私以动态的、社会行为规范层面的概念内涵。对该理论而言，数字场景和数字应用并不构成一个离散的、异质的情境。虽然通信网络基础设施和协议会带来一些新的问题，但经验表明，没有一个孤立的社会领域脱离了“现实生活”。当从细节中抽象出来时，它们仍然忠实于人类实践和社会结构的基本组织规则。根据CI理论所建构的动态隐私框架，我们就可以通过特定于语境的目的、价值观和法学原则来定位情境脉络，解释根深蒂固的信息规范，识别破坏性的信息流动，并根据该框架来评估新兴应用中的信息实践。

五、 情境脉络完整性理论的实践应用

1. Facebook网站的隐私权政策分析

自Facebook(现已更名为Meta)滥用消费者数据的丑闻曝光以来，围绕隐私法律制度和知情同意规则的争论日益胶着。Facebook声称他们为用户提供了适当的信息控制机制，且向消费者进行了充分的告知和披露，但其效果如何需要检验。与此同时，欧盟《通用数据保护条例》的实施要求企业更新隐私权政策声明，“应以简单、透明、易懂和便于获取的形式，使用清晰、朴素的语言，向用户提供这些信息”。 基于公众的强烈抗议和条例要求，Facebook修改了网站的隐私权政策条款，对其信息共享行为进行了更为详细的描述。修改前后的条款有哪些变化，又存在何种不足，从基于CI理论的分析中不难得到一些可供参考的分析方法和初步结论。

首先按照特定情境，对CI理论中的各参数进行具体化。再通过模糊字符串匹配的方式，对更新前后的隐私权政策条款进行比较。

资讯主体：更新后的Facebook隐私权条款提供了关于信息发送者更为详细的说明，包括一些新的发送者类别，如“WhatsApp”等，其中使用频率最高的发送者是“Facebook”和“消费者”。与发送者类似，更新后的版本引入了新的接收者类别，如“在您共享受众之外的人员和企业”“内容创建者”“页面管理员”“Instagram”和“数据聚合公司”等，其中最常见的信息接收者是“Facebook”和“第三方服务、供应商、合作伙伴”。在前后两项条款中，信息的归属者大多为消费者。

信息类型：更新后的隐私权条款包含了更多对于信息属性或性质的描述，同时对现有类型进行了拓展。例如，“用户内容”被详细描述为包括“种族或族裔出身”“健康”“参加的活动”“兴趣”“宗教观点”“一般人口统计”“政治观点”“工会成员资格”和“哲学信念”在内的信息。

传播原则：更新后的隐私权条款不仅包括原先的信息流动条件和约束，还增加了新的传播原则，如“无论是否拥有Facebook账户或登录Facebook”“在照片、视频和相机应用中识别用户”“通过API重新共享或下载”“在用户提供数据前拥有合法收集、使用和共享的权利”等。

最后，通过对比分析前后条款和应用CI理论模型，得出现行Facebook网站隐私权政策条款具有的三点缺陷：描述不完全、CI参数膨胀和术语使用模糊。[11]

第一，描述不完全。隐私政策条款中的描述不完全，缺少CI模型里的必要参数，会导致消费者无法准确理解相关文本。根据统计，更新前的Facebook隐私权政策中45%的条款(19/42)缺少一个或多个参数，在更新后的隐私权条款中，这一数字增加至68%(49/72)。许多缺少信息发送者或信息接收者的语句只描述了“数据的使用”，即如何使用收集到的用户信息，而未告知具体的收集主体。缺少此类说明会迫使用户推断哪些实体可以从其他来源获取信息，并产生错误的隐私预期。一些声明缺少对传播原则的准确描述，例如，“我们在属于Facebook的公司家族中共享关于您的信息”没有具体说明在何种条件和约束下可以共享信息，迫使消费者推测信息收集的时间和原因等。

第二，CI参数膨胀。参数膨胀增加了将单个信息流动的描述与隐私政策声明相分离所需要的努力，因为通常不清楚哪些参数组合描述了实际发生的信息流动。例如，在“广告主、应用开发者和发行商可通过他们使用的Facebook业务工具——包括我们的社交插件、Facebook登录、我们的API和SDK或Facebook像素，向我们发送信息。这些合作伙伴提供您在Facebook之外的活动的相关信息，包括与您的设备、访问的网站、所做的购买、观看的广告以及如何使用其服务有关的信息，无论您是否拥有Facebook帐户或登录到 Facebook。”这一段声明中，多个资讯主体在多种传播原则的约束下可以收集多种信息类型的用户数据，用户很难理解每一种组合的可能。所谓CI参数膨胀即是指在同一语句描述中，采用了多种CI参数的组合，这就严重加剧了用户阅读和理解的负担。更新后的条文表达上较为丰富和透明，实则加重了参数膨胀的现象。

第三，术语使用模糊。更新后的隐私权政策条款没有减少模糊术语的出现频率，这说明了为什么网站隐私权政策通常是“含糊不明的，使人们很难了解一个网站收集了哪些信息，以及将如何使用这些信息。”[12]术语使用模糊包括条件模糊，无法确定信息传递的具体条件，如“视需要”“视情况而定”“必要时”“有时”“以其他合理方式确定”等。使用概括性的副词或形容词，使信息类型过于抽象，如“典型的”“一般的”“经常的”“广泛的”“主要的”“大部分的”等。难以估计发生的可能性，如“可能”“可以”等。模糊的数字量词，如“大多数”“许多”“一些”“很少”等。

2. 大数据伦理与隐私保护

进入大数据时代以来，交易数据、cookie日志、流媒体和数字存档，以及来自社交网络、移动电话和可穿戴设备的数据呈现出爆炸式的增长，从中提取见解、发现和相关意义的技术也呈指数级增长。通过大数据技术从互联网和社交媒体平台获取信息，已经成为学术研究和商业活动的重要手段，它们在带来新结果的同时，也往往会引发相当大的隐私保护争议。

2016年，丹麦研究员Emil Kirkegaard公开发布了一组数据，其中包括来自OkCupid在线约会网站近7万名用户的抓取数据。其针对用户名、年龄、性别和性取向等基本个人资料信息进行了采集，同时还收集了网站上2600个多项选择题的答案，如用户的宗教和政治观点、是否服用消遣性药物、是否对配偶不忠等。由此生成的数据库以及一份数据分析的论文草稿被发布在由Kirkegaard运营的在线期刊和同行评议论坛上。该事件曝光后，引发了社会的广泛争议，许多学者均提出对此类行为的批评。然而，Kirkegaard本人的回应却简洁有力：“数据已经公开了”。“有些人可能反对收集和发布这些数据，但数据集里的所有信息都取自公开数据，编写数据集只不过是以一种更有用的形式显示它。”[13]

这一案例凸显了大数据技术与隐私保护之间的紧张关系，同时也反映了传统理论的应用困难。在现代数据处理技术的帮助下，不需要庞大的研究经费或计算资源，就可以对数以千计的个人资料信息进行抓取、整合和分析。而这些数据通常由用户自行公开和分享，按照传统隐私理论，由个人自行决定并予以公开的信息不属于隐私保护的范畴，这使得现行体系难以对数据爬取等问题予以有效的规制。在大数据技术下，任何已公开或自愿分享的信息都有可能被聚合和分析，并造成进一步的损害。

CI理论则认为，隐私不能被视为一种绝对的私密或控制，而是由具体情境下的资讯流动规范所决定的。具体而言，可按以下方式进行分析。[14]

识别信息流动：在OkCupid网站的情境下，有三个固有的信息流动。第一，用户创建一个账户并向OkCupid服务提供信息；第二，一些信息可供搜索引擎和该服务的其他非用户使用；第三，更详细的信息(如对多项分析问题的回答)仅对恰好浏览当前用户主页的其他OkCupid用户开放。Kirkegaard的数据抓取和研究则引入了两种新的信息流动。首先，通过创建一个虚拟账户并运行能够访问和储存用户信息的自动脚本，使大量用户主页中的信息自动录入其数据库。其次，通过发布自动脚本获取的信息，使个人资料数据在OkCupid用户的封闭环境之外流动，并向公众公开。

确定资讯主体：在网络交友情境中，信息归属者是网站的用户，他们创建账户并提供了个人资料信息。信息发送者是使其主页资料对其他用户可见的用户，信息接收者包括约会网站本身(OkCupid)、该网站的其他用户，以及通过搜索引擎访问有限用户资料的一小部分公众。Kirkegaard的OkCupid研究扩展了普通公众作为接收者的角色范围，使得所有个人资料信息都可以被他的自动脚本公开访问。

确定传输原则：与大多数在线交友网站一样，OkCupid案例中的传播原则是在有限范围内与网站上的其他用户共享个人资料信息，同时寻找社交或恋爱关系。虽然个人资料可由搜索引擎索引并对非用户是公开的，但用户可以将可见性限制为仅对其他登录用户，以确保只有约会网站的其他成员可以访问其个人资料信息。用户还可以选择将某些选项设置为私有，从而对其他用户不可见。

识别固有的资讯流动规范：OkCupid案例中的资讯流动规范要求用户在使用网络交友服务时，可以控制其个人资料信息的可见性。使用OkCupid服务的用户通常期望访问其个人资料的用户是出于在线交友或寻求伴侣的目的，并且他们的数据资料仅向一定范围内的用户公开。

将新的信息流动方式和固有的资讯流动规范进行比较评估：Kirkegaard的数据抓取行为违背了在线约会环境中的资讯流动规范。他采用创建虚假个人账户的方式使用网站服务，其唯一目的是收集用户信息资料，而非在线交友。通过自动脚本获取用户数据信息，并向不特定公众公开，也明显超越了用户在OkCupid网站的信息共享范围。这种数据收集和分析行为不符合用户参与在线社交的期望，违背了当前的资讯流动规范，因而也就破坏了情境脉络的完整性。这一行为应当视为应用大数据技术对个人隐私的侵害，且此一侵害不以数据是否公开为限。

3. 智能手机应用许可的缺陷与改进

智能手机移动平台的许可机制规范应用程序如何访问某些资源，如用户的个人信息或传感器数据(相机、GPS等)。以当前版本的Android平台为例，系统会在应用程序安装期间向用户提示其将来可能使用的所有权限列表，如果用户不愿意批准这些请求中的任何一个，他唯一的选择就是停止安装。当应用程序第一次请求某些数据类型(如位置、通讯簿联系人或照片)时，会在运行时提示用户。研究表明，很少有人阅读Android应用安装时的许可请求，甚至很少有人理解它们。[15]有学者参考CI理论，对Android系统进行了修改和测试，认为将“隐私作为情境完整性”的概念应用于智能手机的许可系统，能够更有效地维护用户隐私。[16]

在该实验中，Primal Wijesekera等人首先对Android系统进行了修改，以便在应用程序访问受权限保护的资源时进行日志记录。然后将修改后的智能手机交给36名实验参与者，参与者将这些智能手机作为他们的主手机使用一周。通过对日志记录进行数据分析，可以确定各类应用程序在实际使用中访问受权限保护资源的频率。之后，参与者将手机送回实验室，并接受调查。实验参与者被展示过去一周应用程序访问某些数据类型的实例，并回答这些实例是否符合隐私预期，以及他们是否希望拒绝访问。调查结果显示，实验参与者在三分之一的情形下都想阻止对受保护资源的访问，这意味着一些请求应当由运行时的同意对话框批准，而不是采用安装时的批准模式。

CI理论要求确保信息流动在具体场景中能够被评价为是适当的，为实现这一目标，用户应当根据情境的区别享有不同的资源使用提示，以帮助他们理解哪些应用程序正在运行并发出请求。然而根据日志数据，绝大多数请求发生在参与者没有与应用程序实际交互的场景中，他们也没有任何提示来表明应用程序尝试访问某些受权限保护的资源。例如，只有不到1%的位置请求是在应用程序对用户可见或显示GPS通知图标时发出的，在多数情况下，用户不知道他们的位置何时被公开。在应用程序读取存储短信(125次/用户/天)、读取浏览器历史记录(5次/用户/天)和访问相机(1次/用户/天)的场合，尽管使用这些权限不一定会导致隐私侵犯，但用户没有足够的提示来理解这些请求正在发生。这表明，虽然用户通过安装时的点击同意机制赋予了应用程序一定的访问权限，但这种事先的同意往往无法真正反映用户的隐私偏好。

Primal Wijesekera等人认为，如果访问请求在运行时通过同意对话框或提示的方式通知用户，而不是采取在安装时点击同意的方式，能够更好地促使用户理解和改善隐私控制。因此，应用程序的访问可见性和访问发生的频率是设计时需要考虑的两个重要因素。通过“首次使用时提示”等方式，用户将根据具体情境的不同更好地理解访问特定资源的原因。在实际操作中，由于访问权限的频率等因素，不可能每次都提示用户。可以采取某些方式最小限度地获取用户偏好，自动推断用户可能于何时发现意外的权限请求，并且仅在这些情况下提示他们。当设备是“新的”时，用户需要围绕权限请求提供更多的输入，根据他们的响应，用户在未来会看到更少的请求。通过这些方式，将用户的隐私控制机制从安装时转移到运行时，有助于维护智能手机应用的情境脉络完整性。

4. 物联网设备的隐私规范调查

物联网(Internet of Things，IoT)是通过各类信息传感器、激光扫描器、射频识别技术等实时采集物与物、物与人之间信息的技术手段。面向消费者的智能家庭物联网设备可以观察和收集用户在家庭活动的敏感细节，并借由互联网传输相关信息。在物联网设备逐渐普及之际，对于其隐私规制的认知和理解却远远不足。有学者以CI理论为基础，构造了一种消费者隐私规范的通用调查方法，并对物联网设备进行跟踪和适用。[17]通过该方法，能够确定消费者对于不同信息收集行为的隐私偏好，从而帮助物联网设备制造商和监管部门制定有效的隐私保护政策。

资讯主体：物联网情境下信息的发送者以各类商用智能家庭物联网设备为代表，如安全摄像头和门锁、睡眠监视器、冰箱和健身跟踪器等。信息的接收者包括设备制造商，物联网生态系统，如苹果HomeKit、三星SmartThings以及许多可以通过亚马逊Echo或Google Home控制的设备，这些生态系统可能通过不同物联网设备之间的通信推断敏感信息。互联网服务提供商(ISP)也属于接收者，现有研究表明，互联网服务提供商可以从物联网通信中推断用户行为，即便该通信是加密的。信息的归属者为物联网设备的所有者。

信息类型：从物联网设备通信中获取的信息主要可分为两种类型，一种是原始的传感器记录，如音频、视频、位置信息，通常具有明显的隐私含义。另一种是有关用户行为特征的信息，可以从物联网设备的传感器记录或接收者的事后分析中推断出来，如用户在家时的饮食习惯、睡眠习惯等。

传播原则：传播原则规定了信息流动的条件或约束，在物联网情境下，即是指物联网设备应按照怎样的原则对信息进行收集、存储和利用，如“信息是否用于开发设备的新功能”或“信息是否保持匿名”。

将以上参数的具体值通过排列组合的方式生成调查问题，以检验不同信息流动方式的可接受性。在考虑所有可能组合的前提下，排除一些对于当前物联网设备没有意义的组合，经过过滤，得出包含以上CI参数的3840个信息流动方式。例如，一个参与者可能会被问到关于睡眠监视器在不同的传播原则下将其所有者的音频发送给不同接收者的问题。根据信息发送者和信息类型的区别，这些问题被分为48组，由2000名参与者作答。参与者可在五种回答中挑选一种，作为对特定信息流动方式可接受性的看法，这五种回答包括：“完全不可接受”“部分不可接受”“中性”“部分可接受”和“完全可接受”。 通过分析不同CI参数组合对调查结果的影响，对其可接受性进行评分。如果一个参数在所有配对组中的平均可接受性得分显著高或显著低，这意味着该参数对于参与者的隐私期望而言是重要的。例如，无论信息发送者如何，特定信息类型的平均可接受性得分都很高。如果两项参数具有显著高或低的平均可接受性得分，这意味着可能存在涉及两个参数之间相互作用的隐私规范。

Noah Apthorpe等人在分析上述调查结果后，得出以下结论。第一，大多数信息流动的负可接受性得分表明，应当按照特定情境对物联网设备的通信进行一定程度的限制。设备制造商有必要在软件开发过程中对设备通信过程进行严格评估，且需特别注意其设备使用的第三方服务，因为这些服务通常会将信息调用给潜在的未知接收者。第二，设备制造商的隐私权政策条款应当更注重传输原则和信息接收者的规定，由于信息发送者和信息类型对平均可接受性得分的影响小于传输原则和信息接收者，这说明在物联网情境中，消费者更注重对于数据传输条件和最终接收者的约束。第三，通过CI参数构筑通用的隐私偏好调查方法，将各参数根据特定情境具体化，能够为分析和规制新兴技术带来的隐私冲击提供有效的实证数据。企业、学者、监管机构和消费者权益团体都可以运用该方法发现和确定现有的规则缺陷，并加以改善。

结 语

长期以来，信息技术和数字应用一直被视为对隐私的威胁，因为它们具有获取、储存、检索、分析和传播信息的巨大能力，许多人认为这些技术从根本上破坏了隐私规则的适用基础。然而，网络隐私的挑战不是场地不同，或者隐私要求不同，而是网络作为一种特殊的技术中介，可能会干扰或中断我们在线行为中的信息流动。数字技术的架构、协议和设计等尽管具有一定的特性，但当从具体场景中抽象出来时，它们仍然忠于人类实践和社会生活的基本规范与组织原则。我们不应认为，包括资讯规范在内的社会行为规范会随着向数字媒介的转变而消失。相反，对于网络隐私的保护应当着眼于它们在社会领域中的作用及其与根深蒂固的社会规范之间的联系。情境脉络完整性理论以特定情境中的信息规范为基准，通过动态、场景导向的方式重新塑造了数字经济中的隐私范式。在搜索引擎、社交网站、云存储平台、智能手机应用、大数据分析等领域，该理论都能够作为评估信息流动的基础性框架，以应对和解决新兴技术造成的隐私困境。随着未来社会生活的进一步数字化和信息化，这一框架不仅将为我国信息法学的发展提供重要参考，对于合理规制网络和数字产业也极具现实意义。