大数据背景下智慧城市数据隐私保护策略研究

盖宏伟，牛朝文

（燕山大学文法学院，河北 秦皇岛 066004）

一、问题的提出与文献回顾

伴随着智慧城市理念的方兴未艾，英美等西方发达国家加大了智慧城市建设的部署及建设。2012 年开始，我国工信部、科技部以及住房和城乡建设部等国家部委陆续开展智慧城市建设试点，截至2017 年底我国已有超过500 个城市明确提出或正在建设智慧城市。［1］不过，国内外发生的多起数据安全风险性与标志性事件也引起人们对隐私保护的关注，如我国某安防公司制造的物联网摄像头被揭有多个漏洞；2018 年台积电生产基地被攻击事件；2015 年乌克兰大规模停电事件；2017 年勒索病毒事件等。国际数据公司的报告也显示，2020 年全球物联网设备将有200 亿至250 亿台，智能设备及应用还将继续呈指数级增长，海量用户隐私数据被庞大的物联网设备承载记录，其隐私安全风险系数也被放大。习近平总书记强调要切实保障国家数据安全，加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。毋庸讳言，打造智慧中国、培育社会经济发展的要素市场、发展新型智慧城市、创新大数据治理方式、数据隐私保护仍然是首要问题。智慧城市在掌握大数据收集、存储、传输、集成处理、可视化分析和开放共享的能力（诸如生物识别、智慧监控、爬虫搜索、精准定位、智能跟踪等技术和应用）同时也使个体处于透明的“裸奔状态”。这就需要努力提升大数据安全治理能力，健全大数据安全治理体系，其现实意义显著。

在理论研究层面，国外学者Clarke（1997）将隐私划分为个人隐私、个人数据、个人行为和个人通信四种类型。［2］Finnet（2012）等认为，由于技术的进步，需要对这些类别进行扩展，并将隐私划分为七种类型，即个人隐私、思想隐私、行为隐私、交流隐私、交往隐私、数据和图像隐私以及位置隐私。［3］I.Wagner（2017）指出隐私保护的框架和指标体系在很大程度上取决于攻击者的类型和能力，这些因素可以是系统内部的或外部的、被动的或主动的、全局的或局部的、静态的或动态的。它们的能力可以根据资源（如网络覆盖与计算能力）、所采用的算法（如对概率多项式时间的算法的限制）等要素变化而变化。［4］S.Gürses（2011）强调城市中的智能家居、智慧家居、智慧交通以及智慧医疗等已构成智慧城市环境中的一部分，它们依靠用户家里的智能传感器和微型通信器连入互联网和物联网。在数据隐私的安全和管理方面，智慧城市的复杂性正在增长，因此需要直面智慧城市建设带来的数据隐私挑战，不仅是为了建立安全连接的需要，也为了数据管理和访问规则。［5］国内学者赵畅（2018）等认为智慧城市建设过程中的信息交互开放以及实时共享会加剧个人隐私数据泄露的风险，如利用人工智能以及数据挖掘等数字化技术分析消费者与选民偏好从而达到精准投放广告以及影响选民政治倾向之目的，给国家政权、政府治理、社会稳定、公民隐私带来诸多风险以及治理困境。［6］吴迪（2020）研究了边缘计算赋能智慧城市的机遇，并对相应的隐私保护困境进行了前瞻性分析，并针对这一挑战提出政策建议和对策。［7］张琴（2020）揭示了智慧城市治理中个人信息安全所面临的风险及其成因，并从立法保障、制度建设以及机制完善等维度提出因应策略。［8］盖宏伟等（2021）着眼于电子政府向智慧政府的转型，分析智慧政府应用所面临的法律、技术以及制度困境，并提出相对应的政策建议和消解对策。［9］

总体而言，上述关于智慧城市数据隐私和安全的研究极富学理洞见，发人深思。然而，在大数据背景下，智慧城市数据隐私保护问题还缺乏深层次的探讨与系统性的理论回应。本研究从大数据治理背景下智慧城市隐私保护的必要性出发，通过分析智慧城市隐私保护困境的表征，并进一步探赜其困境生成的深层动因，最后提出破解大数据治理中隐私保护困境的消解策略。

二、大数据背景下智慧城市隐私保护的必要性

将数据应用于社会和城市治理中具有一定的历史渊源，我国《周易·说卦》中就有数往知来的记载，而系统地掌握数据的收集、分类、分析及应用等数据生命周期管理方法却是近现代才出现的。一方面，专业分工和层级制的官僚组织更加强调“留痕”与“理性”，这就需要对组织和部门内部的信息和数据进行程序化和标准化管理。另一方面，通信技术、移动通讯设备等技术的革新和计算机科学、信息科学、情报科学及管理科学等领域的进步使人们进一步掌握使用大数据进行社会和城市治理的方法。当人们将外部自然环境、政治经济和社会运行等运动信号通过智能感知并以数据载体记录下来时，就形成几近无所不包的巨量“数据面包屑”，这些“数据面包屑”经过进一步加工处理便可以形成无所不包的大数据，并通过分析和运用这些大数据来展开治理活动。这样，大数据的治理方式也就应运而生。大数据治理与数据治理之间存在微妙差异在于大数据拥有海量、异构、实时以及共享等特征，具备异构主体及设备交互共享与多源数据集成能力。以智慧医疗为例，相较于传统的医疗模式，智慧医疗能有效解决时空限制、信息不对称以及医疗资源不匹配等问题，通过“泛在式”的数据采集和“云端化”的数据处理模式来感知、获取、整合及分析患者家族病史、过敏药品、影像报告等私密的碎片化数据信息，并形成对患者健康状况的报告和镜像，最终通过这些数据来统筹和协调资源的运作以及医务人员、医疗设备与医疗机构之间的互动。

智慧城市是大数据、云计算以及智能识别等数字技术同城市建设理念和文化相融合的产物，智慧城市一般是指城市运用信息科技进行城市治理的机会和能力，然而其内涵随着信息科技进步及城市发展理念演化而不断丰富。这最早可以追溯到20 世纪末，人们主张计算机技术和信息技术在城市空间的拓展，强调城市空间的信息化功能及效能，以建立信息化城市。［10］然而，信息化城市由于其建设基础和基本框架是以互联网拓扑结构作为依托，因此不可避免地存在城市功能“碎片化”与“信息孤岛”的难题，故难以实现智慧化对物物互联、实时交互、开放共享的承诺。这体现在：过去人们在城市中办理业务时，往往需要跑很多部门，盖很多印章，才能办好一件事。因此也就衍生出诸多“跑断腿”“门难进”“脸难看”以及“事难办”等情况。2008 年被认为是智慧城市发展的关键转折点，在IBM 提出“智慧星球”的概念并于2010 年在巴西建立第一个智慧城市实验室之后，掀起了智慧城市建设的热潮，各国均加大了智慧城市建设的试点、部署及建设开发。智慧城市与信息化城市有着本质性的区别（如表1）。在智慧城市下，人们只需要一部智能服务终端、一台智能移动设备以及走进综合服务大厅就能轻易地把事办好，这关键就在于物联网的“泛在结构”提供了“物物互联”和“开放共享”的可能，感知、通信以及存储设备的微型化、智能化以及低功耗性等特性进一步促进人与人、人与物以及物与物间的交互共享，有效破解了传统互联网遗留下来的“信息孤岛”问题。

表1 信息化城市与智慧城市的主要区别

智慧城市的独特部署建构了不同于信息化城市的数据隐私保护框架。智慧城市中的大数据治理需要将设备与设备、人与设备、人与人之间的数据信息交互纳入隐私保护框架之中。因此在智慧城市的大数据治理实践中，数据隐私保护已发生根本性的变化。这体现在以下四个方面：

第一是智慧城市的大数据收集方式。智慧城市数据的获取依靠大量的传感器、控制器、射频识别（RFID）和条形码等计算节点来准确感知各种信息和信号，智能传感器将城市物理对象的信号和现象转换为数字参数，从而就掌握了城市运行的基本状态。因此，在数据安全方面，这就需要保证这些智慧节点及其节点设备的安全属性。除了技术上的保证，同时也囊括一套安全政策、安全标准、安全评估、安全审计、应急管理在内的智慧城市数据隐私保护流程及体系。以我国雄安新区建设为例，光是下水道，就配备烟感探测感应、温湿度控制、有毒有害气体控制、摄像头实时监控等多种传感器，传感器资源类型多样，观测机理各异，数量巨大，这些智能传感设备的安全性、可用性、可靠性、完整性及保密性需要技术和制度上的保障。

第二是智慧城市的大数据传输方式。智慧城市特别需要为其通信系统的使用部署大量安全、可靠、高宽带、高速率、低延时且可用的传输网络。在通信技术的可拓展性上，智慧城市需要更为先进的移动通信网络部署来保证通信的安全可靠，从而满足智慧城市的几何倍数增长传输需求。在通信协议上，物联网设备是在低功率有损网络（LLN）之上建立的，物联网使用数据包传输层安全性协议（DTLS）被用作通信协议。然而，就目前而言，大多数的智能设备仍然是基于常规的互联网传输控制协议（TCP）进行信号和数据传输，这对大数据治理过程中的隐私保护构成了实质性的挑战。根据国际数据公司（IDC）统计数据估计，到2025 年，全球将有1500 亿个智慧终端设备接入网络，其中超过70%的数据将在网络边缘端进行处理，由此数据隐私保护离不开适用的、加密的以及安全的网络传输方案。

第三是智慧城市数据的集成方式。新型的信息技术以高度集成的方式实现城市物理空间的过程、要素、生命周期的数字化，并以数据的格式保存下来。高度集成化的智能移动设备，搭载各种高精度的传感器，具备强大的数据处理能力，并进行储存传输。巨量数据的高度集成为智慧城市提供各类数据的聚合、交互和共享方案，并最终服务于“一站式”的智慧应用和服务平台搭建。不过，这也造成数据隐私侵犯更加隐蔽，隐私保护方案更趋于繁琐和困难。集成化的数据流，比如交通拥堵、用电量、用水量、生产量以及消费偏好等都与城市居民的生产生活息息相关，事实上，即便是匿名的公共数据流也可以析出个人数据信息；此外，数据的集成化特征使个体根本无法有效跟踪和管理个人的数据信息，他们无法知晓个人的数据信息是否被泄露、如何泄露以及被谁泄露。因为一旦进入高度互联化和集成化的智慧城市环境中，个人数据信息便会经过多个步骤和流程处理，这样，管理自己的数据隐私就像试图寻找一张经过数百次易手的美元一样困难。

第四是智慧城市的数据隐私保护。在信息化城市阶段，城市中的数据信息安全主要体现在机密性、完整性和可用性三个方面，简称CIA Triad。然而，通过分析新的数据信息安全形势，利娅·切尔丹采娃等指出传统的CIA Triad 已无法有效满足更加复杂的物联网环境中出现的数据与信息安全需求。基于CIA Triad 之上，他们进一步拓展出了安全分析表（RMIAS），以满足新的数据与信息安全分析需求，这包括机密性（C）、完整性（I）、可用性（A）、责任性（AC）、可审核性（AU）、诚信度（TW）、不可抵赖性（NR）及隐私性（P）八个方面。［11］

三、智慧城市中数据隐私保护困境的表征

（一）数据采集的过度化

智慧城市被视为一个大型数据信息系统，与传统的数据治理相比，大数据治理具有处理速度（Velocity）快、规模（Volume）大、类型（Variety）多、价值（Value）高的特征。巨量数据的采集囊括市民生活的方方面面。通过将所采集的巨量信息放入数据库中，就可能形成关于我们如何生产生活及其踪迹的生动描述，与我们的记忆相比，这种描述更加精确、详细、全面。［12］这也存在数据隐私保护的问题，人们只要打开新闻网站以及购物平台，广告区会出现自己关注过的产品与经常谈论的商品；打开手机，就会经常收到各类广告推销短信；接到一通电话，对方在营销甚至是诈骗中竟能直呼其名，以及大数据“杀熟”，电话“轰炸”与简历信息的数据库泄露等问题。根据工信部2015 年到2018 年公布检测智慧应用软件的问题名单显示，有大约695 款手机应用存在违规收集使用用户个人信息数据等行为。［13］中国消费者协会的测评报告也显示智慧应用软件存在对外提供个人信息时不单独告知并征得用户同意，未明确告知用户如何更正个人信息和撤回同意等情况。此外，城市中无处不在的智能感知与监控设备几乎使得公民各方面的数据信息都有可能被采集，智慧城市应用程序也遍及公民生产生活的方方面面，这些数据中通常包含公民的身体特征、职业、收入、社会地位、生活习性、偏好等数据，并在公民不知情和未察觉的情况下完成采集。［14］随着监视空间和数据采集空间的扩大，私人空间逐渐瓦解，电子手段逐渐用于代替非正式的社会控制，数据挖掘成为商业竞争中的重要着力点，大数据在被过度采集过程中带来了诸多问题，其中最突出的便是数据隐私安全。如视频监控侵犯隐私事件、个人生活被擅自网络直播、安装家用摄像头反被偷拍、面部识别导致个人身份泄露等问题屡屡爆出。随着我国正在进行500+智慧城市试点项目，占世界总量的一半，综合《界面新闻》等传媒报道，随着中国智慧城市建设的逐步推进，2022 年中国监控镜头部署量将达到27.6 亿台，如何平衡公共监控以及数据隐私成为一个亟须破解的问题。

（二）大数据加密的缺失化

数据加密能够实现对存储数据与传输数据进行加密，以使数据在不具备密钥的情况下处于无用且不可读状态，从而保证数据特别是敏感数据免遭未经授权或恶意的访问、修改、泄露或盗窃，从而进一步达到保护隐私的目的。不过，通过大数据加密处理来保证数据机密性是以数据处理效率和灵活性作为代价的，这会导致数据机密性和可用性之间的失衡，进而使得努力推进智慧城市大数据加密的方向变得更为微妙。

一方面，智慧城市需要对巨量数据析出有价值的信息，从而挖掘出大数据的社会经济价值，最后促进城市的发展进步。而智慧城市的建设应用，也推动数据时代的TB（1TB=1024GB）数量级向大数据时代的PB（1PB=1024TB）数量级转变。据相关统计，人们每两天所生产的数据量就大致相当于自人类文明起源至2003 年产生的总数据量，而人类迄今所积累的数据量的90%以上都来自过去五年。而作为大数据应用最广泛的智慧城市，其数据种类繁多、数据量巨大、增长迅速。另一方面，解决巨量数据密钥的分发，进而为智慧城市应用程序提供弹性和可扩展的隐私保护方案，是建构基于完备的去中心化身份认证体系，满足用户保护核心重要数据的安全前提下。然而，目前相应的区块链隐私保护方案、分布式加密方案等尚处于理论研究和试点认证阶段。此外，让每个人拥有自我数据主权，是否会抑制数据通证或数据资产化，进而难以充分利用大数据的优势，仍然需要探索数据流通与隐私保护二者的平衡点和解决方案。总之，在大数据环境下，智慧城市中数据的交互性和开放性突破了组织和系统的界限，产生跨系统的访问或多方数据汇聚进行的联合运算。加上大数据应用体系的混杂和广泛，频繁的数据交换共享促使数据流动路径变得交错复杂，而不再是数据从一开始产生到最终销毁单向流动路径，而会从一个数据控制者流向另一个控制者。这样，数据溯源中数据标记的可信性、数据加密的有效性、数据标记与数据内容之间捆绑的安全性等议题和问题更加凸显。如2018 年发生的“剑桥分析”事件中，Facebook 由于对第三方APP 使用数据缺乏监管机制，最终导致8700 万名用户资料被滥用，从而引发股价暴跌、信誉度下降等后果。

（三）大数据交互的泛滥化

智慧城市是在物联网的基础上进行架构。物联网代表了异构实体的互连，物体与物体之间相互连接并通过各种微型传感器、移动应用程序和云服务发送或接收数据，并支持使用4G、5G、WiFi、蓝牙、ZigBee、6LoWPAN、WiMax 等接入物联网中，从而支持智能设备之间的通信，智慧城市通过使用各种数据流的交互来消解信息孤岛，支持各个模块的开放共享，从而提供更为智慧化和精细化的治理和服务方式。在数字信息时代，人们的衣食住行几乎难以离开信息技术和智能移动设备，人们享受着各种技术发展带来的便利的同时，也被数字技术的负面影响所俘获。根据工业和信息化部发布的《关于工业大数据发展的指导意见》显示的信息可知，工业数据已成为黑客攻击的重点目标，我国34%的联网工业设备存在高危漏洞，这些设备的厂商、型号、参数等信息长期遭恶意嗅探，仅在2019 年上半年嗅探事件就高达5151 万起。物物互联与物物有别始终处于此消彼长的冲突状态，物物的高度互联造成数据交互的泛滥，大数据的多源异构特征使得有效跟踪和保护数据流变得困难，也让数据二次使用、数据勒索、数据窃取、黑客攻击、僵尸程序、恶意软件感染等恶意和非法行为更难以预测和监管。而伴随着智慧城市中更多的设备连入物联网，大量数据的交互使数据隐私保护工作更为艰难。Gemalto《2017 数据泄露水平指数报告》也显示，2017 年上半年全球范围内数据泄露总量为19 亿条，超过2016 年全年总量（14 亿），我国360 互联网安全中心2018 年发布的安全报告显示，仅仅在2018 年上半年标记为骚扰电话号码数量约2943.7 万个，平均每天约16.3 万个，其中广告推销以53.0%位居首位，其次为骚扰电话26.5%、房产中介11.8%、诈骗电话5.1%、保险理财2.1%以及响一声0.8%，而垃圾短信约48.7 亿条，网络诈骗举报12052 起，涉案总金额高达19419.3 万元。可见，物联网在提升数据交互效率的同时，过于频繁的数据交互也带来了严重的数据隐私问题。

（四）大数据隐私侵犯的可及化

智慧城市通过针对选定数据子集开放访问从而得以开发大量智慧服务，其所带来的便捷高效是显而易见的。［15］但其存在的数据隐私安全问题也同样不容忽视。首先，在大数据环境下，智慧城市中巨量、多类型、多数据源、多形式的数据形式，这些数据通常是非结构化和动态变化的，它们的生成来源是复杂多样的，如业务销售记录、物联网中使用的传感器、社交媒体、医疗机构中的病患记录、视频和图像档案等；而个体以及其他关联个体与团体的数据分布发散且广泛，在数据集之间的关联性和交互性大大增强的情况下，数据集之间的融合也会存在相应的数据隐私泄露风险。大数据自身的融合性与整合性使得大数据时代中隐私权利的保护逐渐“溢出”传统的“私域”并向“公域”延伸，隐私保护的整体性使公民丧失了数据保护的主权，最终陷于隐私保护的被动地位。其次，智慧城市中高度开放、交互共享的数据环境，不仅仅难以有效跟踪和控制数据流，数据链条的冗长也让大数据隐私保护变得更为脆弱，公民的身份隐私、身体隐私、空间隐私、搜索隐私、位置和移动隐私、通信隐私和交易隐私等已无处“安”放。换句话说，开放互联与隐私保护始终是一对矛盾体，城市中数据之间的联系越紧密，数据隐私的风险就越大，因为这意味着隐私保护的链条和节点越多。最后，通过挖掘和利用数据的高收益性加剧数字及数据业务深度开发，数据以更为隐蔽、不透明、规避法律和监管的方式收集利用，并以此作为降低经营和运营成本的手段。显然，在智慧城市中，“物物相连”的应用场景已将大数据隐私风险范围拓展到政府部门外部，公民的数据隐私素质及意识、企业数据挖掘及使用规范、智能设备与产品的安全标准等成为影响数据隐私保护的重要因素。概而言之，大数据隐私保护范围更广，隐私风险点更多，隐私侵犯的可及性也进一步增强，传统的数据隐私保护策略已难以适应。

四、智慧城市中数据隐私保护困境的生成逻辑

（一）城市全景监控与数据资源商品化的负效应

城市全景监控与数据资源是智慧城市中大数据过度收集的肇因。一方面，受到福柯“全景监狱”这一隐喻的影响，智慧城市建设被认为是打造新的“全景监控城市”。［16］在福柯的“全景监狱”理论中，监视代表着掌握权力的主体对客体实施规训和管制的影响，被监视的人只有服从的义务。［17］231而在智慧城市中，公民的一举一动都处于智能感知与监控设备的窥探和观察之中，结合大数据库，无处不在的监控设备、传感器以及追踪定位技术让智慧城市成为一座“超级全景监狱”。［18］不同于福柯所强调的静态、幽闭、阴暗监视空间，智慧城市是动态的、开放的，并且不断与其他空间产生互动。尽管如此，个体并没有摆脱被监视的命运，事实上，每一个体都无可避免地处于无处不在的监视之中而难以挣脱。失去数据隐私主权的个体已不知不觉陷入到感受不到直接痛苦却又无处不在的无形枷锁之中，它既不借助暴力，也不通过剥削和压迫的手段，却最终实现了控制的目的。［19］5

另一方面，从石器时代到数字时代，每个时代都有支撑其进步增长的引擎，大数据被认为是数字经济时代的驱动器，蕴藏着巨大的政治、经济、社会及科研价值，打造智慧城市大脑、加快推动城市发展新旧动能转换、实现城市智慧管理及服务等都离不开大数据的支持。随着大数据在各种数字业务链条中的应用价值与日俱增，数据基础架构逐渐成为组织的核心资产和营收中心，数据商品化及资本化的步伐加剧。因此，大数据的高附加值推动着数据商业变现，并加大数据资源的竞争压力，这使大数据收集和精炼技术往纵深发展，使数据收集更加便捷和隐蔽，而新的信息基础设施以及引入带来了新的跟踪范围和规模，并不断颠覆数据收集的实践，从而进一步拉大数字鸿沟，加剧数据滥用，刺激数据交易，加剧数据隐私保护问题的严重性。

（二）智慧服务吸纳隐私与数据处理黑箱化的压力

智慧服务的4A（Anyone、Anytime、Anywhere、Anything）特征决定其高度依赖于大数据、云计算等新型信息技术来实现对数据主体的动态观察和实时分析，服务“智慧”程度由数据周期性、数据维度、数据多寡等因素决定。智慧服务通过获取用户姓名、单位、职业、资产、消费、社交、社会地位、网站访问、检索记录等基本情况，来了解用户的偏好及其习惯，并决定何时、何地、针对何人提供广告推销或服务供给。涉及用户的相关数据越多，数据使用的维度越高，用于支持决策的数据越可靠，分析结果就更加精确，但这也意味着隐私泄露的风险越高。通过吸纳公民的个性化数据以获取个体的生活、工作以及消费信息和习惯，分析并挖掘数据中有关的资源、空间、服务需求等要素，通过将其量化、分类化、可视化处理后形成精准服务的决策依据，最终提供量身定制的服务供给。而数据处理的自动化在高效地将原始数据进行集成分类时，由于难以自动检视智慧城市中异构数据隐私保护的合规性，本身就存在数据隐私保护隐患。

大数据技术在自动进行提取、重新格式化、聚合、储存、分析过程中，也将隐私保护置于复杂的算法黑箱中。［20］数据在重塑我们的生活，然而，我们并不知晓它们如何生产、如何处理、被运输到什么地方，以及我们能否信赖它们。［21］108黑箱理论源于系统控制论，作为一种隐喻，“黑箱”主要指既不能从外部体察系统内部状态，也不能直接打开从而为人所不知，而仅仅从输入与输出两端来探究系统的运作。算法“黑箱”的缘起主要由于算法本身具有高度的专业性、复杂性以及排他性。算法“黑箱”的难以理解和解释、不透明关涉人们的知情权、隐私权，并直接影响人们对于算法的认同度和信任度。在智慧城市中，大数据的生产、流转及使用都由算法和代码自动实现，由于算法技术、智能技术本身具有比较高的门槛，难以被非技术人士理解，算法黑箱中所涉及的数据隐私获取、交易与共享无法为用户所知悉，这极大增加了数据主体维护自己数据隐私权益的难度。

（三）多源异构稀释隐私保护与数据隐私边界模糊化的挑战

智慧城市要实现“物物互联”的愿景，就需要超越信息化城市的互联网拓扑结构，摆脱各个组织和部门独自开发自己的线上平台、各自之间相对独立和封闭的碎片化局面，从而实现数据信息的共享交互，最终提升城市运作的效率和效益。然而，其面临的代价是大数据隐私保护的等级更高、范围更广、难度更大。这是由于现有用于隐私保护的方式仅为节点提供了同质的隐私保护，没有考虑节点对异构数据服务器的安全差异，进而导致传统的隐私保护策略由于其有限的数据计算能力、存储能力以及处理能力而无法直接应用于物联网下的异构环境。更为紧迫的是，高度复杂和动态的物联网网络空间将隐私保护面进一步扩大，异构设备与应用程序和高度交互特征都在稀释隐私保护的努力，无论是智能设备硬件、系统软件、网络服务，还是人员、应用程序、网络界面以及各种物理接口固件等都面临着隐私风险，数据隐私保护的链条更长、面更广、点更多。而异质性与交互性则意味着难以精准界定数据隐私风险的物理位置及传播路径，普遍且隐蔽的网络攻击则让智慧城市的隐私安全保护形势更加严峻。

数据隐私边界作为管理数据权归属以及控制数据访问权限的关键要素，随着物联网设备及应用在城市中的大规模部署，数据之间的自主、实时、智能交互使得数据隐私边界模糊化，政府数据、企业数据、个人数据进行交互共联，这对于数据占有权、支配权、使用权、收益权和处置权的精确归属造成严重的冲击。随着物联网时代的来临，数据控制边界链接、掌握边界渗透和明晰边界所有权已日益模糊。［22］138这就意味着，如果数据使用尚未取得数据主体的授权及同意，那么数据主体也就失去了对自己数据的支配权。即便没有特定的义务和规范，尽管所需要的仅仅是分离的碎片化数据及信息，这些数据和信息碎片也有可能经历重新整合，从而形成足以揭示身体体征、身份、品性、习惯、人格及生活方式的丰富画面。［23］260-261事实上，大数据处理还可能将一些原本毫无联系的碎片数据及信息转变为一种让人感到苦恼和尴尬的描述。不管人们承认与否，大数据已成为一个数字化痕迹的“大箩筐”，隐私成为一个更加复合和整体的概念，用于区分私人和公共空间隐私边界和间隙在大数据潮流的挤压下消失了。

（四）隐私观念流变与数据隐私保护基础空洞化的阻滞

隐私的观念同人类一样古老，并为人类所生活的环境所制约。在古代社会，人类生活在群体中并受到集体利益的强烈影响，隐私观念主要体现为身体隐私，个体本能地利用树叶、兽皮等遮掩身体的私密处。在中世纪社会中，个人的完整性和独立性往往是由国家/宗教的目标决定，并受到较为严格的监视，个体的隐私权以及自治权并没有成长空间和发展价值。隐私观念体现为“私人”和“公共”空间的区别，隐私保护体现为对个体财产、生理空间、居住场所的保护。进入近代社会，城市的出现使个体有了相对独立和自由的生活空间，并在一定程度上摆脱了传统道德与宗教的控制，社会经济的发展使得物质生活和精神生活得以区分，尤其是电话、照相机、广播、报纸以及娱乐产业的萌生与发展让隐私保护问题凸显出来，隐私在19 至20 世纪成为普遍认同的权利。沃伦（Warren）和布兰代斯（Brandeis）于1890 年将隐私定义为免受侵扰或独处的权力，赋予其法律意义，并将隐私保护拓展到心理空间，认为失去隐私是一种人身伤害，会造成精神和感情上的痛苦。［24］在现代社会中，隐私观念体现个体对隐私权的控制。尤其是随着信息技术、通信网络、大数据、云计算、数字传感器、移动互联网、物联网等技术的发展，其逐渐渗透到个体的日常生活和工作中，个体的信息要素也就被数字科技所俘获，从而失去对隐私权的控制，数据作为人们隐私信息的重要载体逐渐被公共部门、商业巨头、技术专家，甚至是黑客通过算法和代码进行支配，个体已失去对自己隐私权的控制。

作为数据隐私保护的基石，知情同意原则深深植根于主体价值中。知情同意原则是20世纪末为应对信息日益数字化而制定的一套隐私保护范式。但是当人类社会进入web2.0，web3.0 之时，该框架已无法回应动态的、异构的、不可预测的大数据环境下的隐私保护需求，从而沦为一种“默认机制”。因此，知情同意原则作为个体隐私保护基础的正当位置受到了质疑。巨量数据的处理由于开放共享、频繁交互、目的不特定、形式性强等原因加大了有效知情同意权获取的难度。对于给定数据的分发、处理、应用往往在不透明及不知情的状态下进行，规制大数据、物联网以及云计算下的数据隐私保护框架已超出了范围，甚至处于技术、监管与法律真空地带。冗长且晦涩的隐私声明让用户难以阅读，更无法理解，用户往往会不予理睬并不假思索地点击“同意”并进入“下一步”。更有甚者，知情同意原则逐渐沦为用户获取服务的强制性前提，用户不同意隐私声明就拒绝提供服务，其隐私保护的内容已沦为空洞的形式，虽然可以根据政策法规的变化适时调整数据隐私声明，但无法有效地提升数据隐私保护的效率及效益，更难以引起用户对隐私保护的足够重视。［25］

图1 智慧城市中数据隐私保护困境的生成机理

五、智慧城市数据隐私保护困境的因应策略

（一）推进大数据隐私保护法治化

首先，要基于大数据应用和智慧城市建设前景加快制定《个人隐私保护法》及相关配套法规，适时出台相应的数据隐私保护条例，健全适用于物联网、云计算与大数据等数字环境下隐私保护的法律法规体系，实现隐私保护有法所依。通过在法律上建构起大数据时代数据挖掘的“可采性原则”，避免数据过度和非法收集及利用，并明确数据采集利用等各类标准与禁止收集和挖掘的数据类型，规范公共部门、私人部门及其相关主体的数据监视及其收集行为，进一步确保数据收集方法是法律授权及承认的，数据收集程序是可控、可核查且向公众开放的，以及针对所收集数据的去隐私处理程序及其标准是经法定认证的。其次，建构权责清单，促进隐私保护权利与义务的统一。在法律上厘清个体数据权利与数据权益归属，明确数据收集主体、管理及维护主体、数据使用范畴等事项，落实公众数据信息完善的“被遗忘权”，制订切实可行的集刑事、行政及民事为一体的数据隐私侵权和问责机制，提高数据隐私保护的可行性。最后，完善数据隐私保护的惩戒和补偿机制。健全数据隐私侵犯的认证机制和惩戒标准，为惩处侵犯个人数据隐私和个人信息安全行为提供法律依据。与此同时，健全公众隐私泄露的表达机制，通过优化投诉服务、监督平台建设及隐私问题处理服务机制。对于数据隐私侵犯的受害者要按照相应的法律依据和法定程序进行合理赔偿，切实保护公众隐私权益，实现数据隐私保护的长效机制，健全智慧城市隐私保护的法治之维，让智慧城市更高效、安全及可持续地服务于公民。

（二）加强大数据隐私保护技术创新

大数据隐私保护从源头出发涉及数据挖掘、上传、传输以及下载等环节和事项，这就需要从数据生成到运用的各个阶段进行加密处理，通过加强大数据加密技术的开发创新，利用高级加密技术防止数据、特别是机密数据的泄露和破解。诸如区块链技术，由于其具备便于审计、永久记录、去中心化等特征，因此可以满足大数据隐私保护对于可限制性、完整性、去中心化、永久记录和便于审计等安全需求。区块链技术可以在非信任节点之间通过高级算法建立安全可靠的信任关系，而不是依赖于中心机构与权威机构作为信任背书，这种特殊的安全模型能够作为大数据背景下隐私保护的有效解决方案。［26］更为重要的是，区块链技术实现了数据使用权和所有权的分离，数据区块通过从远到近的时间序列将数据链接起来，既能实现数据之间的互联互通，也能让数据有据可循，进而将数据的控制权掌握在用户手中，最后在保护用户数据权的前提下，提升数据挖掘、传输及利用的效率和效益。此外，对于智能传感设备及其硬件，可以使用入侵检测系统（IDS）、木马检测、侧通道分析等来检测物联网中的硬件木马和设备上安装的恶意固件和软件，也可以运用恶意固件和软件检测方法来处理信道信号以检测设备的异常行为。在数据传输过程中，通过设置难以破解的加密方案以有效保护通信协议。以去图案和去中心化的方法实现匿名通信和防御侧信道攻击。采用基于角色的授权方案以防止响应入侵者或系统中的恶意节点的请求。对于数据的边缘计算处理，可以通过预测试等来检测是否存在恶意节点，避免无效数据注入系统或违反协议，并精确有效地检测服务器上的代码注入攻击。

（三）打造多元共治的大数据隐私保护体系

在数据隐私保护的能力上，数据的交互性、共享性及互操作性决定了需要整体性的深度防御策略，构建起包括政府、社会、市场、公民甚至是国际组织等多元主体在内的制度框架。对于政府部门而言，政府或其他授权机构必须进行相应的监管，并设计智慧城市数据、通讯网络和智能设备的数据保护标准，加大对智慧城市建设及治理过程中所需要的微型传感设备、通信组件及链路层技术产品等的安全监管，依法处理不符合数据安全标准和规范的设备和产品，对生产的企业依法处罚甚至是取缔，提高智慧设备及其通信产品生产的市场准入门槛，规范企业生产。此外，提升隐私保护的执法力度，对于隐私侵犯行为零容忍，严厉打击数据交易、非法出售数据等行为。对擅自出售数据、非法数据交易、数据盗用、数据诈骗以及数据滥用等行为绝不姑息，对于影响恶劣的隐私侵犯案件要加大处罚和曝光力度，提高隐私权侵犯的成本。对于私人部门而言，如APP 运营商、智能设备制造商、手机制造厂商等要加强自律，自觉遵守数据隐私保护的法律法规，清醒地认识到数据隐私侵犯的法律后果。并以用户体验为出发点，将用户隐私视为重要的信誉资产，维护好用户数据隐私。与此同时，积极履行社会责任，主动维护好用户数据隐私并自愿接受公众和公共部门的监督。对于公民而言，要加强数据隐私保护意识，了解数据安全的发展形势，及时获取数据隐私保护的最新方法，保管好自己的隐私，有效提升自我隐私保护技能。通过多方发力，在隐私权合理期待基础上加强协同合作，构建起智慧城市的隐私保护制度。

（四）夯实智慧城市的大数据隐私保护基础

要认识到隐私观念的流变性，明晰新技术条件下的隐私权益归属及其保护困境。一方面，推动知情同意原则走向实质化，这并不是单纯的技术问题，其本质是技术如何更高效且安全地服务于公众。同意的概念和征求同意的机制涉及规范价值问题，如果只是机械地强调知情—同意原则的技术适用性，那么也就容易忽视隐私保护的伦理向度和现实基础，偏离以人为本的设计方法和路线。由此，需要确立“技术中立”原则，对原有的知情同意原则进行解构，根据新的数据环境进行更加合理的精细化设计。另一方面，消解知情同意原则异化的核心，是数字化时代下如何将数据隐私权保留在用户手中，让用户对于自己的数据具有决定性的控制权和话语权，推动知情同意原则的实质化，在数据控制和数据运用之间找到平衡点，避免通过牺牲数据隐私来交换便捷和高效服务。控制我们的数据透露给谁、如何传播、处于何处、如何被使用，这就要限制数据的流动，而不是完全让它停止不动。［27］197可以预见的是，超越传统的知情同意原则需要更为多元主体参与、更多的学科涉入、更多部门的协同合作、更为综合的方法，从而回归更为本初的价值追求——以人为本，进而以多种渠道、多种方式夯实智慧城市的数据隐私保护基础。

六、结语

随着智能传感、物联网、云服务等大数据技术在政府政务、交通信号灯、辅助驾驶、铁路轨道、能源管理、工业系统、智能设备、环境监控、供应链物流、手机票务、身份验证、数据采集、公共卫生、智能办公等的应用，智慧城市中的服务及管理变得愈加“智慧”；一窗式办理、集成化服务平台、远程管理等便捷服务让城市变得更加高效和智慧。然而，传统互联网的数据安全保护策略由于其自身有限的存储能力、传输能力以及计算能力已无法直接应用于智慧城市的数据安全保护，需要建构整体性的数据安全保护体系，从而对智慧城市中复杂、开放、动态的数据隐私问题进行应对和消解。这要求健全数据隐私保护的法律和监管体系；探索先进的隐私保护技术；构建新的数据保护防控模型；重塑政府、公民和其他社会行为者的角色。