摘要:网络服务提供者凭借技术优势及大数据等资源,获得建构和限制行踪轨迹信息交换条件的“权力”,造成网络消费者难以通过“个人控制”获得公平交换的困境。为了避免个人因对剥削和风险的模糊恐惧而拒绝披露其行踪轨迹,网络服务提供者往往选择通过自律承诺的方式,增强个人对其信息处理的控制感及信任感;而为了降低网络服务提供者违背承诺的风险,逐渐产生了由独立、专业的第三方充当“控制代理”的规制模式,实现了对困境的突破。未来规制路径优化的方向在于通过增强“分配正义”与“程序正义”保障公平交换的实现,并激励更广泛的第三方参与“控制代理”的监管互动与合作。
被明确纳入我国《民法典》和《个人信息保护法》保护范畴的行踪轨迹信息,其本质是个人实时地理位置信息,“被视为线上交易价格的一部分”,为社会交换(socialexchange)提供着非货币性的价值。常见于个人为了线上利益(或方便),如获得更高质量、个性化优惠或折扣,甚至表面上“免费”的移动位置服务,或是获得社交网络上他人的积极评价(如赞赏、支持),而向网络服务提供者披露自己的行踪轨迹,同时使网络服务提供者因此持续不断地获得经营所需的客户信息流。
近年来,随着移动手持设备及可穿戴设备等物联网设备的不断普及,我国移动位置服务行业进入高速发展期,行踪轨迹信息交换层出不穷,其潜在的经济效益受到越来越多的关注。然而,“已然成为国际通行的‘强调个人对信息的控制’的个人信息法律保护模式,仅仅是将责任的重心转嫁到了用户个人身上”,并不能完全满足互联网时代行踪轨迹信息保护的要求。此时,将人们所有的社会行为都视为其理性互动、公平交换结果的社会交换理论,在规范建构的过程中特别关注交换双方之间不平等的“结构关系”,强调公平交换的规范“对在交换关系中具有优势地位者的限制”,或许能够为超越个人自决(self-determination)模式思考行踪轨迹信息保护提供新的视角。
一、规制困境:弱势的“个人控制”
行踪轨迹信息以“个人身份标识、时间戳与地理坐标的集合”为表现形式,既有可能是静态下独立的地理坐标(点状位置),亦有可能是动态下连续地理坐标的集合(线状轨迹),其区别取决于个人在一段时间内静止或活动的行为状态。立法保护行踪轨迹信息是对每个人拥有“阻止他人了解自己当前或过去位置的能力”的肯定。那么,网络消费中的个人是否真的具备这一能力呢?
(一)行踪轨迹信息交换中的“权力”
在社会交换中,“权力”被定义为“对另一个人施加某种程度的‘诱导力量的可能性’或‘潜在影响’”,其基础不仅包括强制性的(coercive),还包括报酬性的(reward)。“权力”是“通过给别人以报酬而诱使其他人同意他的愿望,甚至于通过威慑——以撤销有规律地提供的报酬的形式,或以惩罚的形式……将其意志强加给他人的能力”。行踪轨迹信息交换中的“权力”具体体现为网络服务提供者通过制定、调整隐私政策等用户条款,获得更多被法律保护的契约权利,使得网络消费者丧失了许多协商空间,难以拒绝用户条款中不对等的权利义务分配规则,甚至还要依赖网络服务提供者保障其权利的实现。
行踪轨迹信息交换中行动者的“权力”不平等是技术影响社会资源配置的必然结果。当前,空间定位技术的发展大大增强了网络服务提供者详细分析和可视化地理空间数据的能力,具体包括基于移动网络和基于卫星导航系统的技术,前者主要依赖于移动设备从覆盖其存在区域的移动网络接收信号的能力计算设备与基站之间的距离,后者在即使没有移动网络覆盖的情况下也可以根据卫星和接收器之间发送信号所需的时间来确定接收器的位置。此外,在限定的地理区域内使用无线电、红外传感器、无线局域网(WLAN)、蓝牙、射频识别(RF-ID)等定位方法,亦可以对移动对象进行自动数据收集和跟踪。
于是,在强大的技术支持下,网络服务提供者能够大量收集、分析精度从“公里级”到“米级”的用户实时位置信息,并基于此不断创造、改善基于位置的服务,吸引并巩固越来越多的用户。至此,网络服务提供者凭借其控制更多有价值的技术和数据库等资源,在交换关系中占据了优势地位。而个人不仅由于知识的有限性、信息搜索成本高昂等原因无法与之抗衡,还会愈发依赖于基于位置的服务。
网络服务提供者凭借优势地位获得了建构和限制行踪轨迹信息交换条件的“权力”,其社会结构地位也获得持续增强。在网络服务中,个人信息保护和隐私政策(以下简称“隐私政策”)往往记录了网络服务提供者收集用户行踪轨迹信息的方式和原因,与第三方共享的条件,用户可用的选择、控制、访问、编辑和删除事项等,其性质不仅是网络服务提供者单方信息处理规范的说明,更是网络服务提供者与用户之间对行踪轨迹信息交换具有约束力的法律协议。规范/协议的形成本应是一个网络服务提供者与用户相互作用的过程,但网络服务提供者基于其优势地位掌握了隐私政策创造和调整的话语权,能形成对其有利的信息处理规范,重新定义公众对行踪轨迹信息交换的期望。如,网络服务提供者即使会在提供基于位置的服务前征得同意,也往往不会在隐私政策中说明其使用的关涉行踪轨迹信息精准度的定位信息自动收集技术及其影响等事项,对行踪轨迹信息的保存期限少有明确(见表1)。
在这种情况下,一旦取得用户授权,网络服务提供者将凭借技术收集、聚合和分析大量的行踪轨迹信息,最大限度挖掘其商业价值,通过改善基于位置的服务增加用户依赖性,降低用户集体抵制变化的可能性,继续作为对交换中有价值资源拥有更大控制权的行动者,不断扩大其行使“权力”的能力。
(二)有限理性行动者的艰难抉择
将“权力”和公平放在一个单一的分析框架内是社会交换理论的优点,公平可能会限制在交换关系中具有优势地位的行动者对“权力”的潜在利用。在个人信息保护领域,公平交换理念的影响不容小觑——公平信息实践原则(Fair Information Practices)提供了个人信息保护法或信息隐私法的思想渊源,受到了国际组织和世界各国的认可。公平信息实践原则体现了一个基于权利的“信息自决”框架,在实践中常常以“告知—同意”形式呈现,但“告知—同意”却显然远远低于公平信息实践的标准,在行踪轨迹信息交换领域更是如此。
一方面,希望从移动位置服务中获得便利的有限(bounded)理性人,无法掌握所有信息且判断能力有限,难以作出真正有利于自己的决定。在行踪轨迹信息交换中,“知情—同意”的有效性依赖于个人能否作为一个理性行动者,在充分掌握所需信息后,自由地作出是否及如何向网络服务提供者披露其行踪轨迹信息的决定。然而,在网络服务提供者没有解释不同定位技术及其影响的情况下,个人即便“意识到网络服务提供者的信息收集行为,也无法真正了解他们的使用行为”。由此,我国立法通过将行踪轨迹信息明确为“敏感/私密信息”,规定行踪轨迹信息的处理不能仅仅取得个人的默示同意,还发展出“单独同意”“书面同意”等形式的尝试,虽然在一定程度上能够提高个人对行踪轨迹信息交换的注意力,但始终无法借此消弭“个人自决”在促进“公平交换”上的局限性。
另一方面,行踪轨迹信息的“获取隐蔽性”与“广泛可得性”使个人严重低估了行踪轨迹信息交换的风险,提高了个人“理性选择”的难度。首先,由于实时位置信息常常作为网络服务升级或补充(如基于位置的服务、基于位置的社交分享)要素,而不一定是核心元素,经常被隐式使用,这使得人们容易低估其控制难度及价值重要性。其次,第三方信息处理者(如网络服务提供者的供应商/服务合作商、第三方商家、广告商等),可以在无需事先征得个人授权同意的情况下,通过“互登”“关联分享”等功能跨服务和设备收集个人位置数据,增加了行踪轨迹信息利用的隐私风险。最后,在特定场景下其他信息与行踪轨迹信息存在关联:如从住宿信息、门禁信息、交易信息(如刷卡记录)、火车航班订单信息、监控信息等其他类型的消息中均可推断出个人行踪。
二、困境突破:从“控制增强”到“控制代理”
人们交换资源时通常期望互惠(reciprocity)利益,参与社会交换的双方只有在相互感知利益时才会长期维系其交换关系。然而“权力”的不平衡或不平等产生了相应交换利益的不平等,人们逐渐开始对个人与网络服务提供者建立公平关系的能力提出质疑。如果人们被操纵做出不符合自身利益的选择,那么一个完全基于个人维护自身利益能力的制度,如告知同意制度,如何确保人们不被不公平地利用呢?行踪轨迹信息交换与保护又该如何更合理地进行呢?
(一)增强“个人控制”:网络服务提供者的自律承诺
在使用行踪轨迹信息交换网络服务的过程中,个人的接受程度最初取决于其对位置服务带来的便利性等益处的认知,并持续受到互惠性的正向影响。但随着个人对定位技术及其潜在风险的认识加深,或者因为披露行踪轨迹信息而利益受损事件的曝光,处于劣势地位的个人将在使用行踪轨迹信息交换利益和感知风险之间进行更谨慎地权衡。为了避免个人“出于对风险和剥削的模糊恐惧而不再参与交换”,网络服务提供者具有提高消费者对其信任度的内在驱动力,以鼓励个人参与更多的行踪轨迹信息交换活动。
在维持信任的需求下,网络服务提供者往往作出增加保障措施等内部控制的自律承诺,以降低个人行踪轨迹信息遭遇非授权的泄露、窃取、篡改、删除等风险。社会交换所要求的信任是能以一种自我调节的方式通过它自己的逐步发展而产生出来的。由于在与他人打交道时对其诚实守诺的期望是信任关系的基础,承诺被认为是产生信任的最佳工具。只要承诺使用保障措施保护相对依赖性更强的行动者,相对依赖性的增加就不会引起对不公平的先验担忧。为了通过承诺与他人实现持续交换的相对安全性或确定性,网络服务提供者往往会承诺遵守法律法规规定的保障义务,承诺采取安全措施和技术手段(如加密、去标识化、匿名化),承诺建立强有力的内部管理制度、操作规程和组织等,来增强个人控制其行踪轨迹信息用途和流向的自我感知,从而使消费者提升信心并同意参与行踪轨迹信息的交换活动。
网络服务提供者自律的承诺及其履行,能够提高个人行踪轨迹的保护水平、促进信息交换的公平性,但其承诺的效果能否完全发挥难免受到质疑。一方面,网络服务提供者具有被利益俘获而暗自违背或单方面改变其承诺的可能性。几乎所有的隐私政策都包含着允许网络服务提供者随时单方面修改其承诺的条款并向用户发布,且“以设置弹窗、加黑等方式进行提示就可能被视为变更合同条款的要约已到达”。同时,若仅仅违反承诺而又没有事前约定违约责任,网络服务提供者则并不会因此付出代价,这使得承诺存在形同虚设的风险。在美国Youngvs. Facebook案中,法院认为Facebook在隐私政策中的承诺并未产生任何肯定的法律义务,因此不存在违约行为。另一方面,行踪轨迹信息的“广泛可得性”极大地增加了网络服务提供者“承诺逃逸”的可能性。网络服务提供者为其供应商/服务合作商、第三方商家、广告商等提供行踪轨迹信息获取的SDK/API等技术接口,但其往往仅能承诺“尽合理努力要求这些主体采取保护措施,无法保证其一定按照要求进行”。
(二)转向“控制代理”:网络服务提供者的社会控制
以第三方主体作为中介进行“控制代理”,能够弥补“控制增强”模式的局限性,降低网络服务提供者违背承诺的风险,从而提升消费者对其行踪轨迹信息获得有效保护的信任。由于既难以完全理解网络服务提供者对其行踪轨迹信息处理的说明,也难以监督网络服务提供者对行踪轨迹信息保护自律承诺的履行,个人逐渐需要“能够获得更多技术资源或专业知识,或拥有更大影响力的第三方按其要求采取行动”,即基于相关制度充当控制代理人,对其个人行踪轨迹信息保护实施代理控制,从而通过强大的社会力量获得控制权,更好地监督网络服务提供者对行踪轨迹信息的处理及其自律承诺的履行。
“控制代理”往往由移动位置服务相关行业组织、认证机构通过行业行为准则及标准制定和执行、声誉背书或惩戒实施等方式进行。行业组织、认证机构参与监督的动力通常是促进行业发展、“保护成员的市场声誉,但某种程度上也可以实现公共利益目标。”例如,全球知名的TRUSTe在2004年就为移动位置服务提供商制定了一套无线隐私原则和实施指南,以保护个人信息的隐私。“遵守这些原则和指南的移动位置服务提供商将获得TRUSTe认证,这将增加其信息保护实践的可信度”,当违规行为发生时,该认证则会被撤销。实证研究表明,符合行业标准的公司可以增强消费者的信任感,从而降低对其使用移动位置服务时风险的感知。为此,网络服务提供者也会直接在隐私政策中采用“我们郑重承诺,我们将按业界成熟的安全标准,采取相应的安全保护措施来保护您的个人信息”等表述。
此外,通过立法和执法,个人也可借助政府对网络服务提供者对其行踪轨迹信息的收集和使用行为进行代理控制。由于行踪轨迹信息的处理存在使个人陷入被追踪和监控的潜在风险,国家需要“依据其在客观法上的义务去为个人尊严的保障创造条件和提供制度”。在这个过程中,去标识化甚至匿名化规则等当前经典的个人信息保护措施的有效性在行踪轨迹信息保护中受到了限制:一方面,匿名化位置数据本身很困难,仅仅是采用删除标识符或者模糊空间分辨率的技术手段,并不能消除危险或匿名化,很可能在较长的轨迹中仍然可以映射到剖面图并重新识别;另一方面,由于位置大数据来源众多并可以相互补充,能够更加容易地对匿名位置数据的去匿名化提供辅助。
因此,行踪轨迹信息的处理条件及最低限度的保障措施仍需要立法进行明确和细化,如《韩国保护和使用位置信息法》及其执行令中就设定了许可,限制了从事收集位置信息并向基于位置的网络服务提供者提供此类信息业务、从事基于位置信息提供网络服务业务的主体,并详细规定了位置信息的保护措施。
三、路径优化:交换正义的实现及保障
无论是“控制增强”还是“控制代理”模式,均是为了避免处于弱势地位的个人受到网络服务提供者的“自由支配,并进一步使权力的天平向有利于后者的方向倾斜”。因此,社会交换的未来方向不仅需要继续限制权力的使用,还需要不断激励交换关系中各方进行表态并采取行动,使正义成为个人“权利的逻辑基础”。
(一)“控制增强”的基础:分配正义与程序正义
随着行踪轨迹信息交换广度和深度的不断拓展,消费者将愈来愈关注交换的公平性,“而分配正义和程序正义就是公平判断的两个主要组成要素”:一方面,个人与网络服务提供者从行踪轨迹信息交换中的受益及其潜在不利后果将影响消费者的选择,“评估他们提供的信息是否与他们所接受的服务相平衡”将成为个人的需要;另一方面,在行踪轨迹信息交换及相关过程中,若存在能够促进分配结果公平性的程序或能够使弱势个人获得尊重的规则,将会降低对其行踪轨迹信息遭遇非授权的泄露、窃取、篡改、删除等风险的担忧。
在行踪轨迹信息交换中,行踪的敏感性将直接影响个人对于分配正义的感受,应当成为信息处理的前提、时长、保障和补偿等规则精细化设计的基础。信息的敏感度越高,其蕴含的价值往往越大,对其处理的潜在风险就越严重。行踪轨迹信息的敏感性主要取决于实时位置(包含时刻、时长等)的精确程度,或具体位置对个人社会评价造成不良影响的可能性:如在社会交往和公共管理中必须在一定范围内为社会特定人或者不特定人所周知的模糊位置信息(如途经的城市)的敏感度较低;又如多数情况下在大众消费娱乐场所等地活动的信息泄露,一般不会造成人身或财产的损害,包含了这些位置信息的活动轨迹往往不敏感;但若观察到个人出现于综合医院(专科科室),则其可能会因为被推测出大致的健康状况而遭遇相应风险。此外,由于在特定场景下,较多的其他信息与行踪轨迹都存在关联,若仅将行踪轨迹列为敏感信息,或将所有可能识别个人行踪轨迹的信息敏感性一概而论,反而无法达成严格保护的目的。
而在程序正义的实现方面,则需要通过不断拓宽个人在行踪轨迹信息交换的协商参与,增强弱势个人对行踪轨迹信息交换条件的控制程度。公平信息实践原则旨在“通过公平的程序使个人有能力就其个人信息做出充分知情的决定”,而行踪的敏感性差异已然成为导致网络服务使用前一揽子“告知—同意”程序无法保障个人作出充分决定的关键因素。这意味着个人在行踪轨迹信息交换中应该被赋予更为广泛的选择权利,例如选择其愿意与网络服务提供者交换的行踪轨迹信息精度(米级、公里级、行政区域级等)、时长(仅在服务使用期间、仅在软件前台运行期间、每日/每次最长时间段等),能够为其不同敏感度的行踪轨迹信息选择共享范围、保存期限、查阅和删除规则等,甚至基于具体位置的敏感度选择形式不同(去标识化、随机噪声干扰、匿名化等)的保障措施。
从“告知—同意”到“告知—选择”的转变,旨在通过为行踪轨迹信息交换注入更多“协商谈判”的环节,降低其作为“为获得利益而给予他人利益”的“直接互惠交换”的不确定性和高风险性。“告知—选择”模式不仅表现出对个人意愿的充分尊重,还将对网络服务提供者“告知”义务提出更高的要求,以便于个人基于了解而做出选择。
(二)“控制代理”的互动:互惠正义与精明规制
正义原则主要就体现为一种公平的精神,能够得到参与者的接受和认同,为此遂离不开互惠,以使社会成为“一个公平的合作体系”(afair system of cooperation)。可见,互惠性不仅是社会交换的特征,也是“正义存在和发挥作用的真正基础”。
互惠合作将减少非法和不公平处理行踪轨迹信息的风险,这与精明规制(smartregulation)“激发更广泛第三方的监督作用”的要义不谋而合。由于各“控制代理”的有限能力,其孤立的监督行动无法完全发挥作用:行业自我规制难逃个人对组织内部监管流于形式或相互“包庇”的隐忧,而政府则难以时刻深入监督并准确判断每一次行踪轨迹信息交换行为是否合规合理,且若政府对市场实施过于严格的控制亦有“扼杀”创新的风险。因此,通过“控制代理”间的合作和互动实施更为有效的监督尤为必要。
倡导“更广泛的监管行为体”的精明规制,恰好能够为“控制代理”在互惠正义精神下的互动提供有效范式。“更广泛的监管行为体”参与监督能够为网络服务提供者抑制机会主义行为创造强有力的激励,同时其亦能够提高风险控制的水平,更大程度避免因合作伙伴在行踪轨迹信息交换中的违规及惩罚而遭遇商业利益的损失。“更广泛的监管行为体”在精明规制模式下的互动表现如下。首先,由政府为多元主体“创造必要前提,使其能够承担准规制者角色,分担规制任务”的进路。政府可以通过明确最低限度的保障措施,为行业组织及网络服务提供者的自我调节提供前提。其次,尊重自我规制,鼓励行业组织及网络服务提供者通过对内部环节特别是高风险环节的控制来实现监管目标。最后,激励和挖掘更多主体参与行踪轨迹信息交换中“控制代理”的互动合作,如网络服务提供者的供应商/服务合作商、广告商,甚至提供融资投资、信贷、保险、证券买卖等金融服务的机构。遵守行踪轨迹信息处理规范、标准的网络服务提供者将积累信誉,获得合作伙伴的信任及合作便利。
精明规制还强调要“使用多种而不是单一的政策工具”,从而提高行踪轨迹信息“控制代理”的监督质量和效率,强化监管行为体之间的互惠关系。“精明规制”建立在“执法金字塔”的规制之上,设想了通过多重主体实施多元工具进行监管的可能性,并强调规制工具组合的重要性。例如,将政府的建议劝服性措施(原“执法金字塔”底层)与第三方惩罚制裁性措施(原“执法金字塔”高层)结合起来也可能是个可行的选择。具体而言,政府可以建议网络服务提供者披露其计划或已经采取的行踪轨迹信息保护技术和管理措施、相关设施规模、技术能力等信息,使网络服务提供者的供应商/服务合作商、广告商、相关金融服务机构或行业协会等“更广泛的监管行为体”能够在各自领域内利用这些信息对表现不佳的网络服务提供者施加压力,从而整合零散、有限的资源实现集中、有力的监督。
(刘恒,中山大学法学院教授、博士生导师;吴易泽,中山大学法学院博士生。)
以上文章原载于《学术研究》2022年第5期,文章不代表《学术研究》立场。
篇幅原因有所删减,未经授权不得转载。
