關聯方信息共享與公民的隱私保護*
——基于手機App的研究

■ 顧理平 俞立根

“隱私權”概念起源于1890年第4期《哈佛法律評論》中的《論隱私權》一文。由于現代化報刊業的發展,擁有照相技術的記者頻繁侵入私人生活空間,Samuel D.Warren和Louis D.Brandeis感受到技術對個人私生活的威脅,提出了公民具有“不被打擾的權利”(The right to be let alone)①。若是追溯人的動物性起源和原始社會中的社會交往,Alan·Westin認為“隱私”(Privacy)并非一個現代的觀念,而是“人類進化的遺產”(Man’s evolutionary heritage)②,出于對原始社會距離保持和領土區域劃分的思考,他將隱私權定義為“個人、組織或機構擁有自主決定何時、何種方式及何種程度將私人信息告知他人的權利”③,在賦予個人對隱私事項決定權利的同時,也順應了人的天性——對隱私保護范圍的訴求。

一、圖阿雷格人(Tuareg)的面紗與隱私保護范圍的期待

原始部落中個人隱私的訴求主要體現在人際交往時對信息的控制和社會距離的維持。Robert F.Murphy在對北非圖阿雷格部落的觀察中發現,族群內的男性無論在家還是旅行,甚至睡覺時都會一直戴著面紗(Mask),只露出眼睛和鼻子周圍的區域。在面見長輩或是求偶時他們會將面紗戴得很高,而遇見外邦人或陌生人時會將面紗放寬松。盡管面紗的運作方式與常規相反——“他們通過增加而不是減少面部暗示來掩飾自己”④,但面紗所象征的隱喻“與隱私和回避(withdrawal)聯系在一起”⑤,作為一種象征社會距離的工具,圖阿雷格人通過戴上面紗并調整面紗的高度實現人際交往中的信息傳遞和一般距離的維持。在這一過程中,信息控制和社會距離的維持滲透進社會交往,Murphy將這種帶有個人特征的選擇視為“社會系統作為一個整體的需求”⑥。在齊美爾(Georg Simmel)的社會學理論中,“人與人間所有的關系都是基于彼此了解(Knowing something about one another)”⑦,從知曉他人信息的相識到尋求真正的認識對方,關系的發展需要增進彼此間的了解,而了解的過程或者說人際交往是“建立在每一個人對另一個人了解的比后者愿意向他公開的東西還要多的基礎之上”⑧,雙方都受“自我揭露”和“自我抑制”的心理驅使,選擇或安排部分信息呈現給彼此,并尊重對方的秘密,不去了解隱瞞的事情,這一點戈夫曼(Erving Goffman)的“擬劇理論”詮釋得更加形象。

戈夫曼認為，人與人之間的交往總是信息間的流動,無論是給予的表達或是流露的表達,個體是在以控制自己信息呈現的方式來實現印象管理。除了自我信息的控制以外,個人的呈現是置于特定的社會場景之中的,因此區域的劃分在信息呈現中尤為重要。參照戲劇的舞臺表演,戈夫曼提出了“特定表演場所”的前臺、“輔助表演及休息”的后臺以及“非表演相關地方”的“局外”區域⑨,通過前臺呈現、后臺掩蓋和局外隔離等方式,清晰地分開了劇班人員和觀眾,以及劇場內和劇場外。其中,個人對場景界限不被打破的期待,劇班成員對界限的守護,觀眾和局外人對區域范圍的遵守,都成為進行完整表演的重要元素。這正是Alan·Westin個人隱私理論的營養源泉,一方面,Westin指出，個人每天在社會舞臺上都會“從一個場景到另一個場景扮演不同的心理角色”⑩,如任何一天,男士的角色都可能在嚴厲的父親、恩愛的丈夫、合格的員工等角色間轉換,個人需要“一段 ‘下臺’(off stage)做‘自己’(himself)的時間”或“一個將面具置于一邊獲得休息的機會”；另一方面,個人隱私也是一個以自己為核心的區域逐漸外擴的圈層,最核心的部分是個人通常不愿分享的“終極的秘密”(ultimate secrets),第二層是個人愿與親密人分享的“親密的秘密”(intimate secrets),再向外是可以和朋友公開的秘密,直到最終信息對所有人可見。當個人角色的面具被揭開,圈層間界限被打破,尤其是“終極秘密”遭泄漏時,都會使個人受到不同程度的傷害。基于此,個人可以依據心理距離的劃分進行信息分享,也有限制圈層間信息流通的權利。

新技術沖擊下,電子媒介使虛擬空間流行,也使圈層界限變得模糊。梅洛維茨評價戈夫曼的場景模式是“一組靜態舞臺,它僅局限于面對面交往中”,而“新媒介具有的融合現存的信息系統趨勢,導致了‘側臺’或‘中區’行為”。在梅洛維茨筆下,電子媒介打破面對面交往的同時,使場景之間的距離越來越小,各場景間的行為也就越相似。“中區”就象征著前后臺邊界變化下的混合和行為模糊地帶,短期的融合會導致隱私丟失和行為混亂,而長期的融合則會形成新的行為方式——“統一新規則和角色的新場景”。這種趨勢下,Alan·Westin的隱私理論看上去既無法準確界定范圍,又不能漠視隱私自由讓渡,因為他將場景設想得涇渭分明,個人對隱私及范圍可以清晰地區分并且有極強的控制能力。當大數據與手機媒介緊密結合,一方面,手機媒介將具有顛覆性的移動型、貼身型和綜合型等多維度、立體式數據填滿隱私的各個圈層；另一方面,更多的隱私因涉及公共利益被克減或基于個人權利被放棄,讓隱私圈層間的信息共享越發難以控制,圈層間的相互滲透也使邊界變得模糊。然而,作為人類尊嚴象征的隱私是個人存在的根基,可以暫時丟掉的面紗終歸要重新拾起,個人在社會交往中依然有強烈的社會距離維持的期待。

二、關聯方超范圍的信息共享

隱私的圈層劃分在新媒介對場景和行為的混合中變得模糊起來:手機媒介中多種多樣的App平臺將現實空間中的前臺和后臺行為混合,用戶也將自己的數據授權給App平臺換取服務,手機成為一個從室內到室外、從生理到行為的全能型數據采集器。但即使是中區行為，人們也有對隱私界限劃分的要求——劇場外的局外人是絕對隔離的。因此,基于享受服務的需要,用戶授權平臺隱私信息使用的權限,超出平臺承諾的范圍就違背了公民對隱私范圍的期待。

Finn Lutzow-Holm Myrstad團隊研究了國外社交App和健身App中第三方信息共享的隱私政策,發現規定的內容并不明確,“不清楚具體是共享哪些類型的數據,誰可以訪問這些數據,第三方如何處理這些數據”。基于中國互聯網絡第42次《中國互聯網絡發展狀況統計報告》中手機群體和媒介依賴的絕對力量,及中國消費者協會《App個人信息泄漏情況調查報告》中反映的手機隱私泄漏現狀,本文選取手機App作為研究對象,并參考中國互聯網協會與工業和信息化部信息中心的《2018年中國互聯網企業100強報告》,篩選出前5家互聯網企業中有影響力的手機應用,分別是支付寶、微信、百度、京東商城和網易云音樂。另外,從11-60名中,以10為單位、0.1為樣本比例,分別抽取今日頭條、鳳凰新聞、嗶哩嗶哩、同程旅游和斗魚等5款App應用,通過對各應用隱私政策的文本分析,重點對比研究App關聯方信息流動的名詞定義、共享現狀、流動范圍與個人控制等問題。

1.模糊且不統一的關聯方定義

根據《企業會計準則第36號——關聯方披露》的規定,本文認可關聯方為“一方控制、共同控制另一方或對另一方施加重大影響,以及兩方或兩方以上同受一方控制、共同控制或重大影響的,構成關聯方”,即與平臺有相關的子公司、業務往來的合作機構、提供服務的部分第三方都在關聯方的范疇以內。統計分析隱私政策的文本可知,App普遍存在第三方與關聯方區別對待且劃分模糊不清的狀況。其中微信、網易云音樂、鳳凰新聞等6款App未對關聯方做出定義且沒有對關聯方或第三方范圍的劃分。支付寶、百度、京東商城、今日頭條等雖有對關聯方的定義,但定義及范圍并不統一,支付寶關聯方僅限于螞蟻小微金融集團相關范圍,支付寶中的服務與合作平臺未算入,百度將關聯方與合作方分離劃分,今日頭條將關聯方與第三方和合作方分離。由此可見,各平臺對于關聯方是否有定義及定義內容并不一致。

2.關聯方間信息的普遍共享

依據本文對關聯方的定義,我們驗證了關聯方之間信息的共享與獲取情況。僅從契約文本的內容上可知,超過半數App都承認會從關聯方或第三方主動獲取用戶個人信息,多以“授權使用即視為同意收集”為說明,另有3個App未說明是否獲取,但如網易云音樂會將Cookies應用到關聯方平臺中,也可能造成信息收集。共享方面,除同程旅游表示不會與第三方共享信息,只提供統計信息給合作伙伴外,其余各方均有與關聯方共享信息的機制(如嗶哩嗶哩表示需要用戶許可授權才共享)或默認共享的說明(如微信與騰訊集團內部直接共享),多數采用類似關聯方與第三方分離并區別對待的形式,即集團內部默認共享、外部第三方需要授權,詳細情況見表2。

表1 平臺對關聯方的定義

表2 關聯方信息的共享

3.關聯方信息流動的范圍龐大

由于各App提供的服務及隱私政策中規定內容的詳細程度不同,經過概括，我們將共享的內容主要分為個人信息和行為軌跡。個人信息如支付寶會與合作機構直接共享“交易號與相關支付信息”“有效證件信息與聯系方式”“房產戶名和姓名”等敏感信息。行為軌跡如百度“反映您觀影習慣和愛好的相關個人信息可能會與我們的關聯公司愛奇藝共享”。這些具有私密性的內容在關聯方共享的推動下逐步外擴,形成一個巨大的信息流動范圍。Balachander Krishnamurthy和Craig E.Wills在對隱私擴散的研究中發現,除了單方面收集隱私信息外,行業內的收購兼并進一步改變了這一現狀,形成“擁有多個用戶瀏覽習慣觀看視角的公司家族(Families of companies)”。這些關聯的公司家族可以有更廣泛的用戶信息收集渠道,更深入的用戶數據分析能力。本文以微信為例,根據隱私政策中的“騰訊集團內部共享”制作圖1,說明“公司家族”的共享范圍在不斷擴張。微信將關聯方共享分為需要授權的騰訊集團外部和默認授權的騰訊集團內部,由此形成了集社交、娛樂、工具、金融、資訊、平臺、人工智能和第三方機構的廣泛關聯共享圈。

圖1 騰訊集團信息共享范圍

4.個人對信息流動范圍的失控

各App對于信息共享的保障手段可以匯總歸納為“及時告知與征得同意”“內部審查與安全評估”“簽署協議與要求遵守”“匿名處理與技術保障”,雖然各方會選取不同的手段加以保護,但對于責任的劃分基本統一(第三方負責)?；诠駥€人隱私信息的控制權利,觀察個人可更改的流動范圍發現,網易云音樂和同程旅游無相關管理權限的說明；今日頭條、鳳凰新聞等雖無針對范圍管理的說明,但可以采用終止協議、信息刪除等間接的方式來管理范圍。在有范圍管理說明的應用中,支付寶、微信和百度有實際對授權范圍調整的說明,即可以有針對性地進行部分調整,但按照政策步驟實測效果并不理想。因此,個人面對關聯方間的信息共享,實際可控制能力微弱,絕大多數情況下只能是“用與不用”的兩難抉擇,即解除綁定或刪除信息。百度、京東商城和今日頭條還附有類似說明“您撤回同意或授權的決定,不會影響此前基于您的同意或授權而開展的個人信息處理”。

表3 用戶對信息流動的范圍管理

表3 用戶對信息流動的范圍管理

App管理權限說明范圍管理說明范圍管理內容范圍管理步驟管理效果實測支付寶有有修改授權范圍取消信息授權1.“我的→設置→隱私”修改授權范圍;2.“我的→設置→賬號管理→賬號授權”取消向第三方共享信息的授權根據步驟未找到可修改窗口,而“我的→設置→安全設置→賬號授權”中可解除部分授權微信有有撤回信息授權步驟說明模糊“授權管理”中可取消授權應用極少,眾多微信小程序未在其中。百度有有解除綁定關系京東有有刪除信息關閉設備隱私設置注銷賬戶網易云音樂無無無管理說明今日頭條有無1.改變或撤回敏感信息;2.拒絕推送及營銷信息鳳凰新聞有無更新個人信息嗶哩嗶哩無無終止服務刪除信息同程旅游有無無管理說明斗魚無無終止服務協議

三、超邊界信息流動下的隱私危機

在大數據時代,用戶通過讓渡個人數據換取服務已成常態,這種讓渡可以理解為用戶將對隱私邊界的捍衛放寬,信息管理者可以在授權范圍內行動。但用戶讓渡數據并非放棄隱私,個人對隱私邊界的期待使得授權范圍以內的信息可以共享,而超過范圍的則可能構成隱私侵犯。在SINTEF對移動App隱私風險的調查報告中,以Google和Facebook為代表的應用程序經常會與第三方共享個人信息,而“廣泛的與第三方服務共享個人信息可能會對個人隱私產生巨大影響”。

1.增加隱私的風險范圍

國外研究中將關聯方(The affiliated party)置入更大范圍的第三方(Third-party)視域下,探討第三方生態系統中信息超邊界流動的隱私危機。第三方網站構成了一個龐大又多樣的生態系統。Marjan Falahrastegar等人研究第三方生態系統發現,人們擔心隱私的一個主要來源是“日益普遍存在的第三方服務之間的個人信息交易越來越頻繁,以及第三方逐個網頁追蹤用戶的能力越來越強”。一方面,各平臺信息保護的能力差異很大,當Google和Facebook也無法幸免于信息攻擊時,信息間的關聯共享就等同于信息數據庫的破口更多向地展開在數據竊取者面前,而信息保護的技術水平、應急預案、操作方式則主要由第三方負責；另一方面,網站強大的追蹤能力使得第三方生態系統變成地理視角下的全球問題,跨境的第三方追蹤系統將國家或區域法律保護的個人隱私信息帶入全球體系中,而不同地區法律效力的區域局限性,無法為公民隱私提供有效的跨區域保護。例如,盡管美國大多數網站在中國處于被屏蔽狀態,“中國憑借超過80%的本地網站在可視網絡中占據主導地位,但這些網站仍包含大多數美國追蹤者”。

2.提高隱私的獲取深度

Daniel J.Solove將提高信息獲取度的行為視為隱私侵權的方式之一,他認為“零碎的信息碎片和一份完整的檔案是不同的”,提高信息獲取度的行為是從量變到質變的過程,隱私侵犯的風險也在增加。如SINTEF報告所言，這些第三方機構接收到大量個人數據的組合,“當所有被第三方機構跟蹤的用戶行為數據相互鏈接或與個人信息相結合時,其對用戶的隱私問題和隱私影響將會是顯而易見的”。大數據時代,單一數據,甚至是敏感數據,都難以發揮價值,服務商需要用戶的整合型數據來預測用戶下一步的行動。當部分平臺無法實現有效的數據整合時,依托其他平臺對用戶信息和行為組合的有效分析和再識別化,可以更好地利用用戶隱私進行廣告投放、內容服務和用戶跟蹤。另外,基于《網絡安全法》的目的限制原則,各方會規范信息收集的程度,但關聯方共享可以使各方算法之下的整合型數據(隱私)互惠互通,因特定目的收集的用戶數據,就可以在其他目的中深化使用。公民的許多隱私在這種情況下被普遍泄露。

3.弱化義務主體的責任

用戶與服務商構成了信息權利主體和信息義務主體的兩個方面,用戶與服務商的權責劃分本應很清晰,而由于關聯方或第三方的出現,服務商會將全部或部分安全及管理責任交由第三方履行,由此弱化自身的責任和義務。Facebook和劍橋分析公司(Cambridge Analytica)的信息泄漏事件在2018年發酵成了一場重大的政治丑聞。事件背后,Facebook、Aleksandr Kogan和Cambridge Analytica構成本文中的關聯方關系,三方針對5000萬用戶信息泄露的責任歸屬互相推脫。Facebook以Kogan“通過合法途徑和適當渠道獲取信息”為由,否認數據泄漏；Aleksandr Kogan以學術用途獲取了Facebook的個人數據收集許可,并堅稱合法；Cambridge Analytica以與Kogan的合同規定為依據,為自己的信息來源辯護。盡管說辭并非具有說服力,但也呈現出信息多方共享之下的責任危機。

法律責任的明確可以有效地保護隱私主體的權利,反之,則可能令公民的隱私保護面臨更多困境。由于目前手機App在關聯方信息共享方面存在共享信息廣泛多樣、共享邊界不清、法律責任不明等現實情況,而數據挖掘技術的不斷進步又令公民的各種數據被以各種方式整合成新的隱私,使隱私侵權的風險不斷增加。同時,一旦發生隱私侵權,侵權責任方較難確定,也容易產生責任承擔時的推諉扯皮,導致公民隱私受損嚴重。

四、隱私信息界限的明確與隱私保護

1.個人有效的控制力

目前,我國相關法律對個人隱私的控制主要體現在《侵權責任法》中廣泛的承擔侵權責任,包括“停止侵害”“排除妨礙”“消除危險”等,以及《網絡安全法》第四十三條中的“刪除其個人信息”“予以更正”。這種基于二元對立的控制方式在本文的10家App服務平臺中基本都能夠做到,或“終止服務協議”,或申請“刪除更正信息”,而隱私范圍的有效控制是以動態多元的形式呈現的,它基于個人對“隱私”和“信息”在不同范圍和不同程度的心理區分,個人應該能夠決定是否與關聯方共享、關聯方共享的范圍、共享個人信息的內容,并且可以及時有效地修改共享范圍或取消部分授權,這一點參考表3可知,本文中的10家App平臺均無法做到。因此,個人有效的控制力應該包括“針對隱私范圍調整的申請渠道”和“具有實際效果的調控方式”。

鑒于大數據時代隱私形成的特殊性(客觀存在的自然隱私和可借助機器學習與數據挖掘形成的整合型隱私),作為隱私主體的用戶應該有權利根據自己對隱私的認知決定哪些信息可以共享,哪些信息應該不被他人知曉(即不被共享)。手機App在制定隱私政策時,應設置有可操作性的、可動態調整的政策,以有效保護用戶的隱私。

2.信息流動的摩擦力

信息摩擦是信息圈中與信息流反向的力量,盧西亞諾·弗洛里迪認為：“信息摩擦是保護隱私的關鍵”,但這種摩擦不同于圍墻對墻內外的隔離那樣一勞永逸,而是建立在個人對信息流動的控制之上,更像是窗簾與外界的分隔,個人可以讓屋內的信息流出,也可以選擇以模糊化的方式分隔。在信息時代想要搭建一個密不透風的圍墻,實現公共和私人的絕對二分雖然不太可能,但在公私混合之間增加信息隔閡,使信息可獲取的難度增加是有效的方法。授權數據管理者使用個人數據是公民對隱私的讓渡,如同打開家門將私人生活赤裸裸地呈現在管理者的面前,然而這種讓渡并非放棄數據的隱私屬性,數據管理者需要先關上門,隔離對外的信息共享,將公民的數據置于隱私范圍之中,再拉上窗簾,增加用戶數據的模糊和可再次識別程度,由此增加信息共享間的摩擦力。“現有的隱私保護技術分為3類:數據擾動技術、數據加密技術和數據匿名化技術,而個人隱私數據經歷收集、存儲和使用過程(使用包括數據的二次使用、數據共享以及數據發布),因此,應該實施數據的多級安全保護?！币簿褪钦f,可以通過有效的技術手段,增加信息流動的摩擦力。

3.共同保護中的權利協調

“權利協調原則,是通過一種權利在其保護范圍和程度上做出讓步使另一種權利得到基本滿足而得以實現的”。主要用于協調相同主體間不同性質權利中的矛盾。大數據時代,數據授權變得常規化,個人數據被平臺收集,經過平臺處理成為共同所有的信息,根據Sandra Petronio的CPM(Communication Privacy Management)理論,“人們經常會與他人共同擁有私人信息,所以需要協調他們共有的邊界”。用戶和App平臺的關系就適用于CPM理論中的“包含邊界的協調”(Inclusive Boundary Coordination),其中用戶因放棄個人隱私而在信息管理者面前完全被動。然而依據CPM理論,從契約文本上來看,公民選擇或自愿放棄部分隱私數據來換取服務便利,或受制于平臺要求,屬于鏈接中的“強制性鏈接”(Coercive Linkages)或“角色性鏈接”(Role Linkages)；從個人隱私范圍期待的角度來看,公民有權查看源于自身隱私的內容、決定信息的使用范圍,屬于“適度控制”(Moderate Control)狀態；從企業的合法權益來看,部分處理過的數據可能涉及商業機密,平臺會有正當的拒絕理由,這是基于“仁慈所有權”(Benevolent Ownership)中的動態協調。因此,打通個人申請渠道,提供動態協商機制的同時,也要做到權利間的協調與平衡。針對此種情況,可以以限制關聯方的超范圍共享為基礎,涉及雙方權益的信息因為難以協調,維持在雙方契約范圍內即可；涉及敏感的個人數據如生物特征的數據、銀行卡相關的數據等優先保護,禁止關聯方共享(包括集團內部)；其他次要信息如行為記錄,通過控制在有能力保護的集團內部共享,或通過只提供匿名化(不可再次合成識別)、統計記錄的形式和外部的平臺共享。

五、結語

當數據之于信息社會如同燃料之于工業革命時,對數據資源的攫取就成了大數據時代的顯著特征,但與工業資源不同的是數據在共享中能實現資源的擴大和開發。大數據時代將信息流動的悖論聚焦于區分是不是“隱私”似乎很難,而將焦點從隱私數據轉換為交換行為,“為交換行為劃定出可靠的技術范圍”時,新的安全觀念就會出現。面對是要隱私還是要共享的困境,我們提倡回歸隱私原始的訴求,尊重隱私不同范圍間的期待,雙方協調溝通、共同治理,將信息流動維持在合理的范圍之中。

注釋:

① Samuel D.Warren,Louis D.Brandeis.TheRighttoPrivacy.Harvard law Review,vol.4,no.5,1890.p.193.

④⑤⑥ Robert F.Murphy.SocialDistanceandtheVeil.American Anthropologist,vol.66,no.6,1964.p.1265,p.1271,p.1273.

⑦ Georg Simmel.TheSociologyofGeorgSimmel.Kurt H.Wolf,trans.Glencoe,Illinois:The Free Press.1964.p.307.

⑧ [德]蓋奧爾格·齊美爾:《社會是如何可能的:齊美爾社會學文選》,林榮遠譯,廣西師范大學出版社2002年版,第169頁。

⑨ [美]歐文·戈夫曼:《日常生活中的自我呈現》,肖志軍譯,北京大學出版社2008年版,第113-114頁。