用人體外的數(shù)字洞悉人的內(nèi)在,一直是隱私保護爭論的焦點,但相比之下,面對另一項更為基礎(chǔ)且正在發(fā)生的革新——體內(nèi)世界的隱私保護爭論似乎要微弱許多。
當(dāng)器官傳遞信息、當(dāng)組織發(fā)送信號、當(dāng)DNA用于存儲…體內(nèi)世界的逐漸信息化,需要隱私權(quán)和個人信息保護的回應(yīng)。此時,隱私權(quán)如何安排,關(guān)系到身體和生命的完整和自主。
按技術(shù)成熟程度和現(xiàn)實應(yīng)用多寡的順序,體內(nèi)世界信息化的各類革新大概分為這樣幾類:第一類是植入體內(nèi)的醫(yī)學(xué)診療或人體增強設(shè)備。這類設(shè)備相對常見,也已經(jīng)引起法律沖突(比如說,心臟起搏器上的信息能否用于刑事案件偵察,就是剛剛結(jié)束的案例);第二類是近年來漸漸商業(yè)化、可以植入體內(nèi)的微芯片;第三類是仍處實驗室階段,但未來應(yīng)用空間廣闊的生物存儲。
2017年的起搏器案件,情節(jié)直截了當(dāng)。
起因是嫌疑人的房屋被火災(zāi)燒毀。面對警方針對縱火與騙保的刑事調(diào)查,他聲稱:火災(zāi)發(fā)生時,他迅速搬開屋內(nèi)重物,然后跳窗求生。警方征得法院批準后,成功調(diào)取嫌疑人體內(nèi)起搏器存儲的、火災(zāi)當(dāng)時的心率數(shù)據(jù),發(fā)現(xiàn)和嫌疑人的敘述并不一致。嫌疑人隨即上訴,希望排除基于起搏器數(shù)據(jù)的證據(jù),但還沒來得及等到判決,他便去世了。
這個案件的意義之一在于:體內(nèi)診療設(shè)備上的信息,可能因公共利益,用在醫(yī)療以外的目的。
起搏器、智能心臟支架、智能給藥系統(tǒng)等收集、處理個人信息的體內(nèi)診療設(shè)備,又是用途上更寬泛的人體增強設(shè)備的子集。人體增強不僅尋求治愈,還追求超越極限。例如,外骨骼助力負載重物;先進肢體,能夠讓殘障人士達到參加國際田徑賽事的水準;由Willett等學(xué)者制成、新近發(fā)表于《自然》的腦機接口,則能夠?qū)€體腦內(nèi)對字母的想象,較為迅速地轉(zhuǎn)換成在現(xiàn)實中輸入字母。面對人體增強日趨實用的現(xiàn)實,IEEE工作組已經(jīng)著手起草相關(guān)的隱私與安全標準。
植入體內(nèi)的微芯片,也已踏上商業(yè)化進程、并啟動有限范圍的試驗。
BioHax公司創(chuàng)始人曾在2018年公開宣稱:僅在瑞典,即有約4000人已植入微芯片,國外也有同等量級的試用者。通過讀取芯片,可以準確識別、驗證或追蹤個體。目前,這一技術(shù)已經(jīng)或即將投入實踐的應(yīng)用場景包括:乘客登車時,讀取芯片來驗證身份;公司出于安全防護的內(nèi)部識別和驗證;超市識別顧客等。
微芯片帶來和起搏器相似的隱私難題是:有關(guān)這些芯片上的信息,即使植入時的目的相當(dāng)明確,后續(xù)出現(xiàn)類似公共利益的考量時,這些信息依然可能為個體帶來意想不到的麻煩。再進一步說,在物聯(lián)網(wǎng)設(shè)備隨處可見的當(dāng)下,這些信息有沒有可能匹配、融合,微芯片有沒有可能和其它設(shè)備組網(wǎng)、聯(lián)動,都不再是“科幻”式的追問,而是如果想做、技術(shù)即可實現(xiàn)的選項。
克萊姆森大學(xué)教授Jordan Frith在系統(tǒng)研究微芯片的基礎(chǔ)上總結(jié)道:
“在物(人)聯(lián)網(wǎng)的道路上,我們正在岔道口?!?/p>
生物存儲距離實用最遠,對現(xiàn)有隱私與信息保護制度的沖擊,卻有可能最為劇烈。這里的生物存儲,至少涵蓋兩類已經(jīng)在實驗室中實現(xiàn)的技術(shù)——第一類是陶虎等學(xué)者新近實現(xiàn)的、以蠶絲等材料制成的硬盤。簡而言之,儲存信息的設(shè)備,有望安全植入人體。第二類是研究歷程更久的DNA存儲:在成功實現(xiàn)DNA分子上的特定信息的存取后,至少在理論上,人體具備了相當(dāng)可觀的信息存儲潛力。
為何說此處沖擊,可能最為劇烈?盡管學(xué)術(shù)研究經(jīng)常提及“賽博格”,也經(jīng)常提及“數(shù)字孿生”,但實際以制度安排個體的權(quán)利時,涉及身體的部分和涉及信息世界的部分,通常還是有清晰的區(qū)隔。
結(jié)果就是,對于個體而言,發(fā)現(xiàn)體內(nèi)信息設(shè)備可以被外界以意想不到的方式使用,并不是多么愉快的事;對社會而言,希望建立信息時代的法律秩序、對各類型信息流動都“有法可依”的期待,也要在人體表面暫時止步。
體內(nèi)世界的信息該受多少保護,需要一個答案。
01、體內(nèi)世界的隱私權(quán)
體內(nèi)世界是否屬于隱私權(quán)和個人信息保護的范圍?如果是,保護的范圍和程度在哪里、有多少,對這些問題的討論還是需要以法律為出發(fā)點。法律予以嚴格保護的隱私:除非法律另有規(guī)定,或個體明確同意,不能侵害隱私權(quán)。有關(guān)何為隱私,《民法典》的定義是:“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?!?/p>
于是,接下來的問題便是,私密空間、私密活動和私密信息,在體內(nèi)世界信息化時代分別要如何解釋。
體內(nèi)是否屬于私密空間?很難說“不”。
一般來說,我們抗拒他人侵入體內(nèi),我們也期待體內(nèi)屬于私密空間。這也是為什么侵入體內(nèi)的肛拭子檢測會成為一個頗具爭議的話題。從更宏觀的角度看,19世紀前,對隱私權(quán)的理解,更多是“家即城堡”;20世紀來,從“子宮也是個體的城堡”出發(fā),體內(nèi)空間的隱私,是性和生育的自主的重要依據(jù)。此外,除非法律另有規(guī)定,隱私的邊界,取決于個體的明確同意;身體自主,又是近代以來“同意”概念發(fā)展的基石之一。
當(dāng)然,實踐當(dāng)中,這里可能面臨非常微妙的、有關(guān)何者位于“私密空間”內(nèi)部的問題。起搏器、芯片和蠶絲硬盤本身,當(dāng)然位于物理意義上的體內(nèi)空間;不過,其中收集、處理、對外提供的信息,是不是也位于體內(nèi)空間,則存在不同的看法。
尤其是當(dāng)相應(yīng)體內(nèi)設(shè)備對外聯(lián)網(wǎng)時,認為這部分信息實際處于沒有明確物理邊界的網(wǎng)絡(luò)空間/信息空間,也有其合理性。
于是,我們還需要考慮私密信息。而判斷是否私密信息,至少有三種思路——
首先,《民法典》第一千零三十三條明確:“身體的私密部位”屬于隱私。不過,由于與“私密部分”搭配的詞語是“拍攝、窺視”,體表以下的空間能不能歸入私密部位,存在疑難。
其次,由信息的類別判斷。根據(jù)清華大學(xué)法學(xué)院程嘯教授對各個人信息類別的排比分析,“……個人的健康信息、犯罪記錄、財產(chǎn)狀況、性取向等當(dāng)然屬于私密信息”,還有一些“則存在爭議”。體內(nèi)設(shè)備收集信息的范圍很廣,無法簡單通過類別判斷。
最后,還有基于場景的判斷,這很大程度上意味著具體情況、具體分析,難以事前作出結(jié)論。
面對起搏器或微芯片等現(xiàn)實案例,在司法實踐剛剛展開、共識依然有待形成的階段,這樣的兩步思路較為現(xiàn)實:首先,還是從“當(dāng)然屬于”的、沒有爭議的類別出發(fā),如果體內(nèi)設(shè)備收集、處理的信息可以在這一步判斷,問題解決;其次,如果在第一步無法得到判斷,很可能進入需要綜合平衡多方面因素的場景分析,此時,信息取自體內(nèi)可以作為權(quán)重很高的、傾向認定為私密信息的考慮因素。
雖然在直觀角度上體內(nèi)信息設(shè)備與“私密活動”的關(guān)聯(lián)不大,但在三種情況下,二者將發(fā)生交集。
第一,個人可能會將在體內(nèi)植入設(shè)備本身,視為一種私密的活動。判斷這一點,需要看具體是什么設(shè)備。
第二,體內(nèi)設(shè)備所收集的信息,直接反映了私密活動。這里的經(jīng)典案例是:結(jié)合健身手環(huán)記錄的心率和時間信息,可以清晰反映性生活的模式。
第三,通過對體內(nèi)設(shè)備收集信息的進一步分析,足以揭示私密活動。譬如,行動軌跡可能暴露個體健康狀況、宗教信仰和性取向。
02、體內(nèi)世界的個人信息保護
即使體內(nèi)設(shè)備收集、處理的信息不屬于隱私,這些信息很可能還是要遵從針對個人信息保護的規(guī)定。問題的起點依然是“何者屬于個人信息”。按《民法典》定義:“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息……”
由此可以看出,“能夠識別”是最關(guān)鍵的標準。
在具體實踐中,如何判斷個人信息的范圍,又可以再分為兩步——
首先看關(guān)聯(lián),如果信息已經(jīng)和個人建立了關(guān)聯(lián),比如說,在數(shù)據(jù)表格里位于同一行,這些就應(yīng)當(dāng)屬于個人信息。體內(nèi)信息設(shè)備收集、處理的信息,很多在這一步就足以判斷。尤其是各類“智慧”的體內(nèi)設(shè)備:個性化常常就蘊涵了關(guān)聯(lián)這一層意思。
其次看識別,對體內(nèi)設(shè)備而言,這一步反而不那么容易。譬如,僅僅看心率或者軌跡,不借助其它信息,通常很難識別到特定的自然人。當(dāng)然,如果有其他一般人容易獲得的信息,再結(jié)合起來以后可以識別,那么,同樣可以判斷為個人信息。
值得指出的是,《個人信息保護法(二審稿)》對“敏感個人信息”賦予了程度更高的保護。敏感信息指:
“一旦泄露或者非法使用,可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息”。
判斷私密信息的“兩步思路”在這里也適用:先看是否屬于法律明確列舉的類別,再判斷是否會帶來歧視或嚴重危害。體內(nèi)設(shè)備收集、處理的信息,特別是診療或人體增強類設(shè)備的相應(yīng)信息,很可能會滿足“嚴重危害”的要求,從而屬于敏感個人信息。
判斷出體內(nèi)設(shè)備收集、處理的信息屬于(敏感)個人信息后,便是更“實在”的問題:到底應(yīng)當(dāng)保護到什么程度?
基于個體充分知情的同意,是起碼的要求。在植入體內(nèi)設(shè)備這個場景里,除了通常的,對收集什么信息、如何處理、會不會對外提供、存儲多久等事項的告知外,對于技術(shù)還沒有完全成熟、穩(wěn)健的設(shè)備,比如說微芯片,又或者說生物硬盤,就信息安全風(fēng)險的充分告知,至少同樣重要。
和隱私不同,獲取同意,不是收集、處理個人信息唯一的“通行證”。如果個體已經(jīng)自行公開信息,如果處理信息為訂立合同所必要,又或者出于公共利益等考量,同樣可以處理個人信息。
這里就又回到了起搏器案件提出的問題:界限在哪里?
如果將自行公開視為一種默示的同意,那么對于剩下兩個“口子”,無論是“為合同所必要”,還是“公共利益考量”,都蘊含著對關(guān)聯(lián)強度的要求:相應(yīng)個人信息與訂立合同或公共利益間的聯(lián)系,得足夠緊密。如果屬于敏感信息,強度需要達到“充分的必要性”。對體內(nèi)信息設(shè)備而言,在硬件層面即保持“克制”,讓設(shè)備只可能用于充分必要的功能,將是非常有效、值得信賴的合規(guī)進路。
此外,從數(shù)據(jù)/信息治理的角度看,身體與信息世界二者制度間的分離,將在未來成為一項“缺口”。
宏觀層面,作為個人信息保護與數(shù)據(jù)治理中核心權(quán)衡的“三方平衡”,也就是國家、企業(yè)與個體間利益的平衡,在體內(nèi)世界依然存在。
微觀層面,例如,盡管對跨境傳輸?shù)闹卫碓O(shè)想,已經(jīng)涵蓋了網(wǎng)絡(luò)模型的每一層;這些設(shè)想,卻未必能涵蓋以身體攜帶大量信息出入境的可能性。
雖然如此,假使出于彌補缺口的原因,隱私保護和數(shù)據(jù)治理制度因此向體內(nèi)世界伸展,這本身就又會成為一項難解的隱私問題。
結(jié)語
就體內(nèi)世界的(充分)信息化,已有歷史悠久的諸多設(shè)想。當(dāng)這一天終于嶄露頭角,一直在努力前瞻的制度,依然會暴露許多未及充分考量的側(cè)面。
在扼要總結(jié)已然或接近實用的三類相關(guān)技術(shù)的基礎(chǔ)上,由隱私權(quán)和個人信息保護兩項制度出發(fā),力圖以稍作“抻扯”的方式,盡量描述當(dāng)有的保護的范圍和程度。這并不代表只有這些保護,比如有關(guān)身體權(quán)的規(guī)定,即與此處有所交集;這也不代表制度達致極限,對許多無法事前結(jié)論的部分,技術(shù)標準可以發(fā)揮作用。
最后,還有些許值得補充:雖然文章只談了制度,如果缺乏從兩個側(cè)面出發(fā)的、對技術(shù)的考量,文章很難稱得上完整。
一方面,網(wǎng)絡(luò)安全防護,可以稱得上是前提:沒有這一點,無論是制度對個體的維護,還是制度對潛在為惡者的嚇阻,都顯得相當(dāng)蒼白。當(dāng)然,足夠的安全防護水平,本身也是制度規(guī)定的一部分。
另一方面,體內(nèi)信息設(shè)備,可以至為私密,至為敏感,亦至為重要,從這一點出發(fā),對相關(guān)信息的收集、傳輸和處理,理應(yīng)總是考慮當(dāng)前水平下最好的匿名化技術(shù)。