用人體外的數(shù)字洞悉人的內在，一直是隱私保護爭論的焦點，但相比之下，面對另一項更為基礎且正在發(fā)生的革新——體內世界的隱私保護爭論似乎要微弱許多。

　　當器官傳遞信息、當組織發(fā)送信號、當DNA用于存儲…體內世界的逐漸信息化，需要隱私權和個人信息保護的回應。此時，隱私權如何安排，關系到身體和生命的完整和自主。

　　按技術成熟程度和現(xiàn)實應用多寡的順序，體內世界信息化的各類革新大概分為這樣幾類：第一類是植入體內的醫(yī)學診療或人體增強設備。這類設備相對常見，也已經(jīng)引起法律沖突（比如說，心臟起搏器上的信息能否用于刑事案件偵察，就是剛剛結束的案例）；第二類是近年來漸漸商業(yè)化、可以植入體內的微芯片；第三類是仍處實驗室階段，但未來應用空間廣闊的生物存儲。

　　2017年的起搏器案件，情節(jié)直截了當。

　　起因是嫌疑人的房屋被火災燒毀。面對警方針對縱火與騙保的刑事調查，他聲稱：火災發(fā)生時，他迅速搬開屋內重物，然后跳窗求生。警方征得法院批準后，成功調取嫌疑人體內起搏器存儲的、火災當時的心率數(shù)據(jù)，發(fā)現(xiàn)和嫌疑人的敘述并不一致。嫌疑人隨即上訴，希望排除基于起搏器數(shù)據(jù)的證據(jù)，但還沒來得及等到判決，他便去世了。

　　這個案件的意義之一在于：體內診療設備上的信息，可能因公共利益，用在醫(yī)療以外的目的。

　　起搏器、智能心臟支架、智能給藥系統(tǒng)等收集、處理個人信息的體內診療設備，又是用途上更寬泛的人體增強設備的子集。人體增強不僅尋求治愈，還追求超越極限。例如，外骨骼助力負載重物；先進肢體，能夠讓殘障人士達到參加國際田徑賽事的水準；由Willett等學者制成、新近發(fā)表于《自然》的腦機接口，則能夠將個體腦內對字母的想象，較為迅速地轉換成在現(xiàn)實中輸入字母。面對人體增強日趨實用的現(xiàn)實，IEEE工作組已經(jīng)著手起草相關的隱私與安全標準。

　　植入體內的微芯片，也已踏上商業(yè)化進程、并啟動有限范圍的試驗。

　　BioHax公司創(chuàng)始人曾在2018年公開宣稱：僅在瑞典，即有約4000人已植入微芯片，國外也有同等量級的試用者。通過讀取芯片，可以準確識別、驗證或追蹤個體。目前，這一技術已經(jīng)或即將投入實踐的應用場景包括：乘客登車時，讀取芯片來驗證身份；公司出于安全防護的內部識別和驗證；超市識別顧客等。

　　微芯片帶來和起搏器相似的隱私難題是：有關這些芯片上的信息，即使植入時的目的相當明確，后續(xù)出現(xiàn)類似公共利益的考量時，這些信息依然可能為個體帶來意想不到的麻煩。再進一步說，在物聯(lián)網(wǎng)設備隨處可見的當下，這些信息有沒有可能匹配、融合，微芯片有沒有可能和其它設備組網(wǎng)、聯(lián)動，都不再是“科幻”式的追問，而是如果想做、技術即可實現(xiàn)的選項。

　　克萊姆森大學教授Jordan Frith在系統(tǒng)研究微芯片的基礎上總結道：

　　“在物（人）聯(lián)網(wǎng)的道路上，我們正在岔道口?！?/p>

　　生物存儲距離實用最遠，對現(xiàn)有隱私與信息保護制度的沖擊，卻有可能最為劇烈。這里的生物存儲，至少涵蓋兩類已經(jīng)在實驗室中實現(xiàn)的技術——第一類是陶虎等學者新近實現(xiàn)的、以蠶絲等材料制成的硬盤。簡而言之，儲存信息的設備，有望安全植入人體。第二類是研究歷程更久的DNA存儲：在成功實現(xiàn)DNA分子上的特定信息的存取后，至少在理論上，人體具備了相當可觀的信息存儲潛力。

　　為何說此處沖擊，可能最為劇烈？盡管學術研究經(jīng)常提及“賽博格”，也經(jīng)常提及“數(shù)字孿生”，但實際以制度安排個體的權利時，涉及身體的部分和涉及信息世界的部分，通常還是有清晰的區(qū)隔。

　　結果就是，對于個體而言，發(fā)現(xiàn)體內信息設備可以被外界以意想不到的方式使用，并不是多么愉快的事；對社會而言，希望建立信息時代的法律秩序、對各類型信息流動都“有法可依”的期待，也要在人體表面暫時止步。

　　體內世界的信息該受多少保護，需要一個答案。

　　01、體內世界的隱私權

　　體內世界是否屬于隱私權和個人信息保護的范圍？如果是，保護的范圍和程度在哪里、有多少，對這些問題的討論還是需要以法律為出發(fā)點。法律予以嚴格保護的隱私：除非法律另有規(guī)定，或個體明確同意，不能侵害隱私權。有關何為隱私，《民法典》的定義是：“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?！?/p>

　　于是，接下來的問題便是，私密空間、私密活動和私密信息，在體內世界信息化時代分別要如何解釋。

　　體內是否屬于私密空間？很難說“不”。

　　一般來說，我們抗拒他人侵入體內，我們也期待體內屬于私密空間。這也是為什么侵入體內的肛拭子檢測會成為一個頗具爭議的話題。從更宏觀的角度看，19世紀前，對隱私權的理解，更多是“家即城堡”；20世紀來，從“子宮也是個體的城堡”出發(fā)，體內空間的隱私，是性和生育的自主的重要依據(jù)。此外，除非法律另有規(guī)定，隱私的邊界，取決于個體的明確同意；身體自主，又是近代以來“同意”概念發(fā)展的基石之一。

　　當然，實踐當中，這里可能面臨非常微妙的、有關何者位于“私密空間”內部的問題。起搏器、芯片和蠶絲硬盤本身，當然位于物理意義上的體內空間；不過，其中收集、處理、對外提供的信息，是不是也位于體內空間，則存在不同的看法。

　　尤其是當相應體內設備對外聯(lián)網(wǎng)時，認為這部分信息實際處于沒有明確物理邊界的網(wǎng)絡空間/信息空間，也有其合理性。

　　于是，我們還需要考慮私密信息。而判斷是否私密信息，至少有三種思路——

　　首先，《民法典》第一千零三十三條明確：“身體的私密部位”屬于隱私。不過，由于與“私密部分”搭配的詞語是“拍攝、窺視”，體表以下的空間能不能歸入私密部位，存在疑難。

　　其次，由信息的類別判斷。根據(jù)清華大學法學院程嘯教授對各個人信息類別的排比分析，“……個人的健康信息、犯罪記錄、財產(chǎn)狀況、性取向等當然屬于私密信息”，還有一些“則存在爭議”。體內設備收集信息的范圍很廣，無法簡單通過類別判斷。

　　最后，還有基于場景的判斷，這很大程度上意味著具體情況、具體分析，難以事前作出結論。

　　面對起搏器或微芯片等現(xiàn)實案例，在司法實踐剛剛展開、共識依然有待形成的階段，這樣的兩步思路較為現(xiàn)實：首先，還是從“當然屬于”的、沒有爭議的類別出發(fā)，如果體內設備收集、處理的信息可以在這一步判斷，問題解決；其次，如果在第一步無法得到判斷，很可能進入需要綜合平衡多方面因素的場景分析，此時，信息取自體內可以作為權重很高的、傾向認定為私密信息的考慮因素。

　　雖然在直觀角度上體內信息設備與“私密活動”的關聯(lián)不大，但在三種情況下，二者將發(fā)生交集。

　　第一，個人可能會將在體內植入設備本身，視為一種私密的活動。判斷這一點，需要看具體是什么設備。

　　第二，體內設備所收集的信息，直接反映了私密活動。這里的經(jīng)典案例是：結合健身手環(huán)記錄的心率和時間信息，可以清晰反映性生活的模式。

　　第三，通過對體內設備收集信息的進一步分析，足以揭示私密活動。譬如，行動軌跡可能暴露個體健康狀況、宗教信仰和性取向。

　　02、體內世界的個人信息保護

　　即使體內設備收集、處理的信息不屬于隱私，這些信息很可能還是要遵從針對個人信息保護的規(guī)定。問題的起點依然是“何者屬于個人信息”。按《民法典》定義：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息……”

　　由此可以看出，“能夠識別”是最關鍵的標準。

　　在具體實踐中，如何判斷個人信息的范圍，又可以再分為兩步——

　　首先看關聯(lián)，如果信息已經(jīng)和個人建立了關聯(lián)，比如說，在數(shù)據(jù)表格里位于同一行，這些就應當屬于個人信息。體內信息設備收集、處理的信息，很多在這一步就足以判斷。尤其是各類“智慧”的體內設備：個性化常常就蘊涵了關聯(lián)這一層意思。

　　其次看識別，對體內設備而言，這一步反而不那么容易。譬如，僅僅看心率或者軌跡，不借助其它信息，通常很難識別到特定的自然人。當然，如果有其他一般人容易獲得的信息，再結合起來以后可以識別，那么，同樣可以判斷為個人信息。

　　值得指出的是，《個人信息保護法（二審稿）》對“敏感個人信息”賦予了程度更高的保護。敏感信息指：

　　“一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息”。

　　判斷私密信息的“兩步思路”在這里也適用：先看是否屬于法律明確列舉的類別，再判斷是否會帶來歧視或嚴重危害。體內設備收集、處理的信息，特別是診療或人體增強類設備的相應信息，很可能會滿足“嚴重危害”的要求，從而屬于敏感個人信息。

　　判斷出體內設備收集、處理的信息屬于（敏感）個人信息后，便是更“實在”的問題：到底應當保護到什么程度？

　　基于個體充分知情的同意，是起碼的要求。在植入體內設備這個場景里，除了通常的，對收集什么信息、如何處理、會不會對外提供、存儲多久等事項的告知外，對于技術還沒有完全成熟、穩(wěn)健的設備，比如說微芯片，又或者說生物硬盤，就信息安全風險的充分告知，至少同樣重要。

　　和隱私不同，獲取同意，不是收集、處理個人信息唯一的“通行證”。如果個體已經(jīng)自行公開信息，如果處理信息為訂立合同所必要，又或者出于公共利益等考量，同樣可以處理個人信息。

　　這里就又回到了起搏器案件提出的問題：界限在哪里？

　　如果將自行公開視為一種默示的同意，那么對于剩下兩個“口子”，無論是“為合同所必要”，還是“公共利益考量”，都蘊含著對關聯(lián)強度的要求：相應個人信息與訂立合同或公共利益間的聯(lián)系，得足夠緊密。如果屬于敏感信息，強度需要達到“充分的必要性”。對體內信息設備而言，在硬件層面即保持“克制”，讓設備只可能用于充分必要的功能，將是非常有效、值得信賴的合規(guī)進路。

　　此外，從數(shù)據(jù)/信息治理的角度看，身體與信息世界二者制度間的分離，將在未來成為一項“缺口”。

　　宏觀層面，作為個人信息保護與數(shù)據(jù)治理中核心權衡的“三方平衡”，也就是國家、企業(yè)與個體間利益的平衡，在體內世界依然存在。

　　微觀層面，例如，盡管對跨境傳輸?shù)闹卫碓O想，已經(jīng)涵蓋了網(wǎng)絡模型的每一層；這些設想，卻未必能涵蓋以身體攜帶大量信息出入境的可能性。

　　雖然如此，假使出于彌補缺口的原因，隱私保護和數(shù)據(jù)治理制度因此向體內世界伸展，這本身就又會成為一項難解的隱私問題。

　　結語

　　就體內世界的（充分）信息化，已有歷史悠久的諸多設想。當這一天終于嶄露頭角，一直在努力前瞻的制度，依然會暴露許多未及充分考量的側面。

　　在扼要總結已然或接近實用的三類相關技術的基礎上，由隱私權和個人信息保護兩項制度出發(fā)，力圖以稍作“抻扯”的方式，盡量描述當有的保護的范圍和程度。這并不代表只有這些保護，比如有關身體權的規(guī)定，即與此處有所交集；這也不代表制度達致極限，對許多無法事前結論的部分，技術標準可以發(fā)揮作用。

　　最后，還有些許值得補充：雖然文章只談了制度，如果缺乏從兩個側面出發(fā)的、對技術的考量，文章很難稱得上完整。

　　一方面，網(wǎng)絡安全防護，可以稱得上是前提：沒有這一點，無論是制度對個體的維護，還是制度對潛在為惡者的嚇阻，都顯得相當蒼白。當然，足夠的安全防護水平，本身也是制度規(guī)定的一部分。

　　另一方面，體內信息設備，可以至為私密，至為敏感，亦至為重要，從這一點出發(fā)，對相關信息的收集、傳輸和處理，理應總是考慮當前水平下最好的匿名化技術。