文/孙那  李正  曹建峰

  2016年3月8日,联合国人权理事会(Human Rights Council)根据第28/16号决议(“数字时代的隐私权”)设立隐私权特别报告员(Special Rapporteur on privacy,以下简称SRP),调查各国隐私保护状况并每年向人权理事会和联合国大会提交隐私报告。联合国人权理事会强调在任何条件、任何时候和任何环境下都需要保障人权,当涉及隐私保护时,人权保护更具有挑战性。信息技术的迅速发展带来了更强的社会互动性,但也引发了我们对如何保护这些权利的思考。
  第一,报告关注的焦点问题主要有:跨文化的隐私和人格;线上商业模式和个人数据的使用;安全、监管、适当性和网络安全;开放数据和大数据分析对隐私的影响;基因和隐私;隐私、尊严和名誉;生物特征和隐私。
  第二,报告介绍了2015年至今全球隐私保护的最新动态:各国政府对于后门程序所持态度不一;欧洲法院通过司法判决的形式认定大规模监听行为违法,秘密监听措施侵权;英国通过专门的法案,禁止不恰当的侵犯隐私措施的实施;各国通过对话和合作机制积极探索隐私保护的新途径。
  第三,报告拟定了未来三年的十点行动计划:

  一、关注焦点与救济途径
  (一)关注焦点
  隐私保护应当遵循两个原则:保护无国界和救济跨国界。目前的隐私问题主要集中在隐私权的定位、新技术变革给隐私保护带来的挑战、国家安全与隐私保护的平衡这三个方面。
  1、跨文化的隐私和人格
  SRP试图将隐私定位为个人的基本权利,关注隐私正是为了保障个人最基本权利的实现。SPR正在就这一问题与NGO开展密切合作,并希望这可以成为2016年大型国际会议的一个焦点问题。另外,隐私与言论自由、知情权的关系被特别地关注,并与联合国其他SRP一起进行探讨。
  2、线上商业模式和个人数据使用
  互联网时代一个显著的特征是对所有形式的个人数据的使用和收集。越来越广泛的用户行为数据的收集,使得个人数据已然成为一种商品。通过更有针对性的营销方式,利用这些数据往往可以产生巨大收益。然而,使用和误用数据而带来的隐私风险并未被清楚地认识到。对于企业而言,其并不会仅仅基于隐私的考虑就会改变利益驱动的商业模式。在这样的背景下,最大程度地保护隐私、降低隐私风险问题的讨论恰逢其时。
  3、安全、监管、适当性和网络安全
  有些国家通过立法采取防止侵犯隐私的措施,以下几个措施曾引起广泛争论:监督机制的适当性;目标监控和大规模监控的区别;民主国家采取此类措施的正当性;这类措施的成本收益和整体效果。
  SRP认为针对网络安全的措施并不意味着对隐私的侵犯,而是应当确保这些措施是必要的、恰当的和非过度的。因此SRP将加强与执法机关的沟通并从四个主要方面进行研究:国家监控手段在范围上是否是恰当的,并受到立法、程序和技术保障手段的充分限制;是否主要用于目标性监控而非大规模监控;国家安全和情报局、执法机构获得企业和其他非公有主体所拥有的数据以及网络安全事项。
  4、开放数据和大数据分析:对隐私的影响
  一方面,开放数据战略下使用数据可以增进社会福利;另一方面,开放数据的前提是保护诸如隐私、自主和个人人格的自由发展。
  5、基因和隐私
  SRP指出大约25%的欧盟国家都实施了DNA数据库计划来侦察犯罪,但是这也引发了关于人权问题的讨论,比如政府在监控过程中不正当地使用DNA数据库。SRP将继续致力于推动DNA数据库使用的国际人权标准计划,提供最佳行动指南。
  6、隐私、尊严和名誉
  社交媒体给言论自由带来更大的空间的同时,也会对隐私和人格尊严等基本人权问题带来负面影响。研究表明,过去五年间,公民的名誉可以通过互联网被轻松地攻击和破坏。SRP希望与联合国言论自由、公民社会特别报告员以及联合国其他部门一起为互联网的隐私、尊严和名誉等问题设置具体的保护措施和救济。
  7、生物特征和隐私
  生物技术,比如语音识别、视网膜扫描、面部识别、指纹技术等目前已广泛用于各个领域,包括执法和个人接入移动设备。SRP将继续致力于通过与生物研究组织合作研究使用这些生物特征监测设备所需要的恰当的防护措施和救济。
  (二)救济途径
  一方面,公民个人可以提交个人申诉;另一方面,SRP希望通过加强沟通合作发挥自身在权利救济方面的作用。

  首先,如果成员国的公民认为自己的隐私受到侵犯,可以以个人的身份提交申诉,并且这些申诉会被进一步通过相关的政府机关、特殊程序进行跟踪处理。确定事实后,在必要的时候做出纠正建议。SRP在年度报告中将向联合国理事会进行汇报。其次,SRP会定期收到其他特别报告员联合行动的请求或主动发起这样的联合行动。最后,加强合作交流。SRP将继续拓展工作,加强利益相关方之间包括与不同政府部门的官员,尤其是数据和隐私保护相关部门的官员的沟通和交流,加强与诸如ITU、IEEE等技术标准组织的讨论等。


  二、隐私保护的最新动向
  总体来说,SRP认为现行法律不足以满足如今对隐私权保护的需求,而在现在这一起步阶段,SRP将会主要关注信息方面的隐私保护。从各国近一年多的相关案例和合作来看,中、美、欧等国已经在关注和讨论隐私问题,并达成了一定的共识,尤其是欧洲的一些案例已经表达出较为坚定的隐私保护立场。
  (一) 2016年初的隐私状况
  《世界人权宣言》和《公民权利和政治权利国际公约》为国际人权法中隐私权的保护奠定了基础,但是,一方面,虽然各国都通过宪法和特别法来保护隐私权,但是因缺乏统一的对隐私的定义,现行法律框架难以有效地发挥作用;另一方面,随着技术影响的不断深入,以及不同地区经济和技术的发展水平存在的差异,若干年前签订的国际公约中所确立的一些法律原则需要重新审视。
  在目前的阶段,对于隐私问题的讨论将集中于信息的隐私问题,因为这关系到言论自由和自由获得公开信息的权利,这些权利并不是互相排斥的。隐私和安全两者也并不是对立的,而是共存的。隐私不能和自主、自决的价值理念分开,诸如德国等国家就曾提出“信息自决”(informational self-determination)这一宪法性权利。如今,在保护和促进人格尊严、人格自由发展的意义上进行讨论或许可以更好地理解隐私权,而不是过分关注隐私的地域和文化差异。在新技术的影响下,我们还可能需要考虑个人和集体隐私的差别,以及公共和私有空间对隐私保护的差异。
  (二) 2015-2016的初步观察
  以下几个方面就是一些重要的进展,希望引起人权理事会的注意:
  1、拒绝后门程序
  2016年1月4日,荷兰政府正式反对在加密产品中加入后门程序。在政府文件中指出,加密产品加入后门程序可以让权力机关获取程序访问权,但也使得加密文件容易被罪犯、恐怖主义和国外情报机构获取。这会损坏到信息交流和存储的安全以及信息和通信技术的完整性,而这些在社会的运行中越来越重要。
  相比之下,美国政府对后门程序的看法并没有荷兰政府那么清晰。奥巴马政府提出其不会呼吁立法要求公司为执法进行信息解密。在最近的苹果公司诉FBI案中,美国政府提出“将继续说服公司开发新的技术使得政府在进行刑事或恐怖主义执法时可以解密用户数据”。而美国国防部部长表示后门技术使得加密程序为外部入侵者开放了读取加密文件的入口。
  2、大规模监听活动在司法上的终结
  欧盟委员会在一项决定中曾指出:“立法授权权力机关在广义的基础上获得电子通信的内容,是私人生活中基本权利对公权力的妥协。”2015年10月6日,欧洲法院在Schrems诉爱尔兰数据保护委员会案件中判决该项决定无效。SRP对此持肯定态度,认为应当保持对个人隐私的优先尊重与保护。
  除此之外,SRP还赞同欧洲法院在隐私保护的执法和程序问题上为公民个人提供救济的途径。Schrems案是首例个人提起的有关信息技术发展对个人尊严影响的诉讼,这意味着在欧洲,个人可以通过一个跨国界的公共机构,比如欧洲法院来捍卫自身权利,这与国际人权法的发展趋势相一致。欧洲法院的判决也表明区域政策未来可能会发挥更大范围的作用。
  3、秘密监听措施侵权
  欧洲人权法院大审判庭在Zakharov诉俄罗斯决定中,全体一致认为俄罗斯对移动通话的秘密监听违反了《欧洲人权公约》第8条。另外,法院还认为,在特定情况下,原告可以主张是秘密监听措施的受害者。最重要的是,其比欧洲法院在Schrems案更明确地宣布大规模监听不合法。这一决定设置了非常重要的原则:强调了对合理怀疑的要求、事先的司法上的授权和在没有授权情况下直接进行秘密的对公民之间通信的监听是不可接受的。
  4、英国调查权力法案(UK’s Investigatory Powers Bill)
  英国议会委员会中的科学和技术委员会、情报和安全委员会以及联合委员会三个委员会对英国政府的调查权力法案提出了诸多批评和建议,主要集中在透明度、司法监督和权力合理性问题。英国政府的一些部门提案表示反对之前设置的标准。SRP认为三个委员会应当坚定地继续施加影响,禁止不合比例的侵犯隐私措施的实施。SRP希望英国政府加大隐私保护的投入,同时希望加强与英国政府的合作,尤其是在监管方面的研究,寻找适当的安全保障措施,同时保证不会过度侵犯隐私。
  5、迈向网络安全的一小步
  网络空间的间谍活动威胁到网络安全有三个主要维度:破坏和恶意冲突;知识产权和经济间谍;公民权利和监控。第三个维度与隐私问题最为相关。2015年9月,美国和中国政府达成共识:不支持也不实施网络上侵犯知识产权的行为。双方都会致力于在国际社会上推动国家出台有关网络空间行为的法律规范,并组织高级专家小组进行网络事务的进一步讨论。之后,英国和中国之间也签订了类似协议,柏林和北京在2016年签订了“消除网络盗版”协议。G20国家在2015年11月接受打击实施和支持知识产权网络盗版行为的规范。这些还只是起步阶段,SRP会继续说服所有相关方展开进一步的讨论,探索网络空间隐私保护的相关具体措施。
  三、十点行动计划
  为了进一步详细阐述联合国隐私保护进程,该报告制定了十点行动计划。这十点行动计划没有先后之分,也不是强制性的要求,是在未来三年中需要重点关注的与隐私保护相关的问题:
  (一)在现有的法律框架中进一步深化对于“隐私”的理解
  我们需要对于“隐私”的概念达成一个更加优化、更加具体且符合大家普遍理解的概念。在21世纪中“隐私”的具体概念应该是什么?在数字时代中“隐私”应如何获得更好的保护?为此我们将会组织相关研究来进一步检验这些关键性问题答案的正确性,同时为其他行动计划提供可靠基础。
  (二)增强民众的隐私保护意识
  我们需要在成员国的国民中提高隐私保护意识从而帮助他们了解隐私权的实质性含义。重要的是我们需要让大家明白什么是隐私,以及在新技术的发展情况下,隐私在网络空间中是如何受到侵犯的。如何最大限度地降低隐私风险、如何与法律制定者及公司进行沟通以增强隐私保护力度?
  (三)建立与隐私相关的有组织的、持续的对话机制
  在不同的利益相关方之间建立一个更有组织的、更开放的、更专业的、更有效的、永久性的对话机制是非常关键的步骤。强调在加强现有的活动的前提下,可以考虑创建新的论坛。包括建立与非政府组织、数据与隐私保护委员会、法律执行机构(LEAs)、安全及情报机构(SIS)之间的对话机制。该做法的目的在于最大程度的提高透明度和可靠性,加强公正性和有效性,从而使该机制变得更加可靠。
  (四)运用法律、程序性的、可操作的、综合性的保障措施和救济方法
  恰当的保障措施和有效的救济方法是数据保护法的一部分内容。该法的最初目的就是在细节层面为隐私保护提供指导和保护。我们应该为公民提供更加清晰和有效的保护方式以防止其隐私受到侵犯。
  (五)对技术保障措施的再次强调
  保障措施和救济方式并不能仅仅是法律上的。仅有法律本身并不足够。我们将会继续致力于加强技术保护从而提高技术保护措施的有效性,包括数据加密、覆盖软件及其他技术手段。
  (六)聚焦与企业的特别对话
  如今,越来越多的企业收集了比政府更多的个人数据。是否有可被接受的选择方案使得在现有商业模式下个人数据可以变现?当政府要求获得企业拥有的个人数据时,安全保障措施如何适用? SRP已经开始于企业进行直接接触并在隐私问题上保持对话,期待与企业就该问题达成新的共识。
  (七)促进国家间和区域间隐私保护机制的发展
  国家间和区域间隐私保护机制发展的价值应在全球层面上予以关注。SRP在同世界范围内的数据与隐私保护委员会(Data Protection and Privacy Commissioners)的合作方面扮演重要角色。通过相互合作和对话,我们需要更加关注世界范围内的隐私保护标准的重要性。SRP已经在这方面开展工作。包括计划与澳大利益、摩洛哥、新西兰、北爱尔兰及突尼斯在2016年举办的合作及未来与其他国家开展的合作。
  (八)发挥社会团体的力量与影响力
  SRP已经会见了40多家非政府组织的代表,并计划继续与社会团体的代表展开对话来促进全球范围内的隐私保护。
  (九)网络空间、网络隐私、网络间谍、网络战争与网络和平
  全球各国都需要对网络空间中发生的大规模监听、网络间谍及网络战争保持高度关注,并保持坦诚和开放的态度。对于这些问题的处理将会基于各国上述活动的情况。期待这些问题可以在其后的报告中持续关注。
  (十)进一步扩大国际法的适用
  扩大与隐私相关的国际法适用的潜力。SRP对于各法律部门的适用可能性保持开放的研究态度。其他与隐私相关的问题,特别是网络空间的管辖权与领土主权问题通常以国际条约的形式达成。通过国际法保护的形式,我们期待可以更好地保护隐私,从而在未来形成新的隐私保护法律体系。在未来的隐私保护法律体系内,互联网治理也是其中的重要内容,SRP会对互联网的监管问题予以关注从而决定其在联合国的体系内对该问题调查发起的时间以及SRP向人权理事会和联合国大会等提交相关法律文件的内容和范围。
  四、结论
  2016年,隐私在全球是一个热门话题,成为政府、司法机构以及个人关注的焦点问题。
  安全、商业模式以及隐私之间的紧张关系和冲突依然是人们的关注核心之所在。但是,去年以来一些政府的所作所为和法院的态度截然相反:一些政府在实践中对隐私保护采取敌对态度。一些政府企图继续坚持或者合法化大规模收集数据、大规模侵入系统、未经授权的拦截等过分的、不正当的隐私敌对性措施,但是,荷兰、美国等一些国家已经开始积极进行政策转型,不为加密措施设置后门,这一做法值得其他政府借鉴。此外,世界范围内的法院尤其是美国和欧盟的法院已经在旗帜鲜明地支持隐私保护,尤其反对大规模监控、破坏加密措施等侵害隐私的措施。世界范围内的法院不仅开始意识到了加密等技术保障措施的现实可行性;而且它们开始坚定地意识到,如果通过网络战争和网络间谍将网络空间变成一片废墟,其危害是巨大的。
  其次,一些主要的互联网企业已经开始将隐私作为重要的商业考量,将其作为产品或者服务的一个卖点。如果隐私有其市场,市场力量肯定会涌入这一市场。加密设备和软件服务在急速增长,这表明世界范围内的消费者日益意识到其隐私正面临着风险,而且他们越来越倾向于选择隐私友好型的产品和服务,而非隐私中立型或者隐私不友好型的产品和服务。
  因此,SRP鼓励各国政府召开会议,一起磋商网络空间中什么是恰当的政府行为,而相关的治理措施是否恰当应当以是否保护隐私、保护公民的表达自由为评断标准。最后,SRP指出对于数字时代的隐私保护,SRP的十点行动计划的实施取决于以下两个主要因素:(1)为进行行动计划以及完成调查可以利用的资源;(2)利益相关方接受、推进隐私友好型的议程、反对继续坚持“命令和控制的心态”的意愿。
  (本文作者:孙 那  北京大学法学博士、腾讯研究院助理研究员;李 正  腾讯研究院助理研究员;曹建峰  腾讯研究院研究员)