群体隐私:超越“个人”的隐私保护

来源:海国图智研究院时间:2021-01-06

摘要

近现代数据保护立法体现了从群体化向个人化转移的趋势,然而个人本位的隐私保护法律框架难以满足时代需求,在数据资源价值日益多元、隐私利益互相依存、并产生群体样态的大数据时代,仅将数据保护理解为个体性的权利、单纯给予个人主义的保护是不现实的。然而,算法开发人员所享有的知识产权似乎是维护群体隐私路上不可回避的障碍。
 

 

一、大数据分析技术之下的隐私困境

数据挖掘和分析技术能够从看似杂乱无章的原始数据中整合、分析出关于群组的抽象信息或知识。从数据来源看,这些原始数据可能是从公开领域,抑或是从已被同意共享的碎片化数据中提取而来,虽然这种行为在现行数据保护框架下并不具有形式违法性,但仍有可能对与这些聚合信息相关的群体带来实质性的隐私侵害,而这恰恰也是被立法所忽视的利益范畴。

在传统隐私保护研究中,“群体”和“隐私”似乎是两个互相矛盾的概念,牺牲成员的部分隐私是群体建立、凝聚的必然要求,“群体隐私”这一命题的必要性与合理性也频频遭到质疑。但回到现实,群体因隐私无法得到保护而沦为算法囚徒,困于画像的用户群体屡遭“杀熟”,有色人种在自动化司法程序中频受歧视……我们不得不重新审视传统理论的解释力、现行规范的适用性,以期破解新时代的隐私困境。

 

二、当我们谈群体隐私时,我们究竟在谈什么?

1  什么是“群体”?

数据挖掘和机器学习过程中对样本的分组机制挑战了传统的“群体”定义。“民族”“种族”等传统规范意义上的群体之形成建立在成员自觉的基础之上,这包含对两方面内容的察觉,一是群体本身的存在,二是自身在群体中所处之地位。但在算法分类系统中,人们可能在毫不知情的情况下因共同特征的存在而被划入他们并不知晓、不了解的群组,此外,算法设计者还可以自主设计群组,这就意味着,群组的存在和构成可能完全超出其成员的预见和控制范围。因此,谷歌公共政策研究项目经理Kammourieh将算法群体称为“被动”的群体。

2  什么是“隐私”?

从当前中外隐私保护立法来看,“隐私”都是一项个人化的概念。我们当前所普遍采用的“隐私”概念最先正式形成于近代西方。其内涵的确立建立在公域/私域之二分基础上的,privacy被自然地划分到与公共领域相分离的私人领域。上至沃伦与布兰代斯提到的“独处的权利”,下至当今欧美主流数据保护立法对数据客体之定义,隐私与“个人”“独”此类个体化的概念相伴而行,我国《民法典》中所给出的“隐私”概念更是反复强调这一概念的排他性和私密性。笔者认为,正是受这样一种根深蒂固理念之影响,当前许多冠以“群体隐私”之名的研究很难跳脱出“个人”这一分析单位,仅仅从数据内容的涉他性和危害范围的广泛性很难支撑起创建“群体隐私”这一概念的必要性,追根究底,大多研究只将“群体隐私”简单地等同于“一群人的个人隐私”,这就忽视了“群体”的核心之所在。

3  什么是“群体隐私”?

就权利内容来看,群体隐私是一种人格不受侵犯的权利,并旨在保护完整的、不可复原的群体身份,任何对群体身份产生负面影响,或将隐私控制权从群体中转移出去的行为都可视作对群体隐私的威胁。就权利归属问题,(头衔/职务)牛津大学互联网研究院数字伦理实验室主任Floridi也早已做出明确界定,“群体隐私权是群体作为一整个群体所拥有的权利,而不是归群体成员各自享有。”按此逻辑推算,作为权利对象的群体隐私绝非仅是群体性的个人隐私,而是专属于群体、无法复原至个人的数据,即“去个人化”的隐私,通过大数据分析所得出的inference便是一种典型的群体隐私。在大数据与人工智能时代,相对于个体数据,基于海量个人数据集合分析得出的inference才具有真正的利用价值。大数据语境下论及的数据泄露实质上就是inference这一分析成果的泄露,而非源数据——个人数据之泄露。从内容来看,由于inference是关于一类群体的特征数据,不满足个人数据定义中的“识别”标准,群体而非个人才是风险的真正承担者,因而成为真正的权利主体。从损害结果来看,inference的滥用所造成的危害远远超出了个人范围,而是消费者群体、社会公众乃至整个民族,这就让当前保障个人隐私的救济手段无计可施,上述三重原因共同构成了提倡群体隐私的必要性基础。

站在国家安全的高度上,保护群体隐私同样具有现实意义。近年来,美国外商投资委员会以“国家安全”为名频频限制美国境内大规模个人数据的出境,结合外商投资审查制度目标,我们足以合理推测,限制的对象并非这些数据集中的一个个数据单元,而是基于这些数据足以得出的、与美国国家安全息息相关的inference。Strava软件的“热图”(heatmap)便是这一忧虑成立的直接证据,作为一款具有社交功能的健身应用,Strava匿名收集用户数据,并通过“热图”中开放分享用户的锻炼地点,在现行隐私保护规范之下,匿名化机制足以达到保护个人隐私的目的。但实际上,正是这些看似合规的“热图”却成为暴露各国军事基地的罪魁祸首,对阿富汗、伊拉克和叙利亚的国家安全和国民造成严重威胁。此例也证明了,当下备受推崇的匿名化技术在应对个人范围之外的隐私侵害之时,是极其不充分的。

那么群体是否具有主张隐私权的正当性呢?大多数社会心理学家认为,群体成员的自我感知是生成态度和行为的必要条件,缺乏共同意识基础的个体集群无法产生对于隐私侵害的共同恐惧。然而,依照最低限度群体范式开展的社会心理学研究却主张,哪怕临时的群组分类也会产生组内认同和组外歧视,这就构成了群体采取一致对外行动的心理基础。更有学者认为,既然针对群体的伤害切实存在,主张群体隐私权的正当性便是不言自明的。那么,在弥补了群体隐私的概念与正当性缺陷之后,算法开发人员所享有的知识产权似乎就成了维护群体隐私路上最大的障碍,二者之间的价值权衡始终是学界争论的焦点:

严格解释主张隐私权利持有者有资格控制数据控制者和算法分类系统,并能够对分析构建身份特征的一切数据处理活动提出索赔。但这一观点必然加剧数据控制者和群体之间的冲突。

温和解释则将“控制”的权力限缩为“监督”。这相当于为数据处理者施加了保障被处理对象知情权的解释性义务,被处理对象既包括个人,也涵盖个人所属的群体。

弱解释却认为这一解释性义务甚至不具有强制力,数据处理者可以自行选择是否向被处理对象解释他们在由分析技术驱动的决策系统中经历了哪些数据轨迹。

 

三、群体隐私与当下个人中心制度框架的不可兼容性

近现代数据保护立法体现了从群体化向个人化转移的趋势。二战时期反纳粹历史被视作现代欧洲数据保护立法的渊源,当时的保护对象主要是犹太民族的群体资料档案,以免暴露身份而遭纳粹迫害。而近代数据保护从1980年的《OECD指南》到当下享誉全球的GDPR,数据保护无不与“个人”紧密挂钩,数据是个人之数据,数据权利也在个人权利框架之内,保护隐私的制度和技术手段同样侧重于个人层面。但讽刺的是,技术的走向却与立法背道而驰,数据分析技术的发展让市场倾向于从集体数据中提取价值。

当前数据保护主要是以数据控制者和数据主体之间的合同关系为前提,但在大数据分析之下,这种1:1的平等关系格局已不复存在,权力的天平逐渐向数据控制者倾斜,数据主体往往难以感知自己所受的伤害,更不知道应该向谁提起损害赔偿。此外,由于群体歧视过程不可见、机理难知晓,受损群体难以承担证明责任。相较于个人隐私泄露这一损害结果,数据分析对群体的损害往往是隐蔽的、长期的。且当帕森斯设计学院教授David Carroll试图以符合公共利益的问责制和监督为由要求剑桥分析公司披露其收集并处理数据的过程时,法院驳回了他的请求,并认为他并不具有合同关系之外的权利。

 

四、结语

随着大数据技术分析技术的发展,个人本位的隐私保护法律框架难以满足时代需求。虽然日益成熟的制度设计和技术手段能够为个人隐私提供较为完备的保护,但是在数据资源价值日益多元、隐私利益互相依存、并产生群体样态的大数据时代,仅将数据保护理解为个体性的权利、单纯给予个人主义的保护是不现实的。未来,通过扩大数据保护立法的基本单位,推动个人主义向群体维度的转化,是我国数据保护立法值得研究的方向。

 

参考文献
[1] Bloustein, E. J. (1976). Group privacy: The right to huddle. Rutgers-Cam LJ, 8, 219.
[2] Taylor, L., Floridi, L., & Van der Sloot, B. (Eds.). (2016). Group privacy: New challenges of data technologies (Vol. 126). Springer.
[3] Mittelstadt, B. (2017). From individual to group privacy in big data analytics. Philosophy & Technology, 30(4), 475-494.
[4] Floridi, L. (2014). The fourth revolution: How the infosphere is reshaping human reality. OUP Oxford.
[5] BBC News. (2018, January 29). Fitness app Strava lights up staff at military bases. https://www.bbc.com/news/technology-42853072
[6] Taddeo, M. (2020). The Ethical Governance of the Digital During and After the COVID-19 Pandemic.
[7] Vincent John Green & Mark Newman -v- Cambridge Analytica (UK) Limited & others. (2019, April 17). Courts and Tribunals Judiciary. https://www.judiciary.uk/judgments/vincent-john-green-mark-newman-v-cambridge-analytica-uk-limited-others/