大數據環境中的地理信息隱私法律問題探析

黃佳鈺

(武漢大學，湖北武漢 430072)

1 大數據背景下地理信息隱私法律保護的必要性

1.1 大數據與地理信息系統的結合可能導致隱私問題

地理信息與個人信息顯然共同構成對隱私的威脅。在大數據環境中，地理信息系統能夠綜合多渠道來源的多元化信息。某些數據具有個人屬性，使個體被識別或可能被識別;其他數據具有空間屬性，通過地理編碼數據庫，個人可被定位。與傳統學說相反的是，對隱私的威脅并不來自于通過GIS檢索的信息，而是來自于那些對含有個人信息的關聯地理信息檢索后推理而得出的相關信息，這些信息可共同繪制出一張個人信息圖譜。

地理信息技術包含妥協讓步的隱私。隨著地理信息技術的擴張，個人信息組合、交叉匹配及傳播程度的不斷提升，隱私的范圍受到了抑制。個人很難找出知道其個人信息的人，很難知道個人信息被知曉到什么程度。另一方面，從一定范圍而言，隱私損失是由于人們對個人信息的采集路徑及使用目的缺乏了解所導致。

1.2 我國現行立法不足以防范地理信息隱私風險

我國現行法沒有對地理信息主體的隱私權作出規定，僅對測繪成果的保密問題做出行政法規定。《測繪成果管理條例》第十六條規定“測繪成果秘密范圍和秘密等級依照有關保密法律、行政法規的規定予以確定。”從民商法角度而言，對于地理信息的隱私問題，無論立法或學術研究，都是空白點。隱私權問題一直是民商法學術爭論的焦點之一，隱私權是否應作為人格權保護，尚無定論。而對地理信息主體的隱私權的學術討論幾乎不存在。主要是因為地理信息的市場化僅發展十幾年時間，法學研究者和立法工作者沒有足夠的時間和知識背景對地理信息的隱私法律問題進行研究。

我國現行法規定了數據保護，但數據保護無法同時保護隱私。數據保護，不管從立法或實務層面討論，都是針對數據本身的保護而非針對個人。這種保護針對的是數據主體及遵照一定原則搜集操作數據的機構或組織。這些原則包括履行法定或約定的先決條件。在數據的搜集、使用和傳播過程中，數據主體的授權是至關重要的環節。在不同的背景環境中，人們以各種方式泄露個人細節信息，比如:在醫院、診所、銀行，甚至是通過電話提供銀行卡密碼，通過網絡或快遞填寫訂單。可見，我們不斷將具有隱私屬性的“所有物”向他人揭示。我們的隱私信息通過日常活動而被數據庫虜獲，比如:個人收入，家庭信息，健康及職業細節。

我國現行法對個人信息保護做出了規定，但個人信息保護與個人隱私保護存在區別。前者是對個人信息秘密的保護，而后者是有關個人對事實真相私下采取的措施。當通過數據可以定位個人身份時，個人信息隱私成為問題。另一個問題是當個人可能因某種原因泄露個人信息，之后是否可以再次給予允許?特別是當信息被偽裝成集合的形式或者以其他形式改變用途，以至于全新的綜合性數據與個人最初所提供的信息有極大的不同。因此，對個人隱私的入侵威脅要么在于包含個人信息的數據和信息的發布，要么在于不含個人信息的異樣片段信息的發布，這些信息是由地理定位信息、交易活動、電子足跡和其他途徑推理而得。

2 具體地理空間技術的隱私風險

2.1 定位和追蹤技術

通說認為，定位是指:空間和時間維度上的事件或實體的相對位置，即對事件或實體相對于其他已知對象或參考點的空間描述，常用(x，y，z)坐標來表示。空間定位即確定實體的空間位置。在這方面，運用最廣泛的當屬GPS(全球定位系統)技術。它起始于1958年美國軍方的項目，1964年投入使用，主要運用于軍事領域。它由24顆衛星(包括21顆工作衛星和3顆備用衛星)組成，能夠覆蓋全球范圍。在GPS的基礎上又衍生出差分 GPS(DGPS)和輔助GPS(AGPS)。它們的工作原理與GPS相似，但是具有定位精度高、節約時間人力物力、降低復雜性等優點。

相對于定位的靜止狀態，追蹤強調的是位置的動態變化。追蹤是指:在特定空間和時間區段內對運動實體的位置蹤跡或序列的繪制。若對實體的跟蹤發生在一個設備與發出連續傳輸脈沖的實體之間時，這種追蹤可能是實時的，比如GPS坐標的追蹤。同時，跟蹤數據也可以從以往路徑分析中獲得。無論是過去或現在的位置數據都可能為對未來相似的行為模式的推論和預測提供必要的信息。定位和追蹤技術的核心部分是地理空間技術，主要體現在地理空間數據的獲取、處理和可視化上。而其他輔助技術包括無線通信技術、圖像識別技術、生物識別技術和視頻技術等。通過這些技術的結合和協作，使得定位和跟蹤技術得以融合。

第一、追蹤個體行蹤。個人穿越邊境時，移民部門通常通過檢查核實身份并在其國家護照或地區通行證上蓋章來控制和追蹤個人的行跡。很多國家和地區正在推行在旅行證件中嵌入電子芯片，個人通過電子掃描來獲得進入或通過檢查點的許可。該數據可能衍生出一種市民和旅客進入和離開的模式。微觀尺度上看，在室內的行動可以利用錄像監測設備來監控。結合在室內的視頻證據，運用模式識別或模式匹配算法，能夠分析出最繁忙和擁堵的區域，為信息發布和告示欄選址確定合適的戰略位置。雖然這種監控系統可以為確保特定建筑物的安全提供較大效益，但由于它的入侵性也造成了對個人隱私的侵犯。

第二、追蹤交易。如今，獲取交易數據的手段越來越多，包括用MICR(磁性墨水字符識別)攜帶數據的支票和已嵌入用戶提交、驗證并返回自動模式的周轉文件。其他數據獲取手段有磁條、壓花數據代碼、條形碼、RFID(射頻身份標簽)以及像電話插座那樣帶有位置標識的裝置。這些手段應用于金融活動的各個環節:從存款到償還貸款，發放工資，ATM(自動取款機)提取現金，使用信用卡或借記卡和EFTPOS交易以及其他的金融交易方式。非記錄性或匿名的活動現在正逐步轉化成有記錄或可確認的交易。數據正在以更為緊湊的方式聚合，這些數據有一個相應的位置標記和數據蹤跡。有些電子交易工具內置了實時定位器，使得被動監測和監督轉變為執法的方式。交易記錄暴露了個人的經濟狀況、投資方式，這些都是大多數人不愿被他人所知的隱秘部分，這些信息的外泄將對個人的財產安全構成極大的威脅。

第三、追蹤通訊。通過公共交換電話網絡(PSTN)、移動電話、衛星電話追蹤人和位置相對困難，使用定位信息和位置標簽進行類似的操作卻是簡單可行的。自從有了移動通信技術，無論是在實時應用還是登陸其消息庫上，追蹤設備的使用都將更加動態。隨著技術的發展，用個人化的號碼取代位置識別號碼為手機客戶提供給服務成為趨勢。這樣一來通過移動設備自動報告個人的位置就可以提供更準確和及時的監測數據;由此產生的將個人位置追蹤進一步深化的結果是不可避免的。

2.2 數據集成和數據庫技術

數據集成是把不同來源、格式、特點性質的數據在邏輯上或物理上有機地集中，從而提供全面的數據共享。由于數據的獲取方式不同，可能是遙感影像獲取的圖像數據，可能是GPS坐標數據，還可能是監控設備獲取的監控數據。要將這些數據集中在同一個系統中或框架下需要通過數據集成技術來實現。目前采用的方式有:聯邦式、基于中間件模型和數據倉庫等。同時，解決各種數據的交互也是關鍵點。

數據庫技術是信息系統的核心技術，是一種計算機輔助管理數據的方法，它研究如何組織和存儲數據，如何高效地獲取和處理數據。然而，地理空間技術所涉及的數據庫技術不同于傳統的數據庫技術。地理空間數據庫不僅包含屬性數據，還包括空間數據，同時還有這兩種數據的關聯。

第一、位置信息數據庫。隨著GIS和LBS(基于位置的服務)的商業化發展，大眾對數據的需求日益增加。LBS的實現須要后臺數據庫的支持。LBS模式有休閑娛樂型、生活服務型、社交型和商業型4種。以生活服務型為例，人們通常通過這項服務來對周邊生活服務設施如商場、飯店、旅館、電影院等進行搜索。這時，服務器通過終端所發送的位置信息與數據庫中的數據進行匹配，反饋用戶所感興趣的結果。這些結果可能是以文字或圖片的形式呈現。由于系統的開放設計，數據庫信息大部分來自于曾經過該地點的用戶所上傳的各種形式的數據。這些信息可能包含侵犯他人隱私的部分。例如，上傳的照片中涉及公眾人物的住宅、汽車，甚至是室內的家居擺設。

第二、商業數據庫。有些企業從事有關個人數據的收集、處理和存儲。這些企業從信用局、公共記錄、電話記錄和專業存儲文件等數據集成中獲得消費者信息。他們通過名稱或地址的變動信息來凈化數據。無論是選擇還是退出進程都是收集過程的一部分，所獲得的數據用以開發家居或專業產品。例如，美國三大信用報告機構(EQUIFAX EXPERIAN Trans－Union)保存約1.9億人的個人數據，這些數據來自各種授信業務公共記錄中的添加信息。保有的數據包括:姓名、地址、社會安全號碼、電話號碼、出生日期、就業信息和信用歷史記錄。

3 美國和歐盟的地理信息隱私保護方法比較

3.1 歐盟關于隱私保護的法律規定

《歐盟數據保護指令》規范“個人數據”的“處理”行為。“個人數據”是指與一個身份已被識別的或者身份可被識別的自然人相關的任何信息。“處理”是指:對個人數據進行的任何操作或一系列操作，無論該操作是否以自動方式進行。“數據控制者”指的是，在決定個人數據的處理方式和用途的過程中起作用的任何人。指令對“數據控制者”的數據處理行為進行限制。首先，限制數據類型及數據處理方式。個人數據只能因特定用途而收集，不得以與其目的相悖的方式進行數據處理。數據量應與數據用途相匹配，保證數據的準確性和實時性。數據應以個人可識別的方式保存并能夠向個人說明數據用途。第二，個人數據的處理應該經過“數據主體”的明示同意。對于“必要的同意”有嚴格的規定。第三，通常情況下，禁止處理敏感個人數據，即“透露種族或民族起源、政治觀點、宗教或哲學信仰以及工會會員身份”的數據。第四，數據控制者必須向數據主體公開部分數據，包括:數據控制者的身份、處理數據的目的，任何與數據主體有關的附加數據。第五，在合理期限內且不增加額外費用的前提下，數據主體有權向數據控制者確認正在處理的、與數據主體有關的數據。第六，數據控制者必須確保所處理的數據的保密性與安全性。第七，在任何自動數據處理開始之前，數據控制者必須通知國家監督機構。歐盟數據保護指令要求每個歐盟成員國都必須設立這樣的機構。第八，歐盟數據保護指令對數據控制者將個人數據轉移到歐盟成員國以外的國家做了限制。只有在接收國有足夠的數據保護水平的情況下，才允許將個人數據向該國轉移。

3.2 美國公平信息實踐原則

美國公平信息實踐原則包括5個基本原則:通知意識、選擇同意、參與機會、安保完整、實施救濟。第一、通知意識是公平信息隱私保護的基本原則。在收集任何個人信息之前，應將信息處理的全部細節通知當事人。未經通知，任何人不得披露個人數據。第二、選擇同意是指:被收集者對個人信息的收集形式有選擇權。更特別地，這個選擇與信息的次級使用者們有關，這一點并不是達到原始目的所必需的。一般情況下，該原則含有選擇性加入與選擇性退出機制。選擇性加入機制需要一個同意步驟，確認當事人允許信息的收集及使用;選擇性退出機制同樣需要一個同意步驟，確認當事人不允許信息的收集及使用。這兩種機制的不同之處在于未經當事人同意時的違約責任不同。第三、參與機會。該原則是指個人獲取數據、更正數據及完善數據的能力。獲取及參與數據收集都是保證數據準確完整的必要條件，在數據校驗機制及記錄數據修改及缺陷的方法的保證下，獲取數據必須及時、便宜，簡單。第四、安保完整。所得數據必須準確且安全。為保證數據的完整性，收集者必須采用合理的步驟，使用值得信賴的數據源及交叉檢驗的數據，而不是多個數據源，這樣就可以給用戶提供使用數據的入口，并剔除陳舊數據。數據安全包括數據管理及技術措施，以免數據丟失、未經許可的進入、使用及數據公開。第五、實施救濟。隱私保護原則只有在有適當的機制保障下才能得以實現。沒有機制保障，原則無法轉化為解決問題的辦法。保障原則得以實施的救濟方法包括:行業自治、自力救濟和司法救濟。

3.3 歐盟與美國數據保護方法的差異

《歐盟數據保護指令》與美國公平信息實踐原則存在差異。首先，《歐盟數據保護指令》對個人數據的收集數量規定了實質性的限制。“相對于數據收集的用途，和/或進一步處理而言，收集的數據不宜過多”。第二，個人數據必須“以一種允許數據主體鑒定，對于收集數據的用途或進一步進行數據處理有必要的形式進行保存”。第三，某些敏感數據的處理是禁止的:除了某些例外，對于“泄露種族或民族來源、政治觀點、宗教或哲學信仰、工會會員資格，與健康或性生活有關的個人信息是不允許處理的”。第四，個人數據的連續轉移應遵守以下限制:接受個人數據轉移的個人在接收數據后必須維持“保護的適當程度”。

美國和歐盟的數據保護方法不同。首先，在歐盟，隱私是基本人權，立法只是用來保護隱私的方式。數據庫的獲取及個人信息的處理須經政府批準。美國的數據保護制度立足于數據和個人信息的自由市場，避免政府對市場行為的過度干預。因此，美國的保護方法是政府綜合運用法律、法規和行業自治規則，對數據保護狀況進行監管;其次，美國憲法第一修正案嚴格限制政府的信息(包括個人信息)轉移行為，而《歐盟數據保護指令》的配套規則可能與此相違背。《歐盟數據保護指令》限制移轉的數據僅限于特定數據，即:財務記錄、健康信息、錄像帶出租活動、駕駛執照詳細信息以及信用評級;最后，美國沒有特定的政府數據保護組織機構。而是由各政府機構共同監督隱私信息和數據的保護，如:商業部、衛生與公眾服務部、交通部、聯邦儲備委員會、聯邦貿易委員會、國稅局、國家電訊管理中心、財政部貨幣管理署、消費者事務局、行政管理和預算局以及社會保險部門。

4 安全港框架原則對我國地理信息隱私法律制度構建的啟示

正如前文所述，歐盟與美國在地理信息隱私保護方法上存在差異。為了保護美國在數據跨境轉移中的商業利益，避免依據歐洲隱私法的潛在訴訟，美國商業部提出了“安全港框架”。該框架允許美國公司在滿足歐洲的“適當性”標準的同時，維持對數據保護的傳統監管方式。為了取得安全港的保護資格，企業必須每年以書面形式通知商業部，公開自己披露的隱私，陳述已遵守安全港原則。

作為平衡不同司法轄區法律差異的一種制度選擇，安全港框架原則對我國地理信息隱私法律制度的構建有借鑒意義。安全港框架數據處理實體原則共有七項，美國企業在處理來自歐盟數據時必須遵守這些原則。①通知。企業應清楚告知個人搜集個人數據的目的;個人如何問詢和申訴;數據披露的對象類型;限制第三方使用和再次披露的方式和手段;②選擇。如果企業以個人未授權的方式披露或使用個人數據，個人有權選擇不同意收集、使用，披露個人數據。對于敏感信息，應得到個人的明示同意;③連續轉移。向第三方披露個人數據時，企業必須遵守注意和選擇原則。另外，企業應判斷:第三方受安全港原則約束，或是受歐盟數據保護指令的管轄，還是屬于“適當性”保護范圍。企業應確保第三方會按要求提供同等程度的保護的合同才滿足本原則;④安全。企業必須采取合理的預防措施，保護個人數據免受損失、濫用、未經授權的訪問、泄露、改變和破壞;⑤數據一致性。人數據必須與使用這些數據的目的有關。企業不得以未經授權的方式處理任何個人數據。企業應采取合理預防措施保證數據的可信賴性以及數據的準確、完整和實時性;⑥獲取:個人有權合理獲知與其有關的信息，并有權更正、修改補充和刪除不準確的信息。獲取權可以合理的原則加以限制，企業可因提供數據收取費用，也可在一定時期內限制申請次數;⑦執行:企業必須建立獨立、便利，成本合理的爭端解決機制。該機構應具有獨立的審核程序及足夠的處罰力度。處罰方式包括:公開調查結果、刪除數據、中止隱私項目的成員資格、頒布禁令和損失賠償。對雇員數據的轉移，企業應與數據保護署合作。目前，歐盟各國數據保護署已建立專門小組，裁決安全港爭議及標準的申訴形式。

5 結語

在大數據背景中，地理信息數據與其他數據的結合將地理科學轉化為強大的追蹤、儲存及分析個人信息的工具。地理信息技術具有追蹤、數據整合，數據分析的能力，使其比其他技術更具有對個人隱私的侵略性。然而，不能以此為由排斥技術，應構建科學合理的地理信息法律制度，并依法使用地理信息技術。在隱私保護方面，《歐盟數據保護指令》的規定與美國公平信息實踐原則存在差異。安全港框架數據處理實體原則共有七項，美國企業在處理來自歐盟數據時必須遵守這些原則。以上法律制度設計對于我國地理信息隱私法律體系的構建有借鑒意義。

［1］王澤鑒．人格權法:法注釋義學、比較法、案例研究［M］．北京:北京大學出版社，2013．

［2］ 克里斯托弗．庫勒．歐洲數據保護法:公司遵守與管制［M］．北京:法律出版社，2008．

［3］ 郭瑜．個人數據保護法研究［M］．北京:北京大學出版社，2012．

［4］ 黃杏元，馬勁松．地理信息系統概論［M］．北京:高等教育出版社，2008．

［5］何建邦，閭國年，吳平生等．地理信息資源產權研究［M］．北京:科學出版社，2010．

［6］ 李建松．地理信息系統原理［M］．武漢:武漢大學出版社，2006．

［7］ 湯國安，趙牡丹，楊昕等．地理信息系統［M］．北京:科學出版社，2000．

［8］ 王利明．人格權法研究［M］．北京:中國人民大學出版社，2012．