三 隐私自理之不能
现有隐私保护规范将决定隐私的权利交给个人,由个人来决定是否同意其个人信息被收集、哪些信息被收集,以及收集以后可否散布。这种将利弊权衡、得失判断的权利交给利益主体的做法本身并没有错。问题在于,现实中作为一个个体的人都能够作出正确的判断吗?答案似乎是否定的。
首先,是隐私保护意识淡薄。美国学者马克·罗滕伯格(Marc Rotenberg)曾说:“隐私之于下个世纪的信息经济,如同消费者权益保护和环境问题之于20世纪的工业社会。”![转引自[美]理查德·斯皮内洛.铁笼,还是乌托邦——网络空间的道德与法律[M].李伦,等,译.北京:北京大学出版社,2005:141-142.](https://epubservercos.yuewen.com/EECB47/13544233303227006/epubprivate/OEBPS/Images/note.png?sign=1736514974-B3UriJbnqsndHbGWjyCY1vzYyJPP8H00-0-cbd28d6463cf5c23ee051596a8f55bac)
这是专家学者的看法,而要求普通民众有此认识显然难度很大。一般人都知道隐私是有价值的,隐私受到侵犯,会危及自己的安全、财产和自由。但是,大部分人对于隐私保护的重要性却缺乏足够的认识。通常情况下,在公众集体意识没有被大量曝光的令人震惊的事实唤醒之前,公众对隐私问题的态度似乎是模棱两可的,甚至是漠不关心的。这种态度可以概括为一句话:“我无须隐瞒。”数据安全专家布鲁斯·施奈尔(Bruce Schneier)称之为“对倡导隐私的最常见的反驳”。这种观点的一个版本认为:“如果你不是做了错事,那你又有什么需要隐瞒呢?”另一版本则基本上等同于:“我不在乎会发生什么,只要它没发生在我身上。”由此,我们可以理解为什么一些极具影响的信息泄漏事件发生后,很快就会恢复平静,因为毕竟其尚未伤及每一个人。
其次,是正确判断面临困难。网络空间是开辟自由与创造的新天地,还是会成为堕落与罪恶的虚拟场,本身就是见仁见智的问题。一些人要保护隐私,另一些人则要求信息共享,而他们都能言之成理。个人信息隐私的保护和利用之间本身就存在着一种两难困境:一方面是不断发展的通信技术使得大量数据的收集、存储和利用成为可能,这也符合效率的原则;另一方面,人们也越来越重视私人空间的保存与维护。这就经常会置人于进退维谷之地。当一个人以管理者、经营者的角色出现的时候,他总是希望尽可能快速、大量地收集和利用他人的个人数据资料,以服务于自己的管理和经营工作;当其作为一个“单纯的私人”的时候,则又希望自己和家庭的隐私受到最大限度的保护,不被他人侵害。而当这种利益借公共利益之名出现时,隐私似乎注定要为其让道。例如,一个初到英国的人可能会对无处不在的监控摄像头感到吃惊。但是,英国公众并不会为此感到紧张,因为这是出于公共安全的需要才安装的。在这种情况下,成本与收益就成为人们考量的核心,允许对私生活加以干涉有时会带来确切的好处,但是也会带来一些不确切的隐忧。作为普通人,很难在确切的好处和不确切的代价之间做出平衡。使用这些信息的好处是即时的、可见的,而人们为此将要付出的代价则不是那么显而易见。以Cookie为例可以很好地说明这种状况。Cookie像第三只眼一样的监视令消费者讨厌,但是它却具有实实在在的使用价值。例如,它可以使网络购物者能够拥有永久性的虚拟购物车,即便他离开该网站重新进入后,仍然能看到先前放入购物车中的物品,在购物车中可以对拟购的商品进行比较,这为购物者提供了极大的便利。如果一项技术能够在短期内为人们带来很大好处的话,那么人们通常不会对它提出太多的质疑。
再次,是合适抉择障碍重重。为实现个人信息自决,各国通行的做法是要求各网络平台在首页放置隐私政策。但是,这种强制性的要求也无法真正保证用户能够做到隐私自理。一般情况下,网络会从形式上设置障碍,使用户无法了解其隐私政策。一是很多网站将其隐私政策放在十分隐蔽的地方,用户不易找到;二是将隐私政策的字体设置得特别小,很难看得清楚;三是使隐私政策变得十分冗长,而且不易理解。例如,著名社交网络平台Facebook的隐私常见问题与解答是一篇篇幅达4.5万字的文件。因此,通常情况下,人们在进入一个网站时一般都不会去阅读如此冗长的文本,而且大多数时候也根本读不懂它们。此外,绝大部分网站在通知设置时都是采用选择—退出(OPT-OUT)模式。在该模式下,如果消费者没有明确表示反对,则视为同意。因此,是否采集、如何采集和使用个人信息的权力仍然掌握在网络运营商手上。很多时候,网站会迫使用户同意其设定的隐私政策。即使有些网站在事关个人信息隐私时遭到了当事人拒绝,它们仍可通过技术途径获得当事人“同意”。例如,美国有一家名为Chitika(弹指间)的在线广告网站,在它发布的隐私政策中明确表示:“Chitika支持以及提倡尊重和保护用户隐私的商业行为,您可以通过使用以下按钮选择不接受Chitika的Cookie。”但是,当人们点击鼠标选择不接受后,有效期却只有10天。之后,每当用户访问该网站时,Cookie就会开始启动并进行用户信息跟踪。更有甚者,消费者的信息未经本人同意也能被收集。许多网站监视点击流量数据,即当用户访问该网站或与其他网站连接时所产生的信息。网络运营商跟踪消费者的方法之一就是利用Cookie。这些Cookie是很小的数据文件,当用户使用浏览器访问某网站时,该网站便生成这些文件并把它们存储在用户的硬盘上。这些文件包含密码、访问过的网页清单和最后一次访问这些页面的日期。当用户再次访问存有Cookie的网站时,用户的计算机系统就会悄无声息地把Cookie及其所有相关信息发回给该网站。Cookie功能不需要消费者的身份验证,因为Cookie主要基于一个独特的标识符。但是,如果用户曾在一家网站注册或购物,网站就可以把匿名的Cookie数据与可识别的个人信息联系起来。Cookie是一种较为温和的用户监视方式,Cookie收集到的信息可以为商家促销提供针对性很强的目标。
另一种暗中监视机关是网络臭虫。网络臭虫是嵌入在网页上细小的看不见的图片,它们能跟踪人们在某个网站上的一举一动。它们有时是由第三方放置在网页上的,如网络广告代理商。这些万能的臭虫具有多重功能,能计算用户访问网页的次数,追踪访问者在网站上所看过的网页,以及打开网络广告的次数,等等。
面对如此复杂的情况,要让一个普通消费者对个人信息进行自决,即便不是不可能的,也是十分困难的。因此,如果没有行之有效的应对措施,隐私自理无异于一个乌托邦。