四 隐私自理之可能

隐私自理原则本身并没有错。在网络时代，尤其是在从信息（IT）时代向数据（DT）时代迈进的过程中，个人信息的价值日益显现，个人无疑仍应是其信息的所有者。而要实现这一点，则至少应从如下几个方面作出努力。

首先，加强隐私保护意识。对隐私的正当干预与非法侵犯之间的界限是非常细微的。对于隐私而言，最重要的应对之道之一就是“目标强化”，即加强人们的防范意识。这种教育应该从最基础的层面开始。普通民众并不知道他们最为熟悉的装置和设备是如何泄漏他们的隐私的，更多的人则对存有个人信息，甚至诸如身份证号、信用卡号、电子邮件等敏感信息的设备采取极为轻率的态度。例如，在处理带有存储功能的电子设备时，如果没有一种非常谨慎的态度，就可能导致个人信息的泄漏。美国麻省理工学院的研究人员就曾做过一个试验，他们从二手市场上买回一批二手硬盘，经过简单的数据恢复就得到了大量的个人信息，其中不少是账户交易信息。在国内，由于支付宝、微信等将手机与银行卡绑定在一起，如果更换手机号而没有解除这种绑定，就可能会带来很大的危险。此外，消费者，尤其是青年消费者习惯于在Facebook、微博、微信等社交网络上大量晒隐私，大到地址信息、信用卡号码，小到服饰、食物，有时，他们不经意间把自己的隐私泄露了。诚如一名美国法官所言，隐私权“已经没有了，就消失在你毫无防备地敲打下键盘的那一刻”。

由此看来，威胁隐私的技术也可以用来保护隐私，而在这方面，人们的隐私意识是一个重要的因素。教育和公共精神是关键。我们必须要像抵制困扰我们的政治对话的那些幼稚的阴谋论一样，抵制像“如果你没有什么需要隐瞒，那你也没有什么需要害怕”这类愚蠢的论调。

其次，充分利用网络技术。尽管隐私增强技术（PET）不可能解决隐私保护的全部问题，但是它仍然非常重要。例如，个人隐私偏好平台（Personal Privacy Preference Platform, P3P）就是一种有益的尝试。P3P是允许网站和浏览器之间就隐私政策进行复杂沟通的一种语言或协议。通过P3P软件，用户可以设定自己的隐私偏好，一旦设定，该软件将同用户的浏览器程序一起运行，每一个受访站点都会发送某种形式的机器语言提议到用户的电脑中。如果该站点的信息收集行为同P3P中设定的标准相符，则关于隐私的协定就可以自动地缔结，而用户亦可毫无阻碍地浏览该站点。当任何网站发布的隐私政策与自己的隐私保护相冲突时，P3P软件就会自动提醒用户，以便于消费者作出选择。P3P作为个人隐私权的保护技术固然很好，但由于它是由万维网协会和隐私权提倡团体共同推出的一种个人隐私权保护策略，因此缺乏强制执行力的P3P很难保证各网站都会安装此软件来保护网络用户的个人隐私，这也是P3P技术被人诟病的一个重要方面。

再者，实现立法转向。针对上述实现隐私自理的技术障碍，我们可以找到若干相应的对策。如加强隐私政策的管理，强制要求各网站在显眼处列明隐私政策。为了明确显示警示标志，甚至有人建议借鉴美国卫生总署对烟草公司的要求。一直以来，烟草公司必须按规定在包装合上标明“吸烟有害健康”。2012年，美国食品药品监督管理局要求这些警告必须配有引人注目的图形，以更加清楚地阐明吸烟的危害性。当然，要真正实现隐私的有效保护，必须改变立法方向，从个人许可转到让数据使用者承担责任。以“告知与许可”公式呈现的隐私自理之所以难以有效保护个人隐私，关键在于个体无法正确许可，而公司也无法完全告知。特别是在大数据时代，信息的价值不再是其基本用途，更多地源于它的二次利用与整合，而收集数据时人们并未作出这种考虑，所以“告知与许可”基本上就起不了作用了。想要保护隐私，就需要加强对数据处理者的规范，让其承担更多的责任。况且，数据的二次使用者也是数据使用的最大的受益者，由其承担责任也是理所当然。在这方面，欧盟关于个人数据的立法为全世界树立了一个良好的榜样，即加强对数据拥有者和处理者的监管。最后，之所以网络隐私对个人具有持久的或潜在的影响，是因为信息一经出现，就可能永远存在那里。因此，为了更好地保护个人隐私权，也许在未来的立法中，我们还应增加一种权利——“被遗忘权”。