牛津通识读本:隐私 [16]
诸如此类的任何清单显然都需要解释。你留在医院的扭伤脚踝的数据明显不如你HIV阳性状态的数据敏感。但是,一定程度的常识应该能够确保这样的区别得以划分出来。
鉴于其高度敏感性,保护病历隐私尤为重要。一个日益严重的问题是,有大量的非医务人员能够获得患者的数据。他们并不总是遵守严格的保密义务。
最近,欧洲人权法院对芬兰政府进行了惩罚,因芬兰政府未能保护医院保存的患者数据不受非法访问。这项判决确立了人权法规定的隐私权与保护个人信息之间的联系。法院认为,《欧洲联盟指令》第8条包含了确保个人数据安全的积极义务。该医院的病历档案系统泄露患者数据违反了芬兰本国的法律,即要求医院保护个人数据,防止未经授权的访问。上诉人是正在接受艾滋病治疗的医院护士,她怀疑她的同事通过阅读她的保密病历,发现她是艾滋病病毒感染者。虽然医院规定禁止查阅这些档案,但为了治疗的目的,实际上医院的所有工作人员都可以查阅患者的病历。
法院认为,医院没有安全的病历系统这一事实本身就足以使其对该名护士的私人医疗数据的泄露承担责任,因为其他原因都无法解释为什么会发生泄露。
同样令人不安的是,存储在磁盘或内存棒上的敏感数据会被粗心大意地丢失。例如,2008年底,伦敦北部一家医院丢失了存有近一万八千名国民保健服务的个人信息的磁盘。医院承认,磁盘是在邮寄时丢失的!
艾滋病患者或艾滋病病毒感染者的病例特别敏感。然而,有人已经提出了一些论据来证明违反这些患者的医疗私密性的正当性。特别是医生需向公共卫生当局报告病例,以遏制疾病的蔓延。事实上,在一些法域,艾滋病是一种需要报告的疾病,因此产生了医生向当局通报艾滋病出现的法律义务。如果要有效地研究艾滋病的起因和扩散,就必须提供准确的信息,这一点显然非常重要。但没有令人信服的理由说明这些数据为什么不能匿名。鉴于这类信息的披露可能产生痛苦的后果,卫生部门有责任证明披露数据的好处大于保护患者的私密性权利。
事实上,如果不能充分保护这些数据,很可能适得其反,许多人可能就不会接受病毒检测。这将使信息来源枯竭,同时也会间接导致疾病的进一步传播。
在医疗数据安全方面的其他一些低级失误使人们对数据保护法的正确执行没有多少信心。伦敦一家顶级医院的两名医生最近进行的一项调查显示,四分之三的医生携带着带有机密数据的不安全的记忆棒。医生经常携带含有姓名、诊断、X光片和治疗细节的记忆棒。在这家医院的105名医生中,有92人持有记忆棒,其中79人的记忆棒存有机密信息,这里面只有5个人的记忆棒有密码保护。
数字数据
计算机和计算机网络的普及实现了几乎可以即时地存储、检索和传输数据——这与手工归档系统的世界相比真是天壤之别。更引人注目的是,控制互联网及其运作或内容的努力,都明显地失败了。事实上,它的无政府状态和对监管的抵制被广泛吹嘘为互联网的力量和吸引力。除了人们有理由认为自己的谈话是私密的问题之外,互联网上的交流性质也会产生不同的问题和期望,因此,需要不同的解决办法。
虽然对数字电话系统的监控(见第一章)看起来与电子邮件的发送和接收类似,但互联网的使用对监管提出了棘手的挑战。例如,虽然监听我的电话或拦截我的信件很简单,但互联网文化鼓励了多种行为,对这些行为的观察为那些希望监管或控制私密数据和敏感数据的人提供了不可抗拒的机会。
数据保护和隐私
但是,你有权问,数据保护与隐私有什么关系?两者之间的关系并非一开始就显而易见。它们显然是重叠的;实际上,后者通常被当作是激发前者的利益。但是,即使在信息社会,个人隐私并不总是被收集、使用、储存或转让个人数据所侵犯。这不仅是因为“个人数据”在数据保护法规中被广泛定义为包括有关“个人”的信息,而“个人”不必然是“私人”的。简单的答案是,在试图保护个人数据时,真正私人性质的信息也会无可奈何地落入保护网中。事实上,认为我们在定义隐私方面遇到的一些问题,在数据保护的框架下可能会得到更实际的解决,也并非完全不可能。
图16 收集和使用个人数据容易且常被不诚实地证明符合公共利益
想想第四章中讨论的派克和卡罗琳公主的案例。欧洲人权法院根据《欧洲人权公约》第8条关于隐私权的条款对它们进行了审议,核心问题是在公共场所秘密摄影的合法性。数据保护法并不是为了全面保护个人隐私而制定的,但它们通常规定,必须以合法和公平的方式收集个人数据。因此,这种立法为隐私权提供了附带保护。
美国之谜
或者也许正是由于其信息市场的规模,美国一直在抵制按照欧洲的方式采取数据保护立法——至少在私营部门是如此。美国的自我管制方法与欧盟模式的全面方法形成了鲜明的对比。这在一定程度上归因于一种回避强有力的监管机构的政治文化——在2008年次贷危机的背景下,这太过明显了。很难想象,独立的联邦隐私专员的任命会获得批准。
为了避免与欧洲的贸易战,美国创建了试探性的“安全港”框架。该计划旨在让欧盟确信,支持该计划的美国公司将提供欧盟数据保护指令所定义的充分的隐私保护。欧盟于2000年批准了这一折中方案。
令人失望的是,该计划只吸引了少数美国公司,因为美国公司不喜欢该计划给它们带来的可察觉的负担。欧盟委员会注意到,一些美国公司并没有遵守这一要求,却在它们可公开获得的隐私政策中声明,它们遵守了这七项原则。此外,这些隐私声明通常并不包含所有的原则,或者声明中存在翻译上的错误。
安全港原则
1. 通告:一个组织必须向个人通报该组织收集其有关信息的目的、如何与该组织联系以进行任何查询或投诉、该组织向其披露信息的第三方的类型,以及个人提出的限制该组织使用和披露信息的选择与手段。
2. 选择:一个组织必须使个人有机会选择(避免)他们提供的个人信息是否且如何被用于或向第三方披露(如果这种使用不符合最初收集信息的目的或与向个人通报的任何其他目的不相符)。
3. 在前转让:一个组织只可向第三方披露与通告原则和选择原则一致的个人信息。
4. 安全:创建、维持、使用或传播个人信息的组织必须采取合理措施,确保其预期用途的可靠性,并采取合理的预防措施,保护个人信息免受丢失、滥用、擅自获取、披露、修改和销毁。
5. 数据完整性:根据这些原则,一个组织只能处理与其收集目的有关的个人信息。在实现这些目的所需的范围内,该组织应采取合理步骤,确保数据准确、完整和及时。
6. 获取方式:个人必须能够合理地获取一个组织所持有的关于自己的个人信息,并能够在信息不准确时更正或修正该信息。
7. 执行:有效的隐私保护必须包括确保遵守安全港原则的机制、因与数据相关的个人不遵守上述原则而受到影响时的追索权,以及不遵守这些原则对组织造成的后果。
安全港不安全?
也许因为它的强制力非常弱,安全港在今天被视为一纸空文。大多数将个人数据输入美国的组织似乎完全无视这一措施。一位就隐私问题向公司客户提供咨询的顾问告诉我,他建议他们就这样做,因为他认为,执法如此松懈,不遵守规定不可能受到任何制裁。
詹姆斯·B.鲁尔,《处于危险中的隐私》,牛津大学出版社,2007年,第138页。
实施“安全港”政策的一个重大缺陷是,采用该制度的公司没有一个执行投诉的机制。
网上个人数据保护
未来就在此处。我们所创建的数字世界不久将出现光纤网络,以数字码传送几乎无穷的电视频道、家庭购物和银行业务、交互式娱乐和视频游戏、计算机数据库和商业交易。这个宽带通信网络将把家庭、企业和学校与过多的信息资源连接起来。当个人信息以比特的形式呈现时,其易被滥用的情况,特别是在互联网上,是不言而喻的。
我们已建立了一个多功能的电信网络,将以前独立的所有网络连接起来。而且,过去功能单一、固定和大型硬件现在变成了多功能、便携式和小型化的,我的iPhone可供我收发电子邮件、做买卖、看电视、读报等。
计算机的容量以惊人的速度增长;根据所谓的“摩尔定律”,计算机的容量每十八个月翻一番,而其价格却不受影响。换言之,经过十五年的时间,计算机的处理和储存能力增强了一千倍。
匿名和身份
如第一章所讨论的那样,匿名是一种重要的价值。但这不一定是我所追求的绝对匿名。相反,对某个人而言,我的信息具有计算机与法律研究中心主任伊夫·普莱所说的“功能的不可识别性”。因此,匿名的概念也许应该被“化名”或“不可识别性”所取代。当然,这项权利不能是绝对的。必须兼顾国家安全、国防,以及侦查和起诉犯罪的要求。这可以通过使用由专业服务提供商向个人提供的“化名身份”来实现,在法律规定的情况下,专业服务提供商会被要求披露用户的实际身份。
传统账户忽略了匿名作为“新隐私”特征的价值和重要性,这是可以理解的。主体的不稳定性是后现代主义的一个中心主题。互联网似乎是一种活生生的证据,证明了一种普遍的、统一的真理的缺失,以及诸如雅克·拉康等后现代主义偶像作品中所出现的自我的偶然性和多样性的思想。
互联网上身份的流动性是其主要吸引力之一,但确定发送者身份的难度可能越来越大,特别是出于商业目的。随着越来越多的业务在网上进行,数字认证可能会变得越来越重要。
数据保护的未来
上面描述的当前数据保护的制度并非灵丹妙药。这一制度不够完善,因此互联网和RFID、GPS、移动电话等技术的进步给保护隐私权带来了无数难以应付的挑战。普莱很好地描述了这些发展,并提出了一套新的原则来管理这些经常令人惴惴不安的发展。
电子通信服务环境的普遍性和多功能性,以及它们的交互性,网络、服务和设备生产商的国际性,终端和网络功能的不透明性,都威胁到网上隐私。因此,普莱提出了一系列21世纪的原则,包括加密和可逆匿名原则。这对于保护我们的通信内容不被获取,起到了至关重要的作用。普通计算机用户已负担得起加密软件。
另一项原则是鼓励采取符合或改善受法律保护人员处境的技术办