牛津通识读本:隐私 [4]
12. 会损害国家认同感和人格完整。
西蒙·戴维斯,《老大哥》,潘书出版社,1996年,第139-151页。
DNA数据库
DNA证据在犯罪侦查中的应用越来越多,这就产生了对样本数据库的需求,以确定某个人的情况是否与犯罪嫌疑人的情况相匹配。英格兰和威尔士的DNA数据库(有五百三十万人的数据信息,占总人口的9%)可能是世界上最大的。它包括近一百万从未被起诉或后来被宣告无罪的嫌疑人的DNA样本和指纹。无辜的人对保留他们的基因信息感到愤愤不平并不奇怪,但滥用的可能性也是存在的,这并不是一件小事。这种令人沮丧的前景导致有两个人要求在他们自由后将他们的数据信息删除,因为无法说服英国法院,于是他们向欧洲人权法院提起上诉。欧洲人权法院在2008年底一致裁定,他们的隐私权受到了侵犯。
图6 DNA数据的各种用途对个人隐私构成相当大的风险
你床上的监控
计算机变得越来越小,可以由许多新奇有趣的材料制成或装配起来。可能性是无止境的,但危险也是如此。例如,电子纺织品或“可水洗计算”领域提供了各种令人着迷的未来。可以监测生命体征、产生热量或者作为开关的布料表明了无限的可能性,从荒谬的(不断变换颜色)的衣服到实用的(可以给你的手机充电)的夹克衫。特克斯簇尼克公司的“特克斯簇聚合物”是由纤维制成的,当纤维变形时,它们的电阻就会改变,因此能检测到压力,非常方便,但是想象一下,一张床单能够探测并播报躺在上面的人数。
K.奥哈拉和N. 夏伯特,《咖啡机里的监控》,Oneworld,2008年,第9页。
当嫌疑人被判无罪时,其他法域倾向于销毁其DNA数据信息。例如,在挪威和德国,DNA样本只有经法院批准才可以永久保存。在瑞典,只有服刑两年以上的已定罪罪犯的档案可以保留。美国允许联邦调查局(FBI)在逮捕嫌疑人时提取其DNA样本,但如果没有提出指控或嫌疑人被无罪释放,这些样本可以根据要求被销毁。在拥有DNA数据库的大约四十个州中,只有加利福尼亚州允许永久性地保存被指控但之后又被消除嫌疑的个人的数据信息。
有人建议,为了避免针对某些群体(例如黑人男性)的歧视,应将所有人的DNA数据信息收集起来并保存在数据库中。这种极端的建议不大可能得到普遍支持。但显而易见的是,为了保持系统的完整性和保护隐私,这类敏感而脆弱的基因数据需要被严格的管制。
击退对隐私的侵犯
促进隐私保护技术(PETs)旨在通过删除或减少个人数据,或者在防止不必要或不想要地处理个人数据的同时不损害数据系统的运作,来保护隐私。最初这项技术采取的形式是“化名工具”:这种软件允许个人在操作电子系统时拒绝透露他们的真实身份,并且可以只在绝对必要时才予以透露。这些技术有助于减少收集到的关于个人的数据量。然而,它们的效果在很大程度上取决于那些有权撤销或废除化名保护的人的正直性。不幸的是,人们无法一直信任政府。
更强大的PETs没有采取化名方式,而是提供了更强的匿名性保护,使政府和企业无法将数据与已识别的个人联系起来。这通常是通过一系列中介运作服务实现的,每个中介都知道链条中紧邻的中介的身份,但都没有足够的信息来促进识别之前和之后的中介。它不能将通信追踪到发送方,也不能将其转发给最终的接收方。
这些PETs包括匿名回邮系统、网页浏览措施,以及戴维·乔姆的付款人匿名电子现金或电子钱币,它们采用一种盲法技术,向银行发送随机加密的数据,然后(通过使用某种数字货币)验证这些数据,并将数据返回到硬盘。只提供一个序列号,收件人不知道(也不需要知道)付款的来源,这个过程提供了更加强大的匿名性保护。在项目的电子版权管理系统(ECMS)方面,它具有相当大的潜力,比如欧洲委员会ESPIRIT[5]方案正在开发的传输电子文件的版权(CITED)和COPICAT等项目。人们常常需要在未经版权所有者同意或支付版税的情况下,下载和销售受版权保护作品的全文,而这些项目寻求技术解决办法,根据这些办法,用户使用这些材料可能被起诉。这种对用户的“追踪”构成了对隐私明显的威胁:用户的阅读、聆听或观看习惯可能被储存起来,为了潜在的阴险或有害的目的获取这些习惯。盲签似乎是一种相对简单的隐去用户姓名的方法。
匿名是一种重要的民主价值观。即使在电子时代之前,匿名也有助于个人参与政治进程,否则人们可能会放弃参政。事实上,美国最高法院已经认定,《宪法第一修正案》保护匿名言论的权利。我想用化名来隐瞒自己的身份或以其他方式实现匿名的原因有很多。在互联网上,我可能想公开身份,但使用匿名邮件转发器进行对话(可以是已知身份,也可以是匿名身份)。我甚至希望没有人知道我的电子邮件收件人的身份,我也可能不想让任何人知道我属于哪个新闻组,或者我访问过哪些网站。
而且,对举报人、虐待行为的受害者和那些需要各种帮助的人而言,匿名都有明显的个人和政治益处。同样(一如既往?),这种自由也可能庇护犯罪活动,尽管匿名言论的权利并不会延伸到非法言论。匿名与隐私和言论自由有着独特的关系。互联网提供了大量的匿名机会,我们很可能只是在这两个领域里发现其潜力。这就提出了(有些令人不安的)关于我们是谁的问题,即我们的身份问题。
为保护通信安全而使用强大的加密技术,这种做法已经遇到了阻力(尤其是在美国和法国),有的人提议完全禁止加密,有的人提议通过诸如公钥托管等手段,保留拦截信息的权力。执法者和密码学家之间的斗争可能会旷日持久,特别是因为强大的加密文化被普通计算机用户所接受的方式,即使用“热情”一词来表达也过于温顺了,考虑到菲尔·齐默尔曼的加密软件“相当好的隐私”(PGP)可在不到五分钟内生成,并且还可以在互联网上免费获得。
现代密码学的一个核心特征是“公钥”。在电信安全方面采取了闭锁和密钥的办法。锁是一个公钥,用户可以将其传送给收件人。要解锁邮件,收件人需使用个人加密代码或“私钥”。公钥加密大大增加了加密/身份的可用性,因为双密钥系统允许将加密密钥提供给潜在的通信方,同时将解密密钥保密。例如,它允许银行向若干客户提供其公钥,但不允许他们读取彼此的加密信息。
技术解决办法尤其有助于掩盖个人身份。弱形式的数字身份已被广泛用于银行账户和社会保障号码的形式。它们只提供有限的保护,因为将它们与它们所代表的人相匹配是一件简单的事情。智能卡的出现将产生虚拟身份的转变,这将促进真正的交易匿名性。“盲法”或“盲签名”和“数字签名”将极大地增强对隐私的保护。数字签名是一种独特的“密钥”,它提供了比本人书面签名更强的认证。公钥系统包括两个密钥:一个是公钥,另一个是私钥。公钥系统的优点是,如果你能够解密信息,那么你就知道它只能由发送方创建。
最重要的问题是:我的身份是否真的是有关行为或交易所要求的?这就是第五章所讨论的数据保护原则的作用。
P3P
隐私政策管理系统的一个重大发展是,具备允许用户根据其个人隐私偏好对其浏览内容做出知情选择的技术。这些协议中最广为人知的是由万维网共同体(W3C)开发的隐私偏好平台(P3P)。它允许网站能够制作其隐私政策的机读版,从而使浏览器配备了P3P阅读器的用户在与网站的隐私政策相比较后,能够自动获得其特定的隐私偏好。这将清楚地说明该网站收集了什么信息,以及它将如何处理这些信息。如果网站的政策与用户的隐私偏好不一致,用户就会收到通知。
然而,作为主要的隐私权倡导组织之一,电子隐私信息中心(EPIC)却并不买账。该组织把P3P戏谑为“相当糟糕的隐私”(Pretty Poor Privacy),并抱怨说,P3P不符合隐私保护的基本标准:
P3P是一个复杂和令人困惑的协议,它使互联网用户更加难以保护自己的隐私。P3P也未能解决与互联网特别相关的诸多隐私问题。
该组织认为,良好的隐私标准要建立在公平的信息实践和真正的PETs的基础上才更为妥当,从而最大限度地减少或消除个人可识别信息的收集:
收集和使用个人信息的简单、可预测的规则也将支持消费者的信任和信心。另一方面,P3P有可能会削弱公众对互联网隐私保护的信心。
图7 RFID技术的使用不断升级,对隐私构成的威胁不胜枚举
RFID
RFID技术作为一种替代条码的库存控制手段应运而生。一个RFID系统由三部分组成:每个消费项目上的一个微型芯片(一个RFID标签),它存储了一个独特的产品标识符,一个RFID读取器,以及一个连接到读取器上的计算机系统,这个系统可以访问库存控制数据库。该数据库包含广泛的产品信息,包括产品的内容、来源和生产制造历史。给产品贴上标签也会披露产品的位置、价格和销售地点,而对于运输公司来说,还会披露其运输行程。RFID可以应用于召回缺陷商品或危险商品、追踪被盗的财产、防止假冒,并提供审计线索以阻止腐败。
RFID的潜力是巨大的,它正被越来越多地用于“非接触式”支付卡、护照以及对行李、图书馆书籍和宠物的监控。没有理由认为人类不能像我们的狗那样被植入微型芯片,它可以帮助识别走丢的老年痴呆症患者的身份。将RFID和无线保真网络(Wi-Fi)结合起来,可以促进对无线网络(如医院)中的物体或人进行实时跟踪。对隐私方面的担忧是,接受这些善良的应用可能会引起不那么善意的用途;可能会有人呼吁给性犯罪者、囚犯、非法入境者和其他“不受欢迎的人”贴上标签。
还有一种担心是,如果RFID数据可以与其他数据(例如,储存在信用卡或积分卡中的信息)汇集在一起——将产品数据与个人信息相匹配,这样就可以对消费者的个人情况进行全面的收集。此外,在公共场所、家庭和企业中增加使用RFID可能预示着监控社会的扩大。例如,我在车子挡风玻璃上贴了一个RFID,可以自动从我的银行账户中扣除通行费,我的车子刚刚通过比萨收费站的事实记录可能对于对我的行动感兴趣的一方有用。显然,精密的PETs是有必要的。
全球定位系统(GPS)
GPS用卫星信号来定位。目前,GPS