郑晓军:我们是否有隐匿于人群的自由? | 中法评 · 思想
郑晓军
清华大学法学院博士研究生
嵌入识别技术的公共监控兼有行政调查的柔性与刑事搜查的强制性。不同识别技术对权利的干预程度不等,缺乏对技术的有效区分不仅抹杀了技术红利,还有可能导致为警察执法设定的实体与程序要求,无法发挥应有的价值。隐私论存在不周延之处,隐私权并不能有效防备监控权的侵害风险。一个更妥当的解决方案是,维续前数字时代识别信息的模糊性,保障个体在公共场所的匿名期望。这是一种个体身份不被行政机关持续、隐匿、不加区分识别与追踪的自由,而非不被观察的自由。由此,应一分为二地讨论公共监控问题,图像采集的权力可以是宽泛的,身份识别应是个别的、回应性的。
本文原题为《论公共监控的功能边界》,刊于《中国法律评论》2022年第5期思想栏目(第105-118页),原文13000余字,为阅读方便,脚注从略。如需引用,可参阅原文。购刊请戳这里。
本文系国家社会科学基金重大项目“大数据、人工智能背景下的公安法治建设研究”(19ZDA165)、清华大学自主科研计划资助课题“智慧警务模式下的基本权利保护”(2021THZWYY13)、清华大学短期出国(境)访学基金(2022053)项目成果。本文获2021年蔡定剑宪法学优秀论文二等奖。感谢余凌云、姜峰、黄明涛、施立栋、李晴、王正鑫、郑志行等师友的批评指正。
目次
一、问题的提出
二、游离在法律外的公共监控
(一)公共监控的双重法律属性(二)监控如何逃逸法律的约束三、“隐私”不是合适的分析工具
四、通过模糊性实现匿名期望
(一)隐私与匿名概念的辨析(二)公共场所布局监控设备的考量五、结语
问题的提出
数字政府、智慧警务建设实现了治理的常态化,嵌入识别技术的图像采集设备,正被公安部门布局于道路、交通枢纽等公共场所。警察从原先的“街角政治家”,到现在只要“坐在办公室或车内,由‘金属探员’有条不紊地代劳”,即可实施广泛的影响、管理、保护与指引。相较于现场执法,信息数据赋能下的监控“既不损伤又不拘禁”、“不触碰但针对身体”,可谓一种更高级、不易感的“搜身”,信息处理过程中还会揭示出个体的行为习惯、个性偏好与内心意图。此种执法方式是否可能对公民的宪法权利构成干预?有论者直言,将涉及此类新技术的案件提交至法院或颁布相关法律法规,只是时间问题。
继《行政处罚法》授权行政机关利用电子技术监控设备收集、固定违法事实之后,2021年8月20日,全国人大常委会表决通过《个人信息保护法》,于法律层面首次明确在公共场所安装图像采集、个人身份识别设备的要求。该法第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”
其中有不少需考察的问题:信息的处理包括采集、存储、加工、传输、提供、公开、删除,那么对于国家在公共场所设置的视频图像信息系统来说,图像采集与身份识别对权利的干预程度是否一样?出于维护公共安全目的,安装个人身份识别设备是否必然正当?“采集限制”与“使用限制”对应了信息处理的不同阶段应在哪个阶段严格限制?前者认为“使用限制是糟糕的政策”,会让行政机关垄断大量私人信息,所以有必要在采集阶段就加以严格的约束,其中的主要理由是,大规模监控是对个体隐私权的侵害,“隐私权框架是限制公共视频监控扩张的一个关键性因素”。后者则认为,行政机关对信息的使用比采集更危险,应限制信息的不当使用。
本文认为,公共监控问题的讨论应区分两种情形,其中图像采集的权力可以是宽泛的,但身份识别应是个别、回应性的。以下第二部分将揭示,嵌入识别技术的公共监控兼有行政调查的柔性与刑事搜查的强制性。不同识别技术对权利的干预程度不等,将追踪型识别与认证型识别混为一谈,不仅抹杀了技术红利,还有可能导致现有规则无法有效规范警察权。在第三部分,我将以人脸信息为例,指出隐私论存在不周延之处,隐私权并不是防备监控侵害风险的有力工具。最后我将提供一个不同于隐私的分析视角,指出个体应有隐匿于人群、排除不合理识别的自由,警察不能以保护公共安全为由进行持续、隐匿、不加区分的身份追踪。在此基础上,我将以《个人信息保护法》第26条为样本分析公共监控的功能边界。
游离在法律外的公共监控
国家在公共场所基于行政调查目的的图像采集,是否会转为更具强制性的刑事侦查措施?能否在现行法律体系中解决这类风险?这是本部分要回应的两个问题。
(一)公共监控的双重法律属性
国家治理依赖于必要而适量的信息,面对现代社会多样的事实、复杂的过程、不确定的结果,“所有国家都会投入大量资源,通过调查、监控(公开的或隐蔽的)和服务等方式,努力获取社会事实的信息,提升社会的清晰度”。杰克·巴尔金(Jack M. Balkin)指出,“问题不在于是否会在未来几年内拥有一个监控型国家,而在于我们将拥有何种监控型国家”。传统的视频监控只是一种协助警察调查的方式,“没有人在犯罪发生时就盯着监控看”,因执法需要才会去调取拍摄的画面。
在公共场所安装图像采集设备,可以收集行政相对人信息,为行政决定的作出提供线索。例如,《人民警察法(修订草案稿)》第25条规定了信息收集查阅和调取的方式,其中包括对公共场所、道路、网络公共空间通过技术监控方式收集信息。再如,我国台湾地区“警察职权行使法”第10条授权警察通过监视器搜集治安资料。
以视频监控为核心的智能设备能高效灵活、不知疲倦地完成巡逻任务,消除现场执法可能产生的警察伤亡风险,促使有限的警力专注完成最棘手的警务。技术下沉使得警务“触角遍布社会的各个角落”,实现从“眼睛”向“眼睛—大脑”共在、从“事后回看”向“事前、事中、事后”全方位介入、从“被动人为”向“协助/替代人为”的转向。也有论者将之称为“疑似(违法)行为的自动发现”。
英国信息专员办公室在报告《在公共场所使用实时人脸识别技术》指出,实时人脸识别能匹配人脸图像与数据库存储的信息,不停歇地查验所有人的身份(见表1)。美国公民自由联盟在报告《机器人监视的曙光》中评论道:“采集和存储信息以备不时之需的技术,正转变为主动、实时监控人们的技术。这就好像一台大监控机器,过去一直在我们身边成长,但它很大程度上是愚蠢、迟钝的,而现在它正在悄然‘苏醒’。”
注:根据Laura K. Donohue一文内容整理。
理性对待新技术,要求我们既不过分乐观,也不一味排斥。无条件的信任让技术有被滥用的可能,而随意贴上“恶”的标签,意味着把洗澡水与孩子一同泼掉。泛泛而谈并不可行,区分风险的来源与程度是分析的起点。有论者将人脸识别分为在图像采集设备前确认人脸与预先存储图像是否匹配的认证(face verification)、普遍大规模识别人群的监控(face surveillance)、特定人脸与数据库匹配的鉴定(face identification)以及使用存储、实时视频寻找目标嫌疑人的追踪(face tracking)。这种分类值得肯定。其中,认证型识别是一种1∶1的身份认证,目的在于“识别成员的身份,从而赋予其相应的作为组织成员的特权”,对权利的干预程度最小,而且风险相对可控。
但各类识别技术的界限也可能是模糊的。基于打击违法犯罪目的,持续、隐匿、不加区分地分析信息,监控就有可能转为更具侵害性的追踪。监控与追踪最大的区别在于对象与目的是否特定,监控“原则上仅是一种隐名影像的资料搜集,对象仅是过往的人车,或者是一般性的、非目的合致的单纯一群人。对象及目的,依一定时空,虽可得确定,但非特定”。而追踪更依赖于算法,“通过自动化的技术闭环对个人信息进行整合分析”,得以自主地预测个体是否有违法犯罪嫌疑,决定是否列为重点监控对象,而不再需警察当面拦停、人证实物对照认证身份。这种技术“使权力自动化和非个性化”,“在任何时刻进行干预,甚至在过失、错误或罪行发生之前不断地施加压力”。
此外,实践中集行政权与侦查权于一身的警察职权构造,某种程度也模糊了监控的法律属性。为避免警察假借行政调查而行侦查犯罪之目的,可将基于个体身份信息的追踪视为搜查,予以更高强度的约束。
例如,警察使用自动车牌识别技术(automatic license plate readers,ALPR)是否可能构成美国宪法第四修正案中的搜查?在Common wealthv. Mc Carthy案中,警方得到麦卡锡有毒品交易嫌疑的情报,于是在2017年2月1日将他的车牌号添加到了热门列表中,指定警员可以在车辆穿越Bourne和Sagamore大桥时得到通知。系统在22日发出车辆越过Sagamore大桥驶入科德角的警报,警方驱车抵达,以怀疑毒品交易为由拦截了车辆,检查发现车内藏有海洛因,于是实施了逮捕。
加齐亚诺法官(Judge Gaziano)指出,技术发展让持续、不知疲倦、毫不费力、秘密地监控个体成为可能,所以有必要仔细审查新技术产生的过度渗透、专断风险,以免赋予警察普遍的监视权。汽车号牌落于公众视线范围内,不具有客观合理的隐私期望,警察对汽车外部的有限观察不是搜查。一个ALPR设备对行车状态的观察与记录,与传统的拦停检查没有实质差异。既然警察可以在没有搜查令的情况下实施路检,那么对ALPR设备的有限使用也是合理的。
判断监控是否构成搜查的关键在于其对个体行为的揭示程度。如果在足够多的地方持续、完整、精确地记录与保存号牌、行驶时间与地点信息,将勾勒出个体的完整画像。法院最终认定,ALPR的广泛使用可以构成搜查,但本案固定在立交桥上的四个固定摄像机能获取的信息相对有限,无法完全追踪麦卡锡的行车记录,这种对个人信息的有限使用不足以构成搜查。
(二)监控如何逃逸法律的约束
有论者假设了一个没有工具赋能的时代:警察走上街头才能找到违法犯罪线索。与此相对应,法律授予警察有限的权力,执法权与公民自由达成了初始平衡,但任意一方技术的升级都会让原有的关系失衡。那么问题是,对于嵌入识别技术的图像采集设备所产生的风险,规范现场执法的规则是否依然有效?“法网”尚未严密前,如何按正当程序原则补足程序要求?
第一,权证制约机制的失效。为了限制警察权的恣意行使,《居民身份证法》第15条规定,查验居民身份证前需出示执法证件。《公安机关办理行政案件程序规定》第82条规定,检查与违法行为有关的场所、物品、人身,应出示警察证与县级以上公安机关开具的检查证。这些条款关注警察对特定违法犯罪嫌疑人在特定地点的执法行为是否合理,并不能有效约束程式化监控(programmatic surveillance)对信息持续采集与使用产生的风险。
第二,公民无法监督权力行使。根据《公安机关适用继续盘问规定》,警察继续盘问的时限为12小时,确有必要延长的,须报负责人审批。《刑事诉讼法》第139条规定,在搜查的时候,应当有被搜查人或者他的家属,邻居或者其他见证人在场。相对人面对明确的盘问和搜查,自然能对不合理的执法手段提出异议。但监控的启动与实施程序并不透明,警察坐在办公室里通过暂停画面、放大细节、比对信息,就能不间断地“盘问”一个人。个体无法确定图像是否被采集、信息以何种方式被关联、识别与共享,也就无法监督权力行使。
例如,有法院认为,“公共区域的监控视频是公安机关的执法辅助设备,用以弥补公安民警日常巡逻的不足,监控视频资料是未经处理的原始基础数据,并非严格意义上的政府信息”,“因其可能涉及不特定个人的隐私,无法通过征询案外人意见程序确定是否予以公开”,“此类视频资料不宜通过政府信息公开程序予以公开”。
第三,潜藏身份歧视的风险。公安部《关于公安机关执行〈人民警察法〉有关问题的解释》明确,警察盘问、检查的对象是形迹可疑、有违法犯罪嫌疑的人员。根据《公安机关适用继续盘问规定》第8条,有违法犯罪嫌疑且身份不明,在当场盘问、检查后仍不能排除违法犯罪嫌疑的,可以带至公安机关继续盘问。由于不了解形迹可疑人员的真实身份,是否有必要采取强制措施依赖于警察的经验判断,盘问也只能获取有限、离散的信息,很难完全准确地了解一个人。而如果依赖于身份识别技术,“警察不用再与‘陌生人’打交道,即使是不了解的人,经过几次快速搜索也能发现某些可识别的特征,或作出预测”。
算法通过训练历史数据,将新对象归属于某一类别,能够节省认知成本,但“这种简化处理的弊端,也正是偏见的根源”。启动盘问、检查的“形迹可疑”条件将被放弃,对数据库的依赖意味着有违法犯罪记录的人被永久贴上嫌疑标签。但是,“合理的怀疑或可能的理由不能只基于这个人是谁;它还必须基于这个人的行为”。“不再以行为确定违法,而以身份确定违法,因具备或不具备某种身份而失去自由”的做法,潜藏着身份歧视的风险,与法治的基本要义相悖。
“隐私”不是合适的分析工具
一种流行的观点认为,在公共场所大规模布局监控设备会侵害个体的隐私权,主张图像采集也应受限制。论者主要遵循三条论证路径:
一是人脸有隐私属性,“冷冰冰的技术参数和硬件设施,直接将公民的隐私暴露于大庭广众之下”。二是空间不是划分隐私利益有无的必要因素,隐私利益会因场所公开程度的不同发生变化,例如半公开场所中的个体应有中等隐私期待的权利。“隐私侵害的情形可以发生在私宅,也同样可以发生在公共马路上。允许各个角落的摄像头可以名正言顺地持续‘盯着看’,其实是创设了一种权力。”三是认为监控问题中需衡量隐私保护利益,“风险社会安全保障与隐私保护并重”是基本的法理共识。需追问的是,隐私是否是一个合适的分析工具?“由于缺乏精确性,对隐私不加辨析的援引,往往是对问题的蒙蔽而非澄清,提高了理论与政策辩论的热烈程度,却没有产生什么启迪。”
在这一部分,我将以人脸信息为例,揭示隐私论的不足。
首先,在现行法律秩序下,人脸信息属于敏感个人信息而非隐私。《民法典》人格权编分设隐私权和“个人信息受法律保护”两部分,只有私密信息才适用有关隐私权的规定,其中第1033条规定,不得拍摄、窥视他人身体的私密部位,主要保护民事主体对身体私密部位的隐私权。隐私权是私密空间、私密活动、私密信息免于他人刺探、侵扰、泄露、公开的自由。不同于基于人脸生成的其他个人信息,人脸图像本身的隐私利益较弱。
理由有三:第一,人脸不是完全保密、他人不应知晓的私密部位,并不会因孤立、离散的有限观察受到侵害,一个人很难主张人脸图像的采集减损了他的隐私利益。第二,人脸具有社会性,是一种“互相识别和验证的通用身份标识符”。当前的认证型识别只是“机器算法取代了人脑”,从传统熟人社会的“认人”转为“经由机器自动执行的线上信任”。“封闭个人信息就意味着与世隔绝”,“在赋权意义上理解个人信息控制与个人信息的公共性相悖”。第三,隐私论看似赋予了个体收集、使用与控制隐私的自由,但事实上很多时候隐私侵害的发生并非个体的自主选择,我们无法以不露脸的方式进入公共场所。在过去,戴口罩、面具可以避免他人的不当观察,但技术的快速发展使得遮挡的有效性大幅降低。
其次,公共空间虽有隐私利益,但其判断标准有严格限制。不同场所中的隐私利益不完全等同。结合隐私的社会功能,有必要构建一种“层级式的隐私保护”,不应将隐私扩张到一切个人信息。空间是信息隐私权传统规范基础的一个维度,“辨别侵害发生的依据,即是对此类空间的指认和确认”。
住宅是个体赖以生存的主要条件,不受公权力任意侵犯。有人可能认为,《宪法》第39条“禁止非法搜查或者非法侵入公民的住宅”中的“搜查”仅指刑法中的犯罪证据收集、犯罪人查获,并不包括行政调查。在本文看来,立宪者在“非法搜查”之后规定了“非法侵入”,就说明“侵入”与“搜查”是两种不同的干预形式。把行政机关不合理的调查解释为“侵入”,可以更好地保护住宅里的宪法权利。《治安管理处罚法》第87条、《公安机关办理行政案件程序规定》第82条明确:公安机关对场所进行检查,原则上需要有县级以上公安机关开具的检查证,但确有必要立即进行检查的,仅出示工作证件即可检查。但这种例外不适用于住宅,检查公民住宅必须有证据表明住所内有危险行为,不立即检查可能会对公共安全或者公民人身、财产安全造成重大危害。
相较于住宅,公民对公共场所的行政检查、刑事搜查负有容忍义务。在美国Katz v. United States案的协同意见中,哈兰大法官(Justice Harlan)提出了一个双重判断标准:当一个人表现出对隐私的实际(主观)期望,同时这种期望被社会承认是合理的,搜查才不具合理性。个体是否享有宪法上合理的隐私保护期望(reasonable expectations of privacy)被认为是判断搜查合理性的试金石,被美国各级法院参照适用。但这种标准在实践中并没有扩大隐私的保护范围,例如,在California v. Greenwood案中,怀特法官(Justice White)指出,留在住宅外的垃圾本来就是为了让他人拿走,其中不存在社会认为客观合理的隐私期望,警察无证搜查垃圾桶是合理的。
最后,最重要的是,隐私权并不能有效防备监控权的侵害风险,以隐私作为反对公共监控的理由,无法解决滥用权力的问题。有观点认为,“公共部门刷脸不一定比私营部门具有更高的风险”,“公共部门与私营部门只是刷脸的主体,无法指向刷脸的具体应用场景”,基于主体属性而非具体场景进行的分类规制模式并不合理。这种观点值得商榷。
一方面,信息是解释的产物,“不同的环境和前见会导致对相同的信息内容产生完全不同的理解结果”。公共部门采集并存储了个体从出生到死亡的各类信息,而私营部门掌握的信息相对有限。存储于电子设备的信息以数据的形式体现,不同于可凭借个体思维加以分析的表层数据,“在对深层数据的使用和利用方面,国家有着排他性的优势”。
另一方面,“个人与国家之间不仅存在权力差距,而且国家权力不可逃避,那些在社会生活中逃避风险的自由选择机制,在面对国家时不再有效”。无论国家与社会的边界清晰与否,行政机关要想获取某一商业机构存储的个人信息,“机构是难以拒绝的”。行政机关有着私人没有的惩戒手段,例如,警察对住宅的搜查与私人的推销电话虽然都有妨害隐私权之嫌,但前者让人有牢狱之灾,后者则只是影响个体的生活安宁。
在不对等的权力关系中,个体对隐私的期望被认为不具合理性,隐私权时常让位于执法利益。
例如,在申某勇诉郑州市公安局警察第十大队公安交通处罚案中,原告认为,在没有立牌公示的情况下,监控采集的材料不能作为处罚根据。法院却指出:“道路交通管理涉及公共安全,不同于一般的行政管理领域,道路交通管理机关在公共道路设置电子监控设备,具有合理性。即便没有立牌公示,由其取得的视频照片也不能认为是偷拍行为。”再如,在刘某良诉乐山市公安局大佛景区分局公安行政管理案中,原告认为,在无任何犯罪嫌疑迹象且积极配合并出示身份证件后,警察依然要求打开后备箱的做法侵犯了他的隐私,对其造成了不良的心理影响。法院认为,警察根据办案经验确定具有嫌疑的车辆,检查原告车辆后备箱,是基于职业习惯和办案经验的选择,不存在扩大执法对象的情形,原告主张侵犯隐私的理由无法成立。
没有减损个体隐私,并不意味权力的行使过程就是合法、正当的。隐私损失不是隐私侵犯的必要条件,作为描述性概念的隐私损失(losses)是一种基于结果的事实陈述,只有当一个人的真实信息被另一个人通过具有认知价值的方式获取时,隐私才会损失。而作为规范性概念的隐私侵犯(violations)是一种基于路径的限制,关注信息采集、使用的程序是否合理。比如,警察有证搜查住宅,虽在一定程度上减损了个体的隐私,但只要目的正当、程序合法,就应承认搜查的合理性。
通过模糊性实现匿名期望
在这一部分,我将论证,在监控问题的分析上,“匿名期望”为何更胜一筹。匿名以不同于隐私的方式保护公共场所中的个人信息。个体应有隐匿于人群、排除行政机关不合理识别的自由,警察不能以保护公共安全为由,对一个体持续、隐匿、不加区分地进行身份追踪。从“限制图像采集”转为“限制身份识别”,不仅能满足个体合理的匿名期望,而且有助于维护公共场所最低限度的安全,纾解执法利益与公民自由之间的紧张关系。
(一)隐私与匿名概念的辨析
当我们在说隐私的时候,我们在谈什么?有论者指出,隐私概念是“如此模糊以至于空洞:它只是意味着太多不同的东西。我们最好把隐私替换为概念所代表的具体价值:身体的自主权,或对个人信息的控制,或其他”。“精确性很重要,使用错误的术语会给重要的政策辩论蒙上阴影,增加误判复杂权衡的可能性”,权利之“防御强度自然应与侵害主体的类型和风险大小相称”。由此,找到一个妥当的分析框架用于判断监控是否正当,无疑是重要的。
已有论者给出了不同于隐私论的讨论,有观点认为应从保护隐私权的“正向表达”,转为关注公共权力行使的边界与方式,保障“个人利益免受不当公权行为‘侵扰’的安全”。斯图尔特大法官(Justice Stewart)在Katz v.United States案中指出,只要搜查、逮捕没有正当理由,那么无论其发生在公开场所还是私密空间,都会让人感到恼怒,第四修正案的保护范围有时与隐私完全无关。托马斯·克兰西(Thomas K. Clancy)指出,隐私只是权利保护对象衍生的动机,以排除权(the right to exclude)为核心的安全权(the right of the people to be secure)更强调权利的消极属性。安全权的行使动机与功能不同,前者如对隐私保护的期望、维护个体的尊严,后者是一种排除行政机关不合理侵入的能力,“超越排除权去寻求安全权的积极属性,无论这些属性被称为隐私还是其他什么,都会限制并最终击败该权利”。
在现有研究中,匿名并未受到太多关注,或者说即使认识到了,也只是将其视作一种隐私保护的工具。本文所指的匿名,主要是个体成为无差别人群的一部分。处于人群中的个体必落于他人可观察的视线范围内,但他依然有融入“情景景观”、不被认出来的合理期望。这是个体身份不被行政机关不当识别与追踪的自由,而非不被观察的自由。
匿名以不同于隐私的方式,对公众可见的信息加以保护。隐私隐匿内容,而匿名使事实资料无法归属特定个体。任何一条描述个人信息的语句,在语法结构上都可以拆分成主语与谓语,前者揭示身份,后者描述行为状态。在此基础上,阻止他人了解或接触特定“个人事实”的方法有二:要么隐藏使其“个性化”的东西(主语),要么隐藏“事实”(谓语)。假设某一信息内容是公开、可知的,但由于无法归属于特定个体,那么这一仅指涉事务而未提及个人的信息,只是一种事实或有关匿名者的资料。简单来说,隐私论强调“不能看”,而匿名关注“可以看到”后的身份识别问题。
匿名期望是权力与信息不对称关系中的信任—保护期望。“个体隐匿于人群中,不仅是一种期望,而且也是一种现实。”前者是社会规范层面的匿名期望,后者涉及结构意义上的模糊性。也有论者认为这是一种虽被“看破”但仍有“不说破”的合理期望。“在现代社会,个人信息的每一次披露都会让披露者在某种程度上变得脆弱”,但这不意味着向他人披露信息就一定会处于不利地位,信息是否安全取决于两方面:其一,信息主体在多大程度与范围内愿意信任接受方;其二,接受方能否诚实、谨慎、忠诚地给予保护。由此,即使信息是主动披露的,接受方如能谨慎地采取有效的保护措施,将信息主体利益置于自身利益之上,不自我交易,不以违反信息主体期望的方式处理信息,那么信息仍是安全的。
当个人信息的关键要素难以被他人发现或理解,信息就仍是模糊的。信息摩擦是一种“信息圈中与信息流反向的力量”,能形成不同程度的信息隔阂。例如,餐厅里的其他人虽然可以听到我们的对话,但由于缺乏真正理解对话主题必需的信息,无意中听到的内容仍是一种模糊、无意义的信息。劳伦斯·莱斯格(Lawrence Lessig)认为,除了法律,市场、社会规范与结构也能规范个体行为,结构是客观世界本身就有的约束,个体无法透过墙壁看到屋内的隐私,是对窥视能力的限制;不能仅凭自身力量搬走其他人的重物,是对盗窃能力的限制。
在前数字时代,模糊性并非构建产生的,较大程度上是对信息积累、查找与访问成本的妥协。“即使巡警带着摄像机在镇上巡逻,拍摄的照片也会因‘实际模糊性’得到‘伪隐私’(pseudo-privacy)的保护。”当所有图像都被记录与存储下来,重要的信息就有可能混于大量无关信息,从中识别特定主体须花费大量的人力、物力,不借助数字技术手段,可知的信息内容就相当有限,这种模糊性“构成了国家权力扩张的有力屏障”,能防止公共权力的触角无限度扩张。
但随着技术的发展、公权介入范围的扩大,模糊的事实状态会越发清晰,结构对监视能力的限制也会消失,进而消除个体合理的匿名期望。例如,传统搜查主要是一种物理形态的入侵,如今只要分析存在云端的数据就能全方位地搜查个体。
最后,以三张图简单小结:(1)图1隐私论。遮挡内容让信息免于任何形式的观察。(2)图2模糊论。任一切口的观察都只能看到部分内容,只有关联足够的内容才能勾勒出信息的完整样态。(3)图3匿名论。由于存在结构约束,虽能获取信息内容,但由于缺少使信息“个性化”的要素,无法识别主体。简单来说,隐私论、模糊论与匿名论保护个人信息的方式是不同的,不可混淆。
注:圆内有相同“*”符号(信息内容),圈代表使信息“个性化”的要素(信息主体),从圈外能够获取的信息完全不同。
(二)公共场所布局监控设备的考量
本文不旨在提出监控的具体规制方案,主要是因为科学技术远比我们想象的更具颠覆性。以识别技术为例,从最初的文字、图像识别到当前的情绪识别,似乎没有什么是不能被识别分析的。我将通过比较英国《监控摄像机业务守则》(The Surveillance Camera Code of Practice),分析我国《个人信息保护法》第26条需进一步讨论的三个问题:分别是(1)方式:图像采集与身份识别;(2)目的:维护公共安全;(3)地点:公共场所。
其一,就使用方式而言,不区分图像采集与身份识别,是否合理?图像采集只是“看到”信息的内容,而实时的身份识别在于“理解”信息背后的人。“重视对个人信息收集的控制变得越来越没有意义。除非个人信息一经使用即会给个人带来人身或财产上的危害,否则应当将规范重点放置于如何安全使用上。”不能因为个人信息敏感,或后续使用有泄露隐私的风险,就拒绝任何形式的图像采集。
由智能设备自动采集图像,与投入更多的安保人力,所要达成的目标是一样的,如果能对信息采集后的使用加以有效的约束,那么二者就只是信息“量”的增加。“良好的警务通常包括对人们日常事务的实时观察。这种视觉上的观察,虽对被观察对象有潜在的干扰,但并不会引发宪法问题。”对于警察现场巡逻或普通公众都能看到的违法犯罪线索,也不能期望监控“闭上眼睛”。《监控摄像机业务守则》多数条款就是对识别分析而非图像采集的限制,要求“尽可能保持透明度”“有明确的规则、政策和程序”“对谁可以访问以及为何种目的授予访问权限有明确定义”。
对图像采集给予较大的信任,意味着公安机关在履行《人民警察法》《治安管理处罚法》等法律规定的职责时,无须征求公众同意或另行专门授权,即可布局图像采集设备。但如论者指出的那样,“当执法过程的一个方面(监视、分析或执行)通过自动化的手段提高了效率和确定性,那么低效率和不确定性就应按比例、明确地分配至其他阶段,以缩减自动化产生的危害”。
以道路监控为例,一方面,交警有权采集号牌图像,解决交通违法行为的责任归属问题。司机上路行驶前需尽注意义务,保持车牌清晰、完整,如果存在影响号牌识别的遮挡、污损行为,可以推定其有交通违法的故意,加大处罚力度。另一方面,识别分析有着不同于号牌采集的风险侵害可能,在技术支持下,交警能从行车记录中分析出司机的私密生活习惯。个体向某一行政机关部门让渡了信息权益,可能并不会期望信息被用于其他不明确的执法目的。由此,有必要对采集后的存储、加工、传输、提供、公开、删除作不同程度的限定,比如将采集的信息存储于不同功能、无法相连的数据库,“在各个行政部门之间建立起‘长城’”。再如,将采集与使用主体分离,改变公安机关主导下的数据库建设自建、自用、自批局面,由大数据资源局采集信息,其他机关查询需授权、使用需留痕,满足数据收集功能的同时防范滥用权力的风险。
其二,就目的而言,国家机关出于“维护公共安全”目的安装个人身份识别设备,是否必然正当?布兰代斯大法官(Justice Brandeis)在Olmstead v.United States案中发表的反对意见极具启发性:“生而自由的人自然会警惕并抵制邪恶统治者对其自由的侵害。对自由的最大危险潜伏于热情、好心但缺乏理解力之人的暗中使坏。”危险防御性警察权扩转为风险预防性警察权,容易导致个体自由在与公共安全的权衡中败下阵来,对于监控国家常态化中自由与安全的不对称现象,“应当将个人的自由和权利作为思考的原点,而不应将国家或公共安全作为压倒一切的理由”。
直接责任原则要求,“警察权是对于有警察责任的人而行使的”,也即“警察只对于妨害社会秩序直接原因的国民之自由,加以限制。倘没有直接的原因,便不去干涉他的自由”。无论个体是否有违法犯罪的嫌疑,以维护公共安全为由,不加区分地识别分析每一张人脸、车牌,虽无隐私的直接泄露、篡改或丢失,但仍不具合理性,故有必要作如下限定:只有对线索初查发现确实涉嫌违法犯罪的,才可启动识别分析工作。
《监控摄像机业务守则》规定,监控摄像系统的使用必须始终是为了特定、合法的目的,是满足确定的迫切需要所必需的。“这种合法的目标和迫切的需要可能包括国家安全、公共安全、国家经济福利、防止混乱或犯罪、保护健康或道德,或保护他人的权利和自由。该目的(或多个目的)应能转化为明确的目标,以便根据这些目标对系统的操作或使用以及所获得的任何图像或其他信息进行评估。”所以,问题的关键在于判断图像采集是出于何种目的,只要评估认为有必要、可操作、明确的目标与迫切的需要,就应允许图像采集设备的大规模运用。
我国《个人信息保护法》将图像采集、身份识别的目的均限定于“维护公共安全”,实为目的的不合理限缩。例如,城市治理中常见的占道经营行为,虽未妨害公共安全,但有扰乱公共场所秩序之可能,依靠城管逐街巡查耗时且费力,如允许采集此类违法行为相关的事实,就有可能化解选择性、运动式执法中存在的不足。此外,不应被忽视的是,不同于干预行政的侵害性,在公共服务场景中引入人脸认证技术,有助于提高行政调查与服务效能。
其三,就地点而言,是否可以在所有公共场所安装个人身份识别设备?我国台湾地区“警察职权行使法”第10条规定,只有那些经常发生或经合理判断可能发生犯罪案件的公共场所,才可协调相关机关安装监视器。公共场所不必然有安装个人身份识别设备的迫切需要。但目前一些地方行政机关规章对其限制仍有不足,例如,2021年3月征求意见的《深圳经济特区公共安全视频图像信息系统管理条例(草案)》只是禁止在集体宿舍、公共浴室、卫生间、更衣室、哺乳室等场所安装视频图像信息系统。禁止对可能泄露隐私的私密场所进行图像采集没有太大争议,对选举箱、投票点等可以观察到个人意愿表达情况的区域,也应禁止识别与追踪。
结语
运用图像采集、身份识别设备对公共场所进行监控,已成为社会治理的必然趋势。如认为良好秩序是社会的唯一追求,那么本文提出的担忧似乎是多余的。但已有论者发现重新审视监控议题的必要性,“在公共监控的前沿,似乎还潜伏着另一个‘火车进站’的时刻”:当首次提出对公共场所进行视觉监视时,多数人都会感到或多或少的不安,但一旦成为既存事实,不少人就会以“火车已离站”、“不能让河水倒流”,或以威慑违法犯罪嫌疑人、提供违法犯罪证据为由,为监控辩护。悲观派(“无力回天”)与乐观派(“监控有好处”)看似站在同一阵营,但如果在“只能看”的基础上加上“还能听”的功能,原先围绕监控形成的共识就会瓦解。
本文是对公共场所大规模布局监控设备做法的思考,解构的色彩似乎强了些,但仔细推敲就会发现不是这样,从匿名期望而非隐私权切入的分析反倒夯实了讨论的基础,这有助于发现真正的风险源,而不至于让个体成为监控的奴婢,活在一个透明的“鱼缸社会”。消除权力的恣意与不确定性是法治的应有之义,身份识别虽造就了秩序,但这种建立在特殊命令与指示上的秩序并不稳定。保障个体排除行政机关不合理识别分析的能力,有助于划定图像采集与身份识别的功能边界,避免假借维护公共安全之名,行侵害公民自由之实。一句话概括本文的核心观点,即公共监控问题必须一分为二讨论,区分信息处理的不同阶段,分别规制,图像采集合理,但身份识别必须有限。
点图即可购刊包邮
《中国法律评论》
基 本 信 息
定价:408.00元
出版:法律出版社
期刊号:CN10-1210/D
出版时间:2022年
册数:全年6册装
点击上图即可购买
2023年《中国法律评论》(全六册)
点击阅读原文,即可购刊包邮~
中国法律评论
我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊,中文社科引文索引(CSSCI)来源期刊,人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府,策略之机枢”之理念,立足于大中华,聚焦中国社会的法治问题,检视法治缺失与冲突,阐释法律思想,弘扬法律精神,凝聚法律智慧,研拟治理策略,为建设法治中国服务,为提升法治效能服务,为繁荣法学服务。
《中国法律评论》唯一投稿邮箱:
chinalawreview@lawpress.com.cn
中法评微信公众号投稿邮箱:
stonetung@qq.com
刊号:CN10-1210/D.
订刊电话:010-83938198
订刊传真:010-83938216