大数据环境中的地理信息隐私法律问题探析

黄佳钰

(武汉大学，湖北武汉 430072)

1 大数据背景下地理信息隐私法律保护的必要性

1.1 大数据与地理信息系统的结合可能导致隐私问题

地理信息与个人信息显然共同构成对隐私的威胁。在大数据环境中，地理信息系统能够综合多渠道来源的多元化信息。某些数据具有个人属性，使个体被识别或可能被识别;其他数据具有空间属性，通过地理编码数据库，个人可被定位。与传统学说相反的是，对隐私的威胁并不来自于通过GIS检索的信息，而是来自于那些对含有个人信息的关联地理信息检索后推理而得出的相关信息，这些信息可共同绘制出一张个人信息图谱。

地理信息技术包含妥协让步的隐私。随着地理信息技术的扩张，个人信息组合、交叉匹配及传播程度的不断提升，隐私的范围受到了抑制。个人很难找出知道其个人信息的人，很难知道个人信息被知晓到什么程度。另一方面，从一定范围而言，隐私损失是由于人们对个人信息的采集路径及使用目的缺乏了解所导致。

1.2 我国现行立法不足以防范地理信息隐私风险

我国现行法没有对地理信息主体的隐私权作出规定，仅对测绘成果的保密问题做出行政法规定。《测绘成果管理条例》第十六条规定“测绘成果秘密范围和秘密等级依照有关保密法律、行政法规的规定予以确定。”从民商法角度而言，对于地理信息的隐私问题，无论立法或学术研究，都是空白点。隐私权问题一直是民商法学术争论的焦点之一，隐私权是否应作为人格权保护，尚无定论。而对地理信息主体的隐私权的学术讨论几乎不存在。主要是因为地理信息的市场化仅发展十几年时间，法学研究者和立法工作者没有足够的时间和知识背景对地理信息的隐私法律问题进行研究。

我国现行法规定了数据保护，但数据保护无法同时保护隐私。数据保护，不管从立法或实务层面讨论，都是针对数据本身的保护而非针对个人。这种保护针对的是数据主体及遵照一定原则搜集操作数据的机构或组织。这些原则包括履行法定或约定的先决条件。在数据的搜集、使用和传播过程中，数据主体的授权是至关重要的环节。在不同的背景环境中，人们以各种方式泄露个人细节信息，比如:在医院、诊所、银行，甚至是通过电话提供银行卡密码，通过网络或快递填写订单。可见，我们不断将具有隐私属性的“所有物”向他人揭示。我们的隐私信息通过日常活动而被数据库虏获，比如:个人收入，家庭信息，健康及职业细节。

我国现行法对个人信息保护做出了规定，但个人信息保护与个人隐私保护存在区别。前者是对个人信息秘密的保护，而后者是有关个人对事实真相私下采取的措施。当通过数据可以定位个人身份时，个人信息隐私成为问题。另一个问题是当个人可能因某种原因泄露个人信息，之后是否可以再次给予允许?特别是当信息被伪装成集合的形式或者以其他形式改变用途，以至于全新的综合性数据与个人最初所提供的信息有极大的不同。因此，对个人隐私的入侵威胁要么在于包含个人信息的数据和信息的发布，要么在于不含个人信息的异样片段信息的发布，这些信息是由地理定位信息、交易活动、电子足迹和其他途径推理而得。

2 具体地理空间技术的隐私风险

2.1 定位和追踪技术

通说认为，定位是指:空间和时间维度上的事件或实体的相对位置，即对事件或实体相对于其他已知对象或参考点的空间描述，常用(x，y，z)坐标来表示。空间定位即确定实体的空间位置。在这方面，运用最广泛的当属GPS(全球定位系统)技术。它起始于1958年美国军方的项目，1964年投入使用，主要运用于军事领域。它由24颗卫星(包括21颗工作卫星和3颗备用卫星)组成，能够覆盖全球范围。在GPS的基础上又衍生出差分 GPS(DGPS)和辅助GPS(AGPS)。它们的工作原理与GPS相似，但是具有定位精度高、节约时间人力物力、降低复杂性等优点。

相对于定位的静止状态，追踪强调的是位置的动态变化。追踪是指:在特定空间和时间区段内对运动实体的位置踪迹或序列的绘制。若对实体的跟踪发生在一个设备与发出连续传输脉冲的实体之间时，这种追踪可能是实时的，比如GPS坐标的追踪。同时，跟踪数据也可以从以往路径分析中获得。无论是过去或现在的位置数据都可能为对未来相似的行为模式的推论和预测提供必要的信息。定位和追踪技术的核心部分是地理空间技术，主要体现在地理空间数据的获取、处理和可视化上。而其他辅助技术包括无线通信技术、图像识别技术、生物识别技术和视频技术等。通过这些技术的结合和协作，使得定位和跟踪技术得以融合。

第一、追踪个体行踪。个人穿越边境时，移民部门通常通过检查核实身份并在其国家护照或地区通行证上盖章来控制和追踪个人的行迹。很多国家和地区正在推行在旅行证件中嵌入电子芯片，个人通过电子扫描来获得进入或通过检查点的许可。该数据可能衍生出一种市民和旅客进入和离开的模式。微观尺度上看，在室内的行动可以利用录像监测设备来监控。结合在室内的视频证据，运用模式识别或模式匹配算法，能够分析出最繁忙和拥堵的区域，为信息发布和告示栏选址确定合适的战略位置。虽然这种监控系统可以为确保特定建筑物的安全提供较大效益，但由于它的入侵性也造成了对个人隐私的侵犯。

第二、追踪交易。如今，获取交易数据的手段越来越多，包括用MICR(磁性墨水字符识别)携带数据的支票和已嵌入用户提交、验证并返回自动模式的周转文件。其他数据获取手段有磁条、压花数据代码、条形码、RFID(射频身份标签)以及像电话插座那样带有位置标识的装置。这些手段应用于金融活动的各个环节:从存款到偿还贷款，发放工资，ATM(自动取款机)提取现金，使用信用卡或借记卡和EFTPOS交易以及其他的金融交易方式。非记录性或匿名的活动现在正逐步转化成有记录或可确认的交易。数据正在以更为紧凑的方式聚合，这些数据有一个相应的位置标记和数据踪迹。有些电子交易工具内置了实时定位器，使得被动监测和监督转变为执法的方式。交易记录暴露了个人的经济状况、投资方式，这些都是大多数人不愿被他人所知的隐秘部分，这些信息的外泄将对个人的财产安全构成极大的威胁。

第三、追踪通讯。通过公共交换电话网络(PSTN)、移动电话、卫星电话追踪人和位置相对困难，使用定位信息和位置标签进行类似的操作却是简单可行的。自从有了移动通信技术，无论是在实时应用还是登陆其消息库上，追踪设备的使用都将更加动态。随着技术的发展，用个人化的号码取代位置识别号码为手机客户提供给服务成为趋势。这样一来通过移动设备自动报告个人的位置就可以提供更准确和及时的监测数据;由此产生的将个人位置追踪进一步深化的结果是不可避免的。

2.2 数据集成和数据库技术

数据集成是把不同来源、格式、特点性质的数据在逻辑上或物理上有机地集中，从而提供全面的数据共享。由于数据的获取方式不同，可能是遥感影像获取的图像数据，可能是GPS坐标数据，还可能是监控设备获取的监控数据。要将这些数据集中在同一个系统中或框架下需要通过数据集成技术来实现。目前采用的方式有:联邦式、基于中间件模型和数据仓库等。同时，解决各种数据的交互也是关键点。

数据库技术是信息系统的核心技术，是一种计算机辅助管理数据的方法，它研究如何组织和存储数据，如何高效地获取和处理数据。然而，地理空间技术所涉及的数据库技术不同于传统的数据库技术。地理空间数据库不仅包含属性数据，还包括空间数据，同时还有这两种数据的关联。

第一、位置信息数据库。随着GIS和LBS(基于位置的服务)的商业化发展，大众对数据的需求日益增加。LBS的实现须要后台数据库的支持。LBS模式有休闲娱乐型、生活服务型、社交型和商业型4种。以生活服务型为例，人们通常通过这项服务来对周边生活服务设施如商场、饭店、旅馆、电影院等进行搜索。这时，服务器通过终端所发送的位置信息与数据库中的数据进行匹配，反馈用户所感兴趣的结果。这些结果可能是以文字或图片的形式呈现。由于系统的开放设计，数据库信息大部分来自于曾经过该地点的用户所上传的各种形式的数据。这些信息可能包含侵犯他人隐私的部分。例如，上传的照片中涉及公众人物的住宅、汽车，甚至是室内的家居摆设。

第二、商业数据库。有些企业从事有关个人数据的收集、处理和存储。这些企业从信用局、公共记录、电话记录和专业存储文件等数据集成中获得消费者信息。他们通过名称或地址的变动信息来净化数据。无论是选择还是退出进程都是收集过程的一部分，所获得的数据用以开发家居或专业产品。例如，美国三大信用报告机构(EQUIFAX EXPERIAN Trans－Union)保存约1.9亿人的个人数据，这些数据来自各种授信业务公共记录中的添加信息。保有的数据包括:姓名、地址、社会安全号码、电话号码、出生日期、就业信息和信用历史记录。

3 美国和欧盟的地理信息隐私保护方法比较

3.1 欧盟关于隐私保护的法律规定

《欧盟数据保护指令》规范“个人数据”的“处理”行为。“个人数据”是指与一个身份已被识别的或者身份可被识别的自然人相关的任何信息。“处理”是指:对个人数据进行的任何操作或一系列操作，无论该操作是否以自动方式进行。“数据控制者”指的是，在决定个人数据的处理方式和用途的过程中起作用的任何人。指令对“数据控制者”的数据处理行为进行限制。首先，限制数据类型及数据处理方式。个人数据只能因特定用途而收集，不得以与其目的相悖的方式进行数据处理。数据量应与数据用途相匹配，保证数据的准确性和实时性。数据应以个人可识别的方式保存并能够向个人说明数据用途。第二，个人数据的处理应该经过“数据主体”的明示同意。对于“必要的同意”有严格的规定。第三，通常情况下，禁止处理敏感个人数据，即“透露种族或民族起源、政治观点、宗教或哲学信仰以及工会会员身份”的数据。第四，数据控制者必须向数据主体公开部分数据，包括:数据控制者的身份、处理数据的目的，任何与数据主体有关的附加数据。第五，在合理期限内且不增加额外费用的前提下，数据主体有权向数据控制者确认正在处理的、与数据主体有关的数据。第六，数据控制者必须确保所处理的数据的保密性与安全性。第七，在任何自动数据处理开始之前，数据控制者必须通知国家监督机构。欧盟数据保护指令要求每个欧盟成员国都必须设立这样的机构。第八，欧盟数据保护指令对数据控制者将个人数据转移到欧盟成员国以外的国家做了限制。只有在接收国有足够的数据保护水平的情况下，才允许将个人数据向该国转移。

3.2 美国公平信息实践原则

美国公平信息实践原则包括5个基本原则:通知意识、选择同意、参与机会、安保完整、实施救济。第一、通知意识是公平信息隐私保护的基本原则。在收集任何个人信息之前，应将信息处理的全部细节通知当事人。未经通知，任何人不得披露个人数据。第二、选择同意是指:被收集者对个人信息的收集形式有选择权。更特别地，这个选择与信息的次级使用者们有关，这一点并不是达到原始目的所必需的。一般情况下，该原则含有选择性加入与选择性退出机制。选择性加入机制需要一个同意步骤，确认当事人允许信息的收集及使用;选择性退出机制同样需要一个同意步骤，确认当事人不允许信息的收集及使用。这两种机制的不同之处在于未经当事人同意时的违约责任不同。第三、参与机会。该原则是指个人获取数据、更正数据及完善数据的能力。获取及参与数据收集都是保证数据准确完整的必要条件，在数据校验机制及记录数据修改及缺陷的方法的保证下，获取数据必须及时、便宜，简单。第四、安保完整。所得数据必须准确且安全。为保证数据的完整性，收集者必须采用合理的步骤，使用值得信赖的数据源及交叉检验的数据，而不是多个数据源，这样就可以给用户提供使用数据的入口，并剔除陈旧数据。数据安全包括数据管理及技术措施，以免数据丢失、未经许可的进入、使用及数据公开。第五、实施救济。隐私保护原则只有在有适当的机制保障下才能得以实现。没有机制保障，原则无法转化为解决问题的办法。保障原则得以实施的救济方法包括:行业自治、自力救济和司法救济。

3.3 欧盟与美国数据保护方法的差异

《欧盟数据保护指令》与美国公平信息实践原则存在差异。首先，《欧盟数据保护指令》对个人数据的收集数量规定了实质性的限制。“相对于数据收集的用途，和/或进一步处理而言，收集的数据不宜过多”。第二，个人数据必须“以一种允许数据主体鉴定，对于收集数据的用途或进一步进行数据处理有必要的形式进行保存”。第三，某些敏感数据的处理是禁止的:除了某些例外，对于“泄露种族或民族来源、政治观点、宗教或哲学信仰、工会会员资格，与健康或性生活有关的个人信息是不允许处理的”。第四，个人数据的连续转移应遵守以下限制:接受个人数据转移的个人在接收数据后必须维持“保护的适当程度”。

美国和欧盟的数据保护方法不同。首先，在欧盟，隐私是基本人权，立法只是用来保护隐私的方式。数据库的获取及个人信息的处理须经政府批准。美国的数据保护制度立足于数据和个人信息的自由市场，避免政府对市场行为的过度干预。因此，美国的保护方法是政府综合运用法律、法规和行业自治规则，对数据保护状况进行监管;其次，美国宪法第一修正案严格限制政府的信息(包括个人信息)转移行为，而《欧盟数据保护指令》的配套规则可能与此相违背。《欧盟数据保护指令》限制移转的数据仅限于特定数据，即:财务记录、健康信息、录像带出租活动、驾驶执照详细信息以及信用评级;最后，美国没有特定的政府数据保护组织机构。而是由各政府机构共同监督隐私信息和数据的保护，如:商业部、卫生与公众服务部、交通部、联邦储备委员会、联邦贸易委员会、国税局、国家电讯管理中心、财政部货币管理署、消费者事务局、行政管理和预算局以及社会保险部门。

4 安全港框架原则对我国地理信息隐私法律制度构建的启示

正如前文所述，欧盟与美国在地理信息隐私保护方法上存在差异。为了保护美国在数据跨境转移中的商业利益，避免依据欧洲隐私法的潜在诉讼，美国商业部提出了“安全港框架”。该框架允许美国公司在满足欧洲的“适当性”标准的同时，维持对数据保护的传统监管方式。为了取得安全港的保护资格，企业必须每年以书面形式通知商业部，公开自己披露的隐私，陈述已遵守安全港原则。

作为平衡不同司法辖区法律差异的一种制度选择，安全港框架原则对我国地理信息隐私法律制度的构建有借鉴意义。安全港框架数据处理实体原则共有七项，美国企业在处理来自欧盟数据时必须遵守这些原则。①通知。企业应清楚告知个人搜集个人数据的目的;个人如何问询和申诉;数据披露的对象类型;限制第三方使用和再次披露的方式和手段;②选择。如果企业以个人未授权的方式披露或使用个人数据，个人有权选择不同意收集、使用，披露个人数据。对于敏感信息，应得到个人的明示同意;③连续转移。向第三方披露个人数据时，企业必须遵守注意和选择原则。另外，企业应判断:第三方受安全港原则约束，或是受欧盟数据保护指令的管辖，还是属于“适当性”保护范围。企业应确保第三方会按要求提供同等程度的保护的合同才满足本原则;④安全。企业必须采取合理的预防措施，保护个人数据免受损失、滥用、未经授权的访问、泄露、改变和破坏;⑤数据一致性。人数据必须与使用这些数据的目的有关。企业不得以未经授权的方式处理任何个人数据。企业应采取合理预防措施保证数据的可信赖性以及数据的准确、完整和实时性;⑥获取:个人有权合理获知与其有关的信息，并有权更正、修改补充和删除不准确的信息。获取权可以合理的原则加以限制，企业可因提供数据收取费用，也可在一定时期内限制申请次数;⑦执行:企业必须建立独立、便利，成本合理的争端解决机制。该机构应具有独立的审核程序及足够的处罚力度。处罚方式包括:公开调查结果、删除数据、中止隐私项目的成员资格、颁布禁令和损失赔偿。对雇员数据的转移，企业应与数据保护署合作。目前，欧盟各国数据保护署已建立专门小组，裁决安全港争议及标准的申诉形式。

5 结语

在大数据背景中，地理信息数据与其他数据的结合将地理科学转化为强大的追踪、储存及分析个人信息的工具。地理信息技术具有追踪、数据整合，数据分析的能力，使其比其他技术更具有对个人隐私的侵略性。然而，不能以此为由排斥技术，应构建科学合理的地理信息法律制度，并依法使用地理信息技术。在隐私保护方面，《欧盟数据保护指令》的规定与美国公平信息实践原则存在差异。安全港框架数据处理实体原则共有七项，美国企业在处理来自欧盟数据时必须遵守这些原则。以上法律制度设计对于我国地理信息隐私法律体系的构建有借鉴意义。

［1］王泽鉴．人格权法:法注释义学、比较法、案例研究［M］．北京:北京大学出版社，2013．

［2］ 克里斯托弗．库勒．欧洲数据保护法:公司遵守与管制［M］．北京:法律出版社，2008．

［3］ 郭瑜．个人数据保护法研究［M］．北京:北京大学出版社，2012．

［4］ 黄杏元，马劲松．地理信息系统概论［M］．北京:高等教育出版社，2008．

［5］何建邦，闾国年，吴平生等．地理信息资源产权研究［M］．北京:科学出版社，2010．

［6］ 李建松．地理信息系统原理［M］．武汉:武汉大学出版社，2006．

［7］ 汤国安，赵牡丹，杨昕等．地理信息系统［M］．北京:科学出版社，2000．

［8］ 王利明．人格权法研究［M］．北京:中国人民大学出版社，2012．