李柏正:公共视频监控与隐私权的法律保护
文摘
社会
2024-12-06 10:59
北京
作者:李柏正(西北政法大学法治学院博士研究生)
出处:《比较法研究》2024年第6期
一、公共视频监控中个人隐私权的保护困境
二、公共视频监控中隐私权保护的正当性
三、公共视频监控中隐私权保护的法律路径
四、结语
摘要:公共视频监控的大规模运用引发了公共安全和公民隐私权保护之间的利益冲突,因而成为学界关注的热点问题。误用“知情同意”原则、警务监控权的扩张、隐私的识别困难、禁止监控私人场所原则的失灵,是导致公共视频监控中公民隐私权保护困境产生的原因。诸多案例表明,公民在公共视频监控场景中对隐私权抱有合理期待,保护公民隐私权可以有效防范技术异化、有效维护国家安全。公共视频监控者应保障公民不被分类与挑拣的人格尊严、生活免受不合理干扰的权利、匿名权和自主权等隐私利益。公共视频监控实践过程中,应当以隐私安全作为监控部署、信息处理、执法和案件审判的重要抓手,从而平衡公私利益。关键词:公共视频监控;隐私权;“知情同意”原则;合理期待 传统意义上的监控是一种古老的社会管理模式,是统治阶层窥探、控制和纠正社会底层人民的活动。随着摄像和录像、视频矩阵、画面分割、有线传输等技术的产生和应用,形成了视频监控这一新型监控方式。与传统监控方式相比,视频监控更有助于巩固监控者与被监控者之间关系的作用。视频监控技术最早被应用于天文监测活动,后被政府等公共组织用于监控和管理公共事务,因而产生了公共视频监控的概念。公共视频监控主要指各类主体部署在公共场所和空间的监控系统、设备。到了今天,监控技术已与大数据、算法、人工智能和机器视觉等技术深度融合,使得公共视频监控系统呈现多功能化、泛在化、隐秘化和自动化等特征,进一步强化了它监控和管理社会的能力。但同时,我们还要看到,监控系统的大规模运用给公民隐私安全带来的严重威胁。监控场景中,保护隐私意味着公民享有人格尊严、生活安宁、保持匿名状态和自主性等权利。诸多案例和事件表明,公民在监控场景中对个人隐私的合理期待经常成为一种奢望,国际上甚至已经掀起了一股反监控浪潮。不由得让人追问,公民在公共视频监控中的隐私权正在面临何种保护困境?我们为什么要保护公民在监控场景中的隐私权?以及如何保护公民隐私权?这些都是推进公共视频监控建设过程中应予回答的问题。
公共视频监控中个人隐私保护面临多重困境:有人借助“知情同意”原则来否认公民的这项权利,警务监控权扩张易使公民的隐私利益受到侵害,个人隐私存在技术识别困难,以及禁止监控私人场所的原则面临失灵的风险。 公民在公共场景中无隐私权的论断由来已久。尤其部分学者关注到,用隐私换取安全和秩序早已成为大数据时代的常态,因而可能会想当然地断定,公民在公共视频监控中无隐私权,产生这种观点的依据主要是“知情同意”原则下的“自担风险论”和“公共曝光论”等理论。 其一,公共视频监控对象因自担风险而默许隐私权的丧失。自担风险是现代侵权法中重要的免责事由,明知风险而主动接近风险是该条款的适用逻辑。美国学者威廉·劳埃德·普罗瑟(William Lloyd Prosser)认为:“公共领域内,任何人都没有独处的权利,跟踪或监控行为不会侵害他人的隐私权,因为监控行为所指向的对象是任何人可以看到的情景,这与文字记录并无实质差距。”在全面监控的语境中,每一个理性的公民都知道,如果他要外出,需要承担被其他公民看到、被公共摄像头监控的风险,他还应当对这种风险有合理的认知和接受,不应当对监控场景中的个人隐私抱有合理期待。“自担风险论”者认为,智能手机的使用最能说明这一点。当前,智能手机已成为人们赖以生活、工作的重要工具,绝大多数人熟练掌握用手机拍录和传播有关公众、他人、家庭和个人视频信息的技能。在某种程度上智能手机使用者都难以摆脱“手动监控者”的角色,尽管这是一种短暂性、零碎性的监控,但是使用者深知监控视频中可能留有大量隐私痕迹。另外,人们在个人安全问题上求助于公共视频监控的生活经验,以及自媒体时代监控信息已成为重要的新闻资源和监督公权力的手段,都说明人们已熟知或默许公共视频监控对个人隐私的侵蚀。 其二,公共视频监控对象因处于“曝光”状态在实质上让渡了隐私权。“公共曝光论”是一种与新闻传播、政府信息公开直接相关的理论,该理论主张为了公共利益,政府、企业、新闻媒体和公众人物必须将大量信息向社会披露,导致相关主体对这些披露的信息不再享有隐私权利。“公共曝光论”者认为,公共视频监控的目的在于维护公共利益和实现社会、企业的善治,从来不是保护监控对象的隐私权。当人们参与社会活动时,行为轨迹在监控者和其他活动者视野中自然而然地处于曝光状态,行为人对这种“曝光”状态是明知的,意味着他们自愿向他人告知和展示个人信息,这是一种让渡独处权的典型表现。如果监控对象以保护隐私权而反对公共视频监控披露个人信息的理由成立,那么公共视频监控就失去了保护公共利益的价值基础,同时限制了其他人参与公共生活的自由。“公共曝光论”者常举的例子是在公园接吻的情侣。试想,在公园接吻的情侣如果享有隐私权的话,则意味着公园管理者必须在情侣接吻期间关闭公共视频监控设备,其他游客途经此地必须绕道而行或者扭过头去。那么,在这段时间内公园发生安全事故的责任应该由谁来承担?对其他游客进入公共领域的自由,以及进入公共领域后的通行自由和观望自由进行限制是否合理?这将是难以回答的问题。 公共场景下无隐私权的论断长时间影响了司法审判活动,持此论的法官普遍对偷拍者、监控者公开、传播个人隐私信息的行为采取了默许的态度。较早的类似案例如,1890年发生在美国的“马努拉诉史蒂文斯案” (Manola v.Stevens),法官以“在大庭广众下的活动不应享有隐私保护权”为由,未给被报社偷偷公开其性感表演形象的舞女马努拉提供足够的法律保护。在美国法院审理的“海斯特诉联邦政府案”(Hester v.United States)、“联邦政府诉米勒案”(United States v.Miller)、“迈德勒诉福特汽车案”(Medler v. Ford Motor),以及欧洲人权法院审理的“P.G.和J.H.诉英国政府案”(P.G and J.H. v. United Kingdom)和“派克诉英国政府案”(Peck v. United Kingdom)等案件中,法官也持公民在相关场景中无隐私权的审判意见,驳回了隐私权受害方的主要诉求。在我国,公共视频监控中无隐私权曾在一段时期内是相关案件的主流司法审判意见。典型案例如,在2004年上海市第二中级人民法院审理的“中学生诉母校侵害隐私权第一案”中,两名中学生在教室后排发生亲吻举动被学校视频监控所记录,学校以警示其他学生为目的在全校范围内公开播放监控视频片段;涉事学生以侵害隐私权为由将学校诉至法院,法院以“在教室内发生公开和不避忌地发生亲昵举动,已超越个人空间的领域因而不享有隐私权”为由,驳回了原告的诉求。 然而,学界和司法界对监控、传输他人隐私的反对声音从未中断过。在舞女马努拉败诉的同一年,学者塞缪尔(Samuel)等人便公开发文批评涉案报社,指出新闻界监控性关系细节和传播流言蜚语的行为导致了社会道德水平下降,它通过颠倒隐私的相对重要性来贬低人的尊严。大数据时代的正义植根于对数据、信息和隐私安全的保护,权利的实现过程和权力的运行过程都应恪守数据正义原则。客观上,公共视频监控几乎覆盖了社会主要领域,无隐私权的论调与当前强调数据和信息安全的法治趋势已格格不入,长此以往将导致隐私权保护处于“权利墓地”,监控权力游离在数字伦理和正当程序之外,甚至会滋生信息犯罪的深层次风险。 警务监控权扩张问题是美国“9·11”事件的后遗症之一。“大量公共资金几乎毫无限制地被投入到警务监控系统的建设上,高科技公司致力于向政府部门提供更先进的监控技术来表达对受害者衷心的哀悼。”“9·11”事件后,许多国家在法律规制层面,着手放松对警务监控的监管力度,赋予了警察和安全部门以更广泛的监控权,解除了警务监控原有的多项限制条件,允许警察和安全部门实施物理监控、电子监控、视频监控等措施对任何被怀疑者进行全面追踪,这与保护个人数据和信息的法治发展趋势形成了鲜明的差距。在实践中,各国警察和安全部门为了追踪和打击犯罪活动而过度使用警务监控,大量收集了嫌疑人和公众与案件有关或无关的个人隐私。甚至,警察和安全部门在缺乏合目的性的前提下启动警务监控系统,肆意获取“万一我们以后用得上”的数据和信息已成为一种执法常态。警务监控追求的核心价值是公共安全,但也为警察和安全部门任意访问个人隐私和拒绝监控系统运行透明化提供了正当依据,加之警务监控被极少数人所掌握,使得警务监控运行过程处于密闭状态,普通公民作为“数据臣民”,其隐私安全很难受到公权力完整的保护,加剧了公共安全和隐私保护之间的利益冲突。 后“9·11”时代,美国警务监控权扩张的问题尤为突出。美国政府颁布了《美国爱国者法案》(USA Patriot Act),旨在强化美国警察和安全部门的警务监控权,解绑了《国家安全法》(National Security Act)、《外国情报监控法》(Foreign Intelligence Surveillance Act)等法律关于在个人通信、商业记录获取、秘密搜索和监控、域外情报拦截等领域对警务监控的使用限制条件。尤其是引入了“国家安全信函”制度(National Security Letters, NSLs),允许美国警察和安全部门在未经法院批准的情况下,以“国家安全信函”的方式调取和监控企业、公民的机密信息和隐私信息。在美国的很多州,大型城市将扩大警务监控列入“大数据警务”和“智慧城市”发展规划,导致“隐私地方主义”(privacy localism)的兴起,引发了西雅图市、纽约市等地方政府和联邦政府的警务监控权之争。西雅图市于2013年颁布了《监控条例和人体摄像机政策》(Surveillance Ordinances and Body Camera Policy),扩大了地方政府在紧急情况下使用警务监控调查个人隐私的责任豁免范围。纽约市警察部门组建了“人口统计科”(Demographics Unit)意图对穆斯林社区实施“穿透性”监控。纽约市政府还颁布了《汉舒准则》(Handschu Guidelines)、《警务技术公共监督法案》(Public Oversight of Police Technology Act)和《数据收集指南》(The DAS Guidelines)等法律,为警察部门更新监控系统提供了制度依据,并在审批程序、评估制度、收集与安全措施、内部审计和监督等方面降低了警察对公民实施监控行为的门槛。总体来看,尽管美国各级政府致力于完善个人隐私保护法规,但在警务监控的法律规制上持例外原则,导致警务监控下公共安全利益对个人隐私造成严重限制,尤其是少数族群的隐私安全深受警务监控的侵袭,反映出美国人权保护制度存在严重失能的问题。 2013年“斯诺登”事件的爆发,引发了国际社会对监控霸权的批评和滥用警务监控的反思。一方面,世界主要国家的个人数据、信息保护政策和法律发生转向,普遍制定了新的数据、信息治理准则,用以规制警务监控对个人隐私的收集和处理,其中最具代表性的是欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)中的数据处理原则,例如,合法性、公平性和透明性原则,目的合理性原则和最小化原则等。另一方面,韩国、俄罗斯等“斯诺登”事件的受害国,持续完善本国警务和安全监控系统,借此维护国家安全利益和强化国际“数据主权”博弈能力。尤其是在反监控场景下,实施监控个人隐私措施是各国保护公共安全的重要突破口,个人隐私保护原则面临适用无效的尴尬境地。后“斯诺登”时代,国家对警务监控权的行使经常在规范化和扩张性之间进行选择与平衡,公权力能够给予个人隐私安全多大的关怀程度,在不同的时期、国家和社会情境中可能存在明显差异。 在大数据时代,个人隐私以数据和信息为主要载体而被记录、存储和传输,人们常说的隐私主要指隐私性数据和信息,是个人数据和信息的特殊组成部分。个人数据和信息的界定一般采用“可识别性”标准,具体包括客观识别和主观识别两种途径。客观识别通过数据和信息与主体之间本身存在的直接或间接关联性来确定相关数据和信息的归属;主观识别是访问者对数据和信息与主体之间的联系进行解释后,进而确定相关数据和信息的归属。 公共视频监控系统中多为声音、轨迹和图像等痕迹性信息,与相关主体存在较为直接的关联性。监控实践中,隐私信息的保护方法,主要通过隐匿化处理、与他类信息进行混合处理等“去识别化”手段,使其脱离个人信息的范畴。然而,由于当前图像、声音恢复技术和大数据分析技术的发达,尤其是“去雾”技术的运用,导致监控系统中原本不能被识别的信息可以被轻易识别,已经脱敏的信息又具有了隐私性,与原来主体又具有了直接或间接关联性。因而,公共视频监控信息在采取客观识别的方式下,个人隐私存在范围不确定性的问题。 相较于客观识别,公共视频监控中个人隐私的主观识别面临更为复杂的困境和风险: 其一,公共视频监控者缺乏相关法律知识的储备,可能会对个人隐私的法律属性、价值产生误判。英国信息专员办公室(ICO)认为,“数据、信息的识别归根结底是人的主观评判,合理程度以访问主体和有先验知识的第三方所掌握的知识储备为限”。爱尔兰数据保护委员会(DPC)也将个人知识列为识别数据、信息的关键因素,“尽管目标数据、信息可能处于匿名化状态,但凭借个人知识仍可以识别出相关数据、信息的归属。例如,医生在匿名医学报告中对病人信息的识别”。由此可见,公共视频监控中个人隐私的主观识别,需凭借监控者的技术选择和现有知识对视频数据和信息进行筛选,在此过程中监控者掌握着信息、数据关系的解释权。现阶段,公共视频监控系统的运行主要依赖于内设的自动化程序,操作和管理工作相对简单。大多数情况下,政府、企业等组织任命、招聘监控系统操作、管理人员时一般只看重技术知识背景,不会对其法律素养提出特殊要求。例如,英国、加拿大等国,一般仅为监控操作人员颁发倡导性的实务守则(Code Of Practice),缺乏与法律相关的基本内容。持有视频监控设施的普通个人,大多数可能缺乏与隐私保护相关的法律知识。因而,公共视频监控者对个人隐私的识别结果,可能因自身知识不足而对个人隐私的法律属性和价值的产生误判,甚至会产生“隐私是没有必要的东西”这种危险的结论,从而矮化了个人隐私的重要价值。 其二,个人隐私内容和识别程序的复杂性,成为公共视频监控者放弃或任意识别个人隐私的理由。在各国法律中,个人隐私与敏感性、私密性、关键性和重要性数据和信息在法律内容上存在大量的交叉与重合。例如,我国民法典中的“隐私”“私密信息”概念,与个人信息保护法中的“敏感个人信息”概念,以及数据安全法中的“关键数据”“重要数据”概念,在实践中存在复杂的混用情形。尽管混用相关概念在绝大多数情况下不会引起理解的偏差,但上述概念的法律意义、保护路径和权利实现场景实际上存在明显的差异。个人隐私内容的复杂性和不确定性,导致人为识别程序的繁琐。公共视频监控者首先要从海量视频信息中筛选出个人信息,再对筛选出的个人信息进行分类,最后比照法律规定来确定个人隐私。欧盟GDPR序言部分规定,识别个人数据应考虑到合理的方式、时间、成本和可用技术。监控者面对个人隐私内容和识别程序的复杂性,极有可能会依据上述规定拒绝识别个人隐私,或者任意将个人隐私与一般性信息进行“打包处理”,以简化其工作流程和维护监控系统的运作效率。由此来看,在采取主观识别立场的情形下,公共视频监控中个人隐私识别结果的准确性很大程度上取决于监控者的素养、知识、能力和技术选择等主观因素,除非能够证明监控者具有主观恶意的情节,否则该识别过程无法引起个人数据、信息监管制度的有效介入。最后的结果极有可能是个人隐私被监控者任意处置。 私人场所是个人隐私的主要来源,因而禁止监控私人场所是公共视频监控法律制度的核心原则。但各国基于保护公共安全的现实需求,以及出于对具体案件利益的衡量,禁止监控私人场所原则在司法审判活动中面临着或多或少失灵的风险。 我国个人信息保护法第26条蕴含两层法意:一是公共视频监控为保障公共安全所必需;二是公共视频监控不得针对私人场所。然而,在司法实践中,存在部分案件滥用或缩小解释公共安全的问题,导致我国个人信息保护法第26条在某些案件中的适用处于失灵地位。尤其是在监控侵权现象集中的物业监控领域,部分人过于采信物业公司“为了小区管理和治安”监控业主私人场所的辩解理由,忽视了物业监控范围已逾越其合理边界,行为本身已具有非法性,导致涉案居民的隐私权难以得到有效救济。在美国部分州,法院判定监控私人场所的违法标准为“长时间监控”,但在具体时长的认定上存在地区差异。在哥伦比亚特区的“联邦政府诉琼斯案”(United States v. Jones)中,法官索托马约尔(Sotomayor)持28天的意见;在华盛顿东区的“联邦政府诉瓦加斯案”(United States v. Vargas)中,法官德华·谢伊(Edward F. Shea)持21天的意见;在密歇根州东区的“联邦政府诉怀特案”(United States v. White)中,法官持“超过四周大关”的意见,认为“对一个人进行30天的全面监视不能等同于短暂的拘留”。这些案例说明,美国部分法院制裁的重点,并非是监控私人场所行为本身,而是长期监控行为的危害性。然而,临时、短期监控私人场所的危害性真的会低于长期监控吗?其实不然,例如,孤寡老人的长期监控信息的隐私性很可能会低于新婚夫妇的短期监控信息的隐私性。实践中,美国“长时间监控”标准甚至起到了纵容执法者滥用监控权的负面作用,经常发生执法者在未经法院批准的情形下肆意监控公民的私人场所,而执法者只要掌握好监控时间、找好搪塞法庭的理由,就不会受到应有的法律制裁。 世界各地的公共视频监控案件中,禁止监控私人场所原则均同样面临失灵的问题。究其原因主要集中在:其一,以保障公共安全的名义来削减公民在私人场所的利益。尤其是在恐惧和危险面前,公民不得不接受自己隐私越来越少的事实,然而有些法官甚至不会去审查监控者口中的“恐惧”“危险”是否会真实来临。其二,监控范围难以精确限定。公共视频监控方式不仅限于固定摄像头下的有限监控,还包括无人机航拍、行车移动监控等多种方式,导致监控范围辐射大量的私人场所;一旦发生监控侵权事件,“这是监控设备设计者的问题”就成为侵权者的最佳辩解理由。其三,监控设备在行政执法领域具有便捷、高效的特征,促使部分执法者严重依赖监控设备,导致私人场所极易遭到不合理的监控。尤其在社会治安领域,秘密监控成为一种趋势,“如果监控摄像机不为潜在的犯罪分子所知晓,那么它们就不能有效地抑制犯罪的发生”;加之,部分监控设施规格微小、架设位置隐蔽,使得公民无法得知私人场所已被他人监控,进而无法救济自己的隐私利益。
“知情同意”原则是个人数据、信息处理的先决条件和前置程序,尽管适用该原则会导致“知情人”丧失部分数据、信息权利,但不意味着“知情人”放弃了自身的隐私权利。公共视频监控实践中,隐私否定论者贸然参照“知情同意”原则,将公民自愿置于监控之下的行为视为知情,进而得出公民同意承担丧失隐私的结论,显然是对“知情同意”原则的误用。原因如下:(1)监控对象的“同意”事项应以全面“知情”为基础。“知情同意”原则最初被视为医疗领域的生命伦理,原指为患者对医疗措施的“同意”,以对全部风险的“知情”为基础,否则由医生承担医疗伤害的责任。在隐私保护领域,1953年的“吉尔诉赫斯特出版公司案”(Gill v. Hearst Publishing Co.)中,卡特(Carter)法官认为,吉尔夫妇关于自身形象被他人观看的同意范围止步于公园以内,媒体拍摄和公开的行为侵害了他人的隐私。这说明,“同意”范围应以“知情”为界限,而且“知情同意”原则早已被司法界用于保护公民隐私,绝非某些学者鼓吹的,该原则是否定公共领域内隐私权的法律依据。目前,大多数国家的数据、信息保护法律中“知情同意”原则仍然恪守“知情”优先的传统。公民在公共领域活动时,以下两种情况必须予以区分:第一种情况是公民的行为被他人看到;第二种情况是公民的行为被摄像头捕捉到。两者的重大区别在于,公民对前一种情况的“知情”可能是全面的,能够想象到某人看到自己的行为并向第三者转述的景象,公民对这种后果大体是接受的。至于后者,公民可能无法得知,“谁在看着我们,用什么方式看着我们,用了多久以及为什么要看着我们”,具体而言,对于包括自身监控信息何时被收集、被谁收集、用于何处,以及有何风险等情况公民都无法知晓。因而,在公共视频监控场景下,依据“知情同意”原则,公民“同意”的事项也应建立在对监控活动全面“知情”的前提下,决不能将公民自愿进入某一监控场所的行为,等同于公民自愿接受监控,更不能认定为公民同意放弃隐私。即使在明确监控标识的场所中,我们仍要谨慎使用“知情同意”原则,关注公民“知情”能力的大小,进而确定“同意”放弃隐私的范围,尤其不能将一般人“知情同意”的标准强加于儿童、盲人等弱者,并以此来否定相关群体的隐私权,使“知情同意”原则畸变为先“同意”后“知情”。(2)监控信息的处理活动与全面“同意”要件缺乏适配性。通常来讲,“知情同意”原则的有效要件为全面“同意”,大致包括自愿做出同意行为、有具体同意的事项、全面知情、明确表示同意、证明同意和撤回同意等环节,是一个不断告知、同意、评估并修复的复杂过程。然而,公共视频监控信息处理活动在某些环节上无法完全遵循全面“同意”要件。以撤回同意为例,即使公民进入监控领域,很大程度上被认为同意个人信息被监控者捕获,但公民如何撤回上述同意,监控者如何提供撤回渠道,都存在事实上的不可能,这与处理一般数据、信息不同。欧盟“第29条小组”提供的易撤销例子是,音乐节线上售票活动应当为用户提供服务界面以撤销其购买意愿,但不得通过增加过多操作流程、额外费用和降低服务水平等措施困扰用户行使权利。再以证明同意为例,公共视频监控者也无法像一般数据、信息控制者一样,从技术上保留会话信息、文档和副本来证明数据、信息主体同意放弃部分权利。因而,在缺乏理论与实践适配性的前提下,“知情同意”原则绝非否定公共视频监控中隐私权的有效依据,部分隐私否定论者陷入了“知情同意”原则结果模式的桎梏,由隐私缺失之结果想当然地推导出公民“同意”“知情”的事项,实质上是滥用“知情同意”原则的表现。 换个角度来看,公共视频监控者是否应当承担某种“知情”或“同意”的义务呢?当前,许多大型互联网企业同时还是占有重要市场份额的监控设备生产商,例如微软公司的“Surface Hub”、华为公司的“海雀4K”、小米公司的“云台”系列和360公司的“小水滴”等监控产品。尽管这些企业并非监控设备的主要使用者,但是他们通过旗下产品间的物联网搭建了监控平台,数据中心存储了大量用户的信息,是名副其实的超级监控者。美国《千禧年数字版权法》(DMCA)中的“红旗规则”(the red flag provision)为网络平台设定了应当“知情”的义务,当侵权事实在平台服务商面前如红旗飘扬一样明显,网络平台不应采取“鸵鸟政策”而无所作为,否则承担相关侵权责任。欧盟《数字市场法》(DMA)中的“守门人”(gatekeeper)制度规定,网络平台应当知道也有义务知道平台内部发生的事情,并负有不可推卸的监管责任。因而,对于这些大型互联网企业而言,他们天然“知情”平台内发生的一切,从保护隐私的角度,这些企业须被法律强制“同意”承担旗下监控设备侵害公民隐私的责任。 美国联邦最高法院斯图尔特(Stewart)和哈兰(Harlan)两位大法官对“卡茨”案(Katz v. United States)的审判意见对公共领域内隐私权的司法保护具有里程碑意义,该案涉及联邦特工在公共电话亭外监听到的嫌疑人通话信息是否应被视为犯罪证据。斯图尔特大法官的裁决意见是“宪法第四修正案所保护的隐私,是人的隐私,而非某一场所的隐私”;哈兰大法官认为,“封闭式电话亭是与一个田野不同的区域,置身其中的人对隐私权抱有合理期待,电子监听和物理闯入都会侵害其隐私权”。由此,产生了公共领域内隐私权合理期待(reasonable expectation of privacy)理论。 那么,隐私权合理期待理论是否适用于公共视频监控场景呢?依据“卡茨案”的审判逻辑,公民在电子监听场景中抱有合理隐私期待,而视频监控兼具图像和声音获取功能,相比而言对公民隐私侵害程度更深,举轻以明重,涉身其中的公民对隐私理应抱有更为强烈的期待。“公共空间也存在个人隐私,通过连续不间断的视频监控将个人行动举止、行踪轨迹等信息结合起来,完全可以揣测出隐藏在背后个人不愿意暴露的隐私信息。”“第29条小组”《视频监控处理个人数据指南》(Opinion on the Processing of Personal Data by means of Video Surveillance)指出,“公共视频监控对象在过境时可能期待较低程度的隐私,但并不希望被完全剥夺与其私人领域和形象有关的权利和自由”。在上文已述的“中学生诉母校侵害隐私权第一案”中,中学生明知教室内架有监控设备仍然发生亲昵举动,很大程度上被法院认定为接受信息收集的表现,但他们绝不期待学校传播涉及自身的被监控信息,否则也不会引发诉讼。在2023年某地森林防火指挥中心人员传播男女“不雅”监控画面的事件中,公众谴责的并非是相关人员收集信息的行为,而是传播行径突破了道德和法律底线。在国外众多户外拍照涉及他人接吻案中,法官大多认为第三人对个人隐私画面抱有不被恶意篡改和传播的最低期待。在“海恩斯诉阿尔弗雷德·克诺夫案”(Haynes v. Alfred Knopf)中,法官波斯纳(Posner)说到,“即使不注重私人生活细节的人,也会因自己的生活被公开后而感到羞耻;即使拥有完美身材的人,也会因自己的裸照被公开而感到异常愤怒;夫妻或者情侣间正常的亲密行为被人公开后,同样会使他们陷入尴尬之中。众所周知,每个人都要如厕,但是没有一个正常的成年人愿意被公共摄像头拍摄到自己如厕的样子。我们对隐私的合理期待是一种难以解释但不可否认的人性需求,应得到社会的尊重和法律的保护”。这些案例和事件表明,公共视频监控对象的隐私期待大致建立在收集容忍或顾及公共利益的前提下,希望监控者善待自身隐私,尤其是使用和传输阶段,更应当遵循审慎原则。 公共视频监控网络的跨区域搭建,为国际社会应对和处置恐怖主义、气候变化、生物安全和公共卫生等全球性问题提供了有力的支撑。例如,哈佛大学利用卫星监控系统获取非洲“气候移民”的信息,以便确保他们不会穿越危险地区或被犯罪团伙侵害。又如,康奈尔大学的“大象聆听计划”(Elephant Listening Project),利用先进的视频监控技术观测和保护非洲象群。而在全球数据竞争格局中,监控和反监控已成为国际“大数据战争”的重要博弈场景。尽管监控系统中单个隐私的泄露可能不会危及国家安全,但数据存储中心和服务器汇集了数以万计的个人隐私和重要信息,映射社会各个领域的原貌,直接指向了国家安全的敏感地带。因而,监控系统中的隐私对维护国家“数据主权”具有极其重要的价值,是国际“大数据战争”参与方争夺信息资源和保护安全的重点关口。“斯诺登”事件的背后是美国滥用数据霸权,在全球范围内利用本国监控技术优势肆意获取自己需要的数据和信息,而外国领导人、跨国企业高层管理人员,乃至普通公民的通信、个人活动等是“棱镜门”计划的监控重点。特斯拉汽车装载着大量摄像头和雷达等传感器,自带的“哨兵模式”会对车主及车身周边环境进行录像,威胁中国信息安全,被要求在上海成立数据存储中心。美国禁用“抖音海外版”事件,也在一定程度上反映出了政府对公民隐私被大规模监控所带来的公共安全风险的担忧。 公共视频监控几乎覆盖了国家安全的整个领域,收集了大量政治、经济、文化、社会和生态相关的数据与信息。监控图像、信息的客观性和可视化特征,可以直接形成有价值的内容而被监控者使用,免去了使用一般数据、信息所必备的分析环节,而个人隐私又是监控信息中最具价值的部分,使得保护个人隐私已成为各国维护本国数据安全的重要抓手。在全球通信网络的背景下,“国家安全和监控制度的辩论集中在这样一个问题上,即‘紧急情况’是否能为政府监控隐私留出自由裁量的空间,以应对难以事先预测的国家安全威胁。这种自由裁量权可能采取‘黑洞’或者‘灰洞’的形式,‘黑洞’指立法机关授予有关部门监控隐私的权力,‘灰洞’指只有保护隐私的外表或形式,而不是任何实质性的措施”。欧盟GDPR要求,企业核心业务涉及大规模监控的,必须设立一名数据保护专员,对监控信息,尤其是个人隐私的跨境流动需征得欧盟官方的充分评估。欧盟GDPR试图将个人数据权利上升为数据主权予以保护。俄罗斯面对数据霸权主义国家的“监控瘾”,采取了数据、信息本地化存储模式,严格限制监控信息、个人隐私的出境,从而掌握了本国监控信息跨境流动的主动权。我国《信息安全技术 重要数据识别指南(征求意见稿)》也将公共视频监控系统获取的公民健康生理状况、族群特征、遗传信息等与个人隐私有关的数据和信息列为重要数据,并将相关数据的处理上升为影响国家安全的高度。因而,公共安全、国家安全作为公共视频监控部署的首要理由,并非与个人隐私截然对立,公共安全与隐私保护并重才能发挥公共视频监控的实质作用。 法国学者福柯(Foucault)在《规训和惩戒》中描述了“全景敞视监狱”形象,“四周是一个由许多小囚室组成的环形建筑,中心是一座瞭望塔。每个囚室有两扇窗户,一扇用以采光,一扇用以监控。通过逆光效应,人们可以从瞭望塔与光源恰好相反的角度,观察被囚禁者的小人影”。“全景敞视监狱”消除了传统监狱让人隐藏和剥夺光线的功能,给被囚禁者造成被持续监控的心理压力,从而确保权力自动地发挥作用。一份早些年关于美国公共视频监控的调查报告显示,接近一半的受访者表示自己有处在“全景敞视监狱”的感受。随着新型监控技术的大规模应用,公民对“全景敞视监狱”的感受将越来越强烈。从公共视频监控对公民隐私侵害程度的最大可能性上看,已有学者断言,社会中“全景敞式监狱”的雏形正在显现。很多场景下,“有生产力的公民或消费者,以及他们的身体和数据复制品受到了监控者额外的青睐”。商场监控热衷于锁定顾客的年龄、表情、穿着、消费记录和行为等,进而判断被监控对象是否为“有瑕疵的消费者”,并寻求政府执法人员的介入以驱赶相关人群。在政府监控领域,英国、美国等种族歧视现象严重的国家,政府利用公共视频监控窥探少数族群的隐私,意图扼杀异类以强制推行社会从众性。在体育赛事监控领域,“闭路电视监控的目标不仅针对个人扰乱秩序的行为,甚至不合时宜的轻微手势或嘴唇动作,都会受到纪律处分”。在其他监控领域,隐私也正在沦落为管理者执行“羞耻制度”(the regime of shame)的工具,以实现他们的各种目的:工厂用于控制员工、家主用于解雇保姆和学校用于惩戒学生等。例如,在“罗宾斯诉下梅里恩学区”(Robbins v. Lower Merion School District)系列案中,学校为了惩戒“坏学生”,利用电脑远程监控系统记录学生在卧室滥用药物的景象。这些负面的例子表明,如果对公民隐私不加以重视,会到导致监控技术的滥用,进而使得“全景敞式监狱”蕴含的威慑效果扩展到了整个社会,原本建立在压制隐私之上的从众、纪律、歧视和肆意搜查等监狱管理规则,最终逐渐演化为监控社会的法则。由此产生的极端结果可能是,公民忌惮于隐私被曝光、受到非法打压,或者其他威胁因素,会有囚徒般的不自由感和不安感,亦无法在社会其他角落寻求隐匿的慰藉以满足对隐私的基本需求。 隐私已经成为公民最熟悉,而又最急切的利益诉求。如果今天美国《独立宣言》被改写,绝大数公民会支持在“生命、自由和追求幸福的权利”条文中增加保护隐私。公共视频监控场景下的隐私权蕴含着丰富的理念,它代表公民在监控区域可以自由行动、享有尊严、拒绝谦卑、合理欲求得到疏解等。也许,部分学者夸大了监控技术对人类社会的危害性,但舍弃隐私不应该是公共视频监控秩序的常态。为防止社会异化为“全景敞视监狱”,公共视频监控者需要认真考虑监控行为是否严格按照法律精神保护了个人隐私,是否违反了技术服务于人这一最为基本的法律目的,是否坚持人类中心主义的立场。否则,公民终究会沦落为技术宰制下“信息囚徒”。 公共视频监控、医院、学校等场景中的隐私权,必须结合语境完整性探讨其具体内容。语境的完整性是对隐私权“公—私”二分法的重要修正,使得隐私利益与相关场景规范紧密结合。人们根据所处场景的规范判断出,“什么样的信息适合在什么时候公开,什么样的信息适合在什么样的情形被记录下来”。例如,公民向医生袒露自己的健康状况,向雇主提交就业和教育信息,可能是合理的,但如果公民被要求告知情史或者性行为记录则明显违背常理和场景规则,公民会感觉到隐私被严重冒犯。因而,公共视频监控语境下的隐私利益需结合公民自主能力,以及维护公共安全、行动自由、保护隐私和人格尊严等场景规范来探讨。 大数据背景下,越来越多的个人行为和社会现象被公共视频监控所记录,对国家而言,这意味着高清监控图像中的每一个人、每一辆车的轨迹,甚至每一件事都可以被追踪。尤其人脸识别技术的运用,强化了公共视频监控的追踪和预测能力,“人脸在我们的社会生活中起着重要的作用,从中我们可以提取许多种信息,如身份、性别、种族、年龄、情感、健康、个性和吸引力”。有效的社会治理需要监控者确定重点监控目标和事项,尤其要对可疑人物、可疑行为实施重点监控。那么,谁应当被重点监控呢?除现有法律的规定外,更多依赖监控者的主观分类与挑拣。美国公民自由联盟(ACLU)在关于公共摄像头的报告中指出,政府雇员存在滥用监控权的问题,男性雇员喜欢锁定女性的身体细节,衣着鲜艳的人、有色人种等群体会被单独挑拣出来作为监控目标。一份关于公共视频监控操作人员行为的全面研究发现,在将近600个小时的监控中,大约900个目标的监控时间超过一分钟,大约30%的目标的监控时间持续在二到六分钟,1/4的目标监控时间超过六分钟。监控目标在性别、年龄和肤色等生理方面的不同,甚至是看起来聪明还是愚笨,身着制服还是非正式服装等因素,都可能成为被区别对待的原因。在社会治安领域,警察在办案经验上形成了许多刻板印象,可能会认为有些人具有“天生罪相”(born criminal)(如下垂的眼睛、大耳朵、突出的下巴和扁平的鼻子),有些人看起来鬼鬼祟祟,以及有犯罪前科的人应当被重点监控。“虽然证据不多,但总体上是积极的。迄今为止,在欺骗意愿、犯罪特征、攻击倾向等领域,都发现了基于面部外观相对准确的评估。”由此导致的后果是,“疑罪从无”原则变得不再纯粹,只要被怀疑就要承担被监控的后果,甚至被有关部门预先逮捕。在其他监控领域,客观上存在公民被监控者分类与挑拣为“守法公民”和“离经叛道者”、“良民”和“刁民”、“先疑”和“先信”等群体的事实。 大数据技术加剧了社会早已存在的身份鸿沟。网络购物平台利用大数据技术分析公民的消费记录、浏览记录和“购物车”等内容,预测出某个人属于“富人”还是“穷人”,进而在平台首页或“猜你喜欢”服务中推送不同价值的商品。在公共视频监控实践中,分类与挑拣监控对象,“无疑将民众予以客观化,人的高贵、尊严以及作为万物之灵的存在不再具有意义,而彻底沦落为是否有可能犯罪的潜在对象而被判断着”。在“纽约公民自由联盟诉国土安全案”(New York Civil Liberties Union v. Dept. of Homeland Security)中,法官斥责了美国国土安全部监控“感兴趣的人群和建筑物”的做法,认为基于个人特征与行为上的监控评估和预测,对公民隐私与人格尊严构成了极大的损害。也因此,纽约市政府不得不颁布《公共安全隐私指南》(Public Security Privacy Guidelines),指出“公共监控系统不会因为公民的种族、肤色、宗教信仰、年龄、国籍、性别(包括性别认同)、性取向、残疾、婚姻状况、伴侣身份、服役状况或政治派别或信仰而对其进行区别性监控”。依据世界主要国家的法律,上述信息多数属于个人隐私的范畴。隐私是关于知道或使用信息的程度,“不是关于代码的数值或者物质价值,它是向整个社会告知人类价值的法典”。因而,公共视频监控背景下,需要用一种道德的方法来善待隐私和管理信息流,而非数学的方法分类和挑拣信息主体,这也是当今社会的文明规则。 大数据监控背景下,公民隐私权蕴含着不被外界干扰和免于不安、脆弱和无力感的需求。现实生活中,公众因信息泄露导致生活安宁受到干扰的例子数不数胜数。例如,有人刚刚签完新车定制合同,随后便有多家保险公司轮番上门或者线上推销保险服务;母婴产品销售商比孕妇本人还清楚预产期的具体时间,事实上,一张婴儿服装优惠券可能已经在路上;报名参加某类考试的学员,频繁接到教辅机构的试听邀请。当然,这些事例表面上与信息泄露密不可分,而动因在于“信息就是权力,掌握了他人的信息可以带来对他人的权力,隐私冲突是对社会权力的争夺”。换言之,谁掌握了他人的隐私,谁就能影响他人的决定。针对公共视频监控领域,加拿大法学家丽莎·奥斯汀(Lisa Austin)说得更为直白,“权力是监控发生的原因,政府和企业利用隐私的缺乏来加强影响和操纵公民和客户的权力,无论是公开的还是微妙的方式”。美国政治史上表现最为突出的例子是,联邦调查局利用监控信息威胁民权运动领袖马丁·路德·金(Martin Luther King)自杀,否则将释放他婚外情的“真相炸弹”。“李诉联邦政府案”(Lee v. United States)、“联邦政府诉诺茨案”(United States v. Knotts)、“凯洛诉联邦政府案”(Kyllo v. United States)的共同争议点是,当政府的执法活动限制公民自由以至于其无法从事自己的活动时才构成扣押,那么政府监控行为是否应当等同于扣押行为?法官们认为,执法人员肉眼观察的行为不属于扣押行为,而监控只是通过技术复制肉眼可以看到的事情,因此也不属于搜查行为。但是,学界的观点似乎更有说服力,监控活动潜藏在人们生活的各个角落以至于人们无法忽视它的存在,当公民知道自己被监控时,自然而然地会与外部监控者视角保持一致,尽可能地藏匿自己的隐私,无论行为和意图多么无害,他们都会三思而后行。以至于生活少了即兴的趣味,多了谋划的负累。这与公民期待生活安宁和不被骚扰的利益诉求背道而驰。事实上,监控技术并非人眼的简单复制,它全方位地提高了监控者的感官能力,解绑了政府执法活动的时空限制。因而,非法监控他人隐私理应被看作是一场深层次的扣押活动,对他人正常生活的干扰程度再怎么夸大也不为过。 从技术层面讲,公共视频监控是一个“任意的、不负责任的、不透明的、对人们尊严和福利漠不关心的程序,试图将公民驯化为数据和信息的自愿提供者”。无论是心理感受,还是行为影响,监控技术在某种程度上干扰人们的生活已成既定事实。“阻止摄像头的入侵已经太晚了,这精灵不能被塞回瓶子里。”而技术的背后隐含三个重要问题,“一是谁可以占有、使用这个工具,二是这个工具能干什么,三是这个工具是为谁服务以及为什么目的服务的”。公共视频监控是监控人的工具,而不是干扰人的工具,能获取他人隐私,但不应操纵人的生活。监控者不是机器,是活生生的人,他们需要确立的原则是“人的安宁先于技术”“人的价值融入技术”和“人的隐私归化技术”,而不是“人与技术二元共治”,更不是“人的归人,技术的归技术”。 公共视频监控主要部署在公共场所,但公共场所的事务不一定是公共事务,诸如有人接打电话、年轻情侣走进酒店、怀孕妇女前往医院和交易双方核对账单等。私人生活包括公民在其住所内实施的行为,还包括在剧院、音乐厅等公共场所内实施的具有私人特征的行为,是他们个人生活的延续。公共场所包含私人性,是公民在监控场景下期待自身监控信息匿名化的重要前提。在“莱弗顿等人诉柯蒂斯案”(Leverton et al. v. Curtis)中,原告在车祸现场中因疼痛或恐惧而扭曲的脸、凌乱的头发和衣服、裸露的双腿和臀部等形象,被他人未经“马赛克”处理而公开,法官柯克帕特里克(Kirkpatrick)认为,被告处理信息的方式使原告处于羞辱境地,故而侵害了他人的隐私。类似的事例如,一家报纸刊登了一张新生畸形儿的照片,其父母看重的并非是名誉损失,而是感到羞愧和受到了侮辱,因为医院和报社的行为损害了他人的匿名权,把私人生活变成一个公共景象。在公共视频监控领域,美国联邦大法官威廉·伦奎斯特(William Rehnquist)曾举过这样一个例子,警察在监控一家酒吧过程中,正常出入的顾客会对自己受到监控而感到担忧,那些被问及名字、消费记录和谁来过等隐私细节的顾客则会深深陷入恐惧之中。公民不同反应的核心原因为,是否匿名面对监控。匿名,顾名思义是不留名字的意思。“匿名是一种隐私形式,当个人在公共场所时,享有免受身份识别和监视的自由。”匿名权能够确保,公民在政府监控执法活动中不被问及包括隐私在内的个人信息,不被视为特殊目标进行盘问,只有在公民的言行举止涉及犯罪时,才会丧失对其匿名权的保护。 “隐私权赋予公民隐藏不想被他人知道的事情的能力。”在“芝加哥诉莫拉莱斯案”(Chicago v. Morales)中,法官史蒂文斯(Stevens)认为,公民有漫无目的闲逛的权利,如果“点名”谁在闲逛,无疑损害了公民的移动与停留自由。“即使公共视频监控发现,配偶与情人约会、员工上班期间去钓鱼和学生撒谎不去上课等违背私德或内部秩序的事情,也应保护公民对隐匿的需求,而不是充当点名者或者告密者的角色。”隐私权是公民“隐”权与“私”权的结合。生活在大数据时代的公民,经常面临不得不交出隐私或者几乎没有隐私的境遇中,“只要愿意,政府就可以在任何一个地方能够听到一个针头掉地所发出的声音”。当公民像一个“透明人”无法“隐”的时候,意味着他可以被所有人看到,公众对他的生活的关注可进可退,那么他将毫无“私”可言。而当公民有了匿名权,他的真实信息可以被“隐”起来和“去识别化”,进而能够行使表达自由和行动自由的权利。 即使在法律全球化背景下,中国和西方民众对隐私的认知,仍然存在不同。北京大学的跨国调研报告显示,中国人的隐私观具有鲜明的实用主义特征,而美国人侧重于理想主义的隐私观。国家间尚且如此,具体到个体,隐私在确认和表达公民身份方面具有重要的作用,“它允许我们按照自己的方式决定自己是谁”。隐私权促进了人们追求自主的热情和需求,对于维护个性的完整极为重要。例如,信宗教的人不能没有宗教信仰隐私,有手机的人不能没有通话记录隐私,上网的人不能没有浏览记录隐私等。然而,数字社会的管理致力于保护整体主义下的“城邦利益”或者社群利益,“有自我的一切通常在未经同意的情况下而被代为管理”。公共视频监控是数字社会重要的管理方式,有学者直接将“监控”视为一种“看管”,“监控作用可能是强制性的,用于惩戒、公开约束个体或社会团体”。公共视频监控奉行整体主义必将导致两个后果:一是人们的自主性和个性被“剔除”,不得已陷入身份扮演游戏之中,“我们无法放松,无法脱掉面具,因为我们没有隐私这样一个后台”。公民像车间制造的标准化产品一样,说一样的话,做一样的事,穿一样的衣服,不敢表现得与众不同。二是社会的公共性消失,学者杰弗瑞·罗森(Jeffery Rosen)指出,英国政府倡导多元社会价值的说法与其实际做法不一致,“主流文化”以外的人群被视为异类,导致闭路电视系统的基本作用并非是打击罪犯,而是强制推行社会从众性。“其他学者将英国闭路电视系统看作净化城市空间和摧毁差异存在和无秩序最有力的武器。最终的结果是,公共场所只能容忍少数行为,公共场所变得不再公共。” “隐私是一张隔离盾牌,使人们能够独立发展和思考,第三人目光的存在可能会扼杀这些活动。”一项关于监控对公民人格、信仰和价值观影响的调查问卷显示,多数人持“监控使我们失去个性”“监视使我们疏远和相互警惕”“监控使社会中的人们感到软弱无力”“监控侵犯了我的隐私权”等负向观点,少数人持“监控有助于识别和逮捕罪犯”“监视促使我成为一个更好的公民”等正向观点。这已反映出,某种程度上公民对公共视频监控保护隐私和个性的需求,实际上已经大于对保护安全的需求。保护公民隐私,意味着保护公民的自主性,保护自主性的前提是包容多元价值。“在一个文化多元的社会中,公共视频监控不应秉持什么‘主流价值’底线,公民的自主性需要得到监控者的尊重,否则社会将陷入死气沉沉,人们不会做事,只能不断地自我审查。”
公共视频监控系统作为社会治理的重要工具,在维护社会治安、监测生态质量、监管重点行业的生产安全等方面,具有不可替代的作用。当前,监控系统与政法执法正处于蜜月期,监控系统的部署规模继续呈现上升趋势,因而不难想象公民隐私权在未来会面临进一步的威胁。针对“全民监控”时代的到来,我们该如何合理规制公共视频监控的运用以保护公民隐私权呢? 公共视频监控部署的首要目标是保障公共安全与公共秩序,但并不意味着政府和其他主体可以肆意扩大监控规模,或者任意以公共安全的名义来限制公民隐私权。在欧盟和美国部分州,保护隐私是公共视频监控合理部署的重要法律标准,主要做法为:其一,设立合理监控区域。公共视频监控范围不得辐射私人场所,美国加利福尼亚州、纽约市、罗德岛等地进一步将“个人有充分理由期待完全隐私的任何地方”列为不得架设公共摄像头的区域。这些特殊的公共区域通常用于公民生活休闲或个人停留和交流。例如,公园的休息区、电影院和公共健身设施等。这意味着禁止部署公共视频监控的区域,不仅包括私人场所,还包括一些私人生活比较集中的公共场所,拓宽了公民在监控场景中隐私权的保护范围。其二,评估监控系统部署的合理性。在欧盟,任何主体安装辐射他人领域的监控系统,必须经过监管机构的评估与批准;监管机构主要评估申请安装监控人员的合法利益是否受到现实威胁,以及该申请人员是否可以通过其他可替代性手段来应对正在面临的威胁。美国部署公共视频监控系统的前置性程序是公众影响评估活动,监控区域的居民有权以隐私受到威胁为由要求停止部署监控系统。以上做法不仅有效限制了监控泛在化的趋势,还直接起到了保护公民隐私的作用。 近年来,我国公共视频监控系统部署的规模呈现上升趋势。但在公共视频监控部署方面,仍然存在立法不足,不能为公民隐私权提供充分的保障。其一,存在过于追求覆盖率的问题。2015年国家发展改革委、中央综治办等部门联合颁布了《关于加强公共安全视频监控建设联网应用工作的若干意见》,以“全域覆盖、全网共享、全时可用、全程可控”作为公共视频监控建设目标,要求在重点公共区域、行业、领域和部位视频监控覆盖率达到100%。提升监控系统的覆盖率,虽然可以有效维护公共安全,但在执行过程中容易辐射公民私人场所,威胁公民隐私利益。其二,存在监控私人场所、私人事务的问题。多数地方性公共视频监控立法文件,通过列举重点部署区域和禁止部署区域来规范公共视频监控系统的安装活动,但仍然存在个别文件将住宅窗口、门口、楼道等涉及居民隐私的场所列为重点监控区域。其三,缺乏公众隐私影响评估机制。公共视频监控保护了部署区域内安全利益,但同时还直接威胁着监控区域内居民的隐私安全,因而居民有权利、也有理由表达在自己生活周边安装监控系统的意见和建议,尤其是对个人隐私安全的担忧。目前,我国在此方面存在制度空白。我国作为公共视频监控技术运用的大国,亟需合理规制监控系统的部署活动,平衡公共安全与个人隐私之间的紧张关系。其一,明确禁止监控场所的范围。公共视频监控的禁止部署区域,不仅要包括私人场所,还要包括与私人场所毗邻的区域,例如住宅窗口、门口、楼道等,以及主要承担私人生活功能的公共场所,例如公园休息区、健身区等。其二,通过民主程序评估部署公共视频监控的必要性。在部署监控系统之前,由公权力部门、监控规划区域内居民共同制定监控实施方案,广泛听取各方关于隐私影响、架设地点、监控方式和信息用途等方面的意见与建议,充分保障公民知情权,同时还可以起到提示居民的作用,让他们在监控区域内审慎对待自己隐私权,尽可能地衣着得体、行为规范,以防个人隐私受到电子眼的窥探。 公共视频监控系统中存储的图像、声音仍然属于数据、信息的范畴。根据欧盟GDPR和我国个人信息保护法的有关规定,数据、信息处理活动包括收集、存储、处理、使用和传输等环节,信息处理活动的首要前提是保护个人信息的安全。公共视频监控信息处理活动应当遵循以下法律规则,以保障公民隐私安全。 其一,在监控信息收集与存储阶段,不得收集和长时间存储公民的隐私性信息。目前,公共视频监控系统已具备了行为识别、人脸识别和信息分析等功能,可以自动识别出监控领域中的个人隐私。监控信息收集活动应当遵循最小化原则,只收集与公共安全利益有关的信息,收集环节应尽可能地屏蔽和过滤个人隐私。监控者即使收集了个人隐私,也应当及时删除,以防止出现隐私泄露事件。在监控信息存储方面,欧盟数据保护委员会认为,公共视频监控信息的存储时间24小时就已足够,因为当事人一般在当天就会注意到安全风险,存储时间越长,越容易引发个人隐私泄露实践;我国监控信息的存储时间一般为30至90天,明显存在时限过长的问题,需要进行合理压缩。 其二,在公共视频监控信息的使用与处理阶段,应当遵循个人隐私性信息隐匿化处理原则。“可识别性”特征是个人信息使用价值的基础,往往又是安全风险的来源。公共视频监控信息的隐匿化处理,可以消除个人隐私的“可识别性”,例如用数字符号代替个人信息,利用成像模糊、图像打码、图像分割和图像噪声等技术使监控信息“去识别化”。个人隐私一旦失去了“可识别性”特征,意味着他人无法通过技术手段追踪到具体的隐私主体,进而无法获取和确定隐私主体人身、财产等隐私性信息。此时,再使用处理过的监控信息,既可以实现监控信息的公共价值,又在很大程度上避免了个人隐私的泄露。 其三,在公共视频监控信息的传输阶段,禁止非法披露个人隐私性信息。欧盟《视频监控处理个人数据指南》认为,公共视频监控信息传输活动应当遵循“相称性”原则,即合目的性原则。公共视频监控信息的传输具有很强的目的性。例如,公安机关为了办案需求将监控到的罪犯的隐私性信息向检察机关、审判机关传输,例如家庭住址、前科劣迹、强奸案具体细节等,一般不会传输与案件无关的个人隐私,或者将个人隐私传输至与案件无关的机关。又如,摄像头记录到了某未成年人损坏停在门口的汽车,车主为了救济合法利益向律师、法官出示的未成年的监控画面不得用于侮辱、惩罚未成年人等目的向社会广泛传播。总之,在非合法目的情形下,监控者不得非法披露监控图像,不仅是因为监控信息关联公共利益,还是维护监控对象个人隐私的必然要求。 科技进步和经济发展带来了法律制度的变迁,“过去买不起的制度现在买得起了”。公共视频监控的大规模使用,提升了警察执法能力和规模的同时,还降低了他们的执法成本。当公共视频监控作为执法工具时理应遵循比例原则,在确保公共利益的前提下,执法者应当选择与执法目的相匹配的监控方式,慎重考虑以下几个问题:是否需要实施监控行为,是否需要使用配置人脸识别、位置跟踪功能的监控设备以及是否有必要提升监控规模等。针对这些问题:美国“宪法项目”小组提出的方案是,在同等经济成本的条件下,政府可以通过增加警察数量的方式来替代公共视频监控设施,仍然可以起到预防犯罪的作用,而且不会对公民的隐私带来威胁;欧盟“第29条小组”认为,一般情况下,警务监控系统不应配置人脸识别、位置跟踪等技术,普通的监控设备足以应对社会管理需求;意大利数据保护局要求交通管理部门调整交通执法监控视角,在车辆超速检测过程中,只可以拍摄车牌号,而不能对准车辆内部。以上做法,都很好地限制了警务监控的使用与扩张。 2004年以来,围绕着警务监控的使用与建设,我国先后开展了科技强警示范城市建设、城市报警与监控系统建设、“3111工程”、农村技防建设、“天网工程”、“雪亮工程”、“市域社会治理现代化”建设等工作。从技术角度来看,我国警务监控系统经历了模拟视频监控系统、数字网络视频监控系统和智能化高清视频监控系统。尤其是智能化监控系统的运用,推动了预测性警务的兴起,“意味着警察执法正在经历从因果关系走向相关性,从合理怀疑走向概率怀疑,从针对性监控走向大规模监控,从事后回应走向主动威慑的转变”,实现了“警力跟着警情走,领导跟着警力走”的预测效果。例如,杭州“城市大脑·交通”指挥系统利用智能监控技术巡检交通事件,监测到的警情占所有警情的95%以上,即时处置率达到85%以上,交通执法工作实现了从被动接警到主动处置的闭环管理。但同时我们也要看到,预测性警务是建立在对社会全面监控之上,潜伏着公民隐私性信息被大规模监控、泄露的风险。因此,我国警务监控系统的运用有必要遵循比例原则:其一,在一般执法场景中,合理限制高清监控设备、智能监控设备的使用,因为监控设备只是记录案情的工具,没有必要大规模收集公民的个人信息,尤其是隐私性信息。其二,警务监控在使用过程中应当规范监控角度、监控位置和监控方式,以防收集与案件事实无关的信息。例如,交通执法过程中,监控设备只能获取车辆、车主等基本信息,不能“无死角”地实施监控活动。其三,在一些私人活动比较密集的公共区域,例如,公园休息区、聊天长廊等,以加强巡逻的方式来替代监控系统的密集部署,这样做既可以节省政府行政资源,又能够防止警务监控权的扩张,从而缓解监控对公民隐私的侵蚀程度。 公民在公共视频监控场景中对自身隐私抱有合理期待,既是公民隐私权保护的理论依据,又是司法机关救济公民隐私权的裁判依据。那么,司法机关在审理监控侵权案时,应当如何认定公民的隐私合理期待呢?“卡茨案”的判决书确定了两项认定标准:第一项是公民对自身隐私具有主观期待;第二项是公民的这种主观期待是合理的,得到社会公众的普遍认可与尊重。然而,“卡茨案”判决书提供的标准明显是模糊不清的,体现在法官应如何确定社会公众的想法?以及社会公众的想法一定是合理的吗?这些都是难以证明的问题。美国学者欧林·科尔(Orin Kerr)通过梳理“卡茨案”后50多年内的类似判例发现,美国联邦最高法院在评估隐私合理期待时主要采取了四种模式:(1)可能性模式,即一个理性人所能预见的、其隐私遭受披露的可能性大小。在监控侵权案中,期待隐私保护的公民须是一个理性的公民,其保护隐私的主张和诉求应当具有一定的合理性或合法性,不得以监控系统收集了自身一般信息而主张侵害隐私权。(2)隐私事实模式。根据法律规定和一般的社会认知,监控系统所侵害的信息本身具有隐私属性或者隐私保护价值。例如,监控系统分别捕捉到了一位身着西装的男士正在道路正常行进,一位穿裙子的女士驻足十字路口时被风吹起裙子而暴露了底裤。显然,男子的监控信息不具有隐私保护价值,女子的监控信息具有重要的隐私保护价值。(3)实在法模式。如果政府执法人员的监控行为违反了法律程序,则意味着侵害了他人的合理隐私期待。例如,在“加利福尼亚州政府诉森瑞罗案”(California V. Ciraolo)中,政府执法者在缺乏正当程序的条件下,利用无人机监控获得了他人种植毒品的证据,该证据在庭审中遭到部分法官的排除。(4)法律目的模式。如果对政府执法人员的监控行为不加以规制的话,会给公民隐私带来严重侵扰,那么法院应当认定监控行为侵害了他人的隐私合理期待。相反,如果限制政法执法人员的监控行为,反而不利于公共利益的保护,那么该监控行为未实质侵害他人的隐私合理期待。 实践中,美国联邦最高法院更加倾向于第二种模式来衡量公民隐私合理期待,因为它直接触及了隐私保护的实质,当然其他模式也是重要的裁判依据。“卡茨案”背后的隐私合理期待分析方法,“已经为两大法系国家的法官所采用,也应当为我国的法官所采用”。我国司法机关在分析公民隐私合理期待时,不应盲目借鉴和照搬美国法院的经验,需要在结合我国现有的法律规定和公共安全利益的前提下探讨政府监控行为的合理性、合法性。在审理公共视频监控侵权案过程中,我国司法机关应当做到:其一,以被监控行为侵害的信息属性和公民生活状态来判断公民隐私期待的合理性,如果该信息和生活状态符合我国民法典第1032条、第1033条,以及其他法律关于隐私权规定的,应当认定监控行为侵害了公民隐私合理期待。其二,有条件地认可政府存在程序瑕疵的监控行为的法律效力。在国家安全、公共安全面临紧迫危险的情形下,即使政府的监控行为侵害了公民的隐私合理期待,也不能因此而否定监控行为的法律效力。例如,警察为了抓捕恐怖分子、制止暴乱活动,在未经批准的情形下,对他人住宅实施监控行为,监控图像通常可以成为制裁违法行为人的依据;而在一般执法活动中,政府执法人员监控公民隐私的活动必须严格遵守程序正当原则,否则该监控行为侵害了公民的隐私合理期待。
基于公共视频监控的大规模运用过程中存在的隐私风险,国际社会正掀起一股反监控浪潮,例如德国“海盗党”以反监控作为其选举口号、美国“黑人的命也是命”(Black Lives Matter)运动中的反监控呼吁、加拿大多伦多地区“Sidewalk Labs计划”的破产等。那么,我国应当如何应对社会中的反监控浪潮呢?其一,政府和学界没有必要“谈监控色变”,应当积极肯定公共视频监控系统在社会生活中的运用价值;其二,我们要正视监控的大规模运用所带来的一系列法律风险,例如公民隐私权受到监控侵害,监控系统沦落为“罚款工具”等;其三,亟需制定统一的公共视频监控法律文件,以指导各级地方政府、各个部门依法依规部署、使用监控系统;其四,推动公共视频监控透明化建设,合理保障我国民法典、个人信息保护法等法律规定的公民在监控场景中的各项权利。
