相比欧盟GDPR基于人权对于个人数据的保护,美国隐私保护出发点略有不同。美国数据隐私法的权威学者丹尼尔·索洛夫(Daniel Solove)指出隐私并不存在一个核心或本质特征,保护隐私实际上是保护具体场景中的某些个人权益不受侵害。本文简要介绍丹尼尔·索洛夫隐私分类理论的各种隐私侵害场景,通过了解隐私侵害的场景,来更好地理解个人数据保护原则的来由,即我们为什么要遵循那些原则,例如最小化原则,目的限制原则。

Information Collection

1. 监视(Surveillance):观察、窃听或记录个人的活动

被监视,即便是只是潜在的监视也会改变人们的行为。积极的一面是:赌场里的摄像头阻止了想要作弊的人;便利店的摄像头阻止了盗窃和抢劫;记录客服对话可以约束双方的言词。但监视也能消极地改变人们的行为。个人可能会自我审查,感觉不能坦率地表达自己的想法或感受。那些持少数观点的人将保持沉默,从而剥夺了更大群体的替代性观点。监视也可以用来扭曲现实。被监视的个人或实施监视的人可能会利用这个机会操纵被观察到的东西,以实现他们自己的利益。

是否存在构成对个人的监视,必须从整体情况、具体场景来判断。例如,个人是否期望被监视?监视是否有利于被监视的个人?是有利于整个社会,还是只利于有进行监控的组织?回答这些问题有时会很困难。如果不存在争议的话,是否构成监视取决于个人的观点和利益。

以下一些可能构成监视的例子:

  • 追踪网页上的鼠标移动。

  • 商店里的摄像头。

  • 记录用户在一个移动应用程序中的活动。

  • 追踪健身应用用户的GPS位置。

2. 审讯(Interrogation) :讯问或探询个人信息

任何问题如果与提问时的场景不一致,都有可能侵犯隐私。例如,当双方没有既往人际关系,没有信任的基础,实际上是不熟悉或者陌生人的时候,一方向另一方提出私人或侵犯性问题。即当问题脱离了现有关系的场景,并打破了该关系的社会规范:例如,非亲密朋友询问一个人的财务状况,雇主询问雇员的私人生活情况。

另外,当双方之间存在不对称的权力关系时,也会发生审讯,一方可能无法拒绝回答,或者可能觉得拒绝回答可能会以某种方式危害他们,比如失去工作机会。

鉴于双方的关系和探究的信息类型,当问题突破社会规范边界时,就会发生审讯:

  • 询问女性求职者是否怀孕。

  • 催促社交媒体用户完成他们的个人资料。

  • 探询贷款申请人的敏感收入来源,如赡养费或子女抚养费。

Information Processing

1. 聚合(Aggregation):聚合各种不同的个人信息

数据聚合是将不同来源的数据结合在一起,它可以服务于很多有益的目的,例如用于公共安全执法、流行病预判,甚至可以使个人受益。但同时数据聚合也有负面效应,它还可能揭示出个人可能不愿意透露的个人信息或者隐私。例如,通过跟踪个人与一个来源之间的多种互动,显示一段时间购物的习惯。

  • 聚合用户的搜索历史以更好地揭示用户兴趣。

  • 聚集一个购物者的购买历史记录,根据推断的特征(如怀孕)提供有针对性的广告。

  • 汇总病人的看病情况,看他们是否在 "频繁看医生",以获得过量的药物(药物滥用)。

2. 信息不安全(Insecurity):未经授权查看或者数据泄露

信息安全问题是导致隐私风险的重大原因。由于人员疏忽或者不可避免的网络攻击导致数据泄露、数据被篡改,继而给个人带来隐私风险,甚至是人身财产安全问题。

以下示例:

  • 网络开发人员通过改变URL中的客户ID号码,允许网络访问者看到其他客户的记录。

  • 某公司的开发人员不小心将公司的电子凭证上传到GitHub上

3. 识别(Identification):将某个信息与特定的个人联系起来

个人在日常网络生活中会留下很多数字足迹。其中许多看起来像是匿名数据,看起来跟任何人都无关,但如果把这些数据拼凑起来,并与外部信息联系起来,就可以识别个人身份。通过识别单个人,即使是没有名字的人,人们可以将他们与其他数据库进行匹配,进行更多的侵权行为(如干扰他们的决定),并以实际的方式伤害他们。不法之徒不需要知道一个富有的人的名字就可以抢劫他们,只需要知道(1)他们是有钱人;(2)他们的地址;以及(3)他们什么时候出来玩。

  • 利用计算机设备的指纹和一个人的注册,将这个人与其他不需要注册的网站或应用程序联系起来。

  • 将两个数据库中的时间戳联系起来,一个是已经 “匿名 "的,另一个是不重新识别个人的。

4. 二次使用(Secondary Use):将个人信息用于收集信息以外的目的

一般人们与另一个人或一个组织分享个人信息的都是出于某种目的的,期望接收者会以某种方式使用这些信息。其中许多目的都是非常具体的,而且各方之间对于适当和不适当的使用并没有太多的协商。有些可能有法律上的限制,但这些通常反映了现有的社会规范,并被编入法典以界定行为规范。在不存在规范的地方,组织之间可以在合同服务条款中反映他们的预期数据用途。

以下示例:

  • 一家公司在你订购一个产品后,发送有关其所有产品的垃圾邮件。

  • WhatsApp与Facebook分享你的姓名和电话号码,以便商家向你做广告。

  • 脸书使用为双因素认证提供的电话号码,向用户发送垃圾邮件以使用其平台。

5. 排除(Exclusion):在个人不知情的情况下使用个人的数据,而且他们不能参与其处理或使用

很多人的网上购物行为被用在计算信用分数,从而决定他们的贷款额度,但他们却不知情。个人在多大程度上可以有权参与决定,本文认为一方面取决于社会文化背景,一方面取决于个人的意识。

其他一些超出一般社会规范的排除,例如:

  • 在电话上排队等待与 "下一个空闲的接线员 "通话。一些公司建立了他们认为是 "问题来电者 "的客户数据库。这些客户被踢到队列的后面,直到没有其他客户在等待。也许他们真的是骚扰电话,或者,他们实际上有一个持续未解决的账单或技术问题。但该公司对这一决策过程缺乏透明度,这就造成了排他性违规。

  • 根据账户持有人的信息关闭账户,但不给他们质疑或讨论其解释的机会。

  • 为乘车服务的乘客提供评级系统,但乘客不知道该评级的存在,以及如何影响司机对待他们的态度。

Information Dissemination

1. 破坏秘密性(Breach of Confidentiality):违背对个人信息保密的承诺

  • 某医院在未支付账单的诉讼中披露病人的艾滋病情况。

  • 医生擅自公布病人信息,可能会改变他们的境遇(受歧视)或他们在法庭上的可信度(例如病人有精神障碍)。

  • 银行在没有经过法律规定的程序(法院命令、传票等)的情况下,将客户的财务信息透露给执法部门。

  • 你要求提供你的医疗健康记录,却收到同名的人的医疗记录。

2. 披露(Disclosure):故意披露一个人的真实信息,影响其安全或他人对其性格的判断

披露和安全问题尽管有微妙的不同,但是相关的。在这里,安全问题是指由于处理信息时的疏忽而导致的隐私侵扰,其中的疏忽在于没有意识到与他人分享会对个人造成的影响;而披露则是故意的披露,这可能会影响某人的切身利益,比如被跟踪、被谋杀,也可能导致经济损失,比如小偷被告知某人不在家后,入室行窃。披露信息还可能影响社会对个人的看法,例如披露某人的性取向、健康状况或收入。

例如:

  • 报纸披露一个人的私人性取向。

  • 犯罪分子购买家庭虐待受害者或跟踪者受害者的信息/地址。

  • 犯罪证人的身份被披露。

3. 暴露(Exposure):暴露个人的裸体、悲痛或身体机能

暴露某人的裸体、悲痛或身体机能会使他们受到评判。每个人都有遭受悲伤的时刻,失去亲人或其他创伤性事件是人们生活中相当常见的事件。身体功能对我们来说也并不奇怪或独特。然而,对许多人来说,这些都是强烈的个人和私人活动,不希望暴露在更多人面前。当违背我们的意愿时,我们就会感到被侵犯。

例如:

  • 发布前女友的私人信息,而他们又不愿意公开这些内容(例如,裸体、视频、短信)。

  • 强迫一个人展示他们的结肠造口袋。

  • 报纸上刊登名人在家中做私事的照片。

  • 一位母亲为学校枪击事件而悲伤的照片。

4. 增加个人信息的可访问性(Increased Accessibility):把每个普通人都放在聚光灯下

当我们在公共场合活动时,大多数人的活动性质是平凡的,与其他每个人没有区别。我们在日常生活中默默无闻地工作,并利用这种优势,在私下里不必掩饰自己,自在自得。这种隐蔽性在公共场合提供了隐私。个人信息的可访问性并不是关于信息的公开性与非公开性,而是关于个人信息获取和发现的便利性,而新技术对隐蔽性的穿透前所未有。例如,高清智能监控设备可以在人群中识别曾经匿名的面孔。

另外,人们不应该成为他们过去行为的囚徒。随着新技术继续连接不同的信息点,越来越多的可访问性将成为一个隐私问题。因为人们很难抹去自己的电子足迹。

例如:

  • 法院记录被放到网上,并且是可搜索的格式。

  • 社交媒体账户在发布的照片中包含GPS元标签信息。

  • 公共场所的网络摄像机在互联网上播放。

5. 敲诈(Blackmail):威胁要披露个人信息

敲诈的主要关注点通常涉及夺取他人敏感信息并威胁予以披露。

例如:

  • 向客户收取费用才删除他们的账户。

  • 记录一个人的非法行为,威胁他们不要继续打官司。

  • 威胁说如果不提供一定数量的钱,就公开某人的秘密性偏好。

  • 要求受害者提供色情照片,以换取不披露现有色情照片。

6. 盗用(Appropriation):利用他人的身份实现自己的目标和利益服务

个人信息被盗用,通常涉及个人名称、形象,盗取人为获取非法利益或者实现其他不利于受害人的目的。

  • 一个人盗用你的身份证申请贷款。

  • 一本杂志利用你的形象来增加他们的销售量。

  • 一个约会网站使用你的形象,把你作为他们的客户之一,而你并不是他们的客户。

  • 整形外科办公室在未经你同意的情况下使用你的前后照片来宣传他们的服务。

7. 扭曲(Distortion):传播有关个人的虚假或误导性信息。

无论是未经允许披露真实信息还是传播虚构、误导性的信息,个人都可能会遭受相同的后果:精神伤害、失去机会、经济损失。隐私原则之一就是数据准确性。它出现在FIP(Fair Information Practices)两个原则中:个人访问和纠正不准确的个人数据的权利以及确保信息完整性的责任。

  • 信用报告中对逾期付款的记述不准确。

  • 在一个可公开访问的网站上有不准确的就业信息。

  • 政治候选人发布有关其对手的虚假信息,以破坏其竞选活动的信誉。

8. 入侵(Invasions):扰乱个人的宁静或独处

美国房地产法通常赋予租户在租期内 "安静地享受 "房产的权利。侵扰也可以以电子形式出现。不请自来的推销电话,在一个人上网时弹出的广告,都会干扰个人的活动。虽然有时依赖个人信息,如使用电子邮件地址发送垃圾邮件,但扰乱个人的宁静或独处不需要使用个人信息,例如敲开某人的门向他们推销东西。

其他例子:

  • 通过电子邮件(垃圾邮件)进行的销售招揽。

  • 一个宗教团体不请自来地敲你的门。

  • 在你上下班的路上被纠缠着要约会。

9. 干涉个人决策(Decisional Interference):限制个人的选择或者通过各种手段干涉个人选择

国家、社会、企业的行为都可能对个人决策产生影响,干涉的边界是模糊的,基于不同社会文化背景,个人自由的边界也不同。

虽然公司大体上有权利招揽他们所希望的顾客,只要不是法律规定的歧视,比如基于性别的歧视,但当他们尝试说服客户购买商品服务时,他们就会有决策干预的风险。例如,当顾客因为权力不平衡而选择有限时,这对个人自由和自主权会产生有害的影响。

决策干涉的另一种形式是劝说和操纵,通过向他们展示这些选择的方式引导他们做出特定的选择。尤其是,引导个人做出可能不利于他们利益的决定,但对引导者有利。诚然,说服不一定都是操纵,或者很难受某种说服是不道德的。这其中有很多灰色地带,但也有一些相当黑白分明的场景。例如利用隐私的黑暗模式来操纵个人放弃信息。大多数黑暗策略涉及对个人的某种形式的操纵,借助信息不对称性和人类认知偏见,促使我们提供更多个人信息,放弃长远利益。

八种黑暗模式(privacy dark patterns)

扰乱隐私 —— 扰乱隐私使用户改变默认隐私设置的过程变得非常复杂,因为对可用设置的介绍很少。

糟糕的默认值 ——系统中的默认选项有时是不利于个人隐私的,因为它们使个人数据的分享变得容易。

强制注册 ——人们被迫注册一个账户以使用某项服务的部分功能,尽管从技术上讲,注册对于使用该服务是不必要的。

隐藏的规定 —— 条款和条件对于没有法律知识的普通终端用户来说往往很难阅读;因此,有可能将恶意规定隐藏在那里,因为它们不太可能被注意到。

难以删除的账户 —— 服务提供商防止删除用户账户或使之复杂化。因此,想要离开某项服务并删除其账户数据的用户被迫保留其账户。

通讯录窃取 —— 服务提供商敦促用户上传他们的联系人,以提供某种服务功能。然后,服务提供商将联系人数据用于最初没有向用户提供的目的。

影子档案 —— 创建非用户的隐藏档案或用户的隐藏档案,并提供用户不知道的补充数据。可以用来连接那些可能有共同的非用户关联的用户,比如两个用户有一个共同的心理学家。

信息榨取 —— 网页要求的信息量超过了提供服务所需。

来源:

https://www.privacysecurityacademy.com/wp-content/uploads/2018/02/Handout-Foundations-and-Themes-Professor-Soloves-Taxonomy-of-Privacy-01.pdf

Strategic Privacy by Design by R. Jason Cronk

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。