从数字起搏器到人体芯片,体内世界的隐私权如何保护?
2021-09-24
来源:网络安全应急技术国家工程实验室
用人体外的数字洞悉人的内在,一直是隐私保护争论的焦点,但相比之下,面对另一项更为基础且正在发生的革新——体内世界的隐私保护争论似乎要微弱许多。
当器官传递信息、当组织发送信号、当DNA用于存储…体内世界的逐渐信息化,需要隐私权和个人信息保护的回应。此时,隐私权如何安排,关系到身体和生命的完整和自主。
按技术成熟程度和现实应用多寡的顺序,体内世界信息化的各类革新大概分为这样几类:第一类是植入体内的医学诊疗或人体增强设备。这类设备相对常见,也已经引起法律冲突(比如说,心脏起搏器上的信息能否用于刑事案件侦察,就是刚刚结束的案例);第二类是近年来渐渐商业化、可以植入体内的微芯片;第三类是仍处实验室阶段,但未来应用空间广阔的生物存储。
2017年的起搏器案件,情节直截了当。
起因是嫌疑人的房屋被火灾烧毁。面对警方针对纵火与骗保的刑事调查,他声称:火灾发生时,他迅速搬开屋内重物,然后跳窗求生。警方征得法院批准后,成功调取嫌疑人体内起搏器存储的、火灾当时的心率数据,发现和嫌疑人的叙述并不一致。嫌疑人随即上诉,希望排除基于起搏器数据的证据,但还没来得及等到判决,他便去世了。
这个案件的意义之一在于:体内诊疗设备上的信息,可能因公共利益,用在医疗以外的目的。
起搏器、智能心脏支架、智能给药系统等收集、处理个人信息的体内诊疗设备,又是用途上更宽泛的人体增强设备的子集。人体增强不仅寻求治愈,还追求超越极限。例如,外骨骼助力负载重物;先进肢体,能够让残障人士达到参加国际田径赛事的水准;由Willett等学者制成、新近发表于《自然》的脑机接口,则能够将个体脑内对字母的想象,较为迅速地转换成在现实中输入字母。面对人体增强日趋实用的现实,IEEE工作组已经着手起草相关的隐私与安全标准。
植入体内的微芯片,也已踏上商业化进程、并启动有限范围的试验。
BioHax公司创始人曾在2018年公开宣称:仅在瑞典,即有约4000人已植入微芯片,国外也有同等量级的试用者。通过读取芯片,可以准确识别、验证或追踪个体。目前,这一技术已经或即将投入实践的应用场景包括:乘客登车时,读取芯片来验证身份;公司出于安全防护的内部识别和验证;超市识别顾客等。
微芯片带来和起搏器相似的隐私难题是:有关这些芯片上的信息,即使植入时的目的相当明确,后续出现类似公共利益的考量时,这些信息依然可能为个体带来意想不到的麻烦。再进一步说,在物联网设备随处可见的当下,这些信息有没有可能匹配、融合,微芯片有没有可能和其它设备组网、联动,都不再是“科幻”式的追问,而是如果想做、技术即可实现的选项。
克莱姆森大学教授Jordan Frith在系统研究微芯片的基础上总结道:
“在物(人)联网的道路上,我们正在岔道口。”
生物存储距离实用最远,对现有隐私与信息保护制度的冲击,却有可能最为剧烈。这里的生物存储,至少涵盖两类已经在实验室中实现的技术——第一类是陶虎等学者新近实现的、以蚕丝等材料制成的硬盘。简而言之,储存信息的设备,有望安全植入人体。第二类是研究历程更久的DNA存储:在成功实现DNA分子上的特定信息的存取后,至少在理论上,人体具备了相当可观的信息存储潜力。
为何说此处冲击,可能最为剧烈?尽管学术研究经常提及“赛博格”,也经常提及“数字孪生”,但实际以制度安排个体的权利时,涉及身体的部分和涉及信息世界的部分,通常还是有清晰的区隔。
结果就是,对于个体而言,发现体内信息设备可以被外界以意想不到的方式使用,并不是多么愉快的事;对社会而言,希望建立信息时代的法律秩序、对各类型信息流动都“有法可依”的期待,也要在人体表面暂时止步。
体内世界的信息该受多少保护,需要一个答案。
01、体内世界的隐私权
体内世界是否属于隐私权和个人信息保护的范围?如果是,保护的范围和程度在哪里、有多少,对这些问题的讨论还是需要以法律为出发点。法律予以严格保护的隐私:除非法律另有规定,或个体明确同意,不能侵害隐私权。有关何为隐私,《民法典》的定义是:“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”
于是,接下来的问题便是,私密空间、私密活动和私密信息,在体内世界信息化时代分别要如何解释。
体内是否属于私密空间?很难说“不”。
一般来说,我们抗拒他人侵入体内,我们也期待体内属于私密空间。这也是为什么侵入体内的肛拭子检测会成为一个颇具争议的话题。从更宏观的角度看,19世纪前,对隐私权的理解,更多是“家即城堡”;20世纪来,从“子宫也是个体的城堡”出发,体内空间的隐私,是性和生育的自主的重要依据。此外,除非法律另有规定,隐私的边界,取决于个体的明确同意;身体自主,又是近代以来“同意”概念发展的基石之一。
当然,实践当中,这里可能面临非常微妙的、有关何者位于“私密空间”内部的问题。起搏器、芯片和蚕丝硬盘本身,当然位于物理意义上的体内空间;不过,其中收集、处理、对外提供的信息,是不是也位于体内空间,则存在不同的看法。
尤其是当相应体内设备对外联网时,认为这部分信息实际处于没有明确物理边界的网络空间/信息空间,也有其合理性。
于是,我们还需要考虑私密信息。而判断是否私密信息,至少有三种思路——
首先,《民法典》第一千零三十三条明确:“身体的私密部位”属于隐私。不过,由于与“私密部分”搭配的词语是“拍摄、窥视”,体表以下的空间能不能归入私密部位,存在疑难。
其次,由信息的类别判断。根据清华大学法学院程啸教授对各个人信息类别的排比分析,“……个人的健康信息、犯罪记录、财产状况、性取向等当然属于私密信息”,还有一些“则存在争议”。体内设备收集信息的范围很广,无法简单通过类别判断。
最后,还有基于场景的判断,这很大程度上意味着具体情况、具体分析,难以事前作出结论。
面对起搏器或微芯片等现实案例,在司法实践刚刚展开、共识依然有待形成的阶段,这样的两步思路较为现实:首先,还是从“当然属于”的、没有争议的类别出发,如果体内设备收集、处理的信息可以在这一步判断,问题解决;其次,如果在第一步无法得到判断,很可能进入需要综合平衡多方面因素的场景分析,此时,信息取自体内可以作为权重很高的、倾向认定为私密信息的考虑因素。
虽然在直观角度上体内信息设备与“私密活动”的关联不大,但在三种情况下,二者将发生交集。
第一,个人可能会将在体内植入设备本身,视为一种私密的活动。判断这一点,需要看具体是什么设备。
第二,体内设备所收集的信息,直接反映了私密活动。这里的经典案例是:结合健身手环记录的心率和时间信息,可以清晰反映性生活的模式。
第三,通过对体内设备收集信息的进一步分析,足以揭示私密活动。譬如,行动轨迹可能暴露个体健康状况、宗教信仰和性取向。
02、体内世界的个人信息保护
即使体内设备收集、处理的信息不属于隐私,这些信息很可能还是要遵从针对个人信息保护的规定。问题的起点依然是“何者属于个人信息”。按《民法典》定义:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息……”
由此可以看出,“能够识别”是最关键的标准。
在具体实践中,如何判断个人信息的范围,又可以再分为两步——
首先看关联,如果信息已经和个人建立了关联,比如说,在数据表格里位于同一行,这些就应当属于个人信息。体内信息设备收集、处理的信息,很多在这一步就足以判断。尤其是各类“智慧”的体内设备:个性化常常就蕴涵了关联这一层意思。
其次看识别,对体内设备而言,这一步反而不那么容易。譬如,仅仅看心率或者轨迹,不借助其它信息,通常很难识别到特定的自然人。当然,如果有其他一般人容易获得的信息,再结合起来以后可以识别,那么,同样可以判断为个人信息。
值得指出的是,《个人信息保护法(二审稿)》对“敏感个人信息”赋予了程度更高的保护。敏感信息指:
“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”。
判断私密信息的“两步思路”在这里也适用:先看是否属于法律明确列举的类别,再判断是否会带来歧视或严重危害。体内设备收集、处理的信息,特别是诊疗或人体增强类设备的相应信息,很可能会满足“严重危害”的要求,从而属于敏感个人信息。
判断出体内设备收集、处理的信息属于(敏感)个人信息后,便是更“实在”的问题:到底应当保护到什么程度?
基于个体充分知情的同意,是起码的要求。在植入体内设备这个场景里,除了通常的,对收集什么信息、如何处理、会不会对外提供、存储多久等事项的告知外,对于技术还没有完全成熟、稳健的设备,比如说微芯片,又或者说生物硬盘,就信息安全风险的充分告知,至少同样重要。
和隐私不同,获取同意,不是收集、处理个人信息唯一的“通行证”。如果个体已经自行公开信息,如果处理信息为订立合同所必要,又或者出于公共利益等考量,同样可以处理个人信息。
这里就又回到了起搏器案件提出的问题:界限在哪里?
如果将自行公开视为一种默示的同意,那么对于剩下两个“口子”,无论是“为合同所必要”,还是“公共利益考量”,都蕴含着对关联强度的要求:相应个人信息与订立合同或公共利益间的联系,得足够紧密。如果属于敏感信息,强度需要达到“充分的必要性”。对体内信息设备而言,在硬件层面即保持“克制”,让设备只可能用于充分必要的功能,将是非常有效、值得信赖的合规进路。
此外,从数据/信息治理的角度看,身体与信息世界二者制度间的分离,将在未来成为一项“缺口”。
宏观层面,作为个人信息保护与数据治理中核心权衡的“三方平衡”,也就是国家、企业与个体间利益的平衡,在体内世界依然存在。
微观层面,例如,尽管对跨境传输的治理设想,已经涵盖了网络模型的每一层;这些设想,却未必能涵盖以身体携带大量信息出入境的可能性。
虽然如此,假使出于弥补缺口的原因,隐私保护和数据治理制度因此向体内世界伸展,这本身就又会成为一项难解的隐私问题。
结语
就体内世界的(充分)信息化,已有历史悠久的诸多设想。当这一天终于崭露头角,一直在努力前瞻的制度,依然会暴露许多未及充分考量的侧面。
在扼要总结已然或接近实用的三类相关技术的基础上,由隐私权和个人信息保护两项制度出发,力图以稍作“抻扯”的方式,尽量描述当有的保护的范围和程度。这并不代表只有这些保护,比如有关身体权的规定,即与此处有所交集;这也不代表制度达致极限,对许多无法事前结论的部分,技术标准可以发挥作用。
最后,还有些许值得补充:虽然文章只谈了制度,如果缺乏从两个侧面出发的、对技术的考量,文章很难称得上完整。
一方面,网络安全防护,可以称得上是前提:没有这一点,无论是制度对个体的维护,还是制度对潜在为恶者的吓阻,都显得相当苍白。当然,足够的安全防护水平,本身也是制度规定的一部分。
另一方面,体内信息设备,可以至为私密,至为敏感,亦至为重要,从这一点出发,对相关信息的收集、传输和处理,理应总是考虑当前水平下最好的匿名化技术。