李軍

美國社會對政府試圖提升監(jiān)控能力、擴大對公民的監(jiān)控范圍一直抱有高度的警惕。

2018年6月22日，美國最高法院在Timothy Carpenter訴美國政府案中裁決，執(zhí)法機構(gòu)必須獲取搜查令（warrant）之后才能收集作為證據(jù)的手機位置信息。這是美國最高法院第一次就手機位置信息的獲取做出的裁決。

案件發(fā)生在2011年。警方拘捕了涉嫌搶劫移動運營商商店系列案的四個嫌疑犯。其中一個人招供說，在過去的四個月中，這個團(tuán)伙搶劫了位于密歇根州和俄亥俄州的九家商店。招供者還提供了15個參與人和他們的手機號碼。

在這些號碼中包括了案件原告Timothy Carpenter的兩個號碼。聯(lián)邦法官向這兩個號碼所屬的移動運營商MetroPCS和Sprint發(fā)出指令，要求其提供號碼的通話記錄。

在與移動運營商合作過程中，聯(lián)邦調(diào)查局（FBI）除了獲得這兩個號碼所有的語音通話記錄，還獲得了該手機號127天內(nèi)的12898條基站側(cè)位置信息，平均每天超過100條基站側(cè)位置信息。通過這些基站側(cè)位置信息，F(xiàn)BI證明了在多個搶劫案發(fā)生前后，手機在案發(fā)現(xiàn)場附近出現(xiàn)。Timothy Carpenter被指控六項搶劫罪和五項攜帶武器罪成立，并最終被判處監(jiān)禁100年。

案件審理過程中，Timothy Carpenter反訴政府并未合法取得基站側(cè)位置信息的搜查令。Timothy Carpenter及其代理人認(rèn)為基站側(cè)位置信息包含了使用者的物理位置信息，理應(yīng)視為個人隱私的一部分。

按照美國憲法第四修正案的要求，政府機構(gòu)必須取得搜查令后才能搜查并獲取個人隱私信息，而聯(lián)邦調(diào)查局獲取基站側(cè)位置信息的行為違反了憲法第四修正案的要求。

政府應(yīng)該獲得無縫監(jiān)控能力嗎？

基站側(cè)位置信息算不算個人隱私呢？需要先從基站側(cè)位置信息的產(chǎn)生方式說起。

手機在接入移動通信網(wǎng)絡(luò)時，會持續(xù)和通信基站進(jìn)行數(shù)據(jù)交換，并在基站系統(tǒng)內(nèi)生成帶有時間標(biāo)簽的數(shù)據(jù)記錄，我們稱為基站側(cè)位置信息，簡寫為CSLI（Cell-Site Location Information）。所有CSLI的信息都在通信基站生成并最終上傳到移動運營商的IT系統(tǒng)中。只要是正常接入移動通信網(wǎng)絡(luò)的手機，就會源源不斷地產(chǎn)生CSLI信息，并被移動運營商記錄。通過獲取特定手機的CSLI信息，就可以連續(xù)標(biāo)定出手機的位置和移動軌跡。

不同于手機內(nèi)部的位置信息，基站側(cè)位置信息雖然包含個人位置信息，但其并不存放于個人設(shè)備中，而是存在于移動運營商的網(wǎng)絡(luò)和IT系統(tǒng)中。因為此，當(dāng)時審理此案的第六巡回法庭法官認(rèn)為，基站側(cè)位置信息屬于第三方（指移動運營商）生成并維護(hù)的信息，不屬于個人隱私的一部分，也就不在憲法第四修正案的保護(hù)范圍內(nèi)。最終第六巡回法庭駁回了Timothy Carpenter的反訴請求。

Timothy Carpenter及其代理人又把案件上訴到美國最高法院，于是就有了2018年6月22日的終審判決，終審判決推翻了此前第六巡回法庭的結(jié)論。

最高法院九位大法官就此案的最終投票結(jié)果為5∶4，這說明就算是在最高法院內(nèi)部，意見分歧也相當(dāng)大。為了充分說明推翻第六巡回法庭判決的理由，在宣判當(dāng)天最高法院發(fā)表了長達(dá)119頁的判決說明，其中包含了首席大法官John Roberts的支持理由，以及提出反對意見的大法官反對意見陳述。

最高法院持支持態(tài)度的法官認(rèn)為，公民的物理位置信息和移動信息毫無疑問屬于個人隱私。而在一般公眾的認(rèn)知中，自己的位置信息通常處于自己掌控的范圍內(nèi)，并不了解基站側(cè)位置信息（CSLI）的存在。允許政府訪問基站側(cè)位置信息——就相當(dāng)于“掌握了眾多美國公民的生活隱私”。如果政府可以不受限制地獲取手機相關(guān)的移動通信數(shù)據(jù)，等于獲取了一個近乎理想的監(jiān)控工具，可以此回溯和跟蹤個人的行動軌跡。

最高法院認(rèn)為，手機相關(guān)的基站側(cè)位置信息并不是通常意義上的共享數(shù)據(jù)。

首先，攜帶手機并不意味著使用者愿意共享基站相關(guān)的位置信息給第三者；其次，手機登錄到基站網(wǎng)絡(luò)并產(chǎn)生位置信息并不是手機用戶主動發(fā)起的，而是移動通信自身的運營機制產(chǎn)生的。

最高法院在陳述中指出，四分之三的智能手機用戶在絕大多數(shù)情況下都會與手機保持5英尺以內(nèi)的距離。甚至有12%的用戶承認(rèn)，他們洗澡時也會把手機放在觸手可及的地方。在移動互聯(lián)網(wǎng)深入滲透到現(xiàn)代社會的今天，手機已經(jīng)成為了類似“人體的一部分”。

在這樣的情況下，政府機構(gòu)如果能夠不做任何限制地跟蹤手機的位置信息，那它就獲得了近乎完美的監(jiān)控能力。

換句話說，不管手機用戶是否具有犯罪傾向或者犯罪證據(jù)，他們都主動地戴上了一個“電子監(jiān)控腳環(huán)”。政府可以不受限制地隨時調(diào)閱查看任何手機用戶過往的行動軌跡，就如同監(jiān)獄看管犯人一樣。

個人隱私邊界應(yīng)該隨技術(shù)發(fā)展而擴大

在最高法院首席大法官John Roberts的陳述意見中意味深長地寫到：全美國有3.96億手機號碼，但只有3.26億居民。言下之意，基于手機的監(jiān)控能力是覆蓋全體美國人民的。

這種面向普通大眾的全面監(jiān)控能力必須被約束，無論是商業(yè)應(yīng)用，還是政府行政管理行為。沒有這個基本共識的話，在立法和司法層面談?wù)搨€人隱私保護(hù)就是非常蒼白的。

在這里我想指出的是，傳統(tǒng)的隱私保護(hù)通常是面對一個確定的范圍。無論是家里，還是個人攜帶的筆記本乃至3G時代前的手機，隱私信息以前通常物理地存放在個人擁有的物品上。

美國的司法實踐中對于個人隱私邊界的認(rèn)定一直是隨著技術(shù)的發(fā)展而不斷變化的。

2011年，法院判定警察在使用GPS追蹤設(shè)備獲取嫌犯位置移動信息時，必須獲取搜查令。2014年，法院禁止警察在沒有搜查令的情況下搜查被拘捕人手機內(nèi)的信息。在本案中，最高法院進(jìn)一步擴大了個人隱私信息的范圍，把生成并存放在第三方的位置信息也納入了憲法第四修正案的保護(hù)范疇。

正是對于個人隱私內(nèi)涵的擴充與對憲法第四修正案的重新解釋，美國最高法院把CSLI這樣物理上和個人無關(guān)，但實質(zhì)上包含個人位置信息的數(shù)據(jù)納入到隱私保護(hù)的范疇——這是對個人隱私保護(hù)的一個重大進(jìn)步。

同樣的情況也出現(xiàn)在歐洲。今年5月，歐盟的通用數(shù)據(jù)保護(hù)規(guī)則（GDPR）正式生效。其中非常重要的內(nèi)容之一就是對跨境個人隱私數(shù)據(jù)的保護(hù)。

GDPR認(rèn)定，歐盟居民的個人隱私數(shù)據(jù)保護(hù)不受其存放物理位置的限制，只要是侵犯歐盟居民個人隱私的行為，哪怕是發(fā)生在亞洲、美洲或其他非歐盟區(qū)域內(nèi)，也受到GDPR管轄。所以，從北美到歐洲，發(fā)達(dá)國家對于個人隱私認(rèn)定和保護(hù)的范圍日益與其物理位置脫離，而更加關(guān)注于信息本身的實質(zhì)和用戶群體的認(rèn)知。這也是與全球化和互聯(lián)網(wǎng)無邊界的原則相一致的。

從約束政府權(quán)力的角度來看，美國社會對政府試圖提升監(jiān)控能力、擴大對公民的監(jiān)控范圍一直抱有高度的警惕。

由于斯諾登等內(nèi)部人士曝光各種政府主導(dǎo)的監(jiān)控系統(tǒng)，如棱鏡系統(tǒng)，讓社會對政府的監(jiān)控能力有了清晰的了解；另一方面，因為政府在執(zhí)法過程中不斷向互聯(lián)網(wǎng)公司施加壓力，希望通過技術(shù)手段更便利地獲取信息，從而讓大眾有了更加直觀的感受。

從2015年微軟拒絕美國法庭針對海外郵箱用戶的搜查令并最終勝訴，再到蘋果拒絕向FBI提供蘋果手機的通用解鎖軟件，眾多案例都說明了政府部門對擴大隱私信息獲取能力的渴望。

更進(jìn)一步來說，由于人工智能等高科技技術(shù)的飛速發(fā)展，基于大數(shù)據(jù)的分析可以支持政府進(jìn)行以前無法想象的廣泛監(jiān)控和自動識別。所以美國社會對哪怕是基于公共區(qū)域的大數(shù)據(jù)自動監(jiān)控都抱有強烈的警惕和擔(dān)憂，擔(dān)心其在缺乏約束的情況下被政府機構(gòu)所濫用。

而且，Timothy Carpenter案件是否可以推及互聯(lián)網(wǎng)領(lǐng)域的個人隱私保護(hù)呢？目前看來比較困難。

案件中認(rèn)定數(shù)據(jù)不屬于用戶與第三方共享的關(guān)鍵因素在于CSLI是系統(tǒng)自動生成的。

所以在最高法院的判決說明中指出，由第三方控制和擁有的商業(yè)記錄，哪怕其中包含了敏感的個人信息，也不在憲法第四修正案的適用范圍內(nèi)，并明確舉例說，這樣的商業(yè)記錄包含銀行記錄、電話記錄和信用卡賬單等。

對于個人隱私的保護(hù)水平是現(xiàn)代社會進(jìn)步文明的標(biāo)尺之一。這個標(biāo)尺水平的提高不是從天上掉下來的，也不是某個機構(gòu)的施舍，而是社會整體對個人隱私保護(hù)逐步認(rèn)識并付諸實踐的結(jié)果，美國同樣也在摸索中。

美國最高法院的這份聲明同樣寫道，本案的應(yīng)用范圍應(yīng)該非常謹(jǐn)慎。這也是“摸著石頭過河”，逐步明確隱私保護(hù)邊界的必要過程。

但不管怎么說，美國最高法院在制約政府權(quán)力獲取個人隱私信息的邊界上釘下了第一個樁。盡管這個樁還很孤立，并不牢靠，但世界總是因此而更加美好了一些。

（作者為科技與互聯(lián)網(wǎng)資深分析師，編輯：謝麗容）