李軍
美國社會對政府試圖提升監(jiān)控能力、擴大對公民的監(jiān)控范圍一直抱有高度的警惕。
2018年6月22日,美國最高法院在Timothy Carpenter訴美國政府案中裁決,執(zhí)法機構(gòu)必須獲取搜查令(warrant)之后才能收集作為證據(jù)的手機位置信息。這是美國最高法院第一次就手機位置信息的獲取做出的裁決。
案件發(fā)生在2011年。警方拘捕了涉嫌搶劫移動運營商商店系列案的四個嫌疑犯。其中一個人招供說,在過去的四個月中,這個團(tuán)伙搶劫了位于密歇根州和俄亥俄州的九家商店。招供者還提供了15個參與人和他們的手機號碼。
在這些號碼中包括了案件原告Timothy Carpenter的兩個號碼。聯(lián)邦法官向這兩個號碼所屬的移動運營商MetroPCS和Sprint發(fā)出指令,要求其提供號碼的通話記錄。
在與移動運營商合作過程中,聯(lián)邦調(diào)查局(FBI)除了獲得這兩個號碼所有的語音通話記錄,還獲得了該手機號127天內(nèi)的12898條基站側(cè)位置信息,平均每天超過100條基站側(cè)位置信息。通過這些基站側(cè)位置信息,F(xiàn)BI證明了在多個搶劫案發(fā)生前后,手機在案發(fā)現(xiàn)場附近出現(xiàn)。Timothy Carpenter被指控六項搶劫罪和五項攜帶武器罪成立,并最終被判處監(jiān)禁100年。
案件審理過程中,Timothy Carpenter反訴政府并未合法取得基站側(cè)位置信息的搜查令。Timothy Carpenter及其代理人認(rèn)為基站側(cè)位置信息包含了使用者的物理位置信息,理應(yīng)視為個人隱私的一部分。
按照美國憲法第四修正案的要求,政府機構(gòu)必須取得搜查令后才能搜查并獲取個人隱私信息,而聯(lián)邦調(diào)查局獲取基站側(cè)位置信息的行為違反了憲法第四修正案的要求。
基站側(cè)位置信息算不算個人隱私呢?需要先從基站側(cè)位置信息的產(chǎn)生方式說起。
手機在接入移動通信網(wǎng)絡(luò)時,會持續(xù)和通信基站進(jìn)行數(shù)據(jù)交換,并在基站系統(tǒng)內(nèi)生成帶有時間標(biāo)簽的數(shù)據(jù)記錄,我們稱為基站側(cè)位置信息,簡寫為CSLI(Cell-Site Location Information)。所有CSLI的信息都在通信基站生成并最終上傳到移動運營商的IT系統(tǒng)中。只要是正常接入移動通信網(wǎng)絡(luò)的手機,就會源源不斷地產(chǎn)生CSLI信息,并被移動運營商記錄。通過獲取特定手機的CSLI信息,就可以連續(xù)標(biāo)定出手機的位置和移動軌跡。
不同于手機內(nèi)部的位置信息,基站側(cè)位置信息雖然包含個人位置信息,但其并不存放于個人設(shè)備中,而是存在于移動運營商的網(wǎng)絡(luò)和IT系統(tǒng)中。因為此,當(dāng)時審理此案的第六巡回法庭法官認(rèn)為,基站側(cè)位置信息屬于第三方(指移動運營商)生成并維護(hù)的信息,不屬于個人隱私的一部分,也就不在憲法第四修正案的保護(hù)范圍內(nèi)。最終第六巡回法庭駁回了Timothy Carpenter的反訴請求。
Timothy Carpenter及其代理人又把案件上訴到美國最高法院,于是就有了2018年6月22日的終審判決,終審判決推翻了此前第六巡回法庭的結(jié)論。
最高法院九位大法官就此案的最終投票結(jié)果為5∶4,這說明就算是在最高法院內(nèi)部,意見分歧也相當(dāng)大。為了充分說明推翻第六巡回法庭判決的理由,在宣判當(dāng)天最高法院發(fā)表了長達(dá)119頁的判決說明,其中包含了首席大法官John Roberts的支持理由,以及提出反對意見的大法官反對意見陳述。
最高法院持支持態(tài)度的法官認(rèn)為,公民的物理位置信息和移動信息毫無疑問屬于個人隱私。而在一般公眾的認(rèn)知中,自己的位置信息通常處于自己掌控的范圍內(nèi),并不了解基站側(cè)位置信息(CSLI)的存在。允許政府訪問基站側(cè)位置信息——就相當(dāng)于“掌握了眾多美國公民的生活隱私”。如果政府可以不受限制地獲取手機相關(guān)的移動通信數(shù)據(jù),等于獲取了一個近乎理想的監(jiān)控工具,可以此回溯和跟蹤個人的行動軌跡。
最高法院認(rèn)為,手機相關(guān)的基站側(cè)位置信息并不是通常意義上的共享數(shù)據(jù)。
首先,攜帶手機并不意味著使用者愿意共享基站相關(guān)的位置信息給第三者;其次,手機登錄到基站網(wǎng)絡(luò)并產(chǎn)生位置信息并不是手機用戶主動發(fā)起的,而是移動通信自身的運營機制產(chǎn)生的。
最高法院在陳述中指出,四分之三的智能手機用戶在絕大多數(shù)情況下都會與手機保持5英尺以內(nèi)的距離。甚至有12%的用戶承認(rèn),他們洗澡時也會把手機放在觸手可及的地方。在移動互聯(lián)網(wǎng)深入滲透到現(xiàn)代社會的今天,手機已經(jīng)成為了類似“人體的一部分”。
在這樣的情況下,政府機構(gòu)如果能夠不做任何限制地跟蹤手機的位置信息,那它就獲得了近乎完美的監(jiān)控能力。
換句話說,不管手機用戶是否具有犯罪傾向或者犯罪證據(jù),他們都主動地戴上了一個“電子監(jiān)控腳環(huán)”。政府可以不受限制地隨時調(diào)閱查看任何手機用戶過往的行動軌跡,就如同監(jiān)獄看管犯人一樣。
在最高法院首席大法官John Roberts的陳述意見中意味深長地寫到:全美國有3.96億手機號碼,但只有3.26億居民。言下之意,基于手機的監(jiān)控能力是覆蓋全體美國人民的。
這種面向普通大眾的全面監(jiān)控能力必須被約束,無論是商業(yè)應(yīng)用,還是政府行政管理行為。沒有這個基本共識的話,在立法和司法層面談?wù)搨€人隱私保護(hù)就是非常蒼白的。
在這里我想指出的是,傳統(tǒng)的隱私保護(hù)通常是面對一個確定的范圍。無論是家里,還是個人攜帶的筆記本乃至3G時代前的手機,隱私信息以前通常物理地存放在個人擁有的物品上。
美國的司法實踐中對于個人隱私邊界的認(rèn)定一直是隨著技術(shù)的發(fā)展而不斷變化的。
2011年,法院判定警察在使用GPS追蹤設(shè)備獲取嫌犯位置移動信息時,必須獲取搜查令。2014年,法院禁止警察在沒有搜查令的情況下搜查被拘捕人手機內(nèi)的信息。在本案中,最高法院進(jìn)一步擴大了個人隱私信息的范圍,把生成并存放在第三方的位置信息也納入了憲法第四修正案的保護(hù)范疇。
正是對于個人隱私內(nèi)涵的擴充與對憲法第四修正案的重新解釋,美國最高法院把CSLI這樣物理上和個人無關(guān),但實質(zhì)上包含個人位置信息的數(shù)據(jù)納入到隱私保護(hù)的范疇——這是對個人隱私保護(hù)的一個重大進(jìn)步。
同樣的情況也出現(xiàn)在歐洲。今年5月,歐盟的通用數(shù)據(jù)保護(hù)規(guī)則(GDPR)正式生效。其中非常重要的內(nèi)容之一就是對跨境個人隱私數(shù)據(jù)的保護(hù)。
GDPR認(rèn)定,歐盟居民的個人隱私數(shù)據(jù)保護(hù)不受其存放物理位置的限制,只要是侵犯歐盟居民個人隱私的行為,哪怕是發(fā)生在亞洲、美洲或其他非歐盟區(qū)域內(nèi),也受到GDPR管轄。所以,從北美到歐洲,發(fā)達(dá)國家對于個人隱私認(rèn)定和保護(hù)的范圍日益與其物理位置脫離,而更加關(guān)注于信息本身的實質(zhì)和用戶群體的認(rèn)知。這也是與全球化和互聯(lián)網(wǎng)無邊界的原則相一致的。
從約束政府權(quán)力的角度來看,美國社會對政府試圖提升監(jiān)控能力、擴大對公民的監(jiān)控范圍一直抱有高度的警惕。
由于斯諾登等內(nèi)部人士曝光各種政府主導(dǎo)的監(jiān)控系統(tǒng),如棱鏡系統(tǒng),讓社會對政府的監(jiān)控能力有了清晰的了解;另一方面,因為政府在執(zhí)法過程中不斷向互聯(lián)網(wǎng)公司施加壓力,希望通過技術(shù)手段更便利地獲取信息,從而讓大眾有了更加直觀的感受。
從2015年微軟拒絕美國法庭針對海外郵箱用戶的搜查令并最終勝訴,再到蘋果拒絕向FBI提供蘋果手機的通用解鎖軟件,眾多案例都說明了政府部門對擴大隱私信息獲取能力的渴望。
更進(jìn)一步來說,由于人工智能等高科技技術(shù)的飛速發(fā)展,基于大數(shù)據(jù)的分析可以支持政府進(jìn)行以前無法想象的廣泛監(jiān)控和自動識別。所以美國社會對哪怕是基于公共區(qū)域的大數(shù)據(jù)自動監(jiān)控都抱有強烈的警惕和擔(dān)憂,擔(dān)心其在缺乏約束的情況下被政府機構(gòu)所濫用。
而且,Timothy Carpenter案件是否可以推及互聯(lián)網(wǎng)領(lǐng)域的個人隱私保護(hù)呢?目前看來比較困難。
案件中認(rèn)定數(shù)據(jù)不屬于用戶與第三方共享的關(guān)鍵因素在于CSLI是系統(tǒng)自動生成的。
所以在最高法院的判決說明中指出,由第三方控制和擁有的商業(yè)記錄,哪怕其中包含了敏感的個人信息,也不在憲法第四修正案的適用范圍內(nèi),并明確舉例說,這樣的商業(yè)記錄包含銀行記錄、電話記錄和信用卡賬單等。
對于個人隱私的保護(hù)水平是現(xiàn)代社會進(jìn)步文明的標(biāo)尺之一。這個標(biāo)尺水平的提高不是從天上掉下來的,也不是某個機構(gòu)的施舍,而是社會整體對個人隱私保護(hù)逐步認(rèn)識并付諸實踐的結(jié)果,美國同樣也在摸索中。
美國最高法院的這份聲明同樣寫道,本案的應(yīng)用范圍應(yīng)該非常謹(jǐn)慎。這也是“摸著石頭過河”,逐步明確隱私保護(hù)邊界的必要過程。
但不管怎么說,美國最高法院在制約政府權(quán)力獲取個人隱私信息的邊界上釘下了第一個樁。盡管這個樁還很孤立,并不牢靠,但世界總是因此而更加美好了一些。
(作者為科技與互聯(lián)網(wǎng)資深分析師,編輯:謝麗容)