作者为科技与互联网资深分析师
2018年6月22日,美国最高法院在Timothy Carpenter诉美国政府案中裁决,执法机构必须获取搜查令(warrant)之后才能收集作为证据的手机位置信息。这是美国最高法院第一次就手机位置信息的获取做出的裁决。
案件发生在2011年。警方拘捕了涉嫌抢劫移动运营商商店系列案的四个嫌疑犯。其中一个人招供说,在过去的四个月中,这个团伙抢劫了位于密歇根州和俄亥俄州的九家商店。招供者还提供了15个参与人和他们的手机号码。
在这些号码中包括了案件原告Timothy Carpenter的两个号码。联邦法官向这两个号码所属的移动运营商MetroPCS和Sprint发出指令,要求其提供号码的通话记录。
在与移动运营商合作过程中,联邦调查局(FBI)除了获得这两个号码所有的语音通话记录,还获得了该手机号127天内的12898条基站侧位置信息,平均每天超过100条基站侧位置信息。通过这些基站侧位置信息,FBI证明了在多个抢劫案发生前后,手机在案发现场附近出现。Timothy Carpenter被指控六项抢劫罪和五项携带武器罪成立,并最终被判处监禁100年。
案件审理过程中,Timothy Carpenter反诉政府并未合法取得基站侧位置信息的搜查令。Timothy Carpenter及其代理人认为基站侧位置信息包含了使用者的物理位置信息,理应视为个人隐私的一部分。
按照美国宪法第四修正案的要求,政府机构必须取得搜查令后才能搜查并获取个人隐私信息,而联邦调查局获取基站侧位置信息的行为违反了宪法第四修正案的要求。
政府应该获得无缝监控能力吗?
基站侧位置信息算不算个人隐私呢?需要先从基站侧位置信息的产生方式说起。
手机在接入移动通信网络时,会持续和通信基站进行数据交换,并在基站系统内生成带有时间标签的数据记录,我们称为基站侧位置信息,简写为CSLI(Cell-Site Location Information)。所有CSLI的信息都在通信基站生成并最终上传到移动运营商的IT系统中。只要是正常接入移动通信网络的手机,就会源源不断地产生CSLI信息,并被移动运营商记录。通过获取特定手机的CSLI信息,就可以连续标定出手机的位置和移动轨迹。
不同于手机内部的位置信息,基站侧位置信息虽然包含个人位置信息,但其并不存放于个人设备中,而是存在于移动运营商的网络和IT系统中。因为此,当时审理此案的第六巡回法庭法官认为,基站侧位置信息属于第三方(指移动运营商)生成并维护的信息,不属于个人隐私的一部分,也就不在宪法第四修正案的保护范围内。最终第六巡回法庭驳回了Timothy Carpenter的反诉请求。
Timothy Carpenter及其代理人又把案件上诉到美国最高法院,于是就有了2018年6月22日的终审判决,终审判决推翻了此前第六巡回法庭的结论。
最高法院九位大法官就此案的最终投票结果为5∶4,这说明就算是在最高法院内部,意见分歧也相当大。为了充分说明推翻第六巡回法庭判决的理由,在宣判当天最高法院发表了长达119页的判决说明,其中包含了首席大法官John Roberts的支持理由,以及提出反对意见的大法官反对意见陈述。
最高法院持支持态度的法官认为,公民的物理位置信息和移动信息毫无疑问属于个人隐私。而在一般公众的认知中,自己的位置信息通常处于自己掌控的范围内,并不了解基站侧位置信息(CSLI)的存在。允许政府访问基站侧位置信息——就相当于“掌握了众多美国公民的生活隐私”。如果政府可以不受限制地获取手机相关的移动通信数据,等于获取了一个近乎理想的监控工具,可以此回溯和跟踪个人的行动轨迹。
最高法院认为,手机相关的基站侧位置信息并不是通常意义上的共享数据。
首先,携带手机并不意味着使用者愿意共享基站相关的位置信息给第三者;其次,手机登录到基站网络并产生位置信息并不是手机用户主动发起的,而是移动通信自身的运营机制产生的。
最高法院在陈述中指出,四分之三的智能手机用户在绝大多数情况下都会与手机保持5英尺以内的距离。甚至有12%的用户承认,他们洗澡时也会把手机放在触手可及的地方。在移动互联网深入渗透到现代社会的今天,手机已经成为了类似“人体的一部分”。
在这样的情况下,政府机构如果能够不做任何限制地跟踪手机的位置信息,那它就获得了近乎完美的监控能力。
换句话说,不管手机用户是否具有犯罪倾向或者犯罪证据,他们都主动地戴上了一个“电子监控脚环”。政府可以不受限制地随时调阅查看任何手机用户过往的行动轨迹,就如同监狱看管犯人一样。
个人隐私边界应该随技术发展而扩大
在最高法院首席大法官John Roberts的陈述意见中意味深长地写到:全美国有3.96亿手机号码,但只有3.26亿居民。言下之意,基于手机的监控能力是覆盖全体美国人民的。
这种面向普通大众的全面监控能力必须被约束,无论是商业应用,还是政府行政管理行为。没有这个基本共识的话,在立法和司法层面谈论个人隐私保护就是非常苍白的。
在这里我想指出的是,传统的隐私保护通常是面对一个确定的范围。无论是家里,还是个人携带的笔记本乃至3G时代前的手机,隐私信息以前通常物理地存放在个人拥有的物品上。
美国的司法实践中对于个人隐私边界的认定一直是随着技术的发展而不断变化的。
2011年,法院判定警察在使用GPS追踪设备获取嫌犯位置移动信息时,必须获取搜查令。2014年,法院禁止警察在没有搜查令的情况下搜查被拘捕人手机内的信息。在本案中,最高法院进一步扩大了个人隐私信息的范围,把生成并存放在第三方的位置信息也纳入了宪法第四修正案的保护范畴。
正是对于个人隐私内涵的扩充与对宪法第四修正案的重新解释,美国最高法院把CSLI这样物理上和个人无关,但实质上包含个人位置信息的数据纳入到隐私保护的范畴——这是对个人隐私保护的一个重大进步。
同样的情况也出现在欧洲。今年5月,欧盟的通用数据保护规则(GDPR)正式生效。其中非常重要的内容之一就是对跨境个人隐私数据的保护。
GDPR认定,欧盟居民的个人隐私数据保护不受其存放物理位置的限制,只要是侵犯欧盟居民个人隐私的行为,哪怕是发生在亚洲、美洲或其他非欧盟区域内,也受到GDPR管辖。所以,从北美到欧洲,发达国家对于个人隐私认定和保护的范围日益与其物理位置脱离,而更加关注于信息本身的实质和用户群体的认知。这也是与全球化和互联网无边界的原则相一致的。
从约束政府权力的角度来看,美国社会对政府试图提升监控能力、扩大对公民的监控范围一直抱有高度的警惕。
由于斯诺登等内部人士曝光各种政府主导的监控系统,如棱镜系统,让社会对政府的监控能力有了清晰的了解;另一方面,因为政府在执法过程中不断向互联网公司施加压力,希望通过技术手段更便利地获取信息,从而让大众有了更加直观的感受。
从2015年微软拒绝美国法庭针对海外邮箱用户的搜查令并最终胜诉,再到苹果拒绝向FBI提供苹果手机的通用解锁软件,众多案例都说明了政府部门对扩大隐私信息获取能力的渴望。
更进一步来说,由于人工智能等高科技技术的飞速发展,基于大数据的分析可以支持政府进行以前无法想象的广泛监控和自动识别。所以美国社会对哪怕是基于公共区域的大数据自动监控都抱有强烈的警惕和担忧,担心其在缺乏约束的情况下被政府机构所滥用。
而且,Timothy Carpenter案件是否可以推及互联网领域的个人隐私保护呢?目前看来比较困难。
案件中认定数据不属于用户与第三方共享的关键因素在于CSLI是系统自动生成的。
所以在最高法院的判决说明中指出,由第三方控制和拥有的商业记录,哪怕其中包含了敏感的个人信息,也不在宪法第四修正案的适用范围内,并明确举例说,这样的商业记录包含银行记录、电话记录和信用卡账单等。
对于个人隐私的保护水平是现代社会进步文明的标尺之一。这个标尺水平的提高不是从天上掉下来的,也不是某个机构的施舍,而是社会整体对个人隐私保护逐步认识并付诸实践的结果,美国同样也在摸索中。
美国最高法院的这份声明同样写道,本案的应用范围应该非常谨慎。这也是“摸着石头过河”,逐步明确隐私保护边界的必要过程。
但不管怎么说,美国最高法院在制约政府权力获取个人隐私信息的边界上钉下了第一个桩。尽管这个桩还很孤立,并不牢靠,但世界总是因此而更加美好了一些。
(作者为科技与互联网资深分析师,编辑:谢丽容)