（图片来源：全景网）

互联网时代，接踵体验新技术的欢欣而来的，还有隐私被侵犯的深深无力感。60万旅客及410万联系人信息，约2亿份个人简历，以及约3.83亿酒店住客信息……这是2018年底一个月内发生的隐私泄漏事件的一部分。根据Gemalto的统计，2013年以来，世界范围内泄漏的数据条数已经超过134亿。面对技术，个人是无力的，而法律监管仍不充足。以经过深思熟虑的保护框架弥补以上空白，必要性随时间推移愈发凸显。

隐私正在被侵蚀，这一点几无争议。然而，“千里之堤”溃于何处？对这一问题，回答便没有那么肯定了，防范以上危险趋势有其重要意义，反对这一点的声音也是少数。具体的界限划在何处，才能平衡历史积累与新形式要求，才能折中“守护隐私”与培植技术？最后，即使解决前一问题的方案有许多，即使其中每一方案单独看来都相当美好，如何以最为有效的方式整合这些方案，仍是“煞费思量”的苦差事。

哈佛大学出版社2018年发行的隐私领域知名学者WoodrowHartzog的新著《隐私保护的蓝图》（PrivacyBlueprint），对以上问题给出了自成体系的回答。从“设计”这一角度，作者细致阐述了我们为何在新技术之前变得脆弱；自“守拙”出发，作者全面勾勒了我们需要守护的三类价值；以当地“消费者权益保护”的实践历史为基础，作者为隐私保护划出了一条切实可行的边界；最后，基于以上要点，作者搭起了一整套“软硬兼施”“刚柔并济”的框架。

本文将扼要介绍作者WoodrowHartzog的创见，并辅以我个人的简评。第一节将详述为何“受伤”的总是用户，“设计”中蕴含的“助推”之力的强大程度可能逾越了大多数人的想象及经验；第二节将细述如何为企业的行为划出合理的界限，美国传统的法律注重保护消费者免受“欺骗”、“滥权”或“危险”之设计的损害，如此经验可为当下的保护问题提供借鉴；第三节将列析可能的监管框架的三个层次；最后是结语及展望。

遍布“陷阱”的新世界

相比现实，虚拟世界的一些差异十分重要却又颇为微妙，以至于有一点常常为人所忽视：虚拟世界中，我们能做什么，以及我们不能做什么，相关的决定权都在于架构的设计者。再进一步，无论是曾经更易行业观念的苹果操作系统，还是这两年引来各方赞叹的《塞尔达传说:荒野之息》，二者都以互动自然流畅而闻名，无论是“老妪能解”的“向右划动，解开锁屏”，还是无需指引、凭借生活经验即可上手的游戏流程，都是相应产品的“核心竞争力”。

然而，“自然”的互动并不意味着如此设计的构思也是“自然而然”。恰恰相反，此类设计的背后，通常蕴含着架构者对用户心理的巧妙把握，以及对细节部分的“千锤百炼”。用户因蕴含匠心的设计得飨前所未有的体验，如果设计者存有其他心思，高超的设计与“无障碍”的互动之下，蕴含的风险也不可小觑。从这个角度看，在新世界中，用户变得前所未有的脆弱，他们依他人引导形成预期，循他人设计行事将弱点充分暴露于人。

《隐私保护的蓝图》援引的案例切中肯綮。某“阅后即焚”聊天软件以“安全、私密”为卖点，称图片将在发出一定时间段后“自毁”，不留痕迹。软件开发者同时在细节部分狠下工夫，大量使用“小锁”等图标，以突出软件保护隐私的特性。然而，这不是事实，软件并不安全，大量的第三方插件可以在图片“焚毁”之前将其截取、保存。不知情这一点、因而使用这一软件发送敏感资料的青年人，不少陷入尴尬、困窘境地，有的甚至因此被勒索。

类似的问题广泛存在。企业，尤其是以“安全、私密”为卖点的企业想方设法影响用户的预期，让用户相信软件应用很安全、很可靠。做到这一点的办法很多，除明面上的宣传外，各种与实际安全性能无关的设计亦能胜任。比如，Waldman在2018年发表的总结文章中，指出有关隐私协议的以下结果：通过在字体、字号、留白、对比等方面“巧下功夫”，企业能够让用户信任一份装帧精美、却又裹藏着许多侵犯隐私的条目。

在有意无意的操纵及潜移默化的影响下，用户的预期与实际发生了偏离，如果用户依赖此类并不准确的预期而行动，他们将因此在隐私方面做出错误的决定，比如轻信不该轻信的人和企业。当用户变得空前脆弱而不自知，与隐私相关的几项颇为重要的价值也将因此受损：一曰信任，他们或许不会再将自己的脆弱一面托付企业；二曰“守拙”，以低效的方式守护秘密，此路从此不通；三曰自主，失去隐私，个体亦将部分失去对生活的掌控。

第一点及第三点都易于理解，过往的隐私学者对此也已有许多阐释。以信任为例，有研究发现，在信件中加入少量个人信息可以让营销更精准、体贴，提高点击率，可如果个人信息相当精准，反而会引起用户的惊惧与反感，降低企业的经济效益。第三点的内涵相当广泛，但也不难理解，时刻处于“众目睽睽”下，因而承受外界蜚语及压力的人，少有机会去发出独特的思考，也难有机会去试错、走不同的路，他会因此很难做自己。

什么是“守拙”呢？据《隐私保护的蓝图》作者的看法，保护隐私的路径很多，不过纷繁的手法都可归结为一点，即在以下四个环节中的任何一道上设置障碍、降低效率：一是可搜索性，要保护的隐私，是否很容易被别有用心者搜索到？二是可访问性，搜到以后，对方能否看到？三是可识别性，看到之后，居心叵测者能否将这一信息对应到个人？最后一点是信息本身的清晰程度，即使信息能搜到、看到并定位于个人，如果信息相当晦涩，隐私亦可能“存活”。

以上四种障碍，在日常生活中都颇为常见。以“可搜索性”为例，在搜索引擎诞生之前的年代，这可能是深挖个人隐私的最大障碍之一。直到今天，通过加入“不允许搜索引擎抓取用户页面”这一设计，社交媒体仍可为此设置障碍。“可访问性”最常见的例子，便是随处可见的密码。常见的“混淆身份”的反社工手段，针对的便是识别这一步。至于最后一点，青少年间常用的暗语及奇妙缩写，常常让好奇心大动的父母感叹“跟不上时代”。

然而，在设计面前，这些曾经运行良好的屏障，可能并不能发挥用户期许的作用。比如，“彩云易散琉璃脆”，曾是保护蕴于话语中的隐私的最重要力量之一，毕竟话说出口便消散掉了。然而，在2017年发表的、对“始终在线”的“万物互联”世界的研究中，Bohm等四位学者叙述了以下例子，父亲希望医生对孩子含糊其辞，隐瞒自己患癌的事实。然而，随身设备录下的谈话可能出卖他们。从原始记录到关键词，再从关键词到针对特定地址的癌症治疗广告，收到“不请自来”的癌症治疗广告的孩子，或许会隐约察觉以上令人不快的秘密。

当以上屏障因互联网浪潮而削弱，甚至崩解，个体保存秘密的能力也因此逐渐失落。当个体被迫在不合时宜的地点，以难以预知的方式，与态度各异的群体“分享”秘密时，相比可能有的微弱惊喜，相伴而来的更多是羞赧、尴尬、瘆懔、惴栗，以及深刻的伤害。这一点同样将损害另外两方面价值：不能妥善守护私密的人或企业不再值得信赖；对秘密的失控以及秘密的四散流布，也将危及个人自主这一更加根本的价值。

年代在变，现行的隐私法律也应当对变化作出反映。《隐私保护的蓝图》的比喻颇为精彩。过去在为侵犯隐私的现象打比方时，大家所用的形象更多是一个房间一扇门，一扇门上一锁孔，锁孔里还有一只窥探的眼睛，今天再沿用这一比喻已经不切实际了。新技术及善使这些技术的人不止于从锁孔往里窥探，他们可能“不请自来”，以“万物互联”的口号“随风潜入夜”，或者干脆把房屋的墙整堵推倒，一道道地打碎“守拙”的壁垒。

故纸堆里觅真章

如何为新的法律绘画蓝图？前面提到，用户的预期与实际发生偏差，是隐私保护举步蹒跚的现实原因之一。在不少情况中，此类认知失误源于企业的有意操纵，或乐见其成。设计，正是企业达成此类目的的主要手段之一，甚至可能是最重要的手段。如果能划出一条明确的界限，说明企业在设计时应当遵循何种原则，并惩罚“越界”的设计，用户的认知失误或将因此减轻，前面提到的信任、守拙及自主三类价值将得到更充分的保护。

针对现行设计规制的不足，关于如何保护隐私的新蓝图应与现行规制保持协调。回顾主流，颁布半个世纪有余，涵盖“保障数据质量、列明使用目的、保持开放安全、保障个体参与”等多项原则的“公平信息实践（通常简称FIP）”，几成世界各地隐私立法的蓝本。其中强调的“控制”、“同意”等内容，亦堪称为企业施行数据合规工作的核心。在“各领风骚又几年”的技术井喷年代，以上原则从未过时。

然而，以前述各原则为基础的保护方案也有明显缺点。许多时候，企业的合规与用户实际享受到的保护似乎正在“日渐疏离”，企业对数据收集、用途及去向的告知愈发细密，用户对此却愈发摆出“冷漠脸”，不愿花费哪怕一点点时间去了解自己的权益。《隐私保护的蓝图》对这种现象的总结更为尖锐，连用以下三个形容词：老生常谈，案牍劳形，以至了无意义。当旧有的原则再难打动用户，认知的失误因而难以纾解，因此改进自然难以达到。

应对现有规制的“虚弱”，新的蓝图应遵循什么设计原则？《隐私保护的蓝图》建议，指向在美国历史更加悠久的、一系列保护消费者权益的法律。为何这一点足以契合当下的需求？因为这门的法律的核心本就是保障那些“因不够全知全能而脆弱，进而受厂商剥削”的人，以及保障那些“因投入金钱、时间及精力而难以从一段商业关系中抽身”的人。当企业以设计误导用户预期，当局因此可以介入，当企业对用户的脆弱冷漠以待，介入亦有根据。

具体而言，以下三类设计，既是原有的保护消费者权益的法律所划的“红线”，也是《隐私保护的蓝图》为规制当下设计所划定的界限：一曰欺骗，二曰滥权，三曰危险。以欺骗为例，如果企业借助设计向用户传达“我很安全”的讯号，而相应的软件应用实际上并不安全，企业应当为此承担责任。在隐私协议中承诺将保障用户的数据安全，实际却没能做到，是实例之一，反复以小锁等图标强调账户受保护，实际却并非如此，也是应用的一例。

滥权及危险也是实际设计中常用的问题。滥权与欺骗有所重叠，但前者强调企业以各种手段干扰用户充分认知，或不合理地利用用户在认知方面的局限，后者强调虚假的承诺。将隐私协议做得很长很难读，在保护隐私的相关选项上“不合时宜”地采取双重否定等表述、以始终存在的小红点诱导用户选用交出更多数据的服务，等等，都是滥权的例子。最后，当设计以令人意想不到的幅度削弱用户“守拙”的可能、使其隐私置于难以预料的危险当中时，如此设计便属于危险的设计。

设计具备以上负面特点，并不意味着监管者一定要禁止此类设计，或因此类设计而处罚企业。针对消费者权益保护的法律，在“风险”与“收益”的彼此权衡上积累了丰厚的经验，如此丰厚的宝藏自然可以引入新问题的分析。对一项特定的设计，这一设计为用户带来了多大风险？用户因此获得多大收益？砍掉设计，企业方面的成本收益如何变动？现行方案外，是否存在益处大致相当、风险方面却更加令人放心的设计？这些都是权衡时值得纳入考量的因素。历史，可以为多因素的权衡提供经验。

“软硬兼施”的新蓝图

以上仅是《隐私保护的蓝图》较小的一部分。作者清晰地认识到，面对隐私保护这一内涵如此复杂、牵涉如此广泛的问题，仅仅更易一部法律、倚靠一类机构，远远不足够。一方面，机构本身未必靠得住，如Hoofnagel的著作中描绘的“波折历史”，有时权力不足以解忧，有时权力过大惹人愁，秉公执法时社会称赞交口，对“机构俘获”的担忧也并不罕有。另一方面，企业等掌握关键资源的利益攸关者，同样应当承担重要的责任。

罚禁以外，《隐私保护的蓝图》的作者也提出了两类更为“中庸”，或曰“柔软”的规制，作为相应的补充。

一类仍然带有强制色彩，要求企业为用户提供特定类型的隐私设置，以及要求企业采取隐私友好的开发过程。这两点，在部分地区的现行法律中已有体现，比如欧盟的《一般数据保护条例（常简称GDPR）》，即强调企业需要保障用户携数据转往其他应用的权利。此外对隐私风险较高的部分，前述《条例》也要求企业进行隐私相关的测试。

另一类更加“温柔”的措施，也是作者所绘蓝图的一部分，鼓励并引导行业设立统一的标准。这一点同样与隐私保护领域发展的现状相契合，国际标准化组织（常简称ISO）等标准编撰机构均在着手书写隐私相关的行业标准，并已产生部分成果。相比监管机构，企业对前沿动向的“嗅觉”更灵敏，在知识等方面的储备亦更加合用，同时降低合规成本、培育用户信任等因素，均可为企业或行业自主推进隐私领域合规提供一定激励。

本文仅仅是关于《隐私保护的蓝图》的一幅“简笔画”，结合领域发展的现状，原书中还包括许多更为细致的分析。比如，教育亦是其中不可或缺的一部分，监管者既要教育企业、教育常人，更要教育自己；针对社交媒体、加密/解密技术及“万物互联”等隐私问题尤其突出的领域，原书还进一步描绘了以上图纸的细节。篇幅所限，我无法带领读者尽览胜景，要特别指出的是原书绝无意于凝滞互联网或技术的进步，或否认其发展，恰恰相反，作者充分知晓技术的威力。正是因为这一点，他才会设计一幅“分层缓冲”的、类似“气囊”的机制，在用户受伤害最深最频之处划下红线，除此之外大可取用更为灵活的监管机制，以达成更熨帖于技术与隐私之具体互动的权衡。

结语及展望

近年来，书写隐私的著作多如“如雨后春笋”，能从丰富现实材料出发，以合乎逻辑的方式层累起一座理论大厦的例子并不多见，《隐私保护的蓝图》即是其中之一。于历史遗产与当代疑题间“一桥飞架南北古今”，在学术理论与实践折衷间“得来不费功夫”，这本书确无愧于美国媒体提出的“我们这个时代最重要的隐私著作”这一美誉。

当然，其中仍可讨论之处也有不少。比如，尽管“欺诈性”等标准在当地的法律中可能已有明确定义，将相关法律移用至互联网，“落地”工作仍十分繁重。免费模式常见的年代，仅仅是准确界定“消费者”一词，恐怕就不简单。已有经验固然丰富，但如此积累的代价之一是漫长的时间，以及漫长时间中无休止的纷争。面对一个步履飞快的行业，如此积累共识、培养预期的做法是否仍然行得通？仍有待观察。

此外，实际上，监管机构扮演的角色比《隐私保护的蓝图》描写的还要复杂。对机构与企业间的复杂关系，以及这一点对行业生态和社会福利的复杂影响，Zingales的《以政治经济学理论理解企业》一文有颇为深刻的批评。如果Zingales对“彼此勾连”的担忧逐渐成为事实，《隐私保护的蓝图》作者的美好设想也将因此蒙上阴影。未有明确定义的概念，或许不会得到明确，分层安排、各自有序的规制蓝图，或许也将因各复杂因素的扰动，而留下许多“死角”。

最后，这既是一本描绘广阔范围内互联网现状及趋势的著作，也是一本高度“本地化”的著作，书中的大部分推演通用于互联网世界，然而，其中最核心的解决措施，细节几乎全立足于本地。我在之前撰写的书评中也提到过，不同文化对隐私的理解及偏好有差异，隐私的现状及规制隐私的思路亦不尽相同。划下一条线，籍此为用户清出一块安全区，此类较为抽象的思路，借鉴的现实性相对较大，往更具体的层面去，“橘生淮北”的概率也在相应上升。

（作者系对外经济贸易大学数字经济与法律创新研究中心研究员）