物聯(lián)網(wǎng)的善治：從歧視與隱私談起*

張 迪

1 物聯(lián)網(wǎng)的應(yīng)用與挑戰(zhàn)

物聯(lián)網(wǎng)是物理與數(shù)字世界間的橋梁，它允許人和物在任何時間、地點與任何人和物采用任何途徑與網(wǎng)絡(luò)進(jìn)行連接，并可使用任何相關(guān)服務(wù)，因此也被稱為“萬物互聯(lián)”[1]。物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的重要組成部分，其應(yīng)用場景極其廣泛，包括個人生活、醫(yī)療健康、汽車工業(yè)、航空航天業(yè)、電信業(yè)、建筑領(lǐng)域、零售和物流領(lǐng)域、制造業(yè)、農(nóng)業(yè)、娛樂、保險和環(huán)保領(lǐng)域等[2]。如通過智能手表或手環(huán)監(jiān)測個人運(yùn)動量、心跳和睡眠時長，并通過算法推斷個人健康狀況；將智能空調(diào)、洗衣機(jī)、冰箱等智能家電接入互聯(lián)網(wǎng)可讓用戶通過手機(jī)遠(yuǎn)程監(jiān)測設(shè)備狀態(tài)并進(jìn)行遠(yuǎn)程操控；智能血壓、血糖監(jiān)測儀[3]、輸液泵、胰島泵、電子藥片[4-5]和智能藥盒[6]等醫(yī)療健康設(shè)備可監(jiān)測、存儲、分析個體的健康狀況，讓患者和醫(yī)生實時了解患者的健康狀況，并允許設(shè)備自身對治療方案進(jìn)行調(diào)整，甚至還能主動收集有關(guān)臨床試驗受試者的數(shù)據(jù)[5]。

物聯(lián)網(wǎng)正在改變世界并影響人類社會未來的發(fā)展方向[2]，提升人類社會整體的生產(chǎn)效率，這也是世界各國政府重視和推動物聯(lián)網(wǎng)發(fā)展的重要原因。中國政府于2005年首次提出將傳感網(wǎng)作為重點研究領(lǐng)域，2009年提出“感知中國”戰(zhàn)略并強(qiáng)調(diào)物聯(lián)網(wǎng)技術(shù)的重要性。預(yù)計到2025年全球物聯(lián)網(wǎng)設(shè)備將超過250億臺[7]，市場規(guī)模約1.6萬億美元[8]。

物聯(lián)網(wǎng)使現(xiàn)實世界與虛擬世界融合，促進(jìn)社會、經(jīng)濟(jì)發(fā)展，使社會和個人受益，如在醫(yī)療健康領(lǐng)域的應(yīng)用可降低醫(yī)療機(jī)構(gòu)的運(yùn)營成本、提升患者體驗、減少醫(yī)療差錯等。與此同時，物聯(lián)網(wǎng)也給社會帶來了一系列倫理挑戰(zhàn)[9]。第一，物聯(lián)網(wǎng)技術(shù)可能引發(fā)新的歧視。物聯(lián)網(wǎng)突破了物理與數(shù)字世界間的界限，通過物聯(lián)網(wǎng)設(shè)備企業(yè)可以實時獲得大量用戶個人信息，如每日運(yùn)動量、心率、飲食規(guī)律和睡眠狀況等，這些數(shù)據(jù)可以單獨使用，或與用戶的其他數(shù)據(jù)整合，通過算法推出用戶的軀體、心理和精神健康狀況[10-11]。醫(yī)療健康類數(shù)據(jù)的產(chǎn)生不再局限于醫(yī)療機(jī)構(gòu)，越來越多的數(shù)據(jù)來源于用戶的物聯(lián)網(wǎng)設(shè)備，并在醫(yī)療機(jī)構(gòu)之外的地點存儲和分析，而這使得數(shù)據(jù)應(yīng)用的目的和場景被大大拓展。此類數(shù)據(jù)如果被雇主或保險公司獲取，可能會被用于判斷是否雇傭某位應(yīng)聘者或續(xù)約某位員工，或評估個人商業(yè)醫(yī)療保險費率[12]。第二，威脅個人隱私。傳統(tǒng)的健康數(shù)據(jù)僅保存在醫(yī)療機(jī)構(gòu)內(nèi)部，僅有患者個人和醫(yī)務(wù)人員知曉，加之醫(yī)療機(jī)構(gòu)內(nèi)的醫(yī)務(wù)人員受到醫(yī)學(xué)倫理和法律的雙重約束，對個人隱私的保護(hù)較為重視，除診療外僅限于教學(xué)與科研，患者個人信息和健康數(shù)據(jù)可以得到較好保障。然而，物聯(lián)網(wǎng)設(shè)備采集數(shù)據(jù)的場所不局限于醫(yī)療機(jī)構(gòu)，且可采集個人方方面面的數(shù)據(jù)，物聯(lián)網(wǎng)企業(yè)或第三方可通過算法推測出我們是誰[13-14]，我們的健康狀況、行為[15]、習(xí)慣、偏好、性格[16-17]，甚至是我們行為的目的。即使對數(shù)據(jù)進(jìn)行匿名化處理，通過算法也可以將數(shù)據(jù)去匿名化，從而使個人隱私受到前所未有的挑戰(zhàn)。在物聯(lián)網(wǎng)設(shè)備安全性欠佳的情況下，用戶個人信息更易被盜取并販賣，醫(yī)院內(nèi)存儲的醫(yī)療健康信息每例售價在數(shù)百美元，高額回報更是加劇個人隱私受到威脅。與受醫(yī)學(xué)倫理學(xué)和醫(yī)學(xué)專業(yè)精神影響的醫(yī)學(xué)專業(yè)不同，企業(yè)常以經(jīng)濟(jì)利益最大化為首要原則，在缺乏醫(yī)學(xué)專業(yè)精神、醫(yī)學(xué)倫理學(xué)約束和法律規(guī)制的前提下，企業(yè)的行為必將加深社會歧視以及對個人隱私的威脅。第三，對數(shù)據(jù)安全構(gòu)成挑戰(zhàn)。當(dāng)前個人物聯(lián)網(wǎng)的特點使得其易引發(fā)數(shù)據(jù)安全問題[18]，包括體積較小缺乏交互界面[7]、研發(fā)和制造企業(yè)缺乏數(shù)據(jù)安全知識和經(jīng)驗[8,18]、軟件安全更新不及時和缺乏行業(yè)標(biāo)準(zhǔn)與監(jiān)管機(jī)制等。脆弱的物聯(lián)網(wǎng)終端是近些年數(shù)據(jù)安全事件的高發(fā)領(lǐng)域，健康手環(huán)、互聯(lián)網(wǎng)攝像頭的數(shù)據(jù)泄露和盜用屢見不鮮[19-20]，直接威脅到數(shù)據(jù)安全和個人隱私[21-23]，而醫(yī)療健康類物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)安全問題甚至?xí){到患者的生命健康[24-25]，如控制胰島素泵調(diào)高胰島素的注射量進(jìn)而導(dǎo)致死亡。由于篇幅所限，本文試就前兩個問題進(jìn)行探討，拋磚引玉，期待使更多的研究者關(guān)注物聯(lián)網(wǎng)發(fā)展所引發(fā)的倫理學(xué)問題，促進(jìn)相關(guān)問題的研究和物聯(lián)網(wǎng)的善用。

2 物聯(lián)網(wǎng)的特點

物聯(lián)網(wǎng)之所以會引發(fā)倫理學(xué)問題，與其自身的特點密不可分。

第一，物理世界的數(shù)字化。傳統(tǒng)互聯(lián)網(wǎng)主要通過計算機(jī)、手機(jī)兩類終端鏈接個體，且個體具有高度的自主性。物聯(lián)網(wǎng)設(shè)備使得個人可被數(shù)字化的內(nèi)容不斷拓寬，各類數(shù)據(jù)的不斷整合可以用來預(yù)測個體的各種特征。如通過運(yùn)動腕帶或智能手表中的傳感器獲悉個人血液、心率和睡眠狀況等健康信息；通過監(jiān)測聲帶振動，在無需獲得個體具體講話內(nèi)容的情況下預(yù)測個體的健康；通過智能手機(jī)了解個體的家庭住址、作息時間，從而推測個體的生活習(xí)慣、健康狀況和經(jīng)濟(jì)水平等；通過汽車傳感器了解個體的駕駛習(xí)慣，從而推測個體的性格；通過智能音響了解個體的興趣愛好。這些數(shù)據(jù)單獨使用便可以揭示個人的諸多特征，而不同的傳感器之間產(chǎn)生的數(shù)據(jù)融合[26]則可以更深入地了解個人特征，實現(xiàn)1+1>2的效果[27]。手機(jī)中陀螺儀和加速器可以測量物體的運(yùn)動方向與加速度，如果將兩者結(jié)合使用可以推測用戶的休息狀態(tài)，準(zhǔn)確地描述線性和旋轉(zhuǎn)運(yùn)動。如果分析時再加入心率監(jiān)測設(shè)備的數(shù)據(jù)，還可以推測用戶當(dāng)前的應(yīng)激水平和情緒[28]。通過傳感器監(jiān)測用戶握持手機(jī)或打電話的方式來推測用戶的情緒，通過分析用戶使用手機(jī)輸入文字的方式、打錯字的頻率和手機(jī)晃動的幅度等來推測用戶的精神狀況等[28]。不難想象，當(dāng)我們使用的物聯(lián)網(wǎng)設(shè)備越來越多、監(jiān)測精度越來越高，其所產(chǎn)生的海量數(shù)據(jù)將揭示更多個人的健康狀況、特征、習(xí)慣和性格，甚至預(yù)測個體行動。這意味著物聯(lián)網(wǎng)可以獲得更多有關(guān)個人隱私的信息，且傳統(tǒng)互聯(lián)網(wǎng)中存在的隱私和安全問題在物聯(lián)網(wǎng)中被放大，一旦出現(xiàn)負(fù)面效應(yīng)更難以逆轉(zhuǎn)[29]。

第二，數(shù)據(jù)的被動收集。傳統(tǒng)互聯(lián)網(wǎng)數(shù)據(jù)中用戶信息的收集需要通過用戶自行輸入，而在物聯(lián)網(wǎng)中數(shù)據(jù)的收集工作由設(shè)備自行、全天候、不間斷執(zhí)行，無需用戶主動輸入。這將產(chǎn)生兩個結(jié)果，一是產(chǎn)生大量數(shù)據(jù)，二是用戶可能會遺忘設(shè)備的存在進(jìn)而忽略對設(shè)備的控制。海量的多元數(shù)據(jù)在算法的支持下可以更準(zhǔn)確地預(yù)測個體的特征、在人群中甄別個體，這將對個人隱私和自主性構(gòu)成更嚴(yán)峻的挑戰(zhàn)。

第三，缺乏交互性。傳統(tǒng)互聯(lián)網(wǎng)中，用戶通過鍵盤、鼠標(biāo)、語音和手勢與設(shè)備進(jìn)行交互，輸入信息和命令，并且用戶可以通過屏幕和聲音來直觀地獲得反饋，即時快速地調(diào)整電腦、手機(jī)和各類服務(wù)器的設(shè)置。而物聯(lián)網(wǎng)設(shè)備自身的硬件特點是微小，這使得隱私設(shè)置的便捷性劣于計算機(jī)和手機(jī)，隱私政策和用戶協(xié)議更不易被察覺，修改隱私設(shè)置的成本更高，而這將對用戶的個人隱私和同意的有效性提出挑戰(zhàn)。

3 物聯(lián)網(wǎng)應(yīng)用引發(fā)的倫理問題

3.1 歧視

物聯(lián)網(wǎng)設(shè)備可能會引發(fā)和加深社會歧視。物聯(lián)網(wǎng)設(shè)備所產(chǎn)生的數(shù)據(jù)(同時可結(jié)合算法)允許企業(yè)、機(jī)構(gòu)和個人獲得更為精確的用戶數(shù)據(jù)，通過分析后可以對個體進(jìn)行精確描述。這就意味著用戶的特征可以被更為細(xì)致的分類，貼上各類標(biāo)簽，將個體用戶歸為不同人群類別。雇主、保險公司和其他機(jī)構(gòu)可以根據(jù)這些特征、標(biāo)簽制定策略，決定是否雇傭、保險費率和信用額度高低以及入學(xué)機(jī)會等，對個體進(jìn)行區(qū)別對待。這可能會導(dǎo)致某種新形式的歧視或加深現(xiàn)有歧視，尤其是針對那些本就十分脆弱的人群，如由于先天因素或社會不公正而使自身健康處于不利境遇的個體。此類歧視行為可十分隱蔽，尤其是在數(shù)據(jù)收集者和使用者缺乏動力增加信息告知的透明度和促進(jìn)有效同意的前提下，如缺少倫理規(guī)范和法律法規(guī)時。

首先，雇主會對物聯(lián)網(wǎng)數(shù)據(jù)產(chǎn)生興趣。雇主通過對應(yīng)聘者的教育、工作和健康信息來評估個體是否能夠勝任某項工作。在這些環(huán)節(jié)中，雇主會獲得有關(guān)應(yīng)聘者的各類數(shù)據(jù)和信息，通過分析來推測應(yīng)聘者的能力、降低用工成本、提升投入產(chǎn)出比，如通過篩查應(yīng)聘者的基因挑選出未來患病率低的個體。物聯(lián)網(wǎng)設(shè)備提供的信息將會豐富雇主對應(yīng)聘者的“畫像”，在未來必將被雇主用于對應(yīng)聘者的評估。

以常見的物聯(lián)網(wǎng)設(shè)備——運(yùn)動手環(huán)(和手表)為例。運(yùn)動手環(huán)能夠連續(xù)、長期監(jiān)測個體的運(yùn)動量(如步數(shù)，跑步、游泳時長和距離)、坐立時間、心率、睡眠狀況、體重(如配合智能體重/體脂秤使用)、運(yùn)動軌跡等數(shù)據(jù)，并結(jié)合用戶通過應(yīng)用或網(wǎng)站提供的個人信息推測用戶的健康狀況、健身習(xí)慣和常住地址等。近些年此類設(shè)備的發(fā)展迅速，以蘋果手表和小米手環(huán)為例，前者2019年的出貨量為3 070萬只[30]，后者在2020年上半年出貨量為1 340萬只[31]，伴隨而生的是海量的個人數(shù)據(jù)。

假設(shè)A是某運(yùn)動手環(huán)的用戶，身體健康且有良好的健身習(xí)慣。當(dāng)其求職時，雇主除按照傳統(tǒng)的招聘程序通過筆試和面試來評估其工作勝任力外，還會對其健康數(shù)據(jù)進(jìn)行評估。這里的健康數(shù)據(jù)除常規(guī)入職體檢外，雇主可能會要求她主動提供或從第三方處獲取運(yùn)動手環(huán)的數(shù)據(jù)，如心率、血壓、睡眠和作息規(guī)律等，從而判斷A的健康狀況、健身習(xí)慣。如果通過算法分析得出A目前擁有良好的健康，且具備“好的健身習(xí)慣”，在其他條件相近的情況下，A被該公司雇傭的機(jī)會更大。因為其未來大概率會保持健康，而這對于他履行自己的崗位職責(zé)并為公司節(jié)省醫(yī)療支出十分重要。這看起來有些不可思議，但實際上雇主們早已在應(yīng)聘者不知情的前提下通過數(shù)據(jù)分析來評估潛在雇員[32-33]，以獲得對雇主而言最高效、最有利的雇員。

我們嘗試通過三種方法分析其中是否存在歧視[34]。第一，從雇傭政策的目的來看。雇主可能希望獲得能夠勝任工作崗位且收益成本比最大的員工，就目的本身而言，在道德上并沒有錯誤。第二，從結(jié)果分析。這需要我們評估好的健身習(xí)慣和其他物聯(lián)網(wǎng)設(shè)備收集的信息是否在實際上與工作目標(biāo)相關(guān)。此處的爭論在所難免，一些人會認(rèn)為好的習(xí)慣代表個人較高的自律性并能預(yù)測未來健康狀況，而這些特征將有助于工作目標(biāo)的實現(xiàn)；但另一些人會認(rèn)為沒有充分證據(jù)證明沒有良好健身習(xí)慣的人不能夠勝任某些工作，至少不意味著比有這些習(xí)慣的人要差。第三，從意義和信息傳遞分析。將物聯(lián)網(wǎng)數(shù)據(jù)融入雇傭程序中，可能會向社會傳遞一種信號，即沒有良好健身習(xí)慣或某些特征的人是懶惰的，進(jìn)而對這類人群進(jìn)行貶低，甚至構(gòu)成和加深污名化。當(dāng)然也會有人提出反對觀點，認(rèn)為健身習(xí)慣本就是社會提倡的，并且對個體和社會均有益，故將物聯(lián)網(wǎng)數(shù)據(jù)作為雇傭標(biāo)準(zhǔn)可傳遞好的信號，即人們應(yīng)當(dāng)養(yǎng)成良好的習(xí)慣。這些分歧預(yù)示著將物聯(lián)網(wǎng)數(shù)據(jù)作為衡量雇傭與否的標(biāo)準(zhǔn)存在倫理爭議，這種區(qū)別對待可能會構(gòu)成歧視。

其次，保險公司十分關(guān)注物聯(lián)網(wǎng)數(shù)據(jù)[35-36]。長久以來保險公司通過對個體全方位的信息收集和分析來評估個體風(fēng)險，從而判斷商業(yè)醫(yī)療險(如重疾險、百萬醫(yī)療險、防癌險等)的費率及是否拒保[37]。近些年，越來越多的保險公司開始投資和運(yùn)用人工智能、大數(shù)據(jù)、基因、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)，對承保定價進(jìn)行重塑[38]。

以上文的A為例，如果A希望投保商業(yè)醫(yī)療險，保險公司可能會要求A提供個人運(yùn)動手環(huán)的數(shù)據(jù)(甚至基因檢測數(shù)據(jù)[39])，或通過第三方機(jī)構(gòu)獲得個體健康數(shù)據(jù)，從而判斷A的費率及是否拒保。對于A而言他或許可以獲得商業(yè)醫(yī)療險，并能夠以較低的費率獲得保險，因為好的健身習(xí)慣和當(dāng)前好的身體健康狀況預(yù)示著A短期內(nèi)死亡和發(fā)病的風(fēng)險較低。相反，對于那些沒有良好健康數(shù)據(jù)(如物聯(lián)網(wǎng)設(shè)備收集的健身數(shù)據(jù)，推算的健康狀況)，他們的費率很可能會高于A。這種“個體化”保險定價看起來將是多贏的，一方面用戶可以因良好的習(xí)慣而獲得保險折扣，同時激勵一些用戶改變自己的生活習(xí)慣，另一方面保險公司可以更好地控制風(fēng)險，同時獲得更穩(wěn)定的利潤[40-42]。但是，這種區(qū)別對待是否能夠得到倫理辯護(hù)？是否存在不公正對待？在能否基于用戶基因信息調(diào)整費率和拒保時，類似問題同樣存在，世界各國所采取的立場也各不相同[37]。健身數(shù)據(jù)，以及其他我們尚未預(yù)見到的可能會被用于評估風(fēng)險的數(shù)據(jù)，其背后可能存在更深層次的生物或社會因素。不少社會因素對健康的影響不應(yīng)完全由個人承擔(dān)，如經(jīng)濟(jì)和社會地位等因素本身涉及社會公正問題，基于此來調(diào)整保險費率或拒?？杀灰暈榧由钌鐣还?尤其在考慮商業(yè)性保險公司應(yīng)承擔(dān)一定社會責(zé)任時[37])，使醫(yī)療可及性降低，構(gòu)成對特定人群的歧視。

這些物聯(lián)網(wǎng)數(shù)據(jù)和其他數(shù)據(jù)一同可以揭示個體的各方面特征，雇主、保險公司或其他機(jī)構(gòu)可以判斷某人是否適合被雇傭、被保險或獲得某種服務(wù)。從經(jīng)濟(jì)角度來看，這大概會提升機(jī)構(gòu)的效率和受益，但同時可使某些群體的基本權(quán)利受到負(fù)面影響。從倫理視角審視，商業(yè)也需符合倫理，社會需要在公平與效率之間尋求平衡，而非只看重物聯(lián)網(wǎng)數(shù)據(jù)給某些機(jī)構(gòu)帶來的商業(yè)利益，忽略他人利益。在促進(jìn)物聯(lián)網(wǎng)設(shè)備的發(fā)展和數(shù)據(jù)合理交換的同時，通過法律來維護(hù)個人利益、避免歧視的發(fā)生十分必要。我國尚無系統(tǒng)的反歧視立法，且散在于各類現(xiàn)有法律法規(guī)中的反歧視條款也尚未涉及禁止對基于個人行為、個性或行動進(jìn)行區(qū)分。

《勞動法》中明確禁止“民族、性別、宗教信仰”歧視，《艾滋病防治條例》要求尊重艾滋病患者和艾滋病病毒感染者的就業(yè)權(quán)。但對于雇主因健康原因而區(qū)別對待潛在雇員和雇員并無明確規(guī)定，對于基于健康而造成的就業(yè)歧視并未提供明確的法律規(guī)制，在一定程度上難以保障個人的就業(yè)權(quán)[43]。 《保險法》中規(guī)定在訂立保險合同時，保險人就投保相關(guān)問題向投保人詢問，投保人有如實告知義務(wù)，否則保險人有權(quán)解除合同，不承擔(dān)賠償責(zé)任甚至可以不退還保費。依據(jù)現(xiàn)有規(guī)定，保險人完全可以要求個人提供看似不甚敏感的個人物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)(或通過購買、接入第三方數(shù)據(jù)庫的方式)，評估被保險人的健康風(fēng)險，并據(jù)此提高保險費率或拒絕投保。對此是否構(gòu)成歧視或許存在爭議，就像有關(guān)基因檢測與保險的問題一樣，但如果我們認(rèn)定這構(gòu)成歧視，目前我國現(xiàn)有的法律法規(guī)并未起到預(yù)防歧視的作用，也難以為受到歧視的個體提供救濟(jì)。

3.2 隱私脆弱性增加

由物聯(lián)網(wǎng)數(shù)據(jù)引發(fā)的歧視問題源于數(shù)據(jù)的匯集和分析，最終推測出個體的各類特征。在實踐中，解決該問題的最常見方式是將數(shù)據(jù)進(jìn)行匿名化處理，拒絕向他人提供可識別出個體的數(shù)據(jù)。這種做法被很多企業(yè)所采納，承諾用戶的數(shù)據(jù)僅在被去標(biāo)識和匿名化之后使用或轉(zhuǎn)移給第三方。但包括物聯(lián)網(wǎng)數(shù)據(jù)在內(nèi)的各類數(shù)據(jù)以指數(shù)級增長，且數(shù)據(jù)分析能力不斷提升時，完全去標(biāo)識和匿名化幾乎無法實現(xiàn)[44-46]。這意味著個人隱私將更加脆弱[47]，隱私更易被他人獲知，如個人身份、特征、消費偏好、健康狀況和位置信息等[48]。

依據(jù)法律和企業(yè)自己制定的隱私條款，企業(yè)會將數(shù)據(jù)庫中個體(傳統(tǒng)意義上的)可識別信息去掉(如姓名、年齡、性別、地址、電話和社交網(wǎng)絡(luò)賬號等)后分享給第三方。但即便如此，對個體進(jìn)行再識別也并非是件難事[49-51]。以智能手環(huán)為例，每個人都有獨特的步態(tài)[52]，如果我們知道某個人的步態(tài)便可以在數(shù)據(jù)庫中定位該個體，并由此獲得該個體的所有數(shù)據(jù)，包括運(yùn)動量、心率和定位信息，并通過步態(tài)和其他數(shù)據(jù)推測個體的身高、體重和性別。此外，物聯(lián)網(wǎng)設(shè)備可以獲得大量的個人數(shù)據(jù)，且這些數(shù)據(jù)相比傳統(tǒng)的互聯(lián)網(wǎng)數(shù)據(jù)具有更強(qiáng)的個人特征，這意味著獲得越多個體數(shù)據(jù)，識別出個體的可能性就越大。還是以智能手環(huán)(或智能手表、智能手機(jī))為例，它可以監(jiān)測到個體全天的移動軌跡及移動速度數(shù)據(jù)，據(jù)此可以很容易推斷出個體經(jīng)常往返的位置信息，以及所使用的交通工具(汽車、地鐵或自行車)。如果機(jī)構(gòu)獲得了這些匿名化的數(shù)據(jù)，并同時知道某人在何時、何地、乘坐了何種交通工具，便可以大致推斷出數(shù)據(jù)庫中哪些匿名化數(shù)據(jù)屬于該個體，并由此將屬于該個體的信息再次鏈接到一起。

除匿名化問題之外，物聯(lián)網(wǎng)設(shè)備還會從其他方面對隱私構(gòu)成挑戰(zhàn)，這主要源于物聯(lián)網(wǎng)所產(chǎn)生的新的海量數(shù)據(jù)和不斷發(fā)展的算法。例如，即使企業(yè)不主動搜集用戶的位置信息，他們?nèi)钥梢酝ㄟ^物聯(lián)網(wǎng)設(shè)備產(chǎn)生的數(shù)據(jù)獲得對用戶而言具有私密性的信息，如通過獲取某智能手機(jī)中加速器的數(shù)據(jù)，并將其與其他手機(jī)的同類數(shù)據(jù)進(jìn)行比對，可以推測兩個手機(jī)用戶是否處于同一位置[53]。再例如，在一定范圍內(nèi)道路的長度、走向，某一時間段擁堵程度等存在差異，當(dāng)用戶攜帶智能手機(jī)駕車時(在未開導(dǎo)航的情況下)，根據(jù)手機(jī)中加速器、陀螺儀等產(chǎn)生的數(shù)據(jù)并結(jié)合道路信息，即使在沒有獲得用戶的定位信息時，也可以推測用戶運(yùn)行的軌跡，推測出他運(yùn)動的起點和終點。這意味著通常企業(yè)和用戶(尤其是后者)所認(rèn)為的非敏感信息、非隱私信息，在物聯(lián)網(wǎng)設(shè)備不斷增加，數(shù)據(jù)不斷增長和算法發(fā)展的背景下，可以合成或推測出個體的隱私信息。換句話而言，即使不掌握人口學(xué)信息，匿名化處理后的數(shù)據(jù)仍舊可以被用于識別個體。

物聯(lián)網(wǎng)數(shù)據(jù)的特點使得寄希望于通過匿名化來保護(hù)個人隱私變得更加困難，這對倫理和法律的挑戰(zhàn)不言而喻。在倫理學(xué)方面，技術(shù)上難以實現(xiàn)匿名化將對個體自主性構(gòu)成挑戰(zhàn)。通常，個人并不擔(dān)心通過匿名化處理的數(shù)據(jù)會暴露個人隱私；在未征得個體同意的情況下，匿名化個人信息可被轉(zhuǎn)移給第三方，機(jī)構(gòu)和個人并不擔(dān)心數(shù)據(jù)被再次整合并識別出具體個體，如醫(yī)療機(jī)構(gòu)將患者信息進(jìn)行匿名化處理并用于研究。但豐富的個人物聯(lián)網(wǎng)數(shù)據(jù)和算法的發(fā)展使得再標(biāo)識成為可能，這意味著獲得用戶數(shù)據(jù)的機(jī)構(gòu)或個人可以通過算法識別出具體個體，并利用這些個人信息實現(xiàn)自身的目的，如販賣個人健康信息，或通過推送保健品、藥品、醫(yī)療器械或醫(yī)療機(jī)構(gòu)信息來賺取利潤。這些再識別行為可能會暴露個人隱私，影響個人生活，違背個體的自主性。此外，在受到巨大經(jīng)濟(jì)利益誘惑時企業(yè)或個人進(jìn)行再識別的動力將是巨大的，McDonald等[54]于2008年的研究顯示，如果所有美國用戶仔細(xì)閱讀網(wǎng)站的隱私條款，一年損失的機(jī)會成本約為7 810億美元?；ヂ?lián)網(wǎng)沒有免費的午餐，物聯(lián)網(wǎng)也不例外，奢望僅僅依靠企業(yè)自律來實現(xiàn)保護(hù)個人隱私或權(quán)衡隱私與經(jīng)濟(jì)發(fā)展之間的關(guān)系是不切實際的。

法律方面的挑戰(zhàn)包括個人信息的界定、匿名化與隱私權(quán)保護(hù)。首先，物聯(lián)網(wǎng)數(shù)據(jù)對個人信息的界定構(gòu)成了挑戰(zhàn)。《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全管理辦法》(征求意見稿)中所指的個人信息為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”；《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》中的個人信息是指“電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息”[55]；《信息安全技術(shù)個人信息告知同意指南》對個人信息的定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。(注：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。)”[56]依據(jù)這些定義，物聯(lián)網(wǎng)設(shè)備所產(chǎn)生的大量數(shù)據(jù)都屬于個人信息，無論是單獨使用還是與其他信息結(jié)合都可以識別個人身份，如步態(tài)、移動軌跡、聲紋等。但是，從《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全管理辦法》來看，其中所羅列的信息更多是傳統(tǒng)的人口學(xué)信息，忽略了物聯(lián)網(wǎng)數(shù)據(jù)和算法對個人信息概念的拓展，這可能使個人和機(jī)構(gòu)只關(guān)注人口學(xué)信息，而放松對其他個人信息保護(hù)和數(shù)據(jù)安全的關(guān)注，包括由這些看似非敏感信息推出的個體健康信息或其他隱私信息。

其次，匿名化對隱私權(quán)[29]的保護(hù)作用被削弱?，F(xiàn)有規(guī)定通常認(rèn)為個人信息被匿名化處理后可很好地保護(hù)個體的隱私，故規(guī)定個人信息經(jīng)匿名化處理后(或“經(jīng)過處理無法識別特定個人且不能復(fù)原的除外”)，可以在不征得個人信息主體同意的前提下向第三方提供[57-58]。這一規(guī)定的目的是在保護(hù)個人隱私的前提下促進(jìn)數(shù)據(jù)的流動和共享，促進(jìn)數(shù)據(jù)技術(shù)和經(jīng)濟(jì)的發(fā)展。但現(xiàn)有研究提示我們，物聯(lián)網(wǎng)數(shù)據(jù)和算法的發(fā)展使得匿名化或無法識別特定個人的情況幾乎無法實現(xiàn)，而這意味著僅依靠此種方式保護(hù)個體的隱私變得更加困難，法律法規(guī)中有關(guān)匿名化的規(guī)定是否妥當(dāng)有待商榷。

為了避免匿名化概念的瓦解，一些學(xué)者試圖根據(jù)數(shù)據(jù)單獨使用時可識別程度高低分為識別信息、可識別信息和不可識別信息?！白R別信息”對應(yīng)那些明確與個體相關(guān)的信息，如姓名、住址、身份證號、帳戶、密碼和生物識別信息等；“不可識別信息”對應(yīng)那些可關(guān)聯(lián)到具體個人的可能性極低的信息；“可識別信息”則介于兩者之間[59]。但是，技術(shù)的發(fā)展使匿名化概念的瓦解無法避免，所有的生物識別信息和個人物聯(lián)網(wǎng)數(shù)據(jù)都屬于個人可識別信息。當(dāng)下，企業(yè)更傾向于將物聯(lián)網(wǎng)數(shù)據(jù)視為“非個人”信息，不甚關(guān)注隱私保護(hù)技術(shù)的研發(fā)和應(yīng)用。其原因可能不僅(或不主要是)在于技術(shù)和知識的缺乏，更在于缺少對相關(guān)技術(shù)應(yīng)用的經(jīng)濟(jì)激勵[60]。立法者、監(jiān)管者似乎也沒有意識到物聯(lián)網(wǎng)數(shù)據(jù)可能都具有可識別性?，F(xiàn)有法律法規(guī)尚未對這些倫理和法律挑戰(zhàn)做出回應(yīng)，《個人信息保護(hù)法》或許是一個契機(jī)，平衡個人隱私保護(hù)、數(shù)據(jù)安全與數(shù)據(jù)共享和開發(fā)。

4 治理建議

針對物聯(lián)網(wǎng)數(shù)據(jù)帶來的倫理和法律挑戰(zhàn)，本文分別對企業(yè)、行業(yè)協(xié)會、政府和公眾提出如下治理建議。

第一，企業(yè)應(yīng)增加和強(qiáng)化技術(shù)善用這一倫理學(xué)要求，關(guān)注如何預(yù)防不符合倫理的事件發(fā)生，將其融入企業(yè)文化和價值觀中。企業(yè)應(yīng)從避免歧視、隱私保護(hù)和數(shù)據(jù)安全等方面加強(qiáng)對員工的培訓(xùn)。在研發(fā)階段，團(tuán)隊?wèi)?yīng)注重隱私保護(hù)技術(shù)和數(shù)據(jù)安全技術(shù)的應(yīng)用，同時避免將歧視性內(nèi)容和理念嵌入到產(chǎn)品之中。在應(yīng)用階段，企業(yè)應(yīng)關(guān)注產(chǎn)品使用中存在或可能引發(fā)的歧視、隱私保密和數(shù)據(jù)安全問題，及時糾正或預(yù)防問題的發(fā)生。

第二，行業(yè)協(xié)會應(yīng)制定行業(yè)行為準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)，加強(qiáng)行業(yè)自治。行業(yè)協(xié)會(物聯(lián)網(wǎng)、金融業(yè)及其他行業(yè)協(xié)會)應(yīng)制定明確的企業(yè)可獲取數(shù)據(jù)清單，并規(guī)范數(shù)據(jù)的使用目的和匿名化數(shù)據(jù)再鏈接的限制，避免歧視，保護(hù)個人隱私。行業(yè)協(xié)會應(yīng)集中企業(yè)優(yōu)勢，制定相應(yīng)技術(shù)標(biāo)準(zhǔn)，協(xié)助企業(yè)強(qiáng)化隱私保密和數(shù)據(jù)安全技術(shù)的開發(fā)與應(yīng)用。

第三，政府應(yīng)從立法、監(jiān)督和政策制定等方面促進(jìn)物聯(lián)網(wǎng)數(shù)據(jù)的善用。通過立法來明確數(shù)據(jù)的權(quán)屬和各主體的權(quán)利，應(yīng)賦予個人訪問、糾正與刪除數(shù)據(jù)的權(quán)利和數(shù)據(jù)可移動權(quán)[61]；明確個人信息的定義(尤其需要關(guān)注物聯(lián)網(wǎng)對生物識別信息的擴(kuò)展)，要求各類匿名化數(shù)據(jù)分開存儲，并應(yīng)由政府、行業(yè)協(xié)會、企業(yè)和公眾共同制定允許進(jìn)行數(shù)據(jù)關(guān)聯(lián)和去匿名化的限制條件；要求企業(yè)公布算法中有邏輯意義的信息，如構(gòu)建該算法的目的、當(dāng)算法沒有實現(xiàn)或偏離目標(biāo)時如何應(yīng)對[62]，并要求企業(yè)為避免歧視做出努力。各行業(yè)主管部門應(yīng)時刻關(guān)注物聯(lián)網(wǎng)數(shù)據(jù)的收集和使用，關(guān)注行業(yè)內(nèi)已經(jīng)存在和潛在的歧視與隱私泄露風(fēng)險，對弱勢群體給予適當(dāng)保護(hù)。為避免物聯(lián)網(wǎng)數(shù)據(jù)的濫用，政府應(yīng)召集利益攸關(guān)方共同探討數(shù)據(jù)轉(zhuǎn)移的限制條件，加大對歧視和隱私泄露的懲戒力度。政府應(yīng)制定經(jīng)濟(jì)激勵政策，鼓勵機(jī)構(gòu)、個人開發(fā)和使用隱私保護(hù)與數(shù)據(jù)安全技術(shù)[63]，同時鼓勵公眾對違法行為進(jìn)行舉報并提出改善建議。

第四，公眾應(yīng)加強(qiáng)自身的隱私保密和數(shù)據(jù)保護(hù)意識，關(guān)注物聯(lián)網(wǎng)中的用戶協(xié)議和隱私條款，積極參與對物聯(lián)網(wǎng)數(shù)據(jù)使用的監(jiān)督工作，如違法行為的舉報和不合理行為的投訴[64]。

5 結(jié)語

物理世界與數(shù)字世界的融合將會對人類社會構(gòu)成前所未有的倫理、法律和社會挑戰(zhàn)。鑒于人類對技術(shù)發(fā)展預(yù)測的完整性和準(zhǔn)確性上尚無法做到對技術(shù)行為因果性的準(zhǔn)確把握，人類應(yīng)將災(zāi)難的預(yù)言優(yōu)先于對福祉的預(yù)言[65]。如果人類希望物聯(lián)網(wǎng)能夠得到善用，我們必須從研發(fā)那一刻起便不斷思考物聯(lián)網(wǎng)對自然和人類社會的短期、中期、長期的風(fēng)險，并思考應(yīng)對策略和具體方案。僅憑倫理或法律無法實現(xiàn)物聯(lián)網(wǎng)的善用，我們必須從更多元化的專業(yè)和視角思考、分析和應(yīng)對這些問題，逐漸形成對物聯(lián)網(wǎng)的善治。