張俊山

(福建警察學(xué)院 福州 350007)

0 引 言

檢索“中國知網(wǎng)”(CNKI)發(fā)現(xiàn)，開源情報研究在我國尚處于起步階段。以“開源情報”為主題，檢索得到62篇文獻(xiàn)(包括期刊論文和碩博論文)，其中多探討了開源情報的收集、研判、運用等，也有文獻(xiàn)研究了開源情報帶來的影響。梅建明等重點探討了開源情報對國家安全情報工作、體制帶來的影響，并提出開源情報可能導(dǎo)致人類處于監(jiān)控社會中[1]。在某種程度上而言，該研究已經(jīng)關(guān)注到開源情報與倫理、道德之間的張力，間接地提及了開源情報會對公民權(quán)利造成影響。董尹等認(rèn)為在開源情報開發(fā)過程中，使用新興技術(shù)搜集公開數(shù)據(jù)和信息時會觸碰到喜好等個人信息，給個人帶來一定侵害[2]。趙小康提出，在反恐方面，開源情報能夠彌補秘密情報的不足，但是隨之而來的問題是侵犯個人隱私[3]。

域外有研究關(guān)注到開源情報與隱私保護(hù)之間存在一定沖突。部分研究主要從政府基于保障國家安全利用監(jiān)控等技術(shù)手段獲取開源信息的角度闡述了開源情報對個人隱私保護(hù)的影響以及如何紓解。比如Pompeu Casanovas認(rèn)為開源情報工具設(shè)計者為了最大限度利用開源信息會盡可能多地收集個人信息，因此需要進(jìn)行隱私設(shè)計[4](美國所稱隱私涵蓋了個人信息，即采取了隱私與個人信息一元化合并式保護(hù)模式[5])。Quirine Eijkman等認(rèn)為開源情報和隱私保護(hù)之間存在困境，政府是時候切實擔(dān)負(fù)起責(zé)任了[6]。還有部分研究從非國家安全情報機構(gòu)開發(fā)開源情報的角度論述了開源情報對隱私保護(hù)的沖擊，以及如何設(shè)計隱私保護(hù)框架。比如Bert-Jaap Koops等注意到開源情報對隱私保護(hù)提出了挑戰(zhàn)，認(rèn)為應(yīng)該在合理開發(fā)、應(yīng)用開源情報的情況下對開源情報實施技術(shù)規(guī)制[7]。

以上研究雖然提及了開源情報與個人信息之間的沖突，但是并未系統(tǒng)性地指出開源情報對個人信息保護(hù)帶來了哪些沖擊，也沒有提出具體的應(yīng)當(dāng)措施。然而，不可否認(rèn)以上研究仍然對我們討論開源情報對個人信息保護(hù)的影響，以及應(yīng)對方法具有啟示意義。

1 開源情報與個人信息之間的聯(lián)系

情報的發(fā)展經(jīng)歷了漫長的過程，第一次世界大戰(zhàn)期間以人員情報為主，信號情報在第二次世界大戰(zhàn)期間成為主角，圖像情報在冷戰(zhàn)前后發(fā)揮了重要作用，信息技術(shù)的發(fā)展開啟了開源情報時代[8]。開源情報對情報體制及個人信息保護(hù)等諸多方面產(chǎn)生了深刻影響。在大數(shù)據(jù)時代，個人信息與開源情報之間的關(guān)系也亟需厘清，這是研究開源情報環(huán)境下個人信息保護(hù)的前提。

1.1 開源信息是開源情報的基礎(chǔ)

盡管學(xué)界對于開源情報的界定不一致，但是普遍認(rèn)同其信息來源為開源信息。自情報概念誕生以來，國家安全部門、新聞媒體、科研機構(gòu)、商業(yè)機構(gòu)等組織、人員皆要收集、分析開源信息。只不過不同時代，開源信息的載體不同，被收集的手段不同罷了?！八械墓_信息都是情報‘磨坊’的‘谷物’”[9]，和平時期的決策者作出決策所需的信息有80%是公開的[10]，“90%的情報來自公開來源”[11]。正因如此，學(xué)界將開源情報定義為“通過分析公開渠道獲取的信息所得到的情報”[1]，或從開源信息中收集到的情報[4]?？梢姡_源信息是開源情報生成的基礎(chǔ)，開源情報是在開源信息的基礎(chǔ)上“加工”而成。“開源”含有“公開”“不隱蔽”“公眾”可接觸的意思，開源信息是指情報人員和社會公眾皆可接觸到的信息[12]，這意味著開源情報與秘密情報相對[3]，其信息源為公開的信息以及限制公開或訪問的非機密信息[13]。開源情報是從任何用戶皆可以接觸到的報刊、書籍、廣播、網(wǎng)絡(luò)、電視、政府公報等公開信息源獲取的情報[14]。因此，從開源情報生成角度而言，開源信息是開源情報的基礎(chǔ)。

從開源情報作為一個相對獨立的情報種類而言，開源信息同樣是開源情報的基礎(chǔ)。正是由于開源信息具有公開性、易得性等特征，其在情報獲取中的作用越來越大，開源情報因具有獨特優(yōu)勢而日益受到重視，并發(fā)展起來。20世紀(jì)80年代末美國軍事偵察部門創(chuàng)造了開源情報這個術(shù)語，開源情報進(jìn)入公眾視野，經(jīng)北約組織進(jìn)一步明確后[13]，成為一種相對獨立的情報種類。從此角度而言，開源情報作為相對獨立的情報種類是在開源信息是情報“磨坊”的“谷物”，為了提高開源信息在情報決策中運用效率的背景下出現(xiàn)的。在某種程度上可以認(rèn)為，開源情報是一門關(guān)于處理開源信息的科學(xué)，因此也可以認(rèn)為開源信息是開源情報的基礎(chǔ)。

1.2 個人信息是開源信息的組成部分

由于諸多事件以人為中心，一定意義上可以說個人信息是開源信息的重要構(gòu)成部分。學(xué)界將開源情報的公開來源大致分為7大類：第一大類是印刷媒介，主要包括報紙、雜志、電話簿、畫冊、交通時刻表、掛歷、宣傳冊等；第二大類是電子媒介，主要包括電視、廣播、電影、電子顯示屏幕、電話、網(wǎng)站等；第三大類是展示媒介，主要包括陳列、櫥窗、門面、立式廣告、真人廣告等；第四大類是戶外媒介，主要包括廣告牌、霓虹燈、海報、旗幟、車廂、氣球、建筑物等；第五大類是物件媒介，火柴盒、打火機、手提袋、包裝紙、雨傘、旅行包等；第六大類是Web2.0時代的媒介，主要包括社交網(wǎng)站、視頻分享網(wǎng)站、博客等；第七大類是政府?dāng)?shù)據(jù)、航拍照片和學(xué)術(shù)信息等[15]。從某種程度上而言，情報機構(gòu)可以從以上七類公開信息源中獲得大量情報。雖然這七類公開信息源未明確指出包含個人信息，但是個人信息卻無處不在。比如紙質(zhì)的電話簿、電子廣告記載的電話號碼直接可以識別個人身份，其無疑包含個人信息。再如看似與個人信息無關(guān)的火柴盒、打火機、雨傘等物件媒介也蘊含著豐富的個人信息，分析特定場景，聯(lián)系個人特點、生活習(xí)慣，也能較為精準(zhǔn)地確定個人身份。又如人口普查等政府?dāng)?shù)據(jù)同樣明確記載了個人信息。社交網(wǎng)絡(luò)、博客等Web2.0時代的媒介更是存儲著豐富的個人信息——網(wǎng)絡(luò)深度嵌入人們?nèi)粘Ｉ钪?，網(wǎng)絡(luò)空間與海洋、陸地、天空、太空構(gòu)成人類五大生存空間，人類活動延伸至網(wǎng)絡(luò)空間中，時時刻刻與網(wǎng)絡(luò)空間發(fā)生交互，留下IP、個人觀點、情感狀態(tài)、位置定位等足以關(guān)聯(lián)個人身份的信息。因此，在以人為主導(dǎo)的環(huán)境中，只要存在開源信息就或多或少地看得到個人信息的“影子”。

在對土地資源進(jìn)行配置時，市場具有一定的主導(dǎo)意義，市場決定了土地資源的具體交易情況，所以要對現(xiàn)階段土地供給形式的“雙軌制”進(jìn)行合理改變，不斷推進(jìn)國有土地使用權(quán)有償使用有限期的新制度，進(jìn)而充分展現(xiàn)市場在土地資源配置當(dāng)中的主導(dǎo)地位。

1.3 開源情報中包含大量個人信息

開源信息是開源情報的基礎(chǔ)，個人信息是開源信息的重要組成部分，因此開源情報包含大量的個人信息，這也導(dǎo)致情報機構(gòu)盛行收集個人信息以獲取開源情報。前大數(shù)據(jù)時代，開源情報的信息源最初是紙質(zhì)信息，情報機構(gòu)主要是通過收集、分析、處理期刊雜志、會議論文集、書籍、灰色文獻(xiàn)等紙質(zhì)材料上記載的信息獲取開源情報。而期刊雜志、會議論文集、書籍、灰色文獻(xiàn)等紙質(zhì)材料記載了個人身份、個人就某事物發(fā)表的觀點等信息，這些信息皆是情報機構(gòu)收集的重點信息之一，通過這些個人信息可以獲取情報。比如美軍在軍事行動中通常將開源情報分為戰(zhàn)略情報、戰(zhàn)役情報、戰(zhàn)術(shù)情報，在戰(zhàn)略情報中將分析人物傳記作為獲取情報的重要方式，通過分析當(dāng)前及潛在重要人物的教育背景、職業(yè)經(jīng)歷、個人成就、愛好、習(xí)慣、價值取向等信息獲取“人物(傳記)情報”。

大數(shù)據(jù)時代，情報機構(gòu)收集個人信息，獲取開源情報的現(xiàn)象更為普遍。一方面，在大數(shù)據(jù)時代，社會治理方式越來越信息化，數(shù)字國家、數(shù)字政府、數(shù)字社會已然成為現(xiàn)實，信息在國家、社會治理中的價值凸顯，諸多數(shù)據(jù)庫中包含了海量的個人信息，處理這些個人信息可以獲取開源情報。比如為了加強對外來流動人口的管控，提高社會治理能力，情報機構(gòu)熱衷于搜集地理位置、移動軌跡等個人信息研判社會形勢。截至2004年大約有52個美國政府部門實施了190余項數(shù)據(jù)挖掘項目，美國聯(lián)邦民航局于1996年啟用了“計算機輔助下的旅客預(yù)審系統(tǒng)”(CAPPS)、美國移民海關(guān)執(zhí)法局于2001年啟用了“監(jiān)測留學(xué)生和訪問學(xué)者信息系統(tǒng)”(SEVIS)[1]，旨在通過此類系統(tǒng)全面收集旅美個人的姓名、位置、職業(yè)等方面信息，以獲取國家安全等方面的情報。再如為了加強對企業(yè)等社會機構(gòu)的監(jiān)管，相關(guān)部門建立了“國家企業(yè)信用信息公示系統(tǒng)”等社會機構(gòu)信息公示系統(tǒng)，組織和個人可以輕松地通過這些公示系統(tǒng)獲取情報，典型的例子是公安機關(guān)可以通過該系統(tǒng)查詢與案件人員的信息，個人可以通過“天眼查”等APP查詢了解個人、企業(yè)狀況[16]。另一方面，人類生活、學(xué)習(xí)、工作亦愈來愈智能化，諸多與政治、經(jīng)濟、科技、文化等方面相關(guān)的個人信息在虛擬網(wǎng)絡(luò)空間中流通，這些個人信息之再利用可以使得情報機構(gòu)立即接觸到社交及社會生活，因此情報部門將社交網(wǎng)絡(luò)等電子平臺作為開源情報搜集信息的“源泉”之一，熱衷于利用爬蟲等技術(shù)工具回溯性、實時監(jiān)控社交網(wǎng)絡(luò)等電子平臺獲取個人信息。比如9·11事件發(fā)生后，美國馬上就啟動了獲取開源情報的“全面信息感知(TIA)”計劃，收集個人的網(wǎng)上行為、消費記錄、學(xué)習(xí)成績、健康檔案、出行時間等信息[17]。

2 開源情報環(huán)境下個人信息保護(hù)面臨的困境

盡管公開信息是開源情報的基礎(chǔ)，但是情報收集過程中仍然可能會侵入私人領(lǐng)域，危害個人信息安全，侵害個人權(quán)益，個人信息保護(hù)面臨著嚴(yán)峻的挑戰(zhàn)。

2.1 個人信息概念受到?jīng)_擊

識別性作為確認(rèn)個人信息的標(biāo)準(zhǔn)得到了廣泛認(rèn)同[18]。譬如美國《視頻隱私保護(hù)法》等涉及個人信息保護(hù)的法律皆將個人信息界定為可識別個人身份的識別性信息。歐盟《數(shù)據(jù)保護(hù)指令》和《一般數(shù)據(jù)保護(hù)條例》等法律規(guī)定個人信息是與可識別個人身份相關(guān)的信息。我國也借鑒了此種方式，《個人信息保護(hù)法》將個人信息界定為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！?/p>

一般認(rèn)為“可識別”是界定個人范圍的核心，但是在開源情報獲取應(yīng)用過程中，無法識別個人及匿名化處理后的信息皆可能經(jīng)過人工智能技術(shù)處理后變得具有可識別性——看似不具有識別性、匿名化處理的信息能夠“拼湊”出“完整”的個人。“個人信息的‘可識別性’模糊化，‘可識別’的程度和難度亦隨具體場景的變遷而異”[19]，個人信息的外延實際上也隨之?dāng)U大，不僅包括姓名、身份證號碼、電話號碼、電子郵箱、性別、興趣愛好、工作單位、年齡等基本信息，而且包括諸多可用以識別個人身份的現(xiàn)實生活信息和虛擬生活信息。情報機構(gòu)在收集個人信息以獲取開源情報時并不會選擇性地收集直接可識別個人身份的信息，而是全面地挖掘包含著非可直接識別個人身份的各類信息，這將對個人信息的概念造成沖擊，進(jìn)而為超范圍收集個人信息提供了逃避法律責(zé)任的“借口”，導(dǎo)致個人信息保護(hù)出現(xiàn)真空。

2.2 個人信息自決權(quán)難以實現(xiàn)

即使個人公布的個人信息具有公共性和私有性，個人不一定享有信息的絕對所有權(quán)，但是仍然享有自決權(quán)，個人可以決定其信息是否能夠被處理。“讓(包含個人信息)的內(nèi)容公開并不等于允許它被分發(fā)、聚合或以其他方式擴展”[20]，公開的個人信息盡管可能不包含敏感的信息，但是認(rèn)為利用這些信息獲取情報不可能損害個人信息權(quán)益的想法無疑不切實際。不能簡單地認(rèn)為，個人信息被公開了，或者允許這些信息被發(fā)布就放棄了自己對個人信息的控制及相關(guān)利益。如果認(rèn)同此種說法則意味著發(fā)布個人信息完全是個人行為，一旦個人信息被個人公開，即使未獲得當(dāng)事人許可使用或者個人發(fā)布信息的行為產(chǎn)生了諸如人肉搜索等負(fù)面影響也完全是個人的責(zé)任。然而，恰恰相反，允許他人查閱個人信息并不意味著允許他人存儲、分析這些信息，已經(jīng)進(jìn)入公共領(lǐng)域的個人信息即使之前已經(jīng)處于公開狀態(tài)，但是這并不意味著信息處理主體可以任意處理私人信息。就如同有人把門打開了，但并不意味著他人可以隨便進(jìn)入[21]。個人信息公開這一事實并不等同于它們可以在不考慮保護(hù)個人信息自主權(quán)的情況下被處理，因此開源情報環(huán)境下仍然要尊重個人信息自主權(quán)。

開源情報環(huán)境下，個人信息不再針對特定對象公開，用于獲取開源情報的個人信息不僅包括某人發(fā)布的他人個人信息，也包括自己發(fā)布的自己個人信息。利用某人發(fā)布的他人個人信息獲取開源情報首先就可能面臨著未得到充分授權(quán)的困境，而利用自己發(fā)布的自己個人信息獲取情報遭受著是否得到完整授權(quán)的質(zhì)疑。開源情報看似是一種沒有侵害個人信息安全隱患的情報獲取方法，但是用于獲取情報的個人信息并非一定是人們愿意公開的信息，這可能造成人們不知不覺地失去了對可能想要或者認(rèn)為正在控制的信息的自決權(quán)。在此情形中，通過這些信息獲取情報近乎成為一種間諜活動[22]，諸多個人信息被不知不覺地收集，這無疑對個人信息自決權(quán)的實現(xiàn)提出了挑戰(zhàn)。

2.3 個人信息處理正當(dāng)原則受到挑戰(zhàn)

個人信息處理正當(dāng)原則主要是指個人信息處理必須有利于增進(jìn)個人利益或者公共利益，且按照符合社會公眾一般期待、公序良俗的方式進(jìn)行[23]。該項個人信息處理原則得到了普遍認(rèn)同，我國《個人信息保護(hù)法》、歐盟《通用數(shù)據(jù)保護(hù)條例》、澳大利亞《聯(lián)邦隱私權(quán)法》等皆明確規(guī)定個人信息(隱私)處理遵循正當(dāng)原則——個人信息(隱私)只能基于特定、明確、合法的目的處理，且不能違背初始目的[24]。之所以將正當(dāng)原則作為個人信息處理原則的背后法理在于通過結(jié)果反向制約行為，加強信息處理主體自我規(guī)制，以此規(guī)范個人信息處理行為，保障個人信息安全。

開源情報環(huán)境下，個人信息處理正當(dāng)原則遭受到了挑戰(zhàn)，極易發(fā)生濫用個人信息等危害個人信息利益的行為。一方面，就按照正當(dāng)程序處理個人信息而言，要求在處理個人信息時明確、清晰地告知信息主體，個人基于真實意思同意處理個人信息。但是在利用個人信息獲取開源情報時并未明確告知信息主體，公開個人信息并不等于授權(quán)處理。甚至在某些情況下，使用非公開的手段獲取個人信息，這顯然不符合開源情報獲取手段也須是公開的要求。從此角度而言，開源情報環(huán)境下，不能完全確保個人信息是按照正當(dāng)程序處理的。另一方面，從個人信息處理須具有正當(dāng)目的角度而言，也無法完全保障處理個人信息的目的正當(dāng)。應(yīng)然狀態(tài)下，處理個人信息的目的是為了實現(xiàn)個人利益或者維護(hù)公共利益。但在實踐中，基于個人信息生成的情報被用于塑造特定人物畫像，或者勾勒人物之外的整體性事物或事件，情報機構(gòu)可能會根據(jù)“畫像”作出有損個人利益的決策。典型的例子是大數(shù)據(jù)殺熟——商家收集社交網(wǎng)絡(luò)上的個人信息，對個人進(jìn)行畫像，通過算法預(yù)測個人的消費能力及偏好，在提供個性化服務(wù)的同時根據(jù)消費能力及消費的迫切程度制定更高的價格。除此之外，在求職工作場景中，雇主可能依據(jù)某人于若干年前在社交網(wǎng)絡(luò)上發(fā)表的對某企業(yè)、某行業(yè)或者某項工作不滿的言語而做出不予錄用的歧視性決定[6]。

2.4 個人信息權(quán)益受損難以獲得救濟

開源情報依賴虛擬社區(qū)，其具有危險性[14]。這種危險主要來源于開源信息的真實性和可靠性無法保證，獲取開源情報的信息質(zhì)量良莠不齊。任何人創(chuàng)作的信息皆可能成為開源情報的內(nèi)容，而其中包含的個人信息的真實、可靠性未知，情報機構(gòu)可能收集到虛假信息，比如某人捏造有關(guān)另一個人虛假、虛構(gòu)的信息，媒體對他人不客觀、準(zhǔn)確的評價，因諸如翻譯的內(nèi)容斷章取義或者不準(zhǔn)確、圖形模糊不清等因素采集的錯誤信息[3]。甄別、驗證此類虛假、錯誤信息的難度較大，極易誤導(dǎo)情報決策，發(fā)生侵害個人權(quán)益的行為。譬如一個女子因為憤怒而在Facebook等社交網(wǎng)絡(luò)上發(fā)信息聲稱她的前男友是恐怖分子，隨后該男子便會在不被告知緣由的情況下被國家安全部門限制進(jìn)入美國[6]。在此種由于錯誤信息而導(dǎo)致個人權(quán)益受損的情形中，救濟個人權(quán)利，停止侵害的直接方式是刪除或者更正錯誤信息，但是個人行使刪除權(quán)和更正權(quán)具有一定難度，“網(wǎng)絡(luò)是不會忘掉一個人的”。

在非由于錯誤信息導(dǎo)致個人權(quán)益受損的情形中，同樣存在個人權(quán)利難以獲得救濟的問題。比如在網(wǎng)民出于公共利益，利用個人信息獲取開源情報過程中可能導(dǎo)致他人個人信息泄露，此時個人可能對自己個人信息已經(jīng)泄露渾然無知或束手無措。典型的例子是網(wǎng)絡(luò)組織通過“人肉搜索”的方式幫助偵查機關(guān)或安全部門獲取情報，而網(wǎng)絡(luò)組織是否可以如此尚無明確法律依據(jù)，對個人權(quán)益造成的損害如何消除也尚未明確，Shahi Gheiybe案件就是一個例子。Shahi Gheiybe是荷蘭在逃的罪犯，被警方網(wǎng)絡(luò)通緝，荷蘭民間網(wǎng)絡(luò)組織Bellingcat利用Shahi Gheiybe發(fā)布到Instagram上的Nasiri的房屋圖片鎖定了Shahi Gheiybe的位置。但是在挖掘Nasiri信息確定Shahi Gheiybe位置的過程中，Nasiri個人信息被泄露了。荷蘭法律并未明確規(guī)定Bellingcat這樣的民間網(wǎng)絡(luò)組織有權(quán)調(diào)查罪犯，在某種程度上而言，Shahi Gheiybe和Nasiri的個人信息權(quán)益皆受到了損害[25]。但是由于信息流通鏈條過長，阻止信息傳播難度較大，即使信息傳播得以阻止，但是個人權(quán)益受損早“木已成舟”。另外，由于個人信息是公開的，參與收集、處理、利用的主體較多，由此導(dǎo)致侵權(quán)對象的認(rèn)定，責(zé)任的承擔(dān)，以及侵權(quán)后果存在的證明皆較為困難。

3 開源情報環(huán)境下個人信息保護(hù)困境的突破

大數(shù)據(jù)時代，基于發(fā)掘信息價值，分享信息紅利，開源情報開發(fā)及應(yīng)用具有正當(dāng)性。但是在開源情報開發(fā)應(yīng)用過程中需要保護(hù)個人信息安全，如此方能確保開源情報在法律及倫理層面得到強有力的支撐?；鈧€人信息保護(hù)和開源情報之間的沖突，需要采取一系列舉措，確保開源情報開發(fā)應(yīng)用與個人信息保護(hù)相協(xié)調(diào)。

3.1 重塑個人信息概念

開源情報環(huán)境下加強個人信息保護(hù)的第一步是重新審視個人信息的內(nèi)涵和外延，重塑個人信息概念，防止個人信息處理游離在立法之外。隨著信息處理技術(shù)的發(fā)展，在收集個人信息以獲取開源情報時利用姓名、身份證號碼、電話號碼、照片等信息的概率并不必然比利用IP地址、位置信息、年齡、工作單位、觀點、聊天記錄、通訊記錄等信息的概率高。某種程度上而言，情報機構(gòu)在一般情況下多搜集群體性、非可直接識別個人身份的信息，打包式處理以獲取特定情報。比如以色列網(wǎng)絡(luò)安全專家謝·希勒曾經(jīng)使用Deep Analytics系統(tǒng)檢索Facebook、Twitter等社交平臺上與“占中”相關(guān)活躍用戶及其消息記錄，通過分析不僅獲得了用戶的資料、彼此關(guān)系、地理位置等信息，而且產(chǎn)出了重要成員個人、參加活動情況等具體信息[26]。這表明，開源情報環(huán)境下，個人信息的界定不能僅僅考察是否可識別個人，個人信息的概念需要適度地去“可識別性”。目前，有學(xué)者注意到依據(jù)“識別說”界定個人信息的做法會導(dǎo)致個人信息外延縮小，個人信息保護(hù)陷入困境的情況，提出依據(jù)“場景理論”界定個人信息。該觀點的實質(zhì)是根據(jù)具體場景確定某些信息是否是個人信息，而不是單純地將可識別作為判斷是否是個人信息的標(biāo)準(zhǔn)：提倡在具體場景中綜合各種因素考察通過信息聯(lián)想到某人的可能性大小，以及處理這些信息是否會給個人帶來影響，即個人信息=場景+可能性+影響[27]。該“學(xué)說”有助于化解開源情報環(huán)境下個人信息概念困境，獲取開源情報的個人信息不僅包括可以識別個人身份的信息，也包括經(jīng)過技術(shù)處理能夠關(guān)聯(lián)到個人，對個人產(chǎn)生影響的信息。

3.2 保障個人信息自決權(quán)實現(xiàn)

當(dāng)下，我國及歐盟采取“選擇進(jìn)入”機制，依托知情同意規(guī)則保障個人信息自決權(quán)得以實現(xiàn)?！斑x擇進(jìn)入”是指處理個人信息時必須征得他人同意，否則構(gòu)成侵權(quán)[28]。開源情報環(huán)境下，情報機構(gòu)收集個人信息時并不會告知個人，也不會征得個人同意，個人公開信息不等同于同意處理其個人信息。因此，依靠“選擇進(jìn)入”機制，依托知情同意規(guī)則并不能完全保障個人信息自決權(quán)能夠?qū)崿F(xiàn)。但是這并不是說開源情報環(huán)境下可以忽視個人信息自決權(quán)。在大數(shù)據(jù)時代，個人信息具有個人屬性和公共屬性，個人信息保護(hù)仍然要確保個人享有，并能夠行使個人信息自決權(quán)。

與“選擇進(jìn)入”相對應(yīng)的是“選擇退出”，其主要指個人信息主體和處理主體之間不存在明確的授權(quán)合同，在特定情形下，如果個人信息主體未明確表示不得處理個人信息，即認(rèn)為個人信息主體默認(rèn)、許可信息處理主體處理其個人信息。開源情報環(huán)境下，引入“選擇退出”機制能夠兼顧個人信息的利用和個人信息自決權(quán)的實現(xiàn)?！斑x擇退出”機制沒有摒棄個人信息自決權(quán)得以實現(xiàn)的基礎(chǔ)——知情同意規(guī)則，而是對同情同意規(guī)則適用情形做了變通，僅在特殊情況下，情報機構(gòu)在利用個人信息獲取情報時需要得到信息主體的明確同意，而大多數(shù)情況下并不需信息主體同意，這消解了信息主體無法獲知個人信息被處理，情報機構(gòu)與信息主體難以溝通達(dá)成一致的困境，實現(xiàn)了開源情報價值與個人信息保護(hù)必要性之間的平衡?！斑x擇退出”機制放棄了從源頭規(guī)制個人信息處理行為，以及個人信息處理目的限定的思路[28]，而是從開源情報開發(fā)、利用的角度，減少個人信息處理的成本，給予情報機構(gòu)開放、自由的信息流通環(huán)境，并給信息主體配置個人信息處理選擇退出權(quán)，增強信息主體自主控制權(quán)。同時，“選擇退出”機制能夠破除個人一次性知情同意而一勞永逸地獲得免去自我保護(hù)個人信息安全責(zé)任的“怪圈”，迫使信息主體切實擔(dān)負(fù)起保護(hù)自我個人信息安全的義務(wù)，盡可能地實現(xiàn)個人信息自治。

3.3 遵守個人信息處理正當(dāng)原則

個人信息處理正當(dāng)原則具有彌補知情同意規(guī)制流于形式的缺陷，以及規(guī)范知情同意規(guī)則例外情形的功能[29]，其如同看不見的探頭，密切地關(guān)注信息處理主體，迫使信息處理主體在無人監(jiān)督自己時從內(nèi)而外地自覺遵守個人信息處理基本規(guī)范。本質(zhì)上是將個人信息處理需要遵守的基本倫理道德上升為一種普遍認(rèn)同的規(guī)則。開源情報被稱為“倫理黑客”，也就是說開源情報這種“黑客行為”不違法，但是必須受到倫理的約束，倫理問題適用于個人信息處理[30]。開源情報環(huán)境下，由于收集情報的個人信息是開源的，大多數(shù)情況下個人并不知悉其信息被收集、處理、使用，情報的獲取很大程度上處于相對“隱蔽”的狀態(tài)，此時更應(yīng)該堅定不移地遵守正當(dāng)原則。

a.收集公開的個人信息以獲取情報的方式、手段符合基本的倫理道德要求。開源情報的重要特點之一是開源情報必須以合法手段收集信息，David Steele認(rèn)為開源情報所依賴的開源信息必須是情報人員和社會公眾皆可以從報刊、書籍、廣播、網(wǎng)絡(luò)、電視、政府公報等公開信息源中以合法手段收集而得[12]。如果獲取此類信息的手段不被公眾認(rèn)可，在某種程度上可以認(rèn)為所得的情報不是開源情報[31]。開源情報的另一個特征是以公開手段獲得，如果以秘密手段獲得，很大程度上不能稱之為開源情報，而是秘密情報?！伴_源情報的價值在與秘密情報比較中得到彰顯”[32]。因此，開源情報環(huán)境下，個人信息的收集應(yīng)該是公開的、合乎倫理道德的。

b.利用公開的個人信息獲取情報的目的必須有利于促進(jìn)個人利益和公共利益。開源情報的另一個特點是其目的性強，是為了一定目的收集、分析、使用公開的信息，例如為了執(zhí)法需要，挖掘Twitter、Facebook頁面信息，監(jiān)控在線新聞媒體以獲取與預(yù)防、發(fā)現(xiàn)恐怖活動有關(guān)的信息[33]。換言之，開源情報環(huán)境下，個人信息處理遵循正當(dāng)原則的根本是保證開源情報的目的正當(dāng)，個人信息處理的目的須是為了保障基于個人信息生成的情報決策符合基本的倫理道德，有利于實現(xiàn)個人利益和維護(hù)公共利益。

3.4 確保受損的個人信息權(quán)益獲得救濟

雖然開源的個人信息發(fā)布于社交網(wǎng)站等公共領(lǐng)域，任何人都可以訪問，但是并不意味著利用個人信息獲取開源情報的主體不需要承擔(dān)相應(yīng)的責(zé)任。相反，開源情報的開發(fā)應(yīng)用會對個人的現(xiàn)在或者未來權(quán)益造成間接或直接的負(fù)面影響，應(yīng)該確保受損的個人信息權(quán)益獲得救濟，侵害個人信息權(quán)益的主體承擔(dān)相應(yīng)的責(zé)任[6]。一般將救濟視為除了事前預(yù)防性措施之外的“兜底”手段，著重強調(diào)運用司法程序修護(hù)受損的利益。實際上，救濟不單是一種局限于司法機制的“兜底”手段，而是一種由立法、執(zhí)法、司法構(gòu)成的體系。開源情報環(huán)境下，確保受損的個人信息權(quán)益獲得救濟的邏輯進(jìn)路是立法、執(zhí)法、司法協(xié)同推進(jìn)，立法為通過執(zhí)法和司法救濟受損的個人信息權(quán)益提供基礎(chǔ)，執(zhí)法是立法的貫徹、司法的補強，司法是個人信息保護(hù)的最后屏障。

第一，應(yīng)該結(jié)合開源情報，完善個人信息保護(hù)方面的立法。目前有關(guān)開源情報的立法相對滯后，無法適應(yīng)個人信息保護(hù)需要，比如民間網(wǎng)絡(luò)組織是否可以利用個人信息協(xié)助警方調(diào)查罪犯并沒有明確規(guī)定，合法性實際上受到質(zhì)疑，可能淪為“人肉搜索”，致使侵害個人信息的責(zé)任主體在立法上缺失。立法應(yīng)該基于個人信息保護(hù)對開源情報有所回應(yīng)。

第二，政府切實履行職責(zé)，加強個人信息保護(hù)方面的執(zhí)法。開源情報是公眾也可獲得的情報，公眾為了獲取更多的開源情報很可能會忽視保護(hù)個人信息安全，政府有責(zé)任對此實施必要的監(jiān)管。必須通過有效的指示，在不危及行動自由和國家安全的情況下，整合外部力量，規(guī)范外部活動和個人信息資源利用，構(gòu)筑起個人信息保護(hù)堤壩。

第三，充分利用司法程序守住個人信息安全底線。司法具有終局性和強制性的特點，能夠通過訴訟機制追究侵害者責(zé)法律責(zé)任，為信息主體提供終局性的保護(hù)。社交媒體等信息存儲、傳播平臺，以及侵害個人信息權(quán)益的主體理應(yīng)對利用個人信息獲取開源情報的行為承擔(dān)相應(yīng)的法律責(zé)任，比如賠償經(jīng)濟損失，采取必要的措施阻止侵害進(jìn)一步加深等。如果侵害者不積極履行責(zé)任，應(yīng)該保證訴訟途徑暢通、侵害者能夠順利行使訴權(quán)。同時，還應(yīng)該創(chuàng)新訴訟機制，比如此類案件實行舉證責(zé)任倒置以增強侵害行為和侵害結(jié)果之間的可證明性等，規(guī)避受侵害者處于劣勢地位帶來的弊端，切實加強個人信息保護(hù)力度。

4 結(jié) 語

開源情報相較于其他情報具有易得、廉價等特點，在各個領(lǐng)域被應(yīng)用的趨勢愈發(fā)明顯。在重視開源情報開發(fā)及應(yīng)用的同時需要關(guān)注其給其他領(lǐng)域帶來的諸多影響，倘若忽視了此點就可能阻礙開源情報價值的發(fā)揮?！伴_源”與“私密”相對應(yīng)，開源情報與個人信息安全之間存在一定張力。在大數(shù)據(jù)時代，個人信息與開源情報關(guān)系密切，開源情報中包含大量個人信息，如果無法協(xié)調(diào)開源情報開發(fā)利用與個人信息保護(hù)之間的關(guān)系，那么個人很可能將不會在互聯(lián)網(wǎng)上表達(dá)情感，分享個人信息，或者通過隱私設(shè)置，以及從特定的社交媒體平臺上遷移，將有關(guān)他們的信息內(nèi)容排除在開源情報之外，這無疑將阻滯開源情報的開發(fā)應(yīng)用。是故，亟需重視、解決開源情報環(huán)境下個人信息保護(hù)問題，積極采取系列措施以加強個人信息保護(hù)，實現(xiàn)開源情報與個人信息保護(hù)的雙向互動。