蓋宏偉，牛朝文

（燕山大學文法學院，河北 秦皇島 066004）

一、問題的提出與文獻回顧

伴隨著智慧城市理念的方興未艾，英美等西方發(fā)達國家加大了智慧城市建設的部署及建設。2012 年開始，我國工信部、科技部以及住房和城鄉(xiāng)建設部等國家部委陸續(xù)開展智慧城市建設試點，截至2017 年底我國已有超過500 個城市明確提出或正在建設智慧城市。［1］不過，國內外發(fā)生的多起數(shù)據(jù)安全風險性與標志性事件也引起人們對隱私保護的關注，如我國某安防公司制造的物聯(lián)網攝像頭被揭有多個漏洞；2018 年臺積電生產基地被攻擊事件；2015 年烏克蘭大規(guī)模停電事件；2017 年勒索病毒事件等。國際數(shù)據(jù)公司的報告也顯示，2020 年全球物聯(lián)網設備將有200 億至250 億臺，智能設備及應用還將繼續(xù)呈指數(shù)級增長，海量用戶隱私數(shù)據(jù)被龐大的物聯(lián)網設備承載記錄，其隱私安全風險系數(shù)也被放大。習近平總書記強調要切實保障國家數(shù)據(jù)安全，加強關鍵信息基礎設施安全保護，強化國家關鍵數(shù)據(jù)資源保護能力，增強數(shù)據(jù)安全預警和溯源能力。毋庸諱言，打造智慧中國、培育社會經濟發(fā)展的要素市場、發(fā)展新型智慧城市、創(chuàng)新大數(shù)據(jù)治理方式、數(shù)據(jù)隱私保護仍然是首要問題。智慧城市在掌握大數(shù)據(jù)收集、存儲、傳輸、集成處理、可視化分析和開放共享的能力（諸如生物識別、智慧監(jiān)控、爬蟲搜索、精準定位、智能跟蹤等技術和應用）同時也使個體處于透明的“裸奔狀態(tài)”。這就需要努力提升大數(shù)據(jù)安全治理能力，健全大數(shù)據(jù)安全治理體系，其現(xiàn)實意義顯著。

在理論研究層面，國外學者Clarke（1997）將隱私劃分為個人隱私、個人數(shù)據(jù)、個人行為和個人通信四種類型。［2］Finnet（2012）等認為，由于技術的進步，需要對這些類別進行擴展，并將隱私劃分為七種類型，即個人隱私、思想隱私、行為隱私、交流隱私、交往隱私、數(shù)據(jù)和圖像隱私以及位置隱私。［3］I.Wagner（2017）指出隱私保護的框架和指標體系在很大程度上取決于攻擊者的類型和能力，這些因素可以是系統(tǒng)內部的或外部的、被動的或主動的、全局的或局部的、靜態(tài)的或動態(tài)的。它們的能力可以根據(jù)資源（如網絡覆蓋與計算能力）、所采用的算法（如對概率多項式時間的算法的限制）等要素變化而變化。［4］S.Gürses（2011）強調城市中的智能家居、智慧家居、智慧交通以及智慧醫(yī)療等已構成智慧城市環(huán)境中的一部分，它們依靠用戶家里的智能傳感器和微型通信器連入互聯(lián)網和物聯(lián)網。在數(shù)據(jù)隱私的安全和管理方面，智慧城市的復雜性正在增長，因此需要直面智慧城市建設帶來的數(shù)據(jù)隱私挑戰(zhàn)，不僅是為了建立安全連接的需要，也為了數(shù)據(jù)管理和訪問規(guī)則。［5］國內學者趙暢（2018）等認為智慧城市建設過程中的信息交互開放以及實時共享會加劇個人隱私數(shù)據(jù)泄露的風險，如利用人工智能以及數(shù)據(jù)挖掘等數(shù)字化技術分析消費者與選民偏好從而達到精準投放廣告以及影響選民政治傾向之目的，給國家政權、政府治理、社會穩(wěn)定、公民隱私帶來諸多風險以及治理困境。［6］吳迪（2020）研究了邊緣計算賦能智慧城市的機遇，并對相應的隱私保護困境進行了前瞻性分析，并針對這一挑戰(zhàn)提出政策建議和對策。［7］張琴（2020）揭示了智慧城市治理中個人信息安全所面臨的風險及其成因，并從立法保障、制度建設以及機制完善等維度提出因應策略。［8］蓋宏偉等（2021）著眼于電子政府向智慧政府的轉型，分析智慧政府應用所面臨的法律、技術以及制度困境，并提出相對應的政策建議和消解對策。［9］

總體而言，上述關于智慧城市數(shù)據(jù)隱私和安全的研究極富學理洞見，發(fā)人深思。然而，在大數(shù)據(jù)背景下，智慧城市數(shù)據(jù)隱私保護問題還缺乏深層次的探討與系統(tǒng)性的理論回應。本研究從大數(shù)據(jù)治理背景下智慧城市隱私保護的必要性出發(fā)，通過分析智慧城市隱私保護困境的表征，并進一步探賾其困境生成的深層動因，最后提出破解大數(shù)據(jù)治理中隱私保護困境的消解策略。

二、大數(shù)據(jù)背景下智慧城市隱私保護的必要性

將數(shù)據(jù)應用于社會和城市治理中具有一定的歷史淵源，我國《周易·說卦》中就有數(shù)往知來的記載，而系統(tǒng)地掌握數(shù)據(jù)的收集、分類、分析及應用等數(shù)據(jù)生命周期管理方法卻是近現(xiàn)代才出現(xiàn)的。一方面，專業(yè)分工和層級制的官僚組織更加強調“留痕”與“理性”，這就需要對組織和部門內部的信息和數(shù)據(jù)進行程序化和標準化管理。另一方面，通信技術、移動通訊設備等技術的革新和計算機科學、信息科學、情報科學及管理科學等領域的進步使人們進一步掌握使用大數(shù)據(jù)進行社會和城市治理的方法。當人們將外部自然環(huán)境、政治經濟和社會運行等運動信號通過智能感知并以數(shù)據(jù)載體記錄下來時，就形成幾近無所不包的巨量“數(shù)據(jù)面包屑”，這些“數(shù)據(jù)面包屑”經過進一步加工處理便可以形成無所不包的大數(shù)據(jù)，并通過分析和運用這些大數(shù)據(jù)來展開治理活動。這樣，大數(shù)據(jù)的治理方式也就應運而生。大數(shù)據(jù)治理與數(shù)據(jù)治理之間存在微妙差異在于大數(shù)據(jù)擁有海量、異構、實時以及共享等特征，具備異構主體及設備交互共享與多源數(shù)據(jù)集成能力。以智慧醫(yī)療為例，相較于傳統(tǒng)的醫(yī)療模式，智慧醫(yī)療能有效解決時空限制、信息不對稱以及醫(yī)療資源不匹配等問題，通過“泛在式”的數(shù)據(jù)采集和“云端化”的數(shù)據(jù)處理模式來感知、獲取、整合及分析患者家族病史、過敏藥品、影像報告等私密的碎片化數(shù)據(jù)信息，并形成對患者健康狀況的報告和鏡像，最終通過這些數(shù)據(jù)來統(tǒng)籌和協(xié)調資源的運作以及醫(yī)務人員、醫(yī)療設備與醫(yī)療機構之間的互動。

智慧城市是大數(shù)據(jù)、云計算以及智能識別等數(shù)字技術同城市建設理念和文化相融合的產物，智慧城市一般是指城市運用信息科技進行城市治理的機會和能力，然而其內涵隨著信息科技進步及城市發(fā)展理念演化而不斷豐富。這最早可以追溯到20 世紀末，人們主張計算機技術和信息技術在城市空間的拓展，強調城市空間的信息化功能及效能，以建立信息化城市。［10］然而，信息化城市由于其建設基礎和基本框架是以互聯(lián)網拓撲結構作為依托，因此不可避免地存在城市功能“碎片化”與“信息孤島”的難題，故難以實現(xiàn)智慧化對物物互聯(lián)、實時交互、開放共享的承諾。這體現(xiàn)在：過去人們在城市中辦理業(yè)務時，往往需要跑很多部門，蓋很多印章，才能辦好一件事。因此也就衍生出諸多“跑斷腿”“門難進”“臉難看”以及“事難辦”等情況。2008 年被認為是智慧城市發(fā)展的關鍵轉折點，在IBM 提出“智慧星球”的概念并于2010 年在巴西建立第一個智慧城市實驗室之后，掀起了智慧城市建設的熱潮，各國均加大了智慧城市建設的試點、部署及建設開發(fā)。智慧城市與信息化城市有著本質性的區(qū)別（如表1）。在智慧城市下，人們只需要一部智能服務終端、一臺智能移動設備以及走進綜合服務大廳就能輕易地把事辦好，這關鍵就在于物聯(lián)網的“泛在結構”提供了“物物互聯(lián)”和“開放共享”的可能，感知、通信以及存儲設備的微型化、智能化以及低功耗性等特性進一步促進人與人、人與物以及物與物間的交互共享，有效破解了傳統(tǒng)互聯(lián)網遺留下來的“信息孤島”問題。

表1 信息化城市與智慧城市的主要區(qū)別

智慧城市的獨特部署建構了不同于信息化城市的數(shù)據(jù)隱私保護框架。智慧城市中的大數(shù)據(jù)治理需要將設備與設備、人與設備、人與人之間的數(shù)據(jù)信息交互納入隱私保護框架之中。因此在智慧城市的大數(shù)據(jù)治理實踐中，數(shù)據(jù)隱私保護已發(fā)生根本性的變化。這體現(xiàn)在以下四個方面：

第一是智慧城市的大數(shù)據(jù)收集方式。智慧城市數(shù)據(jù)的獲取依靠大量的傳感器、控制器、射頻識別（RFID）和條形碼等計算節(jié)點來準確感知各種信息和信號，智能傳感器將城市物理對象的信號和現(xiàn)象轉換為數(shù)字參數(shù)，從而就掌握了城市運行的基本狀態(tài)。因此，在數(shù)據(jù)安全方面，這就需要保證這些智慧節(jié)點及其節(jié)點設備的安全屬性。除了技術上的保證，同時也囊括一套安全政策、安全標準、安全評估、安全審計、應急管理在內的智慧城市數(shù)據(jù)隱私保護流程及體系。以我國雄安新區(qū)建設為例，光是下水道，就配備煙感探測感應、溫濕度控制、有毒有害氣體控制、攝像頭實時監(jiān)控等多種傳感器，傳感器資源類型多樣，觀測機理各異，數(shù)量巨大，這些智能傳感設備的安全性、可用性、可靠性、完整性及保密性需要技術和制度上的保障。

第二是智慧城市的大數(shù)據(jù)傳輸方式。智慧城市特別需要為其通信系統(tǒng)的使用部署大量安全、可靠、高寬帶、高速率、低延時且可用的傳輸網絡。在通信技術的可拓展性上，智慧城市需要更為先進的移動通信網絡部署來保證通信的安全可靠，從而滿足智慧城市的幾何倍數(shù)增長傳輸需求。在通信協(xié)議上，物聯(lián)網設備是在低功率有損網絡（LLN）之上建立的，物聯(lián)網使用數(shù)據(jù)包傳輸層安全性協(xié)議（DTLS）被用作通信協(xié)議。然而，就目前而言，大多數(shù)的智能設備仍然是基于常規(guī)的互聯(lián)網傳輸控制協(xié)議（TCP）進行信號和數(shù)據(jù)傳輸，這對大數(shù)據(jù)治理過程中的隱私保護構成了實質性的挑戰(zhàn)。根據(jù)國際數(shù)據(jù)公司（IDC）統(tǒng)計數(shù)據(jù)估計，到2025 年，全球將有1500 億個智慧終端設備接入網絡，其中超過70%的數(shù)據(jù)將在網絡邊緣端進行處理，由此數(shù)據(jù)隱私保護離不開適用的、加密的以及安全的網絡傳輸方案。

第三是智慧城市數(shù)據(jù)的集成方式。新型的信息技術以高度集成的方式實現(xiàn)城市物理空間的過程、要素、生命周期的數(shù)字化，并以數(shù)據(jù)的格式保存下來。高度集成化的智能移動設備，搭載各種高精度的傳感器，具備強大的數(shù)據(jù)處理能力，并進行儲存?zhèn)鬏敗＞蘖繑?shù)據(jù)的高度集成為智慧城市提供各類數(shù)據(jù)的聚合、交互和共享方案，并最終服務于“一站式”的智慧應用和服務平臺搭建。不過，這也造成數(shù)據(jù)隱私侵犯更加隱蔽，隱私保護方案更趨于繁瑣和困難。集成化的數(shù)據(jù)流，比如交通擁堵、用電量、用水量、生產量以及消費偏好等都與城市居民的生產生活息息相關，事實上，即便是匿名的公共數(shù)據(jù)流也可以析出個人數(shù)據(jù)信息；此外，數(shù)據(jù)的集成化特征使個體根本無法有效跟蹤和管理個人的數(shù)據(jù)信息，他們無法知曉個人的數(shù)據(jù)信息是否被泄露、如何泄露以及被誰泄露。因為一旦進入高度互聯(lián)化和集成化的智慧城市環(huán)境中，個人數(shù)據(jù)信息便會經過多個步驟和流程處理，這樣，管理自己的數(shù)據(jù)隱私就像試圖尋找一張經過數(shù)百次易手的美元一樣困難。

第四是智慧城市的數(shù)據(jù)隱私保護。在信息化城市階段，城市中的數(shù)據(jù)信息安全主要體現(xiàn)在機密性、完整性和可用性三個方面，簡稱CIA Triad。然而，通過分析新的數(shù)據(jù)信息安全形勢，利婭·切爾丹采娃等指出傳統(tǒng)的CIA Triad 已無法有效滿足更加復雜的物聯(lián)網環(huán)境中出現(xiàn)的數(shù)據(jù)與信息安全需求?；贑IA Triad 之上，他們進一步拓展出了安全分析表（RMIAS），以滿足新的數(shù)據(jù)與信息安全分析需求，這包括機密性（C）、完整性（I）、可用性（A）、責任性（AC）、可審核性（AU）、誠信度（TW）、不可抵賴性（NR）及隱私性（P）八個方面。［11］

三、智慧城市中數(shù)據(jù)隱私保護困境的表征

（一）數(shù)據(jù)采集的過度化

智慧城市被視為一個大型數(shù)據(jù)信息系統(tǒng)，與傳統(tǒng)的數(shù)據(jù)治理相比，大數(shù)據(jù)治理具有處理速度（Velocity）快、規(guī)模（Volume）大、類型（Variety）多、價值（Value）高的特征。巨量數(shù)據(jù)的采集囊括市民生活的方方面面。通過將所采集的巨量信息放入數(shù)據(jù)庫中，就可能形成關于我們如何生產生活及其蹤跡的生動描述，與我們的記憶相比，這種描述更加精確、詳細、全面。［12］這也存在數(shù)據(jù)隱私保護的問題，人們只要打開新聞網站以及購物平臺，廣告區(qū)會出現(xiàn)自己關注過的產品與經常談論的商品；打開手機，就會經常收到各類廣告推銷短信；接到一通電話，對方在營銷甚至是詐騙中竟能直呼其名，以及大數(shù)據(jù)“殺熟”，電話“轟炸”與簡歷信息的數(shù)據(jù)庫泄露等問題。根據(jù)工信部2015 年到2018 年公布檢測智慧應用軟件的問題名單顯示，有大約695 款手機應用存在違規(guī)收集使用用戶個人信息數(shù)據(jù)等行為。［13］中國消費者協(xié)會的測評報告也顯示智慧應用軟件存在對外提供個人信息時不單獨告知并征得用戶同意，未明確告知用戶如何更正個人信息和撤回同意等情況。此外，城市中無處不在的智能感知與監(jiān)控設備幾乎使得公民各方面的數(shù)據(jù)信息都有可能被采集，智慧城市應用程序也遍及公民生產生活的方方面面，這些數(shù)據(jù)中通常包含公民的身體特征、職業(yè)、收入、社會地位、生活習性、偏好等數(shù)據(jù)，并在公民不知情和未察覺的情況下完成采集。［14］隨著監(jiān)視空間和數(shù)據(jù)采集空間的擴大，私人空間逐漸瓦解，電子手段逐漸用于代替非正式的社會控制，數(shù)據(jù)挖掘成為商業(yè)競爭中的重要著力點，大數(shù)據(jù)在被過度采集過程中帶來了諸多問題，其中最突出的便是數(shù)據(jù)隱私安全。如視頻監(jiān)控侵犯隱私事件、個人生活被擅自網絡直播、安裝家用攝像頭反被偷拍、面部識別導致個人身份泄露等問題屢屢爆出。隨著我國正在進行500+智慧城市試點項目，占世界總量的一半，綜合《界面新聞》等傳媒報道，隨著中國智慧城市建設的逐步推進，2022 年中國監(jiān)控鏡頭部署量將達到27.6 億臺，如何平衡公共監(jiān)控以及數(shù)據(jù)隱私成為一個亟須破解的問題。

（二）大數(shù)據(jù)加密的缺失化

數(shù)據(jù)加密能夠實現(xiàn)對存儲數(shù)據(jù)與傳輸數(shù)據(jù)進行加密，以使數(shù)據(jù)在不具備密鑰的情況下處于無用且不可讀狀態(tài)，從而保證數(shù)據(jù)特別是敏感數(shù)據(jù)免遭未經授權或惡意的訪問、修改、泄露或盜竊，從而進一步達到保護隱私的目的。不過，通過大數(shù)據(jù)加密處理來保證數(shù)據(jù)機密性是以數(shù)據(jù)處理效率和靈活性作為代價的，這會導致數(shù)據(jù)機密性和可用性之間的失衡，進而使得努力推進智慧城市大數(shù)據(jù)加密的方向變得更為微妙。

一方面，智慧城市需要對巨量數(shù)據(jù)析出有價值的信息，從而挖掘出大數(shù)據(jù)的社會經濟價值，最后促進城市的發(fā)展進步。而智慧城市的建設應用，也推動數(shù)據(jù)時代的TB（1TB=1024GB）數(shù)量級向大數(shù)據(jù)時代的PB（1PB=1024TB）數(shù)量級轉變。據(jù)相關統(tǒng)計，人們每兩天所生產的數(shù)據(jù)量就大致相當于自人類文明起源至2003 年產生的總數(shù)據(jù)量，而人類迄今所積累的數(shù)據(jù)量的90%以上都來自過去五年。而作為大數(shù)據(jù)應用最廣泛的智慧城市，其數(shù)據(jù)種類繁多、數(shù)據(jù)量巨大、增長迅速。另一方面，解決巨量數(shù)據(jù)密鑰的分發(fā)，進而為智慧城市應用程序提供彈性和可擴展的隱私保護方案，是建構基于完備的去中心化身份認證體系，滿足用戶保護核心重要數(shù)據(jù)的安全前提下。然而，目前相應的區(qū)塊鏈隱私保護方案、分布式加密方案等尚處于理論研究和試點認證階段。此外，讓每個人擁有自我數(shù)據(jù)主權，是否會抑制數(shù)據(jù)通證或數(shù)據(jù)資產化，進而難以充分利用大數(shù)據(jù)的優(yōu)勢，仍然需要探索數(shù)據(jù)流通與隱私保護二者的平衡點和解決方案?？傊?，在大數(shù)據(jù)環(huán)境下，智慧城市中數(shù)據(jù)的交互性和開放性突破了組織和系統(tǒng)的界限，產生跨系統(tǒng)的訪問或多方數(shù)據(jù)匯聚進行的聯(lián)合運算。加上大數(shù)據(jù)應用體系的混雜和廣泛，頻繁的數(shù)據(jù)交換共享促使數(shù)據(jù)流動路徑變得交錯復雜，而不再是數(shù)據(jù)從一開始產生到最終銷毀單向流動路徑，而會從一個數(shù)據(jù)控制者流向另一個控制者。這樣，數(shù)據(jù)溯源中數(shù)據(jù)標記的可信性、數(shù)據(jù)加密的有效性、數(shù)據(jù)標記與數(shù)據(jù)內容之間捆綁的安全性等議題和問題更加凸顯。如2018 年發(fā)生的“劍橋分析”事件中，F(xiàn)acebook 由于對第三方APP 使用數(shù)據(jù)缺乏監(jiān)管機制，最終導致8700 萬名用戶資料被濫用，從而引發(fā)股價暴跌、信譽度下降等后果。

（三）大數(shù)據(jù)交互的泛濫化

智慧城市是在物聯(lián)網的基礎上進行架構。物聯(lián)網代表了異構實體的互連，物體與物體之間相互連接并通過各種微型傳感器、移動應用程序和云服務發(fā)送或接收數(shù)據(jù)，并支持使用4G、5G、WiFi、藍牙、ZigBee、6LoWPAN、WiMax 等接入物聯(lián)網中，從而支持智能設備之間的通信，智慧城市通過使用各種數(shù)據(jù)流的交互來消解信息孤島，支持各個模塊的開放共享，從而提供更為智慧化和精細化的治理和服務方式。在數(shù)字信息時代，人們的衣食住行幾乎難以離開信息技術和智能移動設備，人們享受著各種技術發(fā)展帶來的便利的同時，也被數(shù)字技術的負面影響所俘獲。根據(jù)工業(yè)和信息化部發(fā)布的《關于工業(yè)大數(shù)據(jù)發(fā)展的指導意見》顯示的信息可知，工業(yè)數(shù)據(jù)已成為黑客攻擊的重點目標，我國34%的聯(lián)網工業(yè)設備存在高危漏洞，這些設備的廠商、型號、參數(shù)等信息長期遭惡意嗅探，僅在2019 年上半年嗅探事件就高達5151 萬起。物物互聯(lián)與物物有別始終處于此消彼長的沖突狀態(tài)，物物的高度互聯(lián)造成數(shù)據(jù)交互的泛濫，大數(shù)據(jù)的多源異構特征使得有效跟蹤和保護數(shù)據(jù)流變得困難，也讓數(shù)據(jù)二次使用、數(shù)據(jù)勒索、數(shù)據(jù)竊取、黑客攻擊、僵尸程序、惡意軟件感染等惡意和非法行為更難以預測和監(jiān)管。而伴隨著智慧城市中更多的設備連入物聯(lián)網，大量數(shù)據(jù)的交互使數(shù)據(jù)隱私保護工作更為艱難。Gemalto《2017 數(shù)據(jù)泄露水平指數(shù)報告》也顯示，2017 年上半年全球范圍內數(shù)據(jù)泄露總量為19 億條，超過2016 年全年總量（14 億），我國360 互聯(lián)網安全中心2018 年發(fā)布的安全報告顯示，僅僅在2018 年上半年標記為騷擾電話號碼數(shù)量約2943.7 萬個，平均每天約16.3 萬個，其中廣告推銷以53.0%位居首位，其次為騷擾電話26.5%、房產中介11.8%、詐騙電話5.1%、保險理財2.1%以及響一聲0.8%，而垃圾短信約48.7 億條，網絡詐騙舉報12052 起，涉案總金額高達19419.3 萬元?？梢?，物聯(lián)網在提升數(shù)據(jù)交互效率的同時，過于頻繁的數(shù)據(jù)交互也帶來了嚴重的數(shù)據(jù)隱私問題。

（四）大數(shù)據(jù)隱私侵犯的可及化

智慧城市通過針對選定數(shù)據(jù)子集開放訪問從而得以開發(fā)大量智慧服務，其所帶來的便捷高效是顯而易見的。［15］但其存在的數(shù)據(jù)隱私安全問題也同樣不容忽視。首先，在大數(shù)據(jù)環(huán)境下，智慧城市中巨量、多類型、多數(shù)據(jù)源、多形式的數(shù)據(jù)形式，這些數(shù)據(jù)通常是非結構化和動態(tài)變化的，它們的生成來源是復雜多樣的，如業(yè)務銷售記錄、物聯(lián)網中使用的傳感器、社交媒體、醫(yī)療機構中的病患記錄、視頻和圖像檔案等；而個體以及其他關聯(lián)個體與團體的數(shù)據(jù)分布發(fā)散且廣泛，在數(shù)據(jù)集之間的關聯(lián)性和交互性大大增強的情況下，數(shù)據(jù)集之間的融合也會存在相應的數(shù)據(jù)隱私泄露風險。大數(shù)據(jù)自身的融合性與整合性使得大數(shù)據(jù)時代中隱私權利的保護逐漸“溢出”傳統(tǒng)的“私域”并向“公域”延伸，隱私保護的整體性使公民喪失了數(shù)據(jù)保護的主權，最終陷于隱私保護的被動地位。其次，智慧城市中高度開放、交互共享的數(shù)據(jù)環(huán)境，不僅僅難以有效跟蹤和控制數(shù)據(jù)流，數(shù)據(jù)鏈條的冗長也讓大數(shù)據(jù)隱私保護變得更為脆弱，公民的身份隱私、身體隱私、空間隱私、搜索隱私、位置和移動隱私、通信隱私和交易隱私等已無處“安”放。換句話說，開放互聯(lián)與隱私保護始終是一對矛盾體，城市中數(shù)據(jù)之間的聯(lián)系越緊密，數(shù)據(jù)隱私的風險就越大，因為這意味著隱私保護的鏈條和節(jié)點越多。最后，通過挖掘和利用數(shù)據(jù)的高收益性加劇數(shù)字及數(shù)據(jù)業(yè)務深度開發(fā)，數(shù)據(jù)以更為隱蔽、不透明、規(guī)避法律和監(jiān)管的方式收集利用，并以此作為降低經營和運營成本的手段。顯然，在智慧城市中，“物物相連”的應用場景已將大數(shù)據(jù)隱私風險范圍拓展到政府部門外部，公民的數(shù)據(jù)隱私素質及意識、企業(yè)數(shù)據(jù)挖掘及使用規(guī)范、智能設備與產品的安全標準等成為影響數(shù)據(jù)隱私保護的重要因素。概而言之，大數(shù)據(jù)隱私保護范圍更廣，隱私風險點更多，隱私侵犯的可及性也進一步增強，傳統(tǒng)的數(shù)據(jù)隱私保護策略已難以適應。

四、智慧城市中數(shù)據(jù)隱私保護困境的生成邏輯

（一）城市全景監(jiān)控與數(shù)據(jù)資源商品化的負效應

城市全景監(jiān)控與數(shù)據(jù)資源是智慧城市中大數(shù)據(jù)過度收集的肇因。一方面，受到?？隆叭氨O(jiān)獄”這一隱喻的影響，智慧城市建設被認為是打造新的“全景監(jiān)控城市”。［16］在福柯的“全景監(jiān)獄”理論中，監(jiān)視代表著掌握權力的主體對客體實施規(guī)訓和管制的影響，被監(jiān)視的人只有服從的義務。［17］231而在智慧城市中，公民的一舉一動都處于智能感知與監(jiān)控設備的窺探和觀察之中，結合大數(shù)據(jù)庫，無處不在的監(jiān)控設備、傳感器以及追蹤定位技術讓智慧城市成為一座“超級全景監(jiān)獄”。［18］不同于?？滤鶑娬{的靜態(tài)、幽閉、陰暗監(jiān)視空間，智慧城市是動態(tài)的、開放的，并且不斷與其他空間產生互動。盡管如此，個體并沒有擺脫被監(jiān)視的命運，事實上，每一個體都無可避免地處于無處不在的監(jiān)視之中而難以掙脫。失去數(shù)據(jù)隱私主權的個體已不知不覺陷入到感受不到直接痛苦卻又無處不在的無形枷鎖之中，它既不借助暴力，也不通過剝削和壓迫的手段，卻最終實現(xiàn)了控制的目的。［19］5

另一方面，從石器時代到數(shù)字時代，每個時代都有支撐其進步增長的引擎，大數(shù)據(jù)被認為是數(shù)字經濟時代的驅動器，蘊藏著巨大的政治、經濟、社會及科研價值，打造智慧城市大腦、加快推動城市發(fā)展新舊動能轉換、實現(xiàn)城市智慧管理及服務等都離不開大數(shù)據(jù)的支持。隨著大數(shù)據(jù)在各種數(shù)字業(yè)務鏈條中的應用價值與日俱增，數(shù)據(jù)基礎架構逐漸成為組織的核心資產和營收中心，數(shù)據(jù)商品化及資本化的步伐加劇。因此，大數(shù)據(jù)的高附加值推動著數(shù)據(jù)商業(yè)變現(xiàn)，并加大數(shù)據(jù)資源的競爭壓力，這使大數(shù)據(jù)收集和精煉技術往縱深發(fā)展，使數(shù)據(jù)收集更加便捷和隱蔽，而新的信息基礎設施以及引入帶來了新的跟蹤范圍和規(guī)模，并不斷顛覆數(shù)據(jù)收集的實踐，從而進一步拉大數(shù)字鴻溝，加劇數(shù)據(jù)濫用，刺激數(shù)據(jù)交易，加劇數(shù)據(jù)隱私保護問題的嚴重性。

（二）智慧服務吸納隱私與數(shù)據(jù)處理黑箱化的壓力

智慧服務的4A（Anyone、Anytime、Anywhere、Anything）特征決定其高度依賴于大數(shù)據(jù)、云計算等新型信息技術來實現(xiàn)對數(shù)據(jù)主體的動態(tài)觀察和實時分析，服務“智慧”程度由數(shù)據(jù)周期性、數(shù)據(jù)維度、數(shù)據(jù)多寡等因素決定。智慧服務通過獲取用戶姓名、單位、職業(yè)、資產、消費、社交、社會地位、網站訪問、檢索記錄等基本情況，來了解用戶的偏好及其習慣，并決定何時、何地、針對何人提供廣告推銷或服務供給。涉及用戶的相關數(shù)據(jù)越多，數(shù)據(jù)使用的維度越高，用于支持決策的數(shù)據(jù)越可靠，分析結果就更加精確，但這也意味著隱私泄露的風險越高。通過吸納公民的個性化數(shù)據(jù)以獲取個體的生活、工作以及消費信息和習慣，分析并挖掘數(shù)據(jù)中有關的資源、空間、服務需求等要素，通過將其量化、分類化、可視化處理后形成精準服務的決策依據(jù)，最終提供量身定制的服務供給。而數(shù)據(jù)處理的自動化在高效地將原始數(shù)據(jù)進行集成分類時，由于難以自動檢視智慧城市中異構數(shù)據(jù)隱私保護的合規(guī)性，本身就存在數(shù)據(jù)隱私保護隱患。

大數(shù)據(jù)技術在自動進行提取、重新格式化、聚合、儲存、分析過程中，也將隱私保護置于復雜的算法黑箱中。［20］數(shù)據(jù)在重塑我們的生活，然而，我們并不知曉它們如何生產、如何處理、被運輸?shù)绞裁吹胤剑约拔覀兡芊裥刨囁鼈?。?1］108黑箱理論源于系統(tǒng)控制論，作為一種隱喻，“黑箱”主要指既不能從外部體察系統(tǒng)內部狀態(tài)，也不能直接打開從而為人所不知，而僅僅從輸入與輸出兩端來探究系統(tǒng)的運作。算法“黑箱”的緣起主要由于算法本身具有高度的專業(yè)性、復雜性以及排他性。算法“黑箱”的難以理解和解釋、不透明關涉人們的知情權、隱私權，并直接影響人們對于算法的認同度和信任度。在智慧城市中，大數(shù)據(jù)的生產、流轉及使用都由算法和代碼自動實現(xiàn)，由于算法技術、智能技術本身具有比較高的門檻，難以被非技術人士理解，算法黑箱中所涉及的數(shù)據(jù)隱私獲取、交易與共享無法為用戶所知悉，這極大增加了數(shù)據(jù)主體維護自己數(shù)據(jù)隱私權益的難度。

（三）多源異構稀釋隱私保護與數(shù)據(jù)隱私邊界模糊化的挑戰(zhàn)

智慧城市要實現(xiàn)“物物互聯(lián)”的愿景，就需要超越信息化城市的互聯(lián)網拓撲結構，擺脫各個組織和部門獨自開發(fā)自己的線上平臺、各自之間相對獨立和封閉的碎片化局面，從而實現(xiàn)數(shù)據(jù)信息的共享交互，最終提升城市運作的效率和效益。然而，其面臨的代價是大數(shù)據(jù)隱私保護的等級更高、范圍更廣、難度更大。這是由于現(xiàn)有用于隱私保護的方式僅為節(jié)點提供了同質的隱私保護，沒有考慮節(jié)點對異構數(shù)據(jù)服務器的安全差異，進而導致傳統(tǒng)的隱私保護策略由于其有限的數(shù)據(jù)計算能力、存儲能力以及處理能力而無法直接應用于物聯(lián)網下的異構環(huán)境。更為緊迫的是，高度復雜和動態(tài)的物聯(lián)網網絡空間將隱私保護面進一步擴大，異構設備與應用程序和高度交互特征都在稀釋隱私保護的努力，無論是智能設備硬件、系統(tǒng)軟件、網絡服務，還是人員、應用程序、網絡界面以及各種物理接口固件等都面臨著隱私風險，數(shù)據(jù)隱私保護的鏈條更長、面更廣、點更多。而異質性與交互性則意味著難以精準界定數(shù)據(jù)隱私風險的物理位置及傳播路徑，普遍且隱蔽的網絡攻擊則讓智慧城市的隱私安全保護形勢更加嚴峻。

數(shù)據(jù)隱私邊界作為管理數(shù)據(jù)權歸屬以及控制數(shù)據(jù)訪問權限的關鍵要素，隨著物聯(lián)網設備及應用在城市中的大規(guī)模部署，數(shù)據(jù)之間的自主、實時、智能交互使得數(shù)據(jù)隱私邊界模糊化，政府數(shù)據(jù)、企業(yè)數(shù)據(jù)、個人數(shù)據(jù)進行交互共聯(lián)，這對于數(shù)據(jù)占有權、支配權、使用權、收益權和處置權的精確歸屬造成嚴重的沖擊。隨著物聯(lián)網時代的來臨，數(shù)據(jù)控制邊界鏈接、掌握邊界滲透和明晰邊界所有權已日益模糊。［22］138這就意味著，如果數(shù)據(jù)使用尚未取得數(shù)據(jù)主體的授權及同意，那么數(shù)據(jù)主體也就失去了對自己數(shù)據(jù)的支配權。即便沒有特定的義務和規(guī)范，盡管所需要的僅僅是分離的碎片化數(shù)據(jù)及信息，這些數(shù)據(jù)和信息碎片也有可能經歷重新整合，從而形成足以揭示身體體征、身份、品性、習慣、人格及生活方式的豐富畫面。［23］260-261事實上，大數(shù)據(jù)處理還可能將一些原本毫無聯(lián)系的碎片數(shù)據(jù)及信息轉變?yōu)橐环N讓人感到苦惱和尷尬的描述。不管人們承認與否，大數(shù)據(jù)已成為一個數(shù)字化痕跡的“大籮筐”，隱私成為一個更加復合和整體的概念，用于區(qū)分私人和公共空間隱私邊界和間隙在大數(shù)據(jù)潮流的擠壓下消失了。

（四）隱私觀念流變與數(shù)據(jù)隱私保護基礎空洞化的阻滯

隱私的觀念同人類一樣古老，并為人類所生活的環(huán)境所制約。在古代社會，人類生活在群體中并受到集體利益的強烈影響，隱私觀念主要體現(xiàn)為身體隱私，個體本能地利用樹葉、獸皮等遮掩身體的私密處。在中世紀社會中，個人的完整性和獨立性往往是由國家/宗教的目標決定，并受到較為嚴格的監(jiān)視，個體的隱私權以及自治權并沒有成長空間和發(fā)展價值。隱私觀念體現(xiàn)為“私人”和“公共”空間的區(qū)別，隱私保護體現(xiàn)為對個體財產、生理空間、居住場所的保護。進入近代社會，城市的出現(xiàn)使個體有了相對獨立和自由的生活空間，并在一定程度上擺脫了傳統(tǒng)道德與宗教的控制，社會經濟的發(fā)展使得物質生活和精神生活得以區(qū)分，尤其是電話、照相機、廣播、報紙以及娛樂產業(yè)的萌生與發(fā)展讓隱私保護問題凸顯出來，隱私在19 至20 世紀成為普遍認同的權利。沃倫（Warren）和布蘭代斯（Brandeis）于1890 年將隱私定義為免受侵擾或獨處的權力，賦予其法律意義，并將隱私保護拓展到心理空間，認為失去隱私是一種人身傷害，會造成精神和感情上的痛苦。［24］在現(xiàn)代社會中，隱私觀念體現(xiàn)個體對隱私權的控制。尤其是隨著信息技術、通信網絡、大數(shù)據(jù)、云計算、數(shù)字傳感器、移動互聯(lián)網、物聯(lián)網等技術的發(fā)展，其逐漸滲透到個體的日常生活和工作中，個體的信息要素也就被數(shù)字科技所俘獲，從而失去對隱私權的控制，數(shù)據(jù)作為人們隱私信息的重要載體逐漸被公共部門、商業(yè)巨頭、技術專家，甚至是黑客通過算法和代碼進行支配，個體已失去對自己隱私權的控制。

作為數(shù)據(jù)隱私保護的基石，知情同意原則深深植根于主體價值中。知情同意原則是20世紀末為應對信息日益數(shù)字化而制定的一套隱私保護范式。但是當人類社會進入web2.0，web3.0 之時，該框架已無法回應動態(tài)的、異構的、不可預測的大數(shù)據(jù)環(huán)境下的隱私保護需求，從而淪為一種“默認機制”。因此，知情同意原則作為個體隱私保護基礎的正當位置受到了質疑。巨量數(shù)據(jù)的處理由于開放共享、頻繁交互、目的不特定、形式性強等原因加大了有效知情同意權獲取的難度。對于給定數(shù)據(jù)的分發(fā)、處理、應用往往在不透明及不知情的狀態(tài)下進行，規(guī)制大數(shù)據(jù)、物聯(lián)網以及云計算下的數(shù)據(jù)隱私保護框架已超出了范圍，甚至處于技術、監(jiān)管與法律真空地帶。冗長且晦澀的隱私聲明讓用戶難以閱讀，更無法理解，用戶往往會不予理睬并不假思索地點擊“同意”并進入“下一步”。更有甚者，知情同意原則逐漸淪為用戶獲取服務的強制性前提，用戶不同意隱私聲明就拒絕提供服務，其隱私保護的內容已淪為空洞的形式，雖然可以根據(jù)政策法規(guī)的變化適時調整數(shù)據(jù)隱私聲明，但無法有效地提升數(shù)據(jù)隱私保護的效率及效益，更難以引起用戶對隱私保護的足夠重視。［25］

圖1 智慧城市中數(shù)據(jù)隱私保護困境的生成機理

五、智慧城市數(shù)據(jù)隱私保護困境的因應策略

（一）推進大數(shù)據(jù)隱私保護法治化

首先，要基于大數(shù)據(jù)應用和智慧城市建設前景加快制定《個人隱私保護法》及相關配套法規(guī)，適時出臺相應的數(shù)據(jù)隱私保護條例，健全適用于物聯(lián)網、云計算與大數(shù)據(jù)等數(shù)字環(huán)境下隱私保護的法律法規(guī)體系，實現(xiàn)隱私保護有法所依。通過在法律上建構起大數(shù)據(jù)時代數(shù)據(jù)挖掘的“可采性原則”，避免數(shù)據(jù)過度和非法收集及利用，并明確數(shù)據(jù)采集利用等各類標準與禁止收集和挖掘的數(shù)據(jù)類型，規(guī)范公共部門、私人部門及其相關主體的數(shù)據(jù)監(jiān)視及其收集行為，進一步確保數(shù)據(jù)收集方法是法律授權及承認的，數(shù)據(jù)收集程序是可控、可核查且向公眾開放的，以及針對所收集數(shù)據(jù)的去隱私處理程序及其標準是經法定認證的。其次，建構權責清單，促進隱私保護權利與義務的統(tǒng)一。在法律上厘清個體數(shù)據(jù)權利與數(shù)據(jù)權益歸屬，明確數(shù)據(jù)收集主體、管理及維護主體、數(shù)據(jù)使用范疇等事項，落實公眾數(shù)據(jù)信息完善的“被遺忘權”，制訂切實可行的集刑事、行政及民事為一體的數(shù)據(jù)隱私侵權和問責機制，提高數(shù)據(jù)隱私保護的可行性。最后，完善數(shù)據(jù)隱私保護的懲戒和補償機制。健全數(shù)據(jù)隱私侵犯的認證機制和懲戒標準，為懲處侵犯個人數(shù)據(jù)隱私和個人信息安全行為提供法律依據(jù)。與此同時，健全公眾隱私泄露的表達機制，通過優(yōu)化投訴服務、監(jiān)督平臺建設及隱私問題處理服務機制。對于數(shù)據(jù)隱私侵犯的受害者要按照相應的法律依據(jù)和法定程序進行合理賠償，切實保護公眾隱私權益，實現(xiàn)數(shù)據(jù)隱私保護的長效機制，健全智慧城市隱私保護的法治之維，讓智慧城市更高效、安全及可持續(xù)地服務于公民。

（二）加強大數(shù)據(jù)隱私保護技術創(chuàng)新

大數(shù)據(jù)隱私保護從源頭出發(fā)涉及數(shù)據(jù)挖掘、上傳、傳輸以及下載等環(huán)節(jié)和事項，這就需要從數(shù)據(jù)生成到運用的各個階段進行加密處理，通過加強大數(shù)據(jù)加密技術的開發(fā)創(chuàng)新，利用高級加密技術防止數(shù)據(jù)、特別是機密數(shù)據(jù)的泄露和破解。諸如區(qū)塊鏈技術，由于其具備便于審計、永久記錄、去中心化等特征，因此可以滿足大數(shù)據(jù)隱私保護對于可限制性、完整性、去中心化、永久記錄和便于審計等安全需求。區(qū)塊鏈技術可以在非信任節(jié)點之間通過高級算法建立安全可靠的信任關系，而不是依賴于中心機構與權威機構作為信任背書，這種特殊的安全模型能夠作為大數(shù)據(jù)背景下隱私保護的有效解決方案。［26］更為重要的是，區(qū)塊鏈技術實現(xiàn)了數(shù)據(jù)使用權和所有權的分離，數(shù)據(jù)區(qū)塊通過從遠到近的時間序列將數(shù)據(jù)鏈接起來，既能實現(xiàn)數(shù)據(jù)之間的互聯(lián)互通，也能讓數(shù)據(jù)有據(jù)可循，進而將數(shù)據(jù)的控制權掌握在用戶手中，最后在保護用戶數(shù)據(jù)權的前提下，提升數(shù)據(jù)挖掘、傳輸及利用的效率和效益。此外，對于智能傳感設備及其硬件，可以使用入侵檢測系統(tǒng)（IDS）、木馬檢測、側通道分析等來檢測物聯(lián)網中的硬件木馬和設備上安裝的惡意固件和軟件，也可以運用惡意固件和軟件檢測方法來處理信道信號以檢測設備的異常行為。在數(shù)據(jù)傳輸過程中，通過設置難以破解的加密方案以有效保護通信協(xié)議。以去圖案和去中心化的方法實現(xiàn)匿名通信和防御側信道攻擊。采用基于角色的授權方案以防止響應入侵者或系統(tǒng)中的惡意節(jié)點的請求。對于數(shù)據(jù)的邊緣計算處理，可以通過預測試等來檢測是否存在惡意節(jié)點，避免無效數(shù)據(jù)注入系統(tǒng)或違反協(xié)議，并精確有效地檢測服務器上的代碼注入攻擊。

（三）打造多元共治的大數(shù)據(jù)隱私保護體系

在數(shù)據(jù)隱私保護的能力上，數(shù)據(jù)的交互性、共享性及互操作性決定了需要整體性的深度防御策略，構建起包括政府、社會、市場、公民甚至是國際組織等多元主體在內的制度框架。對于政府部門而言，政府或其他授權機構必須進行相應的監(jiān)管，并設計智慧城市數(shù)據(jù)、通訊網絡和智能設備的數(shù)據(jù)保護標準，加大對智慧城市建設及治理過程中所需要的微型傳感設備、通信組件及鏈路層技術產品等的安全監(jiān)管，依法處理不符合數(shù)據(jù)安全標準和規(guī)范的設備和產品，對生產的企業(yè)依法處罰甚至是取締，提高智慧設備及其通信產品生產的市場準入門檻，規(guī)范企業(yè)生產。此外，提升隱私保護的執(zhí)法力度，對于隱私侵犯行為零容忍，嚴厲打擊數(shù)據(jù)交易、非法出售數(shù)據(jù)等行為。對擅自出售數(shù)據(jù)、非法數(shù)據(jù)交易、數(shù)據(jù)盜用、數(shù)據(jù)詐騙以及數(shù)據(jù)濫用等行為絕不姑息，對于影響惡劣的隱私侵犯案件要加大處罰和曝光力度，提高隱私權侵犯的成本。對于私人部門而言，如APP 運營商、智能設備制造商、手機制造廠商等要加強自律，自覺遵守數(shù)據(jù)隱私保護的法律法規(guī)，清醒地認識到數(shù)據(jù)隱私侵犯的法律后果。并以用戶體驗為出發(fā)點，將用戶隱私視為重要的信譽資產，維護好用戶數(shù)據(jù)隱私。與此同時，積極履行社會責任，主動維護好用戶數(shù)據(jù)隱私并自愿接受公眾和公共部門的監(jiān)督。對于公民而言，要加強數(shù)據(jù)隱私保護意識，了解數(shù)據(jù)安全的發(fā)展形勢，及時獲取數(shù)據(jù)隱私保護的最新方法，保管好自己的隱私，有效提升自我隱私保護技能。通過多方發(fā)力，在隱私權合理期待基礎上加強協(xié)同合作，構建起智慧城市的隱私保護制度。

（四）夯實智慧城市的大數(shù)據(jù)隱私保護基礎

要認識到隱私觀念的流變性，明晰新技術條件下的隱私權益歸屬及其保護困境。一方面，推動知情同意原則走向實質化，這并不是單純的技術問題，其本質是技術如何更高效且安全地服務于公眾。同意的概念和征求同意的機制涉及規(guī)范價值問題，如果只是機械地強調知情—同意原則的技術適用性，那么也就容易忽視隱私保護的倫理向度和現(xiàn)實基礎，偏離以人為本的設計方法和路線。由此，需要確立“技術中立”原則，對原有的知情同意原則進行解構，根據(jù)新的數(shù)據(jù)環(huán)境進行更加合理的精細化設計。另一方面，消解知情同意原則異化的核心，是數(shù)字化時代下如何將數(shù)據(jù)隱私權保留在用戶手中，讓用戶對于自己的數(shù)據(jù)具有決定性的控制權和話語權，推動知情同意原則的實質化，在數(shù)據(jù)控制和數(shù)據(jù)運用之間找到平衡點，避免通過犧牲數(shù)據(jù)隱私來交換便捷和高效服務?？刂莆覀兊臄?shù)據(jù)透露給誰、如何傳播、處于何處、如何被使用，這就要限制數(shù)據(jù)的流動，而不是完全讓它停止不動。［27］197可以預見的是，超越傳統(tǒng)的知情同意原則需要更為多元主體參與、更多的學科涉入、更多部門的協(xié)同合作、更為綜合的方法，從而回歸更為本初的價值追求——以人為本，進而以多種渠道、多種方式夯實智慧城市的數(shù)據(jù)隱私保護基礎。

六、結語

隨著智能傳感、物聯(lián)網、云服務等大數(shù)據(jù)技術在政府政務、交通信號燈、輔助駕駛、鐵路軌道、能源管理、工業(yè)系統(tǒng)、智能設備、環(huán)境監(jiān)控、供應鏈物流、手機票務、身份驗證、數(shù)據(jù)采集、公共衛(wèi)生、智能辦公等的應用，智慧城市中的服務及管理變得愈加“智慧”；一窗式辦理、集成化服務平臺、遠程管理等便捷服務讓城市變得更加高效和智慧。然而，傳統(tǒng)互聯(lián)網的數(shù)據(jù)安全保護策略由于其自身有限的存儲能力、傳輸能力以及計算能力已無法直接應用于智慧城市的數(shù)據(jù)安全保護，需要建構整體性的數(shù)據(jù)安全保護體系，從而對智慧城市中復雜、開放、動態(tài)的數(shù)據(jù)隱私問題進行應對和消解。這要求健全數(shù)據(jù)隱私保護的法律和監(jiān)管體系；探索先進的隱私保護技術；構建新的數(shù)據(jù)保護防控模型；重塑政府、公民和其他社會行為者的角色。