【论文】开源情报环境下个人信息保护研究
2023-11-23 01:25:8 Author: 丁爸 情报分析师的工具箱(查看原文) 阅读量:12 收藏

【 摘要】 

[研究目的]大数据时代,开源情报广泛运用于各个领域,价值日益凸显,但是开源情报与个人信息安全之间存在一定张力,对个人信息保护产生了深远影响。如果个人信息保护问题在开源情报中得不到妥善解决,那么势必阻碍开源情报的发展。因此,探讨开源情报与个人信息之间的关系,开源情报对个人信息保护的影响及应对思路具有重要意义。

[研究方法]在梳理文献的基础上分析开源情报环境下个人信息保护研究的现状,通过系统文献分析 及实践考察总结了开源情报与个人信息之间的关系,以及开源情报对个人信息保护的影响。

[研究结论]为了激活开源情报价值,规范开源情报工作,加强个人信息保护,应该重塑个人信息概念、保障个人信息自决权实现、遵守个人信息处理正当原则、确保受损的个人信息权益获得救济。

0 引 言 

过去很长一段时间,人们热衷于运用秘密手段获 取情报,忽视了从公开的信息中获取情报。随着大数 据时代的到来,人工智能技术的发展,数字虚拟世界和 物质真实世界的融合,通过开源信息获取情报的重要 性得到了广泛认同,情报机构越来越依赖信息技术收集开源信息( Open Source Information,简称 OSINF) ,并以 此 为 基 础 获 取 开 源 情 报 ( Open Source Intelligence,简称 OSINT) 。开源情报主要指国家安全机构、 新闻媒体、科研机构、商业机构、社会情报机构等部门 为了满足特定用户需求,解决某些问题或某一特定问 题,从报刊、书籍、广播、网络、电视、政府公报、商业机 构数据库等公开、非机密渠道收集信息,加工、处理信 息获取的情报。由于开源的特性,开源情报的开发应 用也带来了诸多问题,其与个信息保护如何协调是不容忽视的重要问题之一。

检索“中国知网”( CNKI) 发现,开源情报研究在我国尚处于起步阶段。以“开源情报”为主题,检索得到 62 篇文献( 包括期刊论文和硕博论文) ,其中多探 讨了开源情报的收集、研判、运用等,也有文献研究了开源情报带来的影响。梅建明等重点探讨了开源情报对国家安全情报工作、体制带来的影响,并提出开源情报可能导致人类处于监控社会中。在某种程度上而 言,该研究已经关注到开源情报与伦理、道德之间的张力,间接地提及了开源情报会对公民权利造成影响。董尹等认为在开源情报开发过程中,使用新兴技术搜 集公开数据和信息时会触碰到喜好等个人信息,给个 人带来一定侵害。赵小康提出,在反恐方面,开源情报能够弥补秘密情报的不足,但是随之而来的问题是侵犯个人隐私。

域外有研究关注到开源情报与隐私保护之间存在一定冲突。部分研究主要从政府基于保障国家安全利 用监控等技术手段获取开源信息的角度阐述了开源情 报对个人隐私保护的影响以及如何纾解。比如 Pompeu Casanovas 认为开源情报工具设计者为了最大限度利用开源信息会尽可能多地收集个人信息,因此需要进行隐私设计( 美国所称隐私涵盖了个人信息,即采取了隐私与个人信息一元化合并式保护模式) 。Quirine Eijkman 等认为开源情报和隐私保护之间存在困境,政府是时候切实担负起责任了。还有部分研 究从非国家安全情报机构开发开源情报的角度论述了 开源情报对隐私保护的冲击,以及如何设计隐私保护 框架。比如 Bert-Jaap Koops 等注意到开源情报对隐 私保护提出了挑战,认为应该在合理开发、应用开源情 报的情况下对开源情报实施技术规制。

以上研究虽然提及了开源情报与个人信息之间的 冲突,但是并未系统性地指出开源情报对个人信息保 护带来了哪些冲击,也没有提出具体的应当措施。然 而,不可否认以上研究仍然对我们讨论开源情报对个 人信息保护的影响,以及应对方法具有启示意义。

1 开源情报与个人信息之间的联系 

情报的发展经历了漫长的过程,第一次世界大战 期间以人员情报为主,信号情报在第二次世界大战期 间成为主角,图像情报在冷战前后发挥了重要作用,信 息技术的发展开启了开源情报时代。开源情报对情 报体制及个人信息保护等诸多方面产生了深刻影响。在大数据时代,个人信息与开源情报之间的关系也亟 需厘清,这是研究开源情报环境下个人信息保护的前 提。 

1.1 开源信息是开源情报的基础 

尽管学界对于开源情报的界定不一致,但是普遍 认同其信息来源为开源信息。自情报概念诞生以来, 国家安全部门、新闻媒体、科研机构、商业机构等组织、 人员皆要收集、分析开源信息。只不过不同时代,开源 信息的载体不同,被收集的手段不同罢了。“所有的 公开信息都是情报‘磨坊’的‘谷物’”,和平时期的 决策者 作 出 决 策 所 需 的 信 息 有 80% 是 公 开 的, “90%的情报来自公开来源”。正因如此,学界将开 源情报定义为“通过分析公开渠道获取的信息所得到 的情报”,或从开源信息中收集到的情报。可见, 开源信息是开源情报生成的基础,开源情报是在开源 信息的基础上“加工”而成。“开源”含有“公开”“不 隐蔽”“公众”可接触的意思,开源信息是指情报人员 和社会公众皆可接触到的信息,这意味着开源情报 与秘密情报相对,其信息源为公开的信息以及限制 公开或访问的非机密信息。开源情报是从任何用 户皆可以接触到的报刊、书籍、广播、网络、电视、政府公报等公开信息源获取的情报。因此,从开源情报 生成角度而言,开源信息是开源情报的基础。

从开源情报作为一个相对独立的情报种类而言, 开源信息同样是开源情报的基础。正是由于开源信息 具有公开性、易得性等特征,其在情报获取中的作用越 来越大,开源情报因具有独特优势而日益受到重视,并发展起来。20 世纪 80 年代末美国军事侦察部门创造 了开源情报这个术语,开源情报进入公众视野,经北约 组织进一步明确后,成为一种相对独立的情报种 类。从此角度而言,开源情报作为相对独立的情报种 类是在开源信息是情报“磨坊”的“谷物”,为了提高开 源信息在情报决策中运用效率的背景下出现的。在某 种程度上可以认为,开源情报是一门关于处理开源信息的科学,因此也可以认为开源信息是开源情报的基 础。

1.2 个人信息是开源信息的组成部分 

诸多事件以人为中心,一定意义上可以说个 人信息是开源信息的重要构成部分。学界将开源情报 的公开来源大致分为 7 大类: 第一大类是印刷媒介,主 要包括报纸、杂志、电话簿、画册、交通时刻表、挂历、宣 传册等; 第二大类是电子媒介,主要包括电视、广播、电影、电子显示屏幕、电话、网站等; 第三大类是展示媒 介,主要包括陈列、橱窗、门面、立式广告、真人广告等; 第四大类是户外媒介,主要包括广告牌、霓虹灯、海报、 旗帜、车厢、气球、建筑物等; 第五大类是物件媒介,火 柴盒、打火机、手提袋、包装纸、雨伞、旅行包等; 第六大 类是 Web2.0 时代的媒介,主要包括社交网站、视频分 享网站、博客等; 第七大类是政府数据、航拍照片和学 术信息等。从某种程度上而言,情报机构可以从以 上七类公开信息源中获得大量情报。虽然这七类公开 信息源未明确指出包含个人信息,但是个人信息却无 处不在。比如纸质的电话簿、电子广告记载的电话号 码直接可以识别个人身份,其无疑包含个人信息。再 如看似与个人信息无关的火柴盒、打火机、雨伞等物件 媒介也蕴含着丰富的个人信息,分析特定场景,联系个 人特点、生活习惯,也能较为精准地确定个人身份。又 如人口普查等政府数据同样明确记载了个人信息。社 交网络、博客等 Web2.0 时代的媒介更是存储着丰富 的个人信息———网络深度嵌入人们日常生活中,网络 空间与海洋、陆地、天空、太空构成人类五大生存空间, 人类活动延伸至网络空间中,时时刻刻与网络空间发 生交互,留下 IP、个人观点、情感状态、位置定位等足 以关联个人身份的信息。因此,在以人为主导的环境 中,只要存在开源信息就或多或少地看得到个人信息 的“影子”。

1.3 开源情报中包含大量个人信息 

开源信息是开源情报的基础,个人信息是开源信 息的重要组成部分,因此开源情报包含大量的个人信 息,这也导致情报机构盛行收集个人信息以获取开源 情报。前大数据时代,开源情报的信息源最初是纸质 信息,情报机构主要是通过收集、分析、处理期刊杂志、 会议论文集、书籍、灰色文献等纸质材料上记载的信息 获取开源情报。而期刊杂志、会议论文集、书籍、灰色 文献等纸质材料记载了个人身份、个人就某事物发表 的观点等信息,这些信息皆是情报机构收集的重点信 息之一,通过这些个人信息可以获取情报。比如美军 在军事行动中通常将开源情报分为战略情报、战役情 报、战术情报,在战略情报中将分析人物传记作为获取 情报的重要方式,通过分析当前及潜在重要人物的教 育背景、职业经历、个人成就、爱好、习惯、价值取向等 信息获取“人物( 传记) 情报”。

大数据时代,情报机构收集个人信息,获取开源情 报的现象更为普遍。一方面,在大数据时代,社会治理 方式越来越信息化,数字国家、数字政府、数字社会已 然成为现实,信息在国家、社会治理中的价值凸显,诸 多数据库中包含了海量的个人信息,处理这些个人信 息可以获取开源情报。比如为了加强对外来流动人口 的管控,提高社会治理能力,情报机构热衷于搜集地理 位置、移动轨迹等个人信息研判社会形势。截至 2004 年大约有 52 个美国政府部门实施了 190 余项数据挖 掘项目,美国联邦民航局于 1996 年启用了“计算机辅 助下的旅客预审系统”( CAPPS) 、美国移民海关执法 局于 2001 年启用了“监测留学生和访问学者信息系 统”( SEVIS) ,旨在通过此类系统全面收集旅美个人 的姓名、位置、职业等方面信息,以获取国家安全等方 面的情报。再如为了加强对企业等社会机构的监管, 相关部门建立了“国家企业信用信息公示系统”等社 会机构信息公示系统,组织和个人可以轻松地通过这 些公示系统获取情报,典型的例子是公安机关可以通 过该系统查询与案件人员的信息,个人可以通过“天 眼查”等 APP 查询了解个人、企 业 状 况。另 一 方 面,人类生活、学习、工作亦愈来愈智能化,诸多与政 治、经济、科技、文化等方面相关的个人信息在虚拟网 络空间中流通,这些个人信息之再利用可以使得情报 机构立即接触到社交及社会生活,因此情报部门将社 交网络等电子平台作为开源情报搜集信息的“源泉” 之一,热衷于利用爬虫等技术工具回溯性、实时监控社 交网络等电子平台获取个人信息。比如 9·11 事件发 生后,美国马上就启动了获取开源情报的“全面信息感知( TIA) ”计划,收集个人的网上行为、消费记录、学 习成绩、健康档案、出行时间等信息。

2 开源情报环境下个人信息保护面临的困境 

尽管公开信息是开源情报的基础,但是情报收集 过程中仍然可能会侵入私人领域,危害个人信息安全, 侵害个人权益,个人信息保护面临着严峻的挑战。

2.1 个人信息概念受到冲击 

识别性作为确认个人信息的标准得到了广泛认同。譬如美国《视频隐私保护法》等涉及个人信息 保护的法律皆将个人信息界定为可识别个人身份的识 别性信息。欧盟《数据保护指令》和《一般数据保护条 例》等法律规定个人信息是与可识别个人身份相关的 信息。我国也借鉴了此种方式,《个人信息保护法》将 个人信息界定为“以电子或者其他方式记录的与已识 别或者可识别的自然人有关的各种信息,不包括匿名 化处理后的信息。”

一般认为“可识别”是界定个人范围的核心,但是 在开源情报获取应用过程中,无法识别个人及匿名化 处理后的信息皆可能经过人工智能技术处理后变得具 有可识别性———看似不具有识别性、匿名化处理的信 息能够“拼凑”出“完整”的个人。“个人信息的‘可识 别性’模糊化,‘可识别’的程度和难度亦随具体场景 的变迁而异”,个人信息的外延实际上也随之扩大,不仅包括姓名、身份证号码、电话号码、电子邮箱、性 别、兴趣爱好、工作单位、年龄等基本信息,而且包括诸 多可用以识别个人身份的现实生活信息和虚拟生活信 息。情报机构在收集个人信息以获取开源情报时并不 会选择性地收集直接可识别个人身份的信息,而是全 面地挖掘包含着非可直接识别个人身份的各类信息, 这将对个人信息的概念造成冲击,进而为超范围收集 个人信息提供了逃避法律责任的“借口”,导致个人信 息保护出现真空。 

2.2 个人信息自决权难以实现 

即使个人公布的个人信息具有公共性和私有性, 个人不一定享有信息的绝对所有权,但是仍然享有自 决权,个人可以决定其信息是否能够被处理。“让( 包 含个人信息) 的内容公开并不等于允许它被分发、聚 合或以其他方式扩展”,公开的个人信息尽管可能 不包含敏感的信息,但是认为利用这些信息获取情报 不可能损害个人信息权益的想法无疑不切实际。不能 简单地认为,个人信息被公开了,或者允许这些信息被 发布就放弃了自己对个人信息的控制及相关利益。如 果认同此种说法则意味着发布个人信息完全是个人行 为,一旦个人信息被个人公开,即使未获得当事人许可 使用或者个人发布信息的行为产生了诸如人肉搜索等 负面影响也完全是个人的责任。然而,恰恰相反,允许 他人查阅个人信息并不意味着允许他人存储、分析这 些信息,已经进入公共领域的个人信息即使之前已经 处于公开状态,但是这并不意味着信息处理主体可以 任意处理私人信息。就如同有人把门打开了,但并不 意味着他人可以随便进入。个人信息公开这一事 实并不等同于它们可以在不考虑保护个人信息自主权 的情况下被处理,因此开源情报环境下仍然要尊重个 人信息自主权。

开源情报环境下,个人信息不再针对特定对象公 开,用于获取开源情报的个人信息不仅包括某人发布 的他人个人信息,也包括自己发布的自己个人信息。利用某人发布的他人个人信息获取开源情报首先就可 能面临着未得到充分授权的困境,而利用自己发布的 自己个人信息获取情报遭受着是否得到完整授权的质 疑。开源情报看似是一种没有侵害个人信息安全隐患 的情报获取方法,但是用于获取情报的个人信息并非 一定是人们愿意公开的信息,这可能造成人们不知不 觉地失去了对可能想要或者认为正在控制的信息的自 决权。在此情形中,通过这些信息获取情报近乎成为 一种间谍活动,诸多个人信息被不知不觉地收集, 这无疑对个人信息自决权的实现提出了挑战。

2.3 个人信息处理正当原则受到挑战

个人信息处理正当原则主要是指个人信息处理必须有利于增进个人利益或者公共利益,且按照符合社 会公众一般期待、公序良俗的方式进行。该项个人 信息处理原则得到了普遍认同,我国《个人信息保护 法》、欧盟《通用数据保护条例》、澳大利亚《联邦隐私 权法》等皆明确规定个人信息( 隐私) 处理遵循正当原 则———个人信息( 隐私) 只能基于特定、明确、合法的 目的处理,且不能违背初始目的。之所以将正当原则作为个人信息处理原则的背后法理在于通过结果反 向制约行为,加强信息处理主体自我规制,以此规范个 人信息处理行为,保障个人信息安全。

开源情报环境下,个人信息处理正当原则遭受到 了挑战,极易发生滥用个人信息等危害个人信息利益 的行为。一方面,就按照正当程序处理个人信息而言, 要求在处理个人信息时明确、清晰地告知信息主体,个人基于真实意思同意处理个人信息。但是在利用个人 信息获取开源情报时并未明确告知信息主体,公开个 人信息并不等于授权处理。甚至在某些情况下,使用 非公开的手段获取个人信息,这显然不符合开源情报 获取手段也须是公开的要求。从此角度而言,开源情 报环境下,不能完全确保个人信息是按照正当程序处 理的。另一方面,从个人信息处理须具有正当目的角 度而言,也无法完全保障处理个人信息的目的正当。应然状态下,处理个人信息的目的是为了实现个人利 益或者维护公共利益。但在实践中,基于个人信息生 成的情报被用于塑造特定人物画像,或者勾勒人物之 外的整体性事物或事件,情报机构可能会根据“画像” 作出有损个人利益的决策。典型的例子是大数据杀熟———商家收集社交网络上的个人信息,对个人进行 画像,通过算法预测个人的消费能力及偏好,在提供个 性化服务的同时根据消费能力及消费的迫切程度制定 更高的价格。除此之外,在求职工作场景中,雇主可能 依据某人于若干年前在社交网络上发表的对某企业、 某行业或者某项工作不满的言语而做出不予录用的歧 视性决定。

2.4 个人信息权益受损难以获得救济 

开源情报依赖虚拟社区,其具有危险性。这种 危险主要来源于开源信息的真实性和可靠性无法保 证,获取开源情报的信息质量良莠不齐。任何人创作 的信息皆可能成为开源情报的内容,而其中包含的个 人信息的真实、可靠性未知,情报机构可能收集到虚假 信息,比如某人捏造有关另一个人虚假、虚构的信息, 媒体对他人不客观、准确的评价,因诸如翻译的内容断 章取义或者不准确、图形模糊不清等因素采集的错误信息。甄别、验证此类虚假、错误信息的难度较大, 极易误导情报决策,发生侵害个人权益的行为。譬如 一个女子因为愤怒而在 Facebook 等社交网络上发信息声称她的前男友是恐怖分子,随后该男子便会在不 被告知缘由的情况下被国家安全部门限制进入美国。在此种由于错误信息而导致个人权益受损的情 形中,救济个人权利,停止侵害的直接方式是删除或者 更正错误信息,但是个人行使删除权和更正权具有一 定难度,“网络是不会忘掉一个人的”。

在非由于错误信息导致个人权益受损的情形中, 同样存在个人权利难以获得救济的问题。比如在网民 出于公共利益,利用个人信息获取开源情报过程中可 能导致他人个人信息泄露,此时个人可能对自己个人 信息已经泄露浑然无知或束手无措。典型的例子是网 络组织通过“人肉搜索”的方式帮助侦查机关或安全 部门获取情报,而网络组织是否可以如此尚无明确法律依据,对个人权益造成的损害如何消除也尚未明确, Shahi Gheiybe 案件就是一个例子。Shahi Gheiybe 是 荷兰在逃的罪犯,被警方网络通缉,荷兰民间网络组织 Bellingcat 利 用 Shahi Gheiybe 发 布 到 Instagram 上 的 Nasiri 的房屋图片锁定了 Shahi Gheiybe 的位置。但是 在挖掘 Nasiri 信息确定 Shahi Gheiybe 位置的过程中, Nasiri 个人信息 被 泄 露 了。荷兰法律并未明确规定 Bellingcat 这样的民间网络组织有权调查罪犯,在某种 程度上而言,Shahi Gheiybe 和 Nasiri 的个人信息权益 皆受到了损害。但是由于信息流通链条过长,阻止 信息传播难度较大,即使信息传播得以阻止,但是个人 权益受损早“木已成舟”。另外,由于个人信息是公开 的,参与收集、处理、利用的主体较多,由此导致侵权对 象的认定,责任的承担,以及侵权后果存在的证明皆较 为困难。 

3 开源情报环境下个人信息保护困境的突破

大数据时代,基于发掘信息价值,分享信息红利, 开源情报开发及应用具有正当性。但是在开源情报开 发应用过程中需要保护个人信息安全,如此方能确保 开源情报在法律及伦理层面得到强有力的支撑。化解 个人信息保护和开源情报之间的冲突,需要采取一系 列举措,确保开源情报开发应用与个人信息保护相协 调。 

3.1 重塑个人信息概念

开源情报环境下加强个人信息保护的第一步是重新审视个人信息的内涵和外延,重塑个人信息概念,防 止个人信息处理游离在立法之外。随着信息处理技术 的发展,在收集个人信息以获取开源情报时利用姓名、 身份证号码、电话号码、照片等信息的概率并不必然比 利用 IP 地址、位置信息、年龄、工作单位、观点、聊天记录、通讯记录等信息的概率高。某种程度上而言,情报 机构在一般情况下多搜集群体性、非可直接识别个人 身份的信息,打包式处理以获取特定情报。比如以色列网络安全专家谢·希勒曾经使用 Deep Analytics 系统检索 Facebook、Twitter 等社交平台上与“占中”相关 活跃用户及其消息记录,通过分析不仅获得了用户的资料、彼此关系、地理位置等信息,而且产出了重要成 员个人、参加活动情况等具体信息。这表明,开源情报环境下,个人信息的界定不能仅仅考察是否可识 别个人,个人信息的概念需要适度地去“可识别性”。目前,有学者注意到依据“识别说”界定个人信息的做法会导致个人信息外延缩小,个人信息保护陷入困境 的情况,提出依据“场景理论”界定个人信息。该观点的实质是根据具体场景确定某些信息是否是个人信息,而不是单纯地将可识别作为判断是否是个人信息的标准: 提倡在具体场景中综合各种因素考察通过信 息联想到某人的可能性大小,以及处理这些信息是否会给个人带来影响,即个人信息 = 场景+可能性+影响。该“学说”有助于化解开源情报环境下个人信 息概念困境,获取开源情报的个人信息不仅包括可以识别个人身份的信息,也包括经过技术处理能够关联到个人,对个人产生影响的信息。 

3.2 保障个人信息自决权实现

当下,我国及欧盟采取“选择进入”机制,依托知情同意规则保障个人信息自决权得以实现。“选择进入”是指处理个人信息时必须征得他人同意,否则构成侵权。开源情报环境下,情报机构收集个人信息 时并不会告知个人,也不会征得个人同意,个人公开信 息不等同于同意处理其个人信息。因此,依靠“选择进入”机制,依托知情同意规则并不能完全保障个人 信息自决权能够实现。但是这并不是说开源情报环境 下可以忽视个人信息自决权。在大数据时代,个人信息具有个人属性和公共属性,个人信息保护仍然要确保个人享有,并能够行使个人信息自决权。

与“选择进入”相对应的是“选择退出”,其主要指个人信息主体和处理主体之间不存在明确的授权合同,在特定情形下,如果个人信息主体未明确表示不得 处理个人信息,即认为个人信息主体默认、许可信息处理主体处理其个人信息。开源情报环境下,引入“选择退出”机制能够兼顾个人信息的利用和个人信息自决权的实现。“选择退出”机制没有摒弃个人信息自 决权得以实现的基础———知情同意规则,而是对同情同意规则适用情形做了变通,仅在特殊情况下,情报机 构在利用个人信息获取情报时需要得到信息主体的明 确同意,而大多数情况下并不需信息主体同意,这消解 了信息主体无法获知个人信息被处理,情报机构与信 息主体难以沟通达成一致的困境,实现了开源情报价 值与个人信息保护必要性之间的平衡。“选择退出”机制放弃了从源头规制个人信息处理行为,以及个人 信息处理目的限定的思路,而是从开源情报开发、 利用的角度,减少个人信息处理的成本,给予情报机构 开放、自由的信息流通环境,并给信息主体配置个人信息处理选择退出权,增强信息主体自主控制权。同时, “选择退出”机制能够破除个人一次性知情同意而一 劳永逸地获得免去自我保护个人信息安全责任的“怪 圈”,迫使信息主体切实担负起保护自我个人信息安全的义务,尽可能地实现个人信息自治。

3.3 遵守个人信息处理正当原则 

个人信息处理正当原则具有弥补知情同意规制流于形式的缺陷,以及规范知情同意规则例外情形的功能,其如同看不见的探头,密切地关注信息处理主 体,迫使信息处理主体在无人监督自己时从内而外地自觉遵守个人信息处理基本规范。本质上是将个人信息处理需要遵守的基本伦理道德上升为一种普遍认同 的规则。开源情报被称为“伦理黑客”,也就是说开源情报这种“黑客行为”不违法,但是必须受到伦理的约束,伦理问题适用于个人信息处理。开源情报环境下,由于收集情报的个人信息是开源的,大多数情况下 个人并不知悉其信息被收集、处理、使用,情报的获取很大程度上处于相对“隐蔽”的状态,此时更应该坚定不移地遵守正当原则。

a.收集公开的个人信息以获取情报的方式、手段符合基本的伦理道德要求。开源情报的重要特点之一是开源情报必须以合法手段收集信息,David Steele 认为开源情报所依赖的开源信息必须是情报人员和社会公众皆可以从报刊、书籍、广播、网络、电视、政府公报等公开信息源中以合法手段收集而得。如果获取此类信息的手段不被公众认可,在某种程度上可以认 为所得的情报不是开源情报。开源情报的另一个特征是以公开手段获得,如果以秘密手段获得,很大程度上不能称之为开源情报,而是秘密情报。“开源情报的价值在与秘密情报比较中得到彰显”。因此,开源情报环境下,个人信息的收集应该是公开的、合乎伦理道德的。 

b.利用公开的个人信息获取情报的目的必须有利于促进个人利益和公共利益。开源情报的另一个特点是其目的性强,是为了一定目的收集、分析、使用公开 的信息,例如为了执法需要,挖掘 Twitter、Facebook 页面信息,监控在线新闻媒体以获取与预防、发现恐怖活动有关的信息。换言之,开源情报环境下,个人信息处理遵循正当原则的根本是保证开源情报的目的正 当,个人信息处理的目的须是为了保障基于个人信息生成的情报决策符合基本的伦理道德,有利于实现个人利益和维护公共利益。

3.4 确保受损的个人信息权益获得救济 

虽然开源的个人信息发布于社交网站等公共领域,任何人都可以访问,但是并不意味着利用个人信息获取开源情报的主体不需要承担相应的责任。相反, 开源情报的开发应用会对个人的现在或者未来权益造成间接或直接的负面影响,应该确保受损的个人信息权益获得救济,侵害个人信息权益的主体承担相应的责任。一般将救济视为除了事前预防性措施之外的 “兜底”手段,着重强调运用司法程序修护受损的利益。实际上,救济不单是一种局限于司法机制的“兜底”手段,而是一种由立法、执法、司法构成的体系。开源情报环境下,确保受损的个人信息权益获得救济的逻辑进路是立法、执法、司法协同推进,立法为通过执法和司法救济受损的个人信息权益提供基础,执法是立法的贯彻、司法的补强,司法是个人信息保护的最 后屏障。

第一,应该结合开源情报,完善个人信息保护方面的立法。目前有关开源情报的立法相对滞后,无法适应个人信息保护需要,比如民间网络组织是否可以利 用个人信息协助警方调查罪犯并没有明确规定,合法性实际上受到质疑,可能沦为“人肉搜索”,致使侵害个人信息的责任主体在立法上缺失。立法应该基于个人信息保护对开源情报有所回应。 

第二,政府切实履行职责,加强个人信息保护方面的执法。开源情报是公众也可获得的情报,公众为了获取更多的开源情报很可能会忽视保护个人信息安全,政府有责任对此实施必要的监管。必须通过有效的指示,在不危及行动自由和国家安全的情况下,整合外部力量,规范外部活动和个人信息资源利用,构筑起 个人信息保护堤坝。 

第三,充分利用司法程序守住个人信息安全底线。司法具有终局性和强制性的特点,能够通过诉讼机制追究侵害者责法律责任,为信息主体提供终局性的保护。社交媒体等信息存储、传播平台,以及侵害个人信息权益的主体理应对利用个人信息获取开源情报的行为承担相应的法律责任,比如赔偿经济损失,采取必要 的措施阻止侵害进一步加深等。如果侵害者不积极履行责任,应该保证诉讼途径畅通、侵害者能够顺利行使诉权。同时,还应该创新诉讼机制,比如此类案件实行举证责任倒置以增强侵害行为和侵害结果之间的可证明性等,规避受侵害者处于劣势地位带来的弊端,切实加强个人信息保护力度。

4 结 语 

开源情报相较于其他情报具有易得、廉价等特点, 在各个领域被应用的趋势愈发明显。在重视开源情报开发及应用的同时需要关注其给其他领域带来的诸多影响,倘若忽视了此点就可能阻碍开源情报价值的发挥。“开源”与“私密”相对应,开源情报与个人信息安全之间存在一定张力。在大数据时代,个人信息与开源情报关系密切,开源情报中包含大量个人信息,如果无法协调开源情报开发利用与个人信息保护之间的关系,那么个人很可能将不会在互联网上表达情感,分享个人信息,或者通过隐私设置,以及从特定的社交媒体平台上迁移,将有关他们的信息内容排除在开源情报 之外,这无疑将阻滞开源情报的开发应用。是故,亟需重视、解决开源情报环境下个人信息保护问题,积极采取系列措施以加强个人信息保护,实现开源情报与个人信息保护的双向互动。

文章来源:情报杂志,2022,41(12):125-131.

作者简介: 张俊山,男,1984 年生,福建警察学院讲师,研究方向: 公安情报学、国内安全保卫。

长按识别下面的二维码可加入星球
里面已有九千余篇资料可供下载
越早加入越便宜
续费五折优惠


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MTE0NTE3Mw==&mid=2651140668&idx=2&sn=144dc595175a5391390a0d14ab1283f3&chksm=f1af4506c6d8cc1083cf5d7d38d188e1e839c8ccf3af5293f9912341fa84026326d25923894e&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh