牛津大学Bodleian图书馆老馆正门。图/岳跃 摄于2021年5月

文 | 岳跃

我竟然收到了牛津大学Bodleian图书馆的拉黑通知。

上一篇博客写道，受疫情影响，限流的图书馆一座难求，如果连续发生两次预订座位爽约，就会被系统拉黑。

而每次都赴约签到的我被当成爽约处理，实是委屈。如何洗清这不白之冤？调取监控录像？查阅门禁记录？似乎太过兴师动众。本着“谁主张、谁举证”的原则，我想着提供什么简便材料能一证清白。

如何证明自己于规定时间在何规定地点，这一“双规”举证似曾相识。突然想起2020年2月，当时还没有健康宝，身在北京的我要向人证明近期没去过武汉，而朋友支的一招便是iPhone的隐藏定位功能——行踪全记录。

立马拿出手机，打开“设置-隐私-定位服务-系统服务-常去地点-历史记录”。铁的事实就在眼前：拉黑通知里说我爽约的时间段，我分明都在预订了座位的图书馆。于是截图后发了一封申诉邮件，不到一个小时就收到回复，我已从黑名单中被剔除，可以继续预定图书馆座位。易犯错的新系统背了锅。

记忆中，这是我第一次主动用自己的隐私数据，争取了一回权利；而去年的那一次尝试则未能功成，个中原委就不在此赘述了。

个人数据保护问题在大数据时代到来之前就长期存在，近年因隐私泄露事件频发而备受关注，它也是平台经济监管中最为重要的内容之一；新冠疫情之下，追踪定位技术史无前例的大规模应用，开始让更多人意识到这一切身问题的存在，也引发了个人隐私应该在多大程度上让位于公共利益的激辩。

就拿英国来说，为了推广疫苗接种，英国政府规定，无论是什么身份，只要人在英国都可以免费接种，不需要提供任何证明材料。为了尽可能简化接种疫苗的程序，接种者只需提供姓名、出生日期以及住址邮编，就可以在网站预约接种。但也正因如此，如果你知道某人的这三项信息，就可以在网站查询某人是否已经接种了疫苗、接种了何种疫苗，以及是第一针还是第二针。

不少英国民众认为，这是一起严重的泄露医疗隐私的事件。这一漏洞，可能会被雇主用来监视员工的疫苗接种情况，或者造成同辈压力和歧视。例如你本想接种疫苗，但周围有不少朋友是反疫苗人士，你会担心他们用此方式能知道你是否打了疫苗，可能会就此打消接种疫苗的念头。

而英国政府的说法是，该系统无法直接访问任何人的病历，只显示疫苗相关的信息，“我们要实现既能保护个人隐私，又能让公众容易获得疫苗接种的双重目标”。言外之意，这个问题暂时无解，继续维持现状。

访学期间，我有幸与英国著名哲学家、牛津大学教授乔纳森·沃尔夫（Jonathan Wolff）有过一番关于隐私保护的交谈。他的代表作《政治哲学导论》（An Introduction to Political Philosophy）问世25载，被译为多种语言且再版至今，早已经成为西方政治哲学经典入门读物，该书中文版在豆瓣的评分高达9.3。

学生们都亲切地称呼他Jo。身为牛津大学的公共政策教授，他长期关注平等、弱势群体、社会正义、贫困等问题，在政治哲学与公共政策的结合方面颇有建树。尤其是新冠疫情以来，Jo在政策执行、新技术监管、疫苗分配、伦理问题等议题上，都用他哲学家的视角予以深刻解读。

不少学者认为，隐私是一种自治权（autonomy），也是一种人格（personhood），而在Jo看来，这些都是不太确切和合适的概念。“例如，法律到底是增加了还是减少了个人的自治权，从18世纪开始哲学家们就争论不休。”他对我说，其实不用太纠结字面上的定义。关于数据和隐私，他第一时间想到的两个哲学问题：一个是寻求隐私和保密（privacy & secrecy），另一个是所有权（ownership）——“隐私也是一种财产”。

但这两个问题因人而异。Jo在他的另一本书《道德哲学》中引述一位华裔哲学家的观点称，“美国（道德）体系极其关注个人的自主、隐私和独立，而中国体系则更看重对社群和家庭的忠诚”。Jo理解，这不是说社群在美国没有价值，也不是说个人在中国被忽视了，“两种文化都很重视这些价值”；但是，“它们之间的冲突在不同的社会中有时会通过不同的方式解决。不同的社会很可能会发展出不同的道德准则，来处理各自面对的不同问题”。

这也让我想起了李彦宏曾在公开场合说过一段颇有争议的话：“中国人更加开放，对隐私问题没有那么敏感，很多情况下他们愿意用隐私交换便利性。”

在Jo看来，民众对隐私的态度，取决于信任。“我曾多次到中国讲学，从我接触到的人看，中国人远比西方人对国家忠诚。这主要取决于民众对当权者的信任。你看美国人中天然就有一种对联邦政府的不信任，例如持枪权实际就是一种不信任，他们觉得政府保护不了自己，需要自己武装。”

个人隐私与公共利益的平衡，从本质上讲，是如何平衡隐私（privacy，关乎内容）、保密（secrecy，关乎如何保存和使用），以及它所能带来的社会价值（societal value，关乎生命与生活）三者之间的关系。

Jo说，是否平衡其实是个事后的评估，这取决于所采取的行动带来的影响，而政府要准确判断影响，不容易。“英国疫情初期，政府过于自信，总觉得我们有最好的病理学家、最好的数据模型、最好的医疗体系，以为一开始政策不太那么严，也可以很快得到控制。事后证明这是陷入了一种自信陷阱（confidence trap）。”

对隐私保护的未来，Jo的看法是悲观的，“新技术不断涌现，规则和监管永远都是滞后的”。但不管怎样，我们还是看到了目前的一些改观。2018年开始在欧洲实施的《通用数据保护条例》（General Data Protection Regulation，即GDPR），对获取和管理个人数据提出了诸多严格要求，其中一条就是强调通过设计保护隐私（privacy by design）。

我把它总结为四个要点：一是非必要不采集，例如疫情时只能采集判断某人是否感染所必需的个人数据；二是用完即删，一旦不再需要使用该数据，则必须立即删除，并将数据处理方式透明地告知用户；三是数据保险箱，待处理的数据必须受到充分保护，以防止意外泄露或销毁；四是数据分级，例如某人Covid-19阳性的数据，应被认为是比常规个人数据需要更高保护的敏感个人数据。

结合当下实践，在防疫中如何巧妙地做到上述几点，都考验着政府部门和技术公司的智慧。英国健康宝NHS COVID-19，在我看来也是一个不错的案例。

在牛津，不管是商场还是餐厅，门口都贴有扫码登记入店的提示牌。但据我观察，真正扫码的没几个，因为这并非强制要求。和北京健康宝不同的是，英国健康宝并不是一个证明工具，它没有“准入”判断功能，也没有历史行踪记录，不是非得显示绿码方能进入某个场所。

英国健康宝充其量只算一个风险提示软件。设想这样一个场景，餐厅里有一群人ABCDE……他们的手机都安装了英国健康宝，这些手机相互通过蓝牙自动扫描周围四米范围内持续超过一定时间的信号，并生成一段代码，算法基于距离和时间产生一个数值；如果第二天A确诊了，刚好B前一天坐在A邻桌不到两米且超过15分钟，那么B就会收到一条有感染风险的警报，因为他们的数值超过了风险阈值；尽管CD两人都在A两米开外四米以内，但持续时间超过了半个小时，也会收到警报；E虽然坐在A四米之外，但因为在进餐厅时扫了二维码签到，所以也会收到一条警报信息。

而这些警报信息都是匿名的，它并不会告诉你是A或者是某家餐厅给你造成了感染风险；这些代码都是加密的，并在14天后删除，不管是软件的运营机构，还是政府或任何其他人，都无法通过这些代码来知道你的个人信息。

总之，英国健康宝就是个自愿下载安装的、能让手机变成感应器的应用，它无需知道你是谁或者你曾到过哪里，也无法追踪你的住址，监督你是否在自我隔离，或者获取和关联你手机上的其他信息，例如短信、消费记录等。

英国健康宝重视对个人隐私的尽可能不侵犯，但防疫效果如何？英国人工智能研究机构Alan Turing Institute数据显示，NHS COVID-19的用户每增加1％，感染数量就可以减少0.8％（基于建模）或2.3％（基于统计分析）。然而，这一应用也遭到不少学者关于公平的质疑——因为只能在有蓝牙功能的智能手机上安装NHS COVID-19，这是一种不平等的体现；儿童、流浪汉、老年人、没有经济能力的人怎么办？这加剧了已经存在的不平等。

待疫情过去，回归常态后，个人隐私保护的问题仍将继续存在。怎么办？Jo推荐了一本由牛津大学哲学院副教授Carissa Véliz新写的书《隐私即权力》（Privacy is Power: Why and How You Should Take Back Control of Your Data）。Jo说，对于我们这些每天在线上可能要点击“同意”十几次的人来说，这本书是必读的。

Carissa在书中有一个颇有新意的论述——隐私是公正的“眼罩”（Privacy is justice’s blindfold）。“数据经济的最大弊端之一就是它以各种方式破坏平等，个人数据经济的本质是就是基于数据让所有人的待遇各不相同。”她认为，算法歧视让我们为同一产品支付不同的价格，信息获取上让我们看到了不同的内容，最终进入一种不平等的恶性循环。

巧合的是，Bodleian图书馆老馆东面的外墙上，正好有一座戴着眼罩、手持天平的正义女神（Lady Justice）雕像。

牛津大学Bodleian图书馆老馆东墙。图/岳跃 摄于2021年5月

“无论你是谁，你都应该获得相同的信息和机会。如果将正义拟人化，它应该是被蒙着双眼的，象征着正义的不偏不倚。隐私就是那个眼罩，以确保我们受到平等和公正的对待。”Carissa写道。

她也在书中给了读者不少实用的个人隐私保护小贴士，我总结了以下十条：

一、尽可能选择“傻瓜”设备，而非“智能”设备。比如智能烧水壶不一定比老式水壶好，它可能会有隐私风险。任何可以连接到互联网的东西都可能遭到黑客入侵，如果你不想被听到或看到，请选择没有摄像头或麦克风的产品；如果你已经有了，可以用贴纸覆盖它们，或者在非必要时尽可能断开连接。

二、尽量使用端到端加密的短信软件，避免用工作邮箱处理个人事宜（你的老板可以访问你的工作email）；如果在商店要求你提供email，通常可以礼貌地拒绝，如果非要不可那请给他们一个假的，比如noneofyourbusiness@privacy.com。

三、不要把Google等作为主要的搜索引擎，由于你搜索的都是你所想，那么其中一些最敏感的信息会被察觉。可以选择DuckDuckGo和Qwant等隐私友好型的搜索引擎，它们不会收集有关你的个人数据。

四、将不同的浏览器用于不同的使用目的，不同的浏览器之间不会共享Cookie。跟踪Cookie通常用于探测浏览历史记录，以便广告商知道向你显示什么。Brave就是一个隐私保护做得很好的浏览器。Vivaldi和Opera也是不错的选择，它们的优势之一是有内置的广告和跟踪器阻止程序，速度也比较快。

五、摆脱网络囤积症。囤积的数据越少，累积的风险就越少。“我承认删除数据很难。你总觉得有一天你可能会用到一些数据，但实际上你十年来都不曾需要它。我几年前丢失了手机上的很多数据，当时觉得这就像一场灾难，但现在回过头来看，好像其实也没有错过什么。”如果非要囤积，那建议把数据存储在加密的不联网的硬盘上，然后在网盘和联网设备上将其删除。

六、混淆与误导。面对不得已的个人信息提供时，混淆与误导是保护隐私和表达抗议的方法之一，给那些非必要获取你个人信息的公司提供不同的名字、生日、电子邮件、城市等等，让大数据产生疑惑，猜不到你是谁。

七、转移到线下。更多使用现金付款，而不是使用信用卡或智能手机付款；回归看纸质书；在实体商店购物；如非必需，请将智能手机留在家中。

八、为原创内容的媒体付费。“数字时代一直对全世界的纸媒都不太友好。在线获得‘免费’内容的人们，不愿为原创内容订阅付费，更不会想到免费内容并不是真正的免费（因为你的个人数据和你的注意力在为此买单），而且质量堪忧。”“我们必须为媒体付费，以支持他们提供优质内容。”而购买纸媒的另一个好处是，没人能追踪你所读的内容。

九、不看二手新闻。“社交媒体的主导地位削弱了纸媒与受众之间的关系，人们越来越多地从社交媒体获取新闻，但这样会让你更有可能接触到针对你个人的特定内容和虚假新闻。”直接访问原创媒体的网站，从源头获取一手的新闻资讯。

十、尽可能多地与人讨论隐私保护的话题。与朋友和家人谈论隐私保护，让更多人知道这些问题的存在。“如果你参加了读书俱乐部，建议读读有关隐私保护的小说，我推荐Joanna Kavenna写的《Zed》，Dave Eggers写的《The Circle》，当然还有George Orwell的《1984》。”

希望这篇博客对你提升数据隐私意识有所帮助。

（“财新·牛津访问学者奖学金”项目由万科公益基金会资助）