美国最高法院：政府不能任意获取个人隐私

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

微信公众号：计算机与网络安全

2018年6月22日，美国最高法院在Timothy Carpenter诉美国政府案中裁决，执法机构必须获取搜查令（warrant）之后才能收集作为证据的手机位置信息。这是美国最高法院第一次就手机位置信息的获取做出的裁决。

案件发生在2011年。警方拘捕了涉嫌抢劫移动运营商商店系列案的四个嫌疑犯。其中一个人招供说，在过去的四个月中，这个团伙抢劫了位于密歇根州和俄亥俄州的九家商店。招供者还提供了15个参与人和他们的手机号码。

在这些号码中包括了案件原告Timothy Carpenter的两个号码。联邦法官向这两个号码所属的移动运营商MetroPCS和Sprint发出指令，要求其提供号码的通话记录。

在与移动运营商合作过程中，联邦调查局（FBI）除了获得这两个号码所有的语音通话记录，还获得了该手机号127天内的12898条基站侧位置信息，平均每天超过100条基站侧位置信息。通过这些基站侧位置信息，FBI证明了在多个抢劫案发生前后，手机在案发现场附近出现。Timothy Carpenter被指控六项抢劫罪和五项携带武器罪成立，并最终被判处监禁100年。

案件审理过程中，Timothy Carpenter反诉政府并未合法取得基站侧位置信息的搜查令。Timothy Carpenter及其代理人认为基站侧位置信息包含了使用者的物理位置信息，理应视为个人隐私的一部分。

按照美国宪法第四修正案的要求，政府机构必须取得搜查令后才能搜查并获取个人隐私信息，而联邦调查局获取基站侧位置信息的行为违反了宪法第四修正案的要求。

政府应该获得无缝监控能力吗？

基站侧位置信息算不算个人隐私呢？需要先从基站侧位置信息的产生方式说起。

手机在接入移动通信网络时，会持续和通信基站进行数据交换，并在基站系统内生成带有时间标签的数据记录，我们称为基站侧位置信息，简写为CSLI（Cell-Site Location Information）。所有CSLI的信息都在通信基站生成并最终上传到移动运营商的IT系统中。只要是正常接入移动通信网络的手机，就会源源不断地产生CSLI信息，并被移动运营商记录。通过获取特定手机的CSLI信息，就可以连续标定出手机的位置和移动轨迹。

不同于手机内部的位置信息，基站侧位置信息虽然包含个人位置信息，但其并不存放于个人设备中，而是存在于移动运营商的网络和IT系统中。因为此，当时审理此案的第六巡回法庭法官认为，基站侧位置信息属于第三方（指移动运营商）生成并维护的信息，不属于个人隐私的一部分，也就不在宪法第四修正案的保护范围内。最终第六巡回法庭驳回了Timothy Carpenter的反诉请求。

Timothy Carpenter及其代理人又把案件上诉到美国最高法院，于是就有了2018年6月22日的终审判决，终审判决推翻了此前第六巡回法庭的结论。

最高法院九位大法官就此案的最终投票结果为5∶4，这说明就算是在最高法院内部，意见分歧也相当大。为了充分说明推翻第六巡回法庭判决的理由，在宣判当天最高法院发表了长达119页的判决说明，其中包含了首席大法官John Roberts的支持理由，以及提出反对意见的大法官反对意见陈述。

最高法院持支持态度的法官认为，公民的物理位置信息和移动信息毫无疑问属于个人隐私。而在一般公众的认知中，自己的位置信息通常处于自己掌控的范围内，并不了解基站侧位置信息（CSLI）的存在。允许政府访问基站侧位置信息——就相当于“掌握了众多美国公民的生活隐私”。如果政府可以不受限制地获取手机相关的移动通信数据，等于获取了一个近乎理想的监控工具，可以此回溯和跟踪个人的行动轨迹。

最高法院认为，手机相关的基站侧位置信息并不是通常意义上的共享数据。

首先，携带手机并不意味着使用者愿意共享基站相关的位置信息给第三者；其次，手机登录到基站网络并产生位置信息并不是手机用户主动发起的，而是移动通信自身的运营机制产生的。

最高法院在陈述中指出，四分之三的智能手机用户在绝大多数情况下都会与手机保持5英尺以内的距离。甚至有12％的用户承认，他们洗澡时也会把手机放在触手可及的地方。在移动互联网深入渗透到现代社会的今天，手机已经成为了类似“人体的一部分”。

在这样的情况下，政府机构如果能够不做任何限制地跟踪手机的位置信息，那它就获得了近乎完美的监控能力。

换句话说，不管手机用户是否具有犯罪倾向或者犯罪证据，他们都主动地戴上了一个“电子监控脚环”。政府可以不受限制地随时调阅查看任何手机用户过往的行动轨迹，就如同监狱看管犯人一样。

个人隐私边界应该随技术发展而扩大

在最高法院首席大法官John Roberts的陈述意见中意味深长地写到：全美国有3.96亿手机号码，但只有3.26亿居民。言下之意，基于手机的监控能力是覆盖全体美国人民的。

这种面向普通大众的全面监控能力必须被约束，无论是商业应用，还是政府行政管理行为。没有这个基本共识的话，在立法和司法层面谈论个人隐私保护就是非常苍白的。

在这里我想指出的是，传统的隐私保护通常是面对一个确定的范围。无论是家里，还是个人携带的笔记本乃至3G时代前的手机，隐私信息以前通常物理地存放在个人拥有的物品上。

美国的司法实践中对于个人隐私边界的认定一直是随着技术的发展而不断变化的。

2011年，法院判定警察在使用GPS追踪设备获取嫌犯位置移动信息时，必须获取搜查令。2014年，法院禁止警察在没有搜查令的情况下搜查被拘捕人手机内的信息。在本案中，最高法院进一步扩大了个人隐私信息的范围，把生成并存放在第三方的位置信息也纳入了宪法第四修正案的保护范畴。

正是对于个人隐私内涵的扩充与对宪法第四修正案的重新解释，美国最高法院把CSLI这样物理上和个人无关，但实质上包含个人位置信息的数据纳入到隐私保护的范畴——这是对个人隐私保护的一个重大进步。

同样的情况也出现在欧洲。今年5月，欧盟的通用数据保护规则（GDPR）正式生效。其中非常重要的内容之一就是对跨境个人隐私数据的保护。

GDPR认定，欧盟居民的个人隐私数据保护不受其存放物理位置的限制，只要是侵犯欧盟居民个人隐私的行为，哪怕是发生在亚洲、美洲或其他非欧盟区域内，也受到GDPR管辖。所以，从北美到欧洲，发达国家对于个人隐私认定和保护的范围日益与其物理位置脱离，而更加关注于信息本身的实质和用户群体的认知。这也是与全球化和互联网无边界的原则相一致的。

从约束政府权力的角度来看，美国社会对政府试图提升监控能力、扩大对公民的监控范围一直抱有高度的警惕。

由于斯诺登等内部人士曝光各种政府主导的监控系统，如棱镜系统，让社会对政府的监控能力有了清晰的了解；另一方面，因为政府在执法过程中不断向互联网公司施加压力，希望通过技术手段更便利地获取信息，从而让大众有了更加直观的感受。

从2015年微软拒绝美国法庭针对海外邮箱用户的搜查令并最终胜诉，再到苹果拒绝向FBI提供苹果手机的通用解锁软件，众多案例都说明了政府部门对扩大隐私信息获取能力的渴望。

更进一步来说，由于人工智能等高科技技术的飞速发展，基于大数据的分析可以支持政府进行以前无法想象的广泛监控和自动识别。所以美国社会对哪怕是基于公共区域的大数据自动监控都抱有强烈的警惕和担忧，担心其在缺乏约束的情况下被政府机构所滥用。

而且，Timothy Carpenter案件是否可以推及互联网领域的个人隐私保护呢？目前看来比较困难。

案件中认定数据不属于用户与第三方共享的关键因素在于CSLI是系统自动生成的。

所以在最高法院的判决说明中指出，由第三方控制和拥有的商业记录，哪怕其中包含了敏感的个人信息，也不在宪法第四修正案的适用范围内，并明确举例说，这样的商业记录包含银行记录、电话记录和信用卡账单等。

对于个人隐私的保护水平是现代社会进步文明的标尺之一。这个标尺水平的提高不是从天上掉下来的，也不是某个机构的施舍，而是社会整体对个人隐私保护逐步认识并付诸实践的结果，美国同样也在摸索中。

美国最高法院的这份声明同样写道，本案的应用范围应该非常谨慎。这也是“摸着石头过河”，逐步明确隐私保护边界的必要过程。

但不管怎么说，美国最高法院在制约政府权力获取个人隐私信息的边界上钉下了第一个桩。尽管这个桩还很孤立，并不牢靠，但世界总是因此而更加美好了一些。

美国是世界上最早提出并通过法规对隐私权予以保护的国家，美国在1974年通过《隐私法案》（Privacy Act），1986年颁布《电子通讯隐私法案》，1988年又制订了《电脑匹配与隐私权法》及《网上儿童隐私权保护法》（Children's Online Privacy Protection Act）。德国联邦议院在1997年通过了全面调整信息时代新型通信媒体Internet的法律——《多媒体法》，其中对个人隐私权和自我决定权进行了详细规范。加拿大从2001年1月1日起实施《个人信息保护和电子文件法案》，根据这项法律，所有收集信息数据的网站必须向它们的客户说明是谁在收集信息及为何收集信息。

1974年的《隐私法案》是美国最重要的一部保护个人信息方面的法律。该法案适用于美国公民和在美国取得永久居留权的外国人。该法案对政府机构应当如何收集个人信息、什么内容的个人信息能够储存、收集到的个人信息如何向公众开放及信息主体的权利等都做出了比较详细的规定，以此规范联邦政府处理个人信息的行为，平衡隐私权保护与个人信息有利利用之间的紧张关系。

1、信息主体的主要权利。第一，决定是否同意公开自己资料的权利，禁止行政机关在取得本人同意前，公开关于其个人信息；第二，访问自身个人信息的权利，本人有权知道行政机关是否存在关于他的记录以及记录的内容，并有权要求得到复本；第三，修改个人信息的权利，个人认为关于自身的信息不正确、不完全或不新颖，可以请求制作记录的行政机关进行修改。

2、政府机关的主要义务。第一，政府机关收集个人信息，如果可能导致对个人作出不利决定时，必须尽可能地由其本人提供；第二，政府机关在收集个人信息、建立个人信息数据库时，必须发布公告；第三，政府机关只能在执行职务相关和必要的范围内保有个人信息，除法律另有规定外，禁止保有关于个人宗教信仰、政治信仰等与政府机关执行职务无关的个人信息；第四，政府机关必须保持个人信息的准确性、及时性和完整性，并保障信息的安全。

3、关于民事救济措施。任何机关因为没有应要求更改、复查特定主体的信息记录，持有的个人信息不符合“准确、相关、及时、完整”的原则，因而导致在作出关于资质、权利、机会、利益等决定的时候，因为存在偏见而导致作出对该个人不利的决定，当事人可以到当地法院提起诉讼，要求民事赔偿。

美国1974年《隐私法案》只适用于联邦部会以上的机构，而不及于部会以下的机构或州政府的各级行政机构，更不及于民间企业组织。由于其规范对象受到过多的限制，无形中大大降低了该法的功能。另外，该法没有关于设立常设的独立的机构来监督该法的实施，使得个人信息保护有落空的危险。

1974年通过的《隐私法案》，使新闻界更难获得信息，连一部分被认为是公共记录的文件也受到了保护。由于媒介提出不满，《隐私法案》有所更动，声称按《消息自由法案》能够公开的内容不受《隐私法案》的保护。而《消息自由法案》中又赫然规定，公众和媒介有权获得任何信息，除了那些构成侵犯隐私的材料。

尤其是，假如以保护个人隐私为名，将一部分政府文件、司法记录封闭；那么将会到媒介的监督作用。是否会有秘密逮捕、秘密审判之类发生呢？这是新闻工作者们所担心的。

总之，公民的隐私权与新闻自由互相牵掣，互相制约，摇摇摆摆地勾勒出一条动态平衡的轨迹。鱼与熊掌，力图兼得，这是美国新闻法领域中一个十分有趣，也颇具玩味的现象。

微信公众号：计算机与网络安全