杨学科

（广东金融学院法学院，广东 广州 510521）

可穿戴设备是将“可穿戴”和“设备（终端）”相组合的一个术语，这一表达并不统一①，还有穿戴式终端机、穿戴式计算机等其他表达方式。可穿戴技术是物联网（IoT）发展最快的领域之一，已经成为物联网的核心载体，甚至AR（增强现实）、VR（虚拟现实）和MR（混合现实）等技术也能与可穿戴设备融合、组合，更是未来元宇宙不可或缺的终端载体。实际上，早在1997年，史蒂夫·曼恩（Steve Mann）就提出了可穿戴计算机时代的说法，且表示在这个关键时代，我们与计算技术密不可分，而计算技术将比过去更加直接和亲密地成为我们日常生活的一部分。[1]

不同于传统可以佩戴的设备，可穿戴设备已智能化，其主体部分是集成到衣物和其他配件中，且可以收集数据、跟踪活动，并根据用户的需要和愿望定制体验的电子和微型计算机。用户使用这些可穿戴设备可以进行包括健身跟踪、日历管理、快速回复短信和电子邮件等在内的日常活动。当然，这种设备给我们带来方便的同时，也带来了隐私风险。可是，并不是所有的消费者都能意识到或正确认知可穿戴设备所带来的隐私风险。鉴于此，本文尝试在阐述可穿戴设备发展历程的基础上论述可穿戴设备之于隐私权的可能挑战和解决路径。

一、可穿戴设备的发展历程

如若不考虑可穿戴设备的确切定义，根据史蒂夫·曼恩的追溯，数千年前，我国古人在脖子上戴着的算盘，从某种意义上说，就是一台可穿戴计算机。[2]可穿戴设备的最初概念和原型是20世纪60年代提出的。1960年曼弗雷德·克莱恩斯（Manfred Clynes）和南森·克莱恩（Nathan Kline）在其合著文章《赛博格和太空》（Cyborgs and Space）中创造了赛博格（Cyborg），用来形容技术物和人类自身的混合体。[3]但是，麻省理工学院数学教授埃德·索普（Edward O.Thorp）撰文道，他早在1955年就想到了一个有关可穿戴电脑的点子，1961年，他和克劳德·香农（Claude Shannon）发明了一双可以用来在轮盘赌上作弊的鞋子，用于提高轮盘赌的胜率。索普认为这是世界上第一款可穿戴设备。1975年，汉密尔顿手表（Hamilton Watch）公司推出了Pulsar“计算器”手表，这是世界上第一个腕表计算器。1977年，CC柯林斯（CC Collins）公司为盲人设计了一种可穿戴的设备，它可以将头戴式摄像机拍摄的图像转换成盲人背心上的触觉网格。惠普公司（Hewlett Packard）亦于1977年推出了首款计算器手表，这被认为是第一个具有大众市场影响力的可穿戴设备。总体而言，20世纪六七十年代，可穿戴设备还处于萌芽期，市面普及度很低，人们甚至还不了解它们的商业应用价值。

20世纪八九十年代，可穿戴设备进入了发展的初级阶段。这一阶段，可穿戴设备的实用性仍然不适合大规模商用。早在20世纪70年代，史蒂夫·曼恩（Steve Mann）就曾言其童年时期就在可穿戴计算项目上有所建树，1981年，他就设计了一款在某种程度上可以被视为谷歌眼镜的先驱头戴式相机（WearComp）。同年，他还设计了一款具有文字、图像和多媒体功能，且通过头盔显示的背包式电脑。1992年，他率先在麻省理工学院媒体实验室（MIT Media Lab）成立了可穿戴计算研究组，对可穿戴设备在增强现实应用方面进行开发。1997年，麻省理工学院、卡内基梅隆大学和佐治亚理工学院联合举办了第一届智能可穿戴计算机国际研讨会（ISWC）。自那以后，智能可穿戴计算和智能可穿戴设备引起了学界和业界的广泛关注，并逐渐在各领域表现出应用潜力。史蒂夫·曼恩在1998年召开的可穿戴计算国际会议（ICWC）上，给出了可穿戴设备的定义，并从三种操作模式和六种属性对其进行了描述。三种操作模式包括持续（Constancy）、增强（Augmentation）和介导（Mediation），六种属性包括非限制性、非独占性、可观性、可控性、环境感知性和交流性。[4]1998年，曼恩发明了智能手表可视电话，并于2000年在Linux杂志封面上进行了报道，同年2月7日在IEEE国际固态电路会议（ISSCC）上发表。1999年，曼恩发明了全球最早的增强现实可穿戴眼镜——EyeTap，它通过将相机的视域和人眼的视域相重叠，能达到电脑和人的感知高度重合的效果。正是凭借这期间在可穿戴设备领域的开创性贡献，曼恩教授被誉为“可穿戴计算之父”②，并被视为可穿戴技术（WearTech）学科的创始人。媒体实验室创始人尼古拉斯·尼葛洛庞帝（Nicholas Negroponte）对其有更高学术评价，认为“史蒂夫·曼恩是被视为处于疯子边缘的人的完美典范，他坚持自己的愿景并最终创立了一门新学科”[5]。此外，曼恩还在可穿戴设备领域将科学研究、发明创造和艺术设计融为一体，由此被称为现代的“达芬奇”。

进入21世纪以来，可穿戴设备进入了发展的高级阶段。这一阶段可穿戴技术突飞猛进，应用领域不断扩大，产业规模不断延伸，并逐步进入了普通人的视野和生活。2000年，全球首款蓝牙耳机上市。2006年，耐克和苹果联合推出了一款能够记录行走距离和速度的设备Nike+iPod。2007年，詹姆斯·帕克（James Park）和埃里克·弗里德曼（Eric Friedman）创立了Fitbit公司，致力于可穿戴设备在计步器和睡眠质量检测等方面的开发。2013年，谷歌推出了谷歌眼镜，在全球引起轰动。2014年，数字科技公司纷纷涉足可穿戴领域，因此，这一年被称为“可穿戴之年”。这一年可穿戴设备产品更是纷纷面世，涉及智能眼镜、智能手表、听筒、健身和健康物联网（IoT）等，更贴近了我们的生活。

总体而言，可穿戴设备不只是用于穿戴在身上（例如手腕、头部）的计算机设备的总称，还包括被穿戴嵌入别处（例如车、家居、工厂等环境）来追踪、量化环境的泛穿戴设备。这些可穿戴设备被看作是无处不在的物联网（IoT）的一部分，它们配备了“智能”功能，其目标是机器和生物体的结合，以人与计算机交织在一起的方式来定位或关联计算机。因此，可穿戴设备可扩展人类的能力，比如能通过语音识别、面部表情、动作手势、旋转头部、移动身体等来执行可穿戴设备上的操作，这就相当于解放了双手。

二、可穿戴设备对隐私权挑战

技术进步的每次巨大飞跃，都可能伴随着反方向的副作用。可穿戴设备不仅可以让人的生理、心理等身体要素数据化，而且能让人与物的关联全面数据化。可穿戴设备给社会带来深刻变革的同时，也造成了人们时时刻刻的行为数据的生成，一个透明的、无时无刻不被监控的时代似乎到来，我们的数据隐私和数据安全面临着威胁和挑战。

（一）佩戴可穿戴设备人的隐私

一般而言，可穿戴设备直接影响的隐私主体是佩戴该设备的人，因为这些设备内置的传感器，能推断佩戴人的位置定位、生理变化、心理波动等隐私信息。这些信息的组合分析、聚合分析和关联推断，使得人、物与互联网连接融合愈加紧密，增加了数据安全和个人隐私泄露的危险系数。美国原副总统迪克·切尼（Dick Cheney），就曾主动要求封锁了植入其胸腔的医用心脏除颤器的无线功能，来规避隐私安全风险。

隐私问题主要是源自可穿戴设备的数据被收集分析的结果。此外，可穿戴设备还存在一个自我披露的问题：量化自我（Quantified Self）③，这也是可穿戴设备隐私问题产生的重要原因。量化自我实时记录并量化个人的数据，例如运动、脉搏、血压、情绪、睡眠等，甚至包括日常活动中捕捉视频、照片或录音，意图“利用数据成就更幸福的自己”[6]。与此愿景相反的是，记录的数据信息越多，个人隐私风险隐患可能会越大，量化的结果是生命体态特征的数据化、智能化、可视化，最终可能导致零隐私。总之，无论是传感器数据收集分析，还是量化自我，可穿戴设备都造成了一个隐私悖论：人们珍视自己的隐私，但却不顾一切地放弃它。[7]

（二）不佩戴可穿戴设备人的隐私

可穿戴设备不只是记录佩戴人的数据信息，还记录周围不佩戴设备人的数据信息。可穿戴设备对周围环境具有高度敏感性，能监视和观察周围环境，收集和记录周围环境数据。同时，可穿戴设备愈加小型化，其摄像头一般十分隐蔽，可以在人没有察觉的瞬间，捕获录像或录制视频。因此，可穿戴设备容易被窥淫癖、偷拍偷录成瘾者等不良癖好者在未经别人同意的情况下秘密地记录旁观者及其活动，这些图像、语音或视频记录侵犯了不佩戴设备人的隐私，还可能会导致其社会性尴尬或（在线）声誉损坏。

实际上，早在高端的谷歌眼镜产生前的2012年，可穿戴设备所涉不佩戴设备人的隐私问题就已出现，可穿戴设备之父曼恩就曾因此有过不愉快的经历。在巴黎一家麦当劳餐厅，职员怀疑佩戴EyeTap数字眼镜的曼恩在拍照，就以餐厅不允许拍照为由，驱逐其出餐厅时双方发生了冲突。在这之前，佩戴EyeTap数字眼镜的曼恩在上厕所时也遭到过类似质疑。谷歌眼镜出现后，有报道称，美国约60%的不佩戴可穿戴设备的人对戴着像相机那样的可穿戴眼镜的人感到不安。日本社调机构MM Research Institute对可穿戴终端进行的一项调查显示，日本80%的人对其感到“不舒服”。因此，这些国家的许多公共场所禁止谷歌眼镜之类的可穿戴设备使用。

实质上，隐私本身就是对信息流的控制。隐私权存在的问题是，双方信息占有的不对称性，一方拥有另一方过多的信息。这种不对称性通常会产生负面影响，即：一方会利用多于另一方的信息在未经另一方同意的情况下使自己受益而使另一方受损。这在不佩戴可穿戴设备人的隐私方面体现得尤为明显，双方信息占有往往存在很大的不对称性，佩戴可穿戴设备人拥有不佩戴设备人更多的信息，甚至后者基本上不占有佩戴设备人的信息。因此，在可穿戴设备所涉隐私问题中，不佩戴可穿戴设备人的隐私“被透明”“被裸视”问题，可以说是目前可穿戴设备领域隐私保护遇到的一大难题。

（三）数字全景敞视社会的形成

可穿戴设备的嵌入式设备、智能小工具、传感器和执行器的扩散式分布，让无处不在的计算或时刻活跃的信息空间成为可能，这有助于全景敞视社会的形成。在可穿戴设备时代，人们的生活场景会被可穿戴设备牢牢地抓住、诱惑和型塑，“你可以戴一副内置少量人脸识别功能的眼镜，看着一个人，他的名字就会在头顶的气球里弹出。你可以立刻知道那个人是谁，即使你不能马上认出他。我看着我种的树，突然冒出一个小气球，上面写着‘给我浇水’，我看着我养的狗，上面写着‘带我出去’，或者我看着我的妻子，上面写着‘别忘了我的生日！’”[8]这种可穿戴设备与人方便的同时，也可能是一场隐私泄露风暴，可穿戴设备记录我们的一切，我们无从知晓其记录的信息范围；可穿戴设备收集的数据可能经过星状网络流散性永久保存，我们无从知晓其存在哪里；黑客侵入可穿戴设备收集的数据，利用销售我们的隐私牟利。

隐私既是一种心理要求，也是一种社会和政治要求。可穿戴设备引发的隐私泄露风暴，最坏的结果就是类似边沁和福柯所言的全景敞视社会的形成。早在1974年，美国最高法院大法官威廉·道格拉斯（William Douglas）就在判决中写道：“我们正在迅速进入没有隐私的时代，每个人都随时可以受到监视”，并谈到计算机已成为将社会变为透明世界的监控系统的核心，人们正被放置在计算机上，以此谈到了这种令人震惊的趋势及其影响。[9]可穿戴设备的监控能力，相对于前工业革命时期边沁所言全光镜的直接视觉观察、工业革命时期福柯所言全景电视的监控技术，已不同于“被监视的人知道他们是如何被监视的”的模式，更接近齐格蒙特·鲍曼（Zygmunt Bauman）所言的流动性的监视（Liquid Surveillance），这种权力控制技术更具分散性、弹性和微粒化，被监视的人不可能知道他们是如何在数据集合中被监视的。学者凯文·哈格蒂（Kevin Haggerty）和理查德·埃里克森（Richard Ericson）对此作了详细的阐述，并将这种监视方式称为“监视组装”：分散耦合的机构，通过在认知和空间上固定信息流，寻求利用信息的原始力量。监视组装以根茎状生长，“穿过一系列相互连接的根，在不同的位置吐出嫩芽”，在不同的位置重新组装成离散的和虚拟的“数据分身”（Data Doubles）④。简而言之，监视组装从人的肉身收集数据碎片，这些数据碎片通过不同数据流在不同场景中集合组装。因此，局部数据（信息）流的缺失，对数据分身的组装影响不大。更重要的是，监管组装不仅通过福柯理论中的“规范化灵魂规训”对其主体进行操作，而且还通过好处和乐趣的引诱、诱惑，包括价格折扣、优惠信用评级、快速登录和偷窥娱乐。[10]605-622这种数字全景敞视用数据以全景式方式监视，同时又将四面八方涌来的信息集合、组合，对日常生活中最微小的细节进行监控、跟踪、分类、检查和系统化，实现了旧的全景策略向新的全景策略的转变，“一方面，旧的全景策略（您永远不会知道什么时候你的肉体在被监视，所以永远不要让你的思想不被监视）正在逐步但持续地、显然不可阻挡地使其几乎得到普遍实施。另一方面，随着旧的全景噩梦（我从来没有独立自主过）现在重铸为‘再也不孤单’（被遗弃、被忽略和轻蔑、被禁止和排斥）的希望，被关注的喜悦压制了对暴露的恐惧”[11]。因此，被监视者也经常愿意与监视者合作，这就进入了隐私悖论（Privacy Paradox），消费者声称渴望隐私，但却没有表现得像他们真正关心的那样，[12]看似是为了方便、分享而放弃隐私，实质是为数字全景敞视的消费主义陷阱所诱导，这种诱导方式先通过评估性的预测（Prediction），再实现针对性的反馈处方（Prescription），并且是以隐而不彰的形式变成社会生活中的顺理成章。

三、可穿戴设备时代的隐私权保障路径

在可穿戴设备时代，薄弱的隐私现状决定了可穿戴设备面临的最大法律挑战是隐私保护，因此，加强可穿戴设备的隐私保护是一个非常紧迫而重要的时代课题。

（一）隐私法律制度保障

当下，个人数据被誉为“数字世界的新石油和新货币”。可穿戴设备时代可以说是真正的大数据时代，一方面，可穿戴设备的巨大潜能很大程度在于对“数据新石油”和“数据新货币”的收集和挖掘；另一方面，可穿戴设备生成和访问的大量数据的核心在于人体生命体态特征的数据化。在我国民法典中，个人信息受法律保护成为一项重要民事权利。《中华人民共和国个人信息保护法》旨在实现个人信息保护与利用二者的平衡，其第四条对“个人信息”进行了定义，可穿戴终端获取的行为数据（位置信息、健康信息等）可以是已识别或者可识别的自然人有关的各种信息。《个人信息保护法》采取了“识别+关联”的路径，相对于《网络安全法》第七十六条第一款第五项和《民法典》第一千零三十四条第二款规定的“能够单独或者与其他信息结合识别”来比较，拓宽了个人信息的范围，这有利于不佩戴可穿戴设备人的个人信息保护。

可穿戴设备的隐私问题主要集中在解决个人（数据主体）隐私和服务提供商（数据控制者和数据处理者）的数据利用问题上，这其中有一对关系——数据隐私保护（数据隐私权利意识越来越强）与商业化利用（一切都将数据化）——需要平衡。这就要求相关立法在保护个人隐私的基础上合法利用个人数据信息，在合法利用个人数据信息的过程中持续保护个人隐私。同时，可穿戴设备的隐私问题还关涉到安全性和问责制问题，这也是可穿戴设备不可回避的现实问题和法律问题。其原因在于，数据安全一般是以隐私保护的方式使用或共享，而过度收集、擅自泄露、擅自使用及买卖个人信息等行为，则会使得数据安全隐患丛生。在这点上，《个人信息保护法》借鉴了GDPR第八十三条的严格监管思路，大幅提高个人信息违法的法律责任，这体现了我国打击数据信息领域个人信息违法行为的决心。

在隐私保护领域，欧盟为世界立法。这种观点是学者阿努·布拉德福德（Anu Bradford）2012年提出的，她认为欧盟为全球数据隐私保护制定了规则或者说进行了成功法律制度和标准输出（出口），并将其称之为“布鲁塞尔效应”[13]。虽然欧盟的数据隐私政策侧重于数据权利模式，不适合我国的隐私保护的数据安全底线模式，[14]但其法律规范详实，这应为一直提倡立法宜粗不宜细的我国所借鉴。在可穿戴设备方面，我国并没有相关法律、法规，但将来在立法时必须考虑到可穿戴设备的新场景，相关的法律（个人数据保护、数据商业化的法律法规）也必须能以某种方式适用于这种新场景。

（二）隐私技术解决策略

于高科技问题而言，妄图只用制度化解所有问题，无异于痴人说梦，实际上，技术问题技术化解决最为重要。对于可穿戴设备的隐私技术解决理念，可穿戴设备之父史蒂夫·曼恩和可穿戴设备教父彭特兰都提出过新的技术方向。1998年，曼恩提出了人文计算（Humanistic Computing），作为一种新的信号处理框架。[15]后来进一步发展为人文智能（Humanistic Intelligence）⑤，这是对人工智能的改良性技术处理框架，并成为硅谷最高级别的技术理念。他认为在人工智能成熟之前，最重要的影响人类生活的智能叫做人文智能。能够增强人类行为能力的具有可控制性、可穿戴性的“人文智能”产品是其中的重要部分，未来也一定能够在市场上成功。总体上，人文智能更关注“人机交互”以及人类在智能时代的角色，而非智能机器，尽管其认为可穿戴设备将成为人类理解和解读这个世界的方式，成为思维、身体和灵魂的一部分。相较于曼恩的人文智能的技术框架和理念，彭特兰教授更关注数据问题。2007年，彭特兰提出了“数据新政”（the New Deal on Data）的想法，用以定义数据所有权、控制数据流，支持所谓“新数据协议”的三条原则，即：数据所有权、数据使用控制权、数据销毁或分发处置权。这一协议的核心是必须能够同时提供监管标准和经济激励以引导数据所有者共享数据，并同时服务于个体和整个社会的利益。[16]170-174

无论是人文智能，还是数据新政，都强调隐私的设计。数据新政强调更多的数据共享服务于公众利益，同时充分地保护个人隐私，因此新的通用技术和潜在解决方案正在进展，如身份互联网（Internet of Identity）有望实现共享功能，区块链网络在机构之间可提供真实的、可追溯的单一数据来源，还包括开发安全的、可信任的和可授权的新数字生态系统。人文智能强调有心灵的人工智能，人文智能是一个可指导可穿戴计算的研究和开发的理念，主张人与机器的自然或不可避免地合并。从大方向来说，实现人文智能所需的系统有三种运行模式：要求恒定持续地运行的持续模式；增强人类的智力或身体功能的增强模式；在介导模式中，将人机更紧密地结合起来。人文智能系统完全封装它的用户。它可以用作过滤器，人们用来阻止过多的信息，重组现有信息或从外部环境伪装。该系统可确保独立和隐私。[17]

上述仅仅是可穿戴设备隐私技术的解决理念，可穿戴设备隐私问题的解决也需要具体、多元的隐私技术方案的集成，重心要通过身份验证、存储和传输加密、防火墙和防病毒软件等隐私涉及技术，以可控的方式覆盖信息系统的标准访问控制并保护系统（传感器数据源、交互数据源、内部数据源）不受外部攻击。

（三）数字公民隐私教育

隐私权在1948年《世界人权宣言》中就被确认为一项基本人权，并在当今大多数国家的宪法中得以体现。信息隐私的第一项立法是1974年美国隐私法案。后来又有《通用数据保护条例》和《加州消费者隐私法案》，更是在数据隐私方面强化了相应保护措施。尽管立法对隐私保障日臻完备，但公民的隐私意识还停留在私人空间的隐私水准上，对于公共空间隐私、数据隐私知之甚少。可穿戴设备涉及的数据信息类型多样，更是涉及到生物特征信息、地理位置数据、医疗健康等个人敏感信息，稍不留意就可能造成安全漏洞或者隐私泄露，进而产生数据泄露、歧视性分析和操纵性营销等问题。

因此，必须加强对数字公民的隐私教育，既需要加深对可穿戴设备数据控制者和数据处理者如何收集、共享、分析的过程及其数据风险理解，也需要数字公民遵循最基本的可穿戴设备隐私安全策略，例如强密码设置、不同站点少用相同密码、更新安装最新应用程序和操作系统、禁止可穿戴信息自动同步到社交媒体、运动时禁用蓝牙、谨慎连接到公共Wi-Fi、及时清除数据缓存、避免存储关键信息等。鉴于此，可穿戴设备的隐私风险认知、安全使用和负责任的隐私行为规范，是可穿戴设备时代的数字公民隐私教育的应有之义。

我们已经进入了可穿戴设备时代，可穿戴设备展现着可期待的发展宏景，但也使我们的数据隐私和数据安全面临着威胁和挑战。我们要全面看待可穿戴设备，既要看到佩戴可穿戴设备是人的一项权利，是享受科学进步及其产生的福利权利，也要看到可穿戴设备可能侵犯自身或他人的隐私，甚至败坏整个社会的隐私状况。因此，从权利角度，我们不可能禁止可穿戴设备，但基于风险的未雨绸缪，我们要尽可能将可穿戴设备的隐私风险降到最低。总之，我们既要牢牢地盯着可穿戴设备的隐私风险，也要勇敢地展望其未来。

注释：

①例如，普适计算（Pervasive Computing、Ubiquitous Computing），又称普及计算、泛在计算、遍布式计算，是强调和环境融为一体的计算概念，其处理设备要求小型、可穿戴、便宜、网络化。其与可穿戴设备概念也紧密相关，无处不在的人类计算，需要普适计算系统的移动性、嵌入性，进而要求普适计算系统的小型、可穿戴。

②在国内媒体中，阿莱克斯·彭特兰（Alex Pentland）也被称为可穿戴计算之父（Father of Wearable Computing）。然而，国外文献中，一般将史蒂夫·曼恩（Steve Mann）视为“可穿戴计算之父”。但考虑到阿莱克斯·彭特兰很早就介入可穿戴设备和人脸识别研发领域并取得了出色成果，后来又大力创立、赞助和支持其学生（史蒂夫·曼恩、萨德·斯塔那和巴巴克·帕尔维兹）的可穿戴设备商业应用，因此，其被称为可穿戴设备教父。

③量化自我也被称为生活日志（life-logging）和自我跟踪（Self-Tracking）。

④人人都有数据分身，这是我们生活的数字副本，它们被捕获在数据中并散布在各种信息系统中。数据分身是一个组合看似不透明的数据流或信息片段（例如音频、气味、化学、视觉和紫外线信息），变成虚拟的（如计算机化形式）表示形式，并冻结在电子代码中。见Lyon,D.Surveillance Studies:An Overview[M].Malden:Polity Press.2007:88.这些数据分身具有匿身性，“在许多不同的计算中心循环，并作为访问资源、服务和电源的标记，其所指者（Referent）通常不知道这些方式”。见Haggerty,Kevin D.and Richard V.Ericson.The Surveillant Assemblage[J].British Journal of Sociology,2000,(4):613.

⑤实际上，早在1997年，曼恩就已经公开发表过人文智能方面的论文，后来又多次修订重复发表。