隐私增强技术

（一）PETs^[40]

目前，关于隐私增强技术（Privacy Enhancing Technologies，PETs）并没有统一的定义。英国信息专员办公室ICO认为，PETs是指“任何用以保护个人隐私或增强隐私保护水平的技术，其中包括为个人行使1998年数据保护法赋予的数据权利提供便利的技术”。而Ann Cavoukian博士则认为，PETs是指“为加强信息系统中个人隐私保护，通过阻止不必要或违法的个人数据收集、使用和公开，或通过提供工具以加强个人对其个人数据的控制的信息和通信技术”。^[41]虽然定义不统一，但不难发现，PETs具有以下内涵：

（1）减少或消除违反隐私保护原则或法律的风险；

（2）尽可能减少对个人数据的收集；

（3）让个人能随时保持对他们个人信息的控制。

PETs一词最早于1995年出现在加拿大安大略省信息和隐私专员和荷兰信息保护机构联合发布的一份报告中。第一项PETs被认为是由David Chaum开发的“Mix networks”，用于在网络上匿名和不可观察性质的通信。^[42]该项技术为匿名通信打下了根基，至今某些邮件系统仍然在使用。而现如今，PETs早已不是如此简单的概念，它包含各式各类的技术形式。

PETs对于PbD最终目标的实现意义重大。通过对拟进行开发的信息技术、系统、商业实践或物理设计进行隐私影响评估，可以了解到可能存在隐私问题。为解决这些问题，除了在政策、流程或人事设置上采取行动之外，更多时候是从技术层面尽量减小或消除隐私影响，PETs就是这样一种技术。因此，PETs是将隐私保护嵌入到产品中的关键部分，是不可或缺的重要组成内容。

（二）PETs分类^[43]

因国际上目前对PETs并无权威定义，所以也没有被广泛接受的分类方法。英国ICO通过参考一系列研究对PETs进行了大致的分类，^[44]在此予以引用。

第一类是隐私管理工具。隐私管理工具也叫“透明工具”，它能让用户了解掌控个人信息的人是如何使用他们的个人信息的。隐私管理工具还能为用户提供建议，以决定如何处理相关的隐私问题。比较有名的工具有万维网联盟开发的P3P协议（Platform for Privacy Preferences Project），它旨在让浏览器用户更好地控制自己的个人信息。该协议允许Web服务商宣布它们关于信息收集的隐私政策，而浏览器用户有权进行协商。但遗憾的是，目前P3P基本处于停滞不前的状态。

第二类是隐私保护工具。隐私保护工具通常被称为“不透明工具”，旨在掩藏用户身份，减少数据暴露，伪装网络连接以隐藏原来的IP地址。如果获取了IP地址，怀揣恶意目的者可能会对个人的地理位置进行分析，或定位出计算机的确切位置。隐私保护工具还能对交易进行鉴定。该类工具还可以细分为：（1）匿名化工具。该类软件或应用可以将原始IP地址或邮箱地址进行隐藏。（2）匿名支付。匿名支付的概念是直截了当的，它的工作流程是：用户购买一张有唯一识别号码的预付卡；当用户在网络支付时，钱是通过具有唯一识别号码的预付卡给出。（3）信息安全工具。有很多应用和软件可以被划到PETs的范围，但事实上，他们也是信息安全工具。这些工具对数据保护和隐私安全至关重要，但它们的最初目的是为了阻止未经授权而进入系统、文件库或网络通信。这类工具包括防火墙、病毒查询软件、垃圾邮件过滤插件等。无论如何，信息安全工具也属于PETs的一个类别。

（三）PETs Plus——提升企业积极性

在网络时代，PETs发挥了不少功能，例如：（1）阻止未经授权而访问通信和存储的文件；（2）自动检索数据收集者的隐私实践信息，并自动替用户做出决定；（3）阻止Cookies、网页漏洞和流氓软件的自动收集信息；（4）阻止通信被特定个人窃听；（5）尽可能减少公布个人信息以方便交易；（6）过滤不必要的信息等。^[45]

然而传统的PETs仅以保护用户隐私为中心，而PbD理念最终追求的不只是保护个人隐私这么简单。简而言之，PETs缺少“共赢”考虑。在PETs发挥作用的同时，也就意味着受保护个人之外的主体之利益受到了损失。这是一种“非黑即白”的局面，也在某种程度上导致企业不太愿意在其信息系统或物理设计中加入PETs技术。正是如此，PbD理念的提出者Ann Cavoukian博士提出了PETs Plus的概念，作为PETs的升级版本。PETs Plus充分落实了PbD在实施时应遵循的“全部功能——正和而非零和”之基本原则。也就是说，PETs Plus不只是为个人的隐私利益提供保护，更会将其他主体和利益相关者欲达到的利益考虑进来，并为这些利益目标的实现提供便利。这样就能促进相关企业、组织在实施PbD理念时，积极主动地采用PETs Plus。

图6．7所示即为PETs Plus在视频监控系统中的一种应用。^[46]（a）为正常的视频监控画面。而（b）对视频进行了处理，将画面中的人与环境都做了加密，即使系统被黑客入侵也无法解密。（c）只是对画面中的人的身体或脸部进行了加密。^[47]三个比较起来，显然（c）最能符合个人和安装该系统主体的利益需求。（a）有可能侵犯个人隐私，但它对系统安装者的利益是最大化的。（b）对个人的利益最大化，但是却使监控系统的功能受到了影响，偏离了设置该系统时的目的。（c）只对具有识别性的身体和脸部进行加密处理，避开了隐私风险；同时也使视频监控系统的全部功能得到正常实施（在法律允许的必要情况下，还可以对视频画面进行解密），它既符合安装该系统主体的利益，也满足个体的隐私保护需求。

图6．7　PETs Plus在视频监控系统中的应用