- A+
2019年,浙江舟山上线了全国首个违禁吸烟抓拍系统。在禁烟区域内,红外摄像头一旦捕捉到吸烟动作,系统便会自动抓拍取证并进行语音提醒。这一技术手段的初衷不难理解——降低执法成本、形成威慑力、减少公共场所二手烟危害。然而,当监控探头不仅记录“谁在吸烟”,还能分析“在哪里吸”“什么时候吸”“吸的频率如何”,一个更深层的问题浮出水面:我们的吸烟行为,正在被谁看见?这些数据又被用来做什么?
在大数据时代,与吸烟行为相关的个人信息,其隐私边界究竟在哪里?人们又该如何在公共利益与个人权利之间找到平衡?
“烟民画像”如何生成
要理解隐私风险,首先需要明白“烟民画像”是如何被构建的。这个过程并不神秘,甚至每天都在发生。
第一类数据来源是主动提供。以加热不燃烧烟草产品iQOS为例,该设备内置了两个微控制器芯片,能够存储并传输使用信息至生产商。菲莫国际公司正在建立庞大的用户数据库,收集的数据包括每日抽吸口数、平均消费量等——这些信息对于监测尼古丁依赖程度具有高度敏感性。当用户注册产品、连接应用程序时,他们实际上在主动交出自己吸烟行为的数据。
第二类数据来源是行为监测。公共场所的智能摄像头、红外传感器可以识别吸烟动作并记录时间和地点。这些数据最初可能只用于执法取证,但一旦进入数据库,就可能与其他信息关联,形成更完整的用户画像。
第三类数据来源是间接推断。即使你从未主动告知任何人自己的吸烟习惯,算法也可能通过其他行为推断出来。例如,购买打火机的记录、频繁出入特定场所的位置数据、健康保险的理赔信息——这些看似无关的碎片,通过大数据分析可以拼接出一个“烟民画像”。
这恰恰是用户画像技术的核心逻辑——不是依靠单一数据源,而是通过多源数据的关联分析,从碎片中拼出全景。正如学术研究所指出的,在大数据时代,用户不仅作为个体被分析,更作为特定群体的成员被定位,这挑战了传统隐私保护的边界。
敏感数据之辩
那么,吸烟相关的个人信息,到底有多“敏感”?
根据《中华人民共和国个人信息保护法》第二十八条,敏感个人信息是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,包括生物识别、医疗健康、金融账户、行踪轨迹等信息。
吸烟行为的信息,恰恰可能同时触及多个敏感维度——
医疗健康维度:吸烟史、吸烟频率、尼古丁依赖程度,这些数据与个人的健康状况直接相关。在健康保险定价、雇佣评估等场景中,这类信息可能被用于做出对个人不利的决定。
行踪轨迹维度:通过分析吸烟行为发生的时间和地点(如某人在哪些公共场所吸烟、每天几点在何处吸烟),可以反推个人的活动规律和位置轨迹。
特定身份维度:在某些语境下,“烟民”本身可能成为一种被标记的群体身份,进而影响个人在社会评价、职业发展等方面的待遇。
学术研究指出,对群体的数据驱动型画像可能产生“集体隐私威胁”——即使个体没有直接提供数据,仅因为属于某个群体(如“吸烟者”),也可能面临隐私风险。这意味着,吸烟行为的隐私问题不只是个人的事,还涉及更大范围的群体权益。
值得注意的是,法律对敏感个人信息的处理设置了更高门槛,处理者必须具有特定目的和充分必要性,采取严格保护措施,并取得个人的单独同意。换言之,不能用一个笼统的“用户协议”概括同意,而是需要对每一项敏感信息的处理获得明确授权。
隐私风险的三个场景
理解了数据的敏感属性,接下来需要追问:这些数据会被如何使用?风险又具体体现在哪些场景?
场景一:公共场所监控与执法
舟山的吸烟抓拍系统是一个典型案例。从公共健康角度看,技术辅助执法确有价值——它可以弥补人力不足、提高取证效率、形成持续威慑。但问题在于,摄像头抓拍的画面会保存多久?谁有权查看?是否可能被用于非控烟目的?
正如学者所指出的,使用监控抓拍吸烟行为,“初衷再好,也不能侵犯隐私。最起码的,得确保它仅被用于控烟,且有明确的标识告知,让民众知情”。然而现实中,监控信息的二次传播、黑客攻击导致的数据泄露等风险始终存在。2019年,当这一系统上线时,新京报评论就提醒:“隐私泄露的情况时有发生,和控烟一样,防治隐私泄露同样是个难治理的议题。”
场景二:商业数据收集与营销
iQOS等新型烟草产品的数据收集能力,揭示了商业公司在隐私保护中的角色。这些设备收集的吸烟行为数据,不仅是改善产品的依据,更可能被用于精准营销——“根据你的吸烟习惯,我们推荐这款新产品”。
问题在于,用户往往并不清楚自己的数据被收集了什么、用在哪里、与谁分享。在一项关于用户画像数据安全风险的研究中,学者指出,实践中“个人数据处理目的透明度低”,用户很难获知自己被贴上了什么标签、这些标签是否准确、能否修改。这意味着,在商业场景下,用户对其“烟民画像”的控制权极为有限。
场景三:算法决策与歧视
更隐蔽的风险来自算法决策。当“吸烟者”这一标签进入数据分析系统,可能引发一系列连锁反应:保险公司可能根据吸烟画像提高保费,或拒绝承保;雇主可能在招聘或晋升时对吸烟者产生偏见;某些服务平台可能对吸烟者推送特定类型的广告或产品。
《个人信息保护法》第二十四条明确规定,个人信息处理者利用个人信息进行自动化决策,“不得对个人在交易价格等交易条件上实行不合理的差别待遇”。但“不合理”的边界在哪里?如果保险公司根据真实吸烟风险定价,是否属于歧视?这些问题尚无明确答案。
法律框架与制度保障
面对上述风险,中国的法律体系已经搭建起基本框架,但在执行层面仍面临挑战。
现行法律的主要规定:《个人信息保护法》确立了“告知-同意”为核心的处理规则,要求处理个人信息应当遵循合法、正当、必要和诚信原则。对于敏感个人信息,处理门槛更高:必须具有特定目的和充分必要性,采取严格保护措施,并取得个人单独同意。
此外,于2025年1月1日施行的《网络数据安全管理条例》进一步细化了相关规定。条例明确,处理敏感个人信息应当取得个人的单独同意;网络数据处理者应当建立健全数据安全管理制度,采取加密、备份、访问控制等技术措施;发生数据安全事件时,应当及时通知利害关系人。
然而,法律文本的完善并不等同于实际保护的有效性。有学者指出,在人工智能商业化应用中,“目的限制原则丧失实效”——企业往往将多种数据处理活动压缩在“个性化推荐”这一笼统目的之下,用户难以知晓自己的标签和画像如何被制作和使用。
这意味着,对于吸烟行为数据的保护,单纯依赖法律条文是不够的。还需要配套的执行机制:独立的监管机构、有效的投诉渠道、可行的救济路径。
隐私边界的思考
回到本文的核心问题:吸烟行为的隐私边界在哪里?
一个可能的答案是:边界不是固定的,而是由场景、目的和风险共同决定的。
在公共卫生场景下,为了降低二手烟危害而进行的监控,如果满足以下条件,可能具有合理性:监控范围明确限定(只在禁烟区域);数据用途单一(仅用于执法取证);数据保存期限有限;有明确的标识告知。这些条件缺一不可。
在商业场景下,收集吸烟行为数据应当遵循“最小必要”原则——只能收集与服务直接相关的数据,不能超范围收集;必须获得用户的单独同意,不能藏在冗长的用户协议里;应当允许用户访问、更正、删除自己的数据。
在算法决策场景下,个人应当有权要求对仅通过自动化决策作出的决定进行人工复核。如果“烟民画像”导致了实质性的不利后果,个人应当有权了解决策依据并提出异议。
但归根结底,隐私保护不是在“公共利益”与“个人权利”之间二选一,而是寻求一种能够兼顾两者的制度设计。对于吸烟行为而言,这意味着控烟的目标值得追求,但不能以无差别监控和隐私牺牲为代价;个人数据需要保护,但也不能以此为借口阻碍合理的公共卫生干预。
大数据时代,没有人是绝对的“隐形人”。但这并不意味着我们应该对隐私保护丧失信心。相反,技术的进步也在提供新的解决方案——联邦学习、差分隐私、可信数据链等技术,正在尝试在不牺牲隐私的前提下实现数据价值。法律框架也在不断完善,尽管执行中仍有差距。
真正的挑战或许不在于技术或法律本身,而在于我们是否愿意认真对待这个问题:当算法能够识别“烟民画像”,我们是否还能守住那条区分“合理使用”与“过度侵犯”的线?答案,取决于我们每个人的选择。