第 35 卷第 6 期 南京理工大学学报（ 社会科学版） Vol． 35 No． 6

2022 年 12 月 Journal of Nanjing University of Science and Technology（ Social Sciences） Dec． 2022

DOI 编码： 10． 19847 / j． ISSN1008 － 2646． 2022． 06． 004

数字经济架构中的动态隐私理论及其应用

倪蕴帷
（ 南京审计大学 法学院，江苏 南京 211815）

摘 要： 在数字经济应用重塑的社会结构性关系中 ，公共与私密领域的区分愈发模糊，传统
上以私密范式为主要内涵的隐私定义面临被解构的风险 。现代通信技术一方面改变了既有的
信息交互模式，创造出新的问题和矛盾，另一方面也在一定层面上破坏了既有法学规则的事实
基础。情境脉络完整性理论以特定情境中的信息规范为基准 ，通过动态、场景导向的方式重新
塑造了数字经济中的隐私范式。在搜索引擎、社交网站、云存储平台、智能手机应用、大数据分
析等领域，该理论都能够作为评估信息流动的基础性框架 ，以应对和解决新兴技术造成的隐私
困境。
关键词： 隐私权； 个人信息保护； 情境理论； 数字经济
中图分类号： F49 文献标志码： A 文章编号： 1008 － 2646（ 2022） 06 － 0023 － 09

整性理论则通过动态的、情境导向的方式为解构
一、问题的提出
和重建数字经济时代的隐私概念及相关机制提供
数字经济中的底层技术架构，如大数据、云计 了新的思路。本文将以该理论为基础，通过 Face-
算、物联网、区块链等，从根本上改变了人际连接 book 网站的隐私权政策分析、大数据伦理与隐私
方式和社群组织结构。这种异质性对于信息社会 保护、智能手机应用许可的缺陷与改进 、物联网设
中的隐私法律机制及其相关规则会造成何种冲 备的隐私规范调查等应用进行实证检验 。
击，不无疑问。 现行隐私理论起源于社区规模较
二、隐私权在数字时代的概念消解与重塑
小、数据传播体量及方式较为平缓的后工业时代 。
如今，信息传播不单是通过报刊和信件 ，更是在海 隐私作为一个哲学、心理学、社会学和法学概
量记录系统和数据库之间传递。数字档案的规模 念，已经在社会科学的几乎所有领域诞生并被研
化促成了一个复杂的信息网络结构，在这个结构 究了 100 多年，法学家们曾多次尝试将不同领域
中，数据信息的存储、分析和使用方式不仅对经济 的不同观点结合起来。 然而，这些理论上的努力
社会产生了深远的影响，同时也亟待法律的回应。 仍然得到的是一个支离破碎、定义与内涵相分离
信息构架上的变革需要法律体系上的整体革 的概念，既没有充分的学说展开，也没有足够的经
［1］
新。 以公私二分和个人控制为核心的传统隐私 验验证。关于将隐私权作为一项私法上的权利有
范式不仅保护效率低下，且会限制数据应用和信 如下争论： 如果存在这样一种权利，它是如何产生
息流通。由 Helen Nissenbaum 提出的情境脉络完 并在法哲学上合理化的？ 它的范围和边界如何，

收稿日期： 2022 － 06 － 13
作者简介： 倪蕴帷（ 1991—） ，男，江苏南京人，南京审计大学法学院讲师，法学博士； 研究方向： 民商法。
基金项目： 江苏省高校哲学社会科学研究一般项目“数字经济时代个人信息保护的路径重构研究”（ 2021SJA0360）
本文引文格式： 倪蕴帷． 数字经济架构中的动态隐私理论及其应用［J］． 南京理工大学学报（ 社会科学版） ，
2022（ 6） ： 23
－ 31．

— 23 —
 ［2］
又是通过何种方式进行保护的？ 隐私似乎包含
各个价值面向上的不同属性，隐私权也存在过于
泛化和不确定性的问题，始终无法形成统一观念。
进入数字时代，信息技术的应用进一步加剧
了隐私权在概念上的模糊性。 例如，传统上以私
密范式为主要内涵的隐私定义，在公共领域与私
人领域愈发难以区分的互联网情境下，面临被解
构的风险。以私密性价值作为隐私判断的基准，
在比较法上通常被视为确定隐私权权利边界的主
流方法。德国法早期采用“领域理论 ”，将人格领
域划分为隐密领域、秘密领域和个人领域，根据其
距离人性尊严核心的远近分别予以不同强度的保
护。在我国《民法典 》中，隐私也被定义为“自然
人的私人生活安宁和不愿为他人知晓的私密空
间、私密活动、私密信息。”但这样一种公共、私密
的二元区分，在通信数据技术和数字底层构架不
断扩张和变更的场景下如何维系 ？ 在互联网重塑
的社会结构性关系中，何谓公共领域？ 何谓私人
领域？ 公私之分在数字平台和数字场景中的消解
一定程度上也使传统隐私概念面临应用的困难 。
［3］
“技术变革是一场浮士德式的交易。” 技术
的给予和技术的代价并不总是相等的，一项新技
术有时创造的比破坏的更多，有时则破坏的比创
造的更多。例如，早期的数字版权管理系统旨在
促进受版权保护的内容在网上的自由流动，但其
结果是建立了一个能够监测和跟踪用户消费的系
统，从而对个人阅读、观看和聆听习惯等造成隐私
［4］
威胁。 再例如，储存在用户本地终端上的 Cookie
［5］
数据也可能被用于监测用户的浏览记录。 新兴
通信技术一方面改变了传统的信息交互模式 ，创
造出新的问题和矛盾，另一方面也在一定层面上
破坏了既有法学规则的事实基础 。
如学者所言，隐私权的权属范围和概念内涵
［6］
与具体语境下的习俗、惯例、文化等息息相关。
隐私在不同的社会时空和不同的场景下应具有不
同的边界、范围和价值。 由于时代背景和信息传
播方式的变化，隐私的内涵也会随之不断改变。
一个典型的例子就是在通信技术尚未普及的年
代，隐私很大程度上以物理空间的侵入为主要内
容，而进入互联网时代后，隐私更多地以信息隐私
［7］
的形态进行适用。 各种学说和理论上的差异不
仅由特定文化背景决定，更受到了不同社会时空
和科技水平的影响。古典隐私起源于信息传播较
— 24 —
为直接和简单的前信息时代，而当代数字应用则
从根本上改变了人际交互方式与社群结构形态。
因此，这一信息构架上的根本改变也要求隐私权
在概念和制度构造上的整体重塑 。
以社会资讯流动规范为核心的情境脉络完整
性理论既不同于围绕人格权的私密性利益或控制
性利益等建构的传统进路，也没有将隐私简单地
归于个人独处、有限接触或亲密关系等基本价值。
该理论摒弃了公私二分的判断基准，而将隐私保
护与特定情境下的语境脉络和社会规范相连接，
通过资讯主体、信息属性和传播原则等三要素所
共同组成的动态框架，为评估数字经济下的新型
应用提供重要参考。
三、隐私权在我国法中的理论演进
及其不足
国内的隐私理论可大体上分为三类： 基于古
典 个人独处权 ”定义的私密性理论，基于“信息
“
控制”观念的控制性理论和通过不同信息分类进
行规制的信息类型理论。 由于“隐私 ”一词的文
义限制，国内学界通常将其理解为一种私密性的
权利范畴，隐私利益被严格限制在公私二分的范
围之内。然而，这样一种对于隐私权的窄化理解，
既无实定法上的支撑，亦不具备理论上的优势。
从实践经验来看，绝对私密化的隐私定义也会导
致司法裁判中狭隘的保护范围和救济困境 。 保有
隐私不意味着不与任何人分享信息，非公即私的
二元区分是将独处意义上的隐私与绝对的私密划
等号，而忽略了隐私权在不同情境下具有的多重
内涵。特别是在公私界限愈发模糊的数字经济时
代，二元对立的隐私观念日趋萎缩，隐私内涵也越
来越难以由私密性价值所决定。 这些现象都表
明，私密 性 理 论 难 以 符 合 当 前 隐 私 保 护 的 现 实
需要。
作为国内主流观点的控制性理论，主要借鉴
了德国法的信息自决等概念，认为个人信息权已
然可以取代隐私权，以发挥信息自我管理和主动
控制的作用。然而，德国法本无隐私之概念，信息
自决权通常被视为一般人格权在私领域的具体
化。在美国法中，信息控制一向被认为是隐私权
的主要定义之一。在兼采德国法和美国法理论的
日本法中，多数学者也将其作为隐私保护的有力
学说，而没有视为一个独立的概念。因此，没有必
要对隐私权和个人信息权进行区分保护，这种区 进行动态适用。
分不仅缺乏学理依据，也会造成立法资源上的浪
四、动态隐私框架： 情境脉络完整性理论
费。控制性理论在实践效果上也力有未逮，点击
同意机制在根本上削弱了个人的选择权，有限理 情境脉络完整性理论 （ Contextual Integrity，CI
性现象则加剧了个人的决策偏差 。由于信息的公 理论） ，是将隐私与具体情境下的资讯流动规范
共产品或公共价值属性，无法严格贯彻一物一权 相关联的概念框架。 按照该理论，所谓隐私保护
原则，这使得信息主体不可能对自己的信息进行 即是维护个人信息在特定情境下的适当流动，不
绝对的排他利用或处理。人类的社会性表明个人 是不向公共领域流动，而是仅基于个人同意才可
的决定自由应当受到他项权益的限制，承认绝对 以流动。CI 理论认为，不同情境下的资讯规范或
的信息控制只会导向信息禁止的境地。 这说明， 隐式或显式地塑造和限制我们的角色、行为和期
以“通知—选择 ”模式为核心的控制性理论既缺 望，当我们违反特定规范时，情境脉络的完整性便
乏理论上的正当性，也无法为个人提供有效、具有 受到了破坏，从而也就构成我们通常认知中的隐
实质意义的保护。 私侵害。
由于控制性理论过度扩张了个人信息的保护 与其他社会规范一样，资讯流动规范通常不
范围，信息类型理论则试图通过不同信息类型的 是固定不变的，可能会以不同的速度缓慢或突然
区分保护进行收缩。学理和立法上常见的信息分 地发生变化、演变，甚至逆转，有时是由于文化、法
类包括敏感与非敏感信息，个人可识别性信息以 律和社会层面的改变，有时是由于无法控制的突
及美国司法实践中确立的内容与非内容信息等 。 发事件。科学技术是变革的重要动因。特别是数
该理论通过划分不同的信息类型，并分别予以不 字系统和信息技术所具有根本的破坏性，使得信
同的保护力度，以兼顾信息的流通和利用价值。 息实践常常偏离根深蒂固的资讯规范 。为了解释
然而，信息类型理论将隐私利益按照不同的信息 为什么这种破坏在法律评价上是有问题的 ———或
类型进行预先分配，却忽略了信息性质与其使用 者更确切地说是为了区分那些是和不是 。 基于规
情境的关联性。 信息是否敏感，能否表现通信的 范的隐私评价机制，比如 CI 理论，可以为区分这
内容、主旨或含义，往往是由其在不同应用场景下 些差异提供重要的判断基准，这使得我们能够从
的使用途径所决定的。同一信息在某些场景下是 一个系统的角度来审视不断变化的新型实践 。
敏感的，在另一些场景中未必具有高度的敏感性 。 简言之，资讯规范因特定情境而异。 不同的
信息的规范价值会随着使用途径的变化而改变 ， 社会生活场景决定了不同信息使用方式的规范评
这使得特定信息的隐私内涵难以通过静态的信息 价，进而决定了何谓隐私侵害。例如，医生询问年
分类加以确认。 龄通常被认为是合适的，但商品销售员则不然。
由此可见，当前主流的三种隐私保护理论都 无论是在与医生交谈、在商店购买物品，还是仅仅
具有一定的合理性，但也存在诸多不足。 它们都 在公园散步，资讯流动规范都决定了什么类型的
试图以某种单一的视角来解读隐私，这就必然导 个人信息适合与他人共享。情境脉络完整性理论
致一些情境中的合理适用，和另一些情境中的价 是建立在“没有不受资讯流动规范支配的社会生
［8］
值错位。情境脉络完整性理论则认为，信息使用 活领域……”这一概念的基础上。 这些规范解
方式的规范评价无法脱离特定情境进行抽象判 释了我们在信息隐私方面的基本权利边界，当这
断，不同的情境脉络具有不同的资讯流动规范 ，不 些资讯规范被不当地违反时，我们的隐私权便应
同的资讯流动规范又决定了信息的使用方式与适 当被认定受到了侵犯。
当性标准。我们对于隐私内涵的认定，就是依据 具体而言，不同情境下的资讯流动规范由三
这些资讯规范所产生的。 所谓保护隐私，即是保 个要素构成： 资讯主体，传播原则和信息类型。 资
护信息的合理和适当使用，不是不使用，或仅基于 讯 主 体 包 括 信 息 的 发 送 者、接 收 者 与 归 属 者。
知情同意才得以使用。通过三要素构成的适当性 “特定情 境 中 的 资 讯 规 范 决 定 了 相 关 主 体 的 角
［9］
标准取代私密性或控制性判断，不仅巧妙地解释 色，每个角色都与一组职责和特权相关联。” 例
了隐私概念的多义性，也能够根据场景的变化而 如，在医疗场景下，患者 （ 归属者和发送者 ） 共享
— 25 —
的信息在很大程度上取决于接收者是谁 ———医
生、理赔员等。反之，医生传输信息的规范评价同
样取决于接收者的角色———患者、同事、保险公司
等。因此，各类资讯主体的角色是影响不同资讯
规范下情境完整性的关键变量。
CI 理 论 框 架 中 的 第 二 个 要 素 是 传 播 原 则 。
传播原则是对信息流动的限制或约束，以确定信
息在实际情境下所应具有的传递方式 。一个典型
的传播原则如私密性原则，禁止接收信息的资讯
主体将该信息传输至公共领域。 在某些情况下，
信息流动是双向的，代表了互惠的传输原则。 在
另一些情况下，资讯主体可能会自愿或被强制共
享信息，如新冠检疫场景中的信息披露。 对网站
或数字应用的隐私权政策条款而言，其目标在于
获取用户同意，此时的传播原则也体现为强调个
人信息自主的控制性原则。CI 理论的核心论点
是，没有一个可以指导全部信息使用场景的普适
性原则。隐私不等于绝对的私密，隐私权的规范
内涵应当根据不同的场景动态判断 。
CI 理 论 框 架 中 的 第 三 个 要 素 是 信 息 类 型 。
与大多数隐私理论不同的是，CI 理论拒绝信息类
型的预先分配，如公共 / 私密信息、敏感 / 非敏感信
息等，而认为应当根据具体情境动态地判断信息
的规范意旨。信息是否私密、敏感，不能脱离实际
场景进行抽象区分，在某个语境中的信息类型可
能会因为场景的转换而做出相应改变。 例如，日
常交流场景中，人身信息是社会往来的必要媒介，
具有标识、描述特定个人的识别功能，通常不具备
高度的敏感性。 但在非法使用个人资料的场合，
人身信息可用于实施进一步的侵权行为或犯罪活
动，此时就应当赋予其一定的敏感性 。
这种动态、场景导向的判断模式同样可以适
用于数字实践之上。 在互联网应用中，仅仅因为
一个特定的数据单元可以揭示实质内容，并不意
味该数据应当或不应当受到隐私保护 。信息的性
质取决于该数据单位特有的多种因素，相关事实
和分析也可能会在资讯传输的过程中产生变化 。
例如，网页的 UＲL 地址通常 属 于 路 径 或 寻 址 信
息，但 UＲL 一般由英文单词所组成，从单词的词
意中也可能推知网页的实际内容和主旨 。一些新
兴的音频处理 App，可以从音频信号的非内容信
息中推断数字编码和传输的音频内容 。在某些情
况下，甚至可以通过识别和恢复单个音素来重现
— 26 —
会话的重要部分。 看似无害的信息，如数据包大
小、连接长度和所联系的网站等，通过技术手段的
处理，也可以反映大量的底层内容。 电话时代的
公共交换网络（ PSTN） 结构较为简单，将信息进行
不同类型的区分有一定意义。互联网协议栈的复
杂分层则大幅提升了数据信息的多样性，元数据
提供的信息远比 PSTN 环境中的普通信息要丰富
得多。在互联网情境中，通信的实质内容有时可
以从其相应的非内容信息中推断出来，很难在不
同的数据信息之间划出明确、有意义的法律界限。
基于这种复杂性，数据的敏感、非敏感状态不能抽
象处理。简单的指导原则，如“电子邮件地址属
于敏感 / 非敏感信息 ”往往是误导性的。 一些通
常意义上不重要、不敏感，无法揭示实质内容的信
息，在特定情境中也可能具有高度的私密性。 有
必要对信息使用的特定事实和具体场景进行深入
［10］
分析，以确定边界位于何处。
由此可见，CI 理论最为重要的特征是通过与
特定情境的连接，赋予隐私以动态的、社会行为规
范层面的概念内涵。 对该理论而言，数字场景和
数字应用并不构成一个离散的、异质的情境。 虽
然通信网络基础设施和协议会带来一些新的问
题，但经验表明，没有一个孤立的社会领域脱离了
“现实生活”。当从细节中抽象出来时，它们仍然
忠实于人类实践和社会结构的基本组织规则 。 根
据 CI 理论所建构的动态隐私框架，我们就可以通
过特定于语境的目的、价值观和法学原则来定位
情境脉络，解释根深蒂固的信息规范，识别破坏性
的信息流动，并根据该框架来评估新兴应用中的
信息实践。
五、情境脉络完整性理论的实践应用
1． Facebook 网站的隐私权政策分析
自 Facebook（ 现已更名为 Meta） 滥用消费者
数据的丑闻曝光以来，围绕隐私法律制度和知情
同意规则的争论日益胶着。Facebook 声称他们为
用户提供了适当的信息控制机制，且向消费者进
行了充分的告知和披露，但其效果如何需要检验。
与此同时，欧盟《通用数据保护条例 》的实施要求
企业更新隐私权政策声明，“应以简单、透明、易
懂和便于获取的形式，使用清晰、朴素的语言，向
用户提供这些信息 ”。基于公众的强烈抗议和条
例要求，Facebook 修改了网站的隐私权政策条款，
对其信息共享行为进行了更为详细的描述 。 修改
前后的条款有哪些变化，又存在何种不足，从基于
CI 理论的分析中不难得到一些可供参考的分析
方法和初步结论。
首先按照特定情境，对 CI 理论中的各参数进
行具体化。再通过模糊字符串匹配的方式，对更
新前后的隐私权政策条款进行比较 。
资讯主体： 更新后的 Facebook 隐私权条款提
供了关于信息发送者更为详细的说明，包括一些
新的发送者类别，如“WhatsApp”等，其中使用频
率最高的发送者是“Facebook”和“消费者 ”。 与
发送者类似，更新后的版本引入了新的接收者类
别，如“在您共享受众之外的人员和企业”“内容
创建者”“页面管理员”“Instagram”和“数据聚合
公司”等，其中最常见的信息接收者是“Facebook”
和“第三方服务、供应商、合作伙伴 ”。 在前后两
项条款中，信息的归属者大多为消费者。
信息类型： 更新后的隐私权条款包含了更多
对于信息属性或性质的描述，同时对现有类型进
行了拓展。例如，“用户内容 ”被详细描述为包括
“种族或族裔出身”“健康”“参加的活动”“兴趣 ”
“宗教观点”“一般人口统计”“政治观点”“工会
成员资格”和“哲学信念”在内的信息。
传播原则： 更新后的隐私权条款不仅包括原
先的信息流动条件和约束，还增加了新的传播原
则，如“无论是否拥有 Facebook 账户或登录 Face-
book”“在照片、视频和相机应用中识别用户”“通
过 API 重新共享或下载”“在用户提供数据前拥
有合法收集、使用和共享的权利”等。
最后，通过对比分析前后条款和应用 CI 理论
模型，得出现行 Facebook 网站隐私权政策条款具
有的三点缺陷： 描述不完全、CI 参数膨胀和术语
［11］
使用模糊。
第一，描述不完全。 隐私政策条款中的描述
不完全，缺少 CI 模型里的必要参数，会导致消费
者无法准确理解相关文本。 根据统计，更新前的
Facebook 隐私权政策中 45% 的条款 （ 19 /42） 缺少
一个或多个参数，在更新后的隐私权条款中，这一
数字增加至 68% （ 49 /72） 。许多缺少信息发送者
或信息接收者的语句只描述了“数据的使用 ”，即
如何使用收集到的用户信息，而未告知具体的收
集主体。缺少此类说明会迫使用户推断哪些实体
可以从其他来源获取信息，并产生错误的隐私预
期。一些声明缺少对传播原则的准确描述 ，例如，
“我们在属于 Facebook 的公司家族中共享关于您
的信息”没有具体说明在何种条件和约束下可以
共享信息，迫使消费者推测信息收集的时间和原
因等。
第二，CI 参数膨胀。 参数膨胀增加了将单个
信息流动的描述与隐私政策声明相分离所需要的
努力，因为通常不清楚哪些参数组合描述了实际
发生的信息流动。 例如，在“广告主、应用开发者
和发 行 商 可 通 过 他 们 使 用 的 Facebook 业 务 工
具———包括我们的社交插件、Facebook 登录、我们
的 API 和 SDK 或 Facebook 像素，向我们发送信
息。这些合作伙伴提供您在 Facebook 之外的活
动的相关信息，包括与您的设备、访问的网站、所
做的购买、观看的广告以及如何使用其服务有关
的信息，无论您是否拥有 Facebook 帐户或登录到
Facebook。”这一段声明中，多个资讯主体在多种
传播原则的约束下可以收集多种信息类型的用户
数据，用户很难理解每一种组合的可能。 所谓 CI
参数膨胀即是指在同一语句描述中，采用了多种
CI 参数的组合，这就严重加剧了用户阅读和理解
的负担。更新后的条文表达上较为丰富和透明，
实则加重了参数膨胀的现象。
第三，术语使用模糊。 更新后的隐私权政策
条款没有减少模糊术语的出现频率，这说明了为
什么网站隐私权政策通常是“含糊不明的，使人
们很难了解一个网站收集了哪些信息，以及将如
［12］
何使用这些信息。” 术语使用模糊包括条件模
糊，无法确定信息传递的具体条件，如“视需要 ”
“视情况而定”“必要时”“有时”“以其他合理方
式确定”等。 使用概括性的副词或形容词，使信
息类型 过 于 抽 象，如“典 型 的”“一 般 的”“经 常
的”“广泛的”“主要的”“大部分的 ”等。 难以估
计发生的可能性，如“可能”“可以 ”等。 模糊的数
字量词，如“大多数”“许多”“一些”“很少”等。
2． 大数据伦理与隐私保护
进入大 数 据 时 代 以 来，交 易 数 据、cookie 日
志、流媒体和数字存档，以及来自社交网络、移动
电话和可穿戴设备的数据呈现出爆炸式的增长，
从中提取见解、发现和相关意义的技术也呈指数
级增长。通过大数据技术从互联网和社交媒体平
台获取信息，已经成为学术研究和商业活动的重
要手段，它们在带来新结果的同时，也往往会引发
— 27 —
相当大的隐私保护争议。
2016 年，丹麦研究员 Emil Kirkegaard 公开发
布了一组数据，其中包括来自 OkCupid 在线约会
网站近 7 万名用户的抓取数据。 其针对用户名、
年龄、性别和性取向等基本个人资料信息进行了
采集，同时还收集了网站上 2600 个多项选择题的
答案，如用户的宗教和政治观点、是否服用消遣性
药物、是否对配偶不忠等。 由此生成的数据库以
及一份数据分析的论文草稿被发布在由 Kirkeg-
aard 运营的在线期刊和同行评议论坛上 。 该事件
曝光后，引发了社会的广泛争议，许多学者均提出
对此类行为的批评。 然 而，Kirkegaard 本 人 的 回
应却简洁有力： “数据已经公开了”。“有些人可
能反对收集和发布这些数据，但数据集里的所有
信息都取自公开数据，编写数据集只不过是以一
［13］
种更有用的形式显示它。”
这一案例凸显了大数据技术与隐私保护之间
的紧张关系，同时也反映了传统理论的应用困难 。
在现代数据处理技术的帮助下，不需要庞大的研
究经费或计算资源，就可以对数以千计的个人资
料信息进行抓取、整合和分析。 而这些数据通常
由用户自行公开和分享，按照传统隐私理论，由个
人自行决定并予以公开的信息不属于隐私保护的
范畴，这使得现行体系难以对数据爬取等问题予
以有效的规制。 在大数据技术下，任何已公开或
自愿分享的信息都有可能被聚合和分析，并造成
进一步的损害。
CI 理论则认为，隐私不能被视为一种绝对的
私密或控制，
而是由具体情境下的资讯流动规范所
［14］
决定的。具体而言，
可按以下方式进行分析。
识别信息流动： 在 OkCupid 网站的情境下，有
三个固有的信息流动。 第一，用户创建一个账户
并向 OkCupid 服务提供信息； 第二，一些信息可供
搜索引擎和该服务的其他非用户使用 ； 第三，更详
细的信息 （ 如对多项分析问题的回答 ） 仅对恰好
浏览 当 前 用 户 主 页 的 其 他 OkCupid 用 户 开 放。
Kirkegaard 的数据抓取和研究则引入了两种新的
信息流动。首先，通过创建一个虚拟账户并运行
能够访问和储存用户信息的自动脚本，使大量用
户主页中的信息自动录入其数据库。 其次，通过
发布自 动 脚 本 获 取 的 信 息，使 个 人 资 料 数 据 在
OkCupid 用户 的 封 闭 环 境 之 外 流 动，并 向 公 众
公开。
— 28 —
确定资讯主体： 在网络交友情境中，信息归属
者是网站的用户，他们创建账户并提供了个人资
料信息。信息发送者是使其主页资料对其他用户
可见的用户，信息接收者包括约会网站本身 （ Ok-
Cupid） 、该网站的其他用户，以及通过搜索引擎访
问有限用户资料的一小部分公众。Kirkegaard 的
OkCupid 研究扩展了普通公众作为接收者的角色
范围，使得所有个人资料信息都可以被他的自动
脚本公开访问。
确定传输原则： 与大多数在线交友网站一样，
OkCupid 案例中的传播原则是在有限范围内与网
站上的其他用户共享个人资料信息，同时寻找社
交或恋爱关系。虽然个人资料可由搜索引擎索引
并对非用户是公开的，但用户可以将可见性限制
为仅对其他登录用户，以确保只有约会网站的其
他成员可以访问其个人资料信息。用户还可以选
择将某 些 选 项 设 置 为 私 有，从 而 对 其 他 用 户 不
可见。
识别固有的资讯流动规范： OkCupid 案例中
的资讯流动规范要求用户在使用网络交友服务
时，可以 控 制 其 个 人 资 料 信 息 的 可 见 性。 使 用
OkCupid 服务的用户通常期望访问其个人资料的
用户是出于在线交友或寻求伴侣的目的，并且他
们的数据资料仅向一定范围内的用户公开 。
将新的信息流动方式和固有的资讯流动规范
进行比较评估： Kirkegaard 的数据抓取行为违背
了在线约会环境中的资讯流动规范 。他采用创建
虚假个人账户的方式使用网站服务，其唯一目的
是收集用户信息资料，而非在线交友。 通过自动
脚本获取用户数据信息，并向不特定公众公开，也
明显超越了用户在 OkCupid 网站的信息共享范
围。这种数据收集和分析行为不符合用户参与在
线社交的期望，违背了当前的资讯流动规范，因而
也就破坏了情境脉络的完整性。这一行为应当视
为应用大数据技术对个人隐私的侵害，且此一侵
害不以数据是否公开为限。
3． 智能手机应用许可的缺陷与改进
智能手机移动平台的许可机制规范应用程序
如何访问某些资源，如用户的个人信息或传感器
数据（ 相机、GPS 等 ） 。 以当前版本的 Android 平
台为例，系统会在应用程序安装期间向用户提示
其将来可能使用的所有权限列表，如果用户不愿
意批准这些请求中的任何一个，他唯一的选择就
是停止安装。当应用程序第一次请求某些数据类 地促使用户理解和改善隐私控制。 因此，应用程
型（ 如位置、通讯簿联系人或照片 ） 时，会在运行 序的访问可见性和访问发生的频率是设计时需要
时提示用户。 研究表明，很少有人阅读 Android 考虑的两个重要因素。 通过“首次使用时提示 ”
应用安 装 时 的 许 可 请 求，甚 至 很 少 有 人 理 解 它 等方式，用户将根据具体情境的不同更好地理解
［15］
们。 有学者参考 CI 理论，对 Android 系统进行 访问特定资源的原因。 在实际操作中，由于访问
了修改和测试，认为将“隐私作为情境完整性 ”的 权限的频率等因素，不可能每次都提示用户。 可
概念应用于智能手机的许可系统，能够更有效地 以采取某些方式最小限度地获取用户偏好，自动
［16］
维护用户隐私。 推断用户可能于何时发现意外的权限请求，并且
在该 实 验 中，Primal Wijesekera 等 人 首 先 对 仅在这些情况下提示他们。 当设备是“新的 ”时，
Android 系统进行了修改，以便在应用程序访问受 用户需要围绕权限请求提供更多的输入，根据他
权限保护的资源时进行日志记录 。然后将修改后 们的响应，用户在未来会看到更少的请求。 通过
的智能手机交给 36 名实验参与者，参与者将这些 这些方式，将用户的隐私控制机制从安装时转移
智能手机作为他们的主手机使用一周 。通过对日 到运行时，有助于维护智能手机应用的情境脉络
志记录进行数据分析，可以确定各类应用程序在 完整性。
实际使用中访问受权限保护资源的频率。 之后， 4． 物联网设备的隐私规范调查
参与者将手机送回实验室，并接受调查。 实验参 物联网（ Internet of Things，IoT） 是通过各类信
与者被展示过去一周应用程序访问某些数据类型 息传感器、激光扫描器、射频识别技术等实时采集
的实例，并回答这些实例是否符合隐私预期 ，以及 物与物、物与人之间信息的技术手段。 面向消费
他们是否希望拒绝访问。 调查结果显示，实验参 者的智能家庭物联网设备可以观察和收集用户在
与者在三分之一的情形下都想阻止对受保护资源 家庭活动的敏感细节，并借由互联网传输相关信
的访问，这意味着一些请求应当由运行时的同意 息。在物联网设备逐渐普及之际，对于其隐私规
对话框批准，而不是采用安装时的批准模式。 制的认知和理解却远远不足。 有学者以 CI 理论
CI 理论要求确保信息流动在具体场景中能 为基础，构造了一种消费者隐私规范的通用调查
［17］
够被评价为是适当的，为实现这一目标，用户应当 方法，并对物联网设备进行跟踪和适用。 通过
根据情境的区别享有不同的资源使用提示，以帮 该方法，能够确定消费者对于不同信息收集行为
助他们理解哪些应用程序正在运行并发出请求 。 的隐私偏好，从而帮助物联网设备制造商和监管
然而根据日志数据，绝大多数请求发生在参与者 部门制定有效的隐私保护政策。
没有与应用程序实际交互的场景中，他们也没有 资讯主体： 物联网情境下信息的发送者以各
任何提示来表明应用程序尝试访问某些受权限保 类商用智能家庭物联网设备为代表，如安全摄像
护的资源。 例如，只有不到 1% 的位置请求是在 头和门锁、睡眠监视器、冰箱和健身跟踪器等。 信
应用程序对用户可见或显示 GPS 通知图标时发 息的接收者包括设备制造商，物联网生态系统，如
出的，在多数情况下，用户不知道他们的位置何时 苹果 HomeKit、三星 SmartThings 以及许多可以通
被公开。 在 应 用 程 序 读 取 存 储 短 信 （ 125 次 / 用 过亚马逊 Echo 或 Google Home 控制的设备，这些
户 / 天） 、读取浏览器历史记录 （ 5 次 / 用户 / 天 ） 和 生态系统可能通过不同物联网设备之间的通信推
访问相机（ 1 次 / 用户 / 天 ） 的场合，尽管使用这些 断敏感信息。互联网服务提供商 （ ISP） 也属于接
权限不一定会导致隐私侵犯，但用户没有足够的 收者，现有研究表明，互联网服务提供商可以从物
提示来理解这些请求正在发生。 这表明，虽然用 联网通信中推断用户行为，即便该通信是加密的。
户通过安装时的点击同意机制赋予了应用程序一 信息的归属者为物联网设备的所有者 。
定的访问权限，但这种事先的同意往往无法真正 信息类型： 从物联网设备通信中获取的信息
反映用户的隐私偏好。 主要可分为两种类型，一种是原始的传感器记录，
Primal Wijesekera 等人认为，如果访问请求在 如音频、视频、位置信息，通常具有明显的隐私含
运行时通过同意对话框或提示的方式通知用户 ， 义。另一种是有关用户行为特征的信息，可以从
而不是采取在安装时点击同意的方式，能够更好 物联网设备的传感器记录或接收者的事后分析中
— 29 —
推断出 来，如 用 户 在 家 时 的 饮 食 习 惯、睡 眠 习
惯等。
传播原则： 传播原则规定了信息流动的条件
或约束，在物联网情境下，即是指物联网设备应按
照怎样的原则对信息进行收集、存储和利用，如
“信息是否用于开发设备的新功能 ”或“信息是否
保持匿名”。
将以上参数的具体值通过排列组合的方式生
成调查问题，以检验不同信息流动方式的可接受
性。在考虑所有可能组合的前提下，排除一些对
于当前物联网设备没有意义的组合 ，经过过滤，得
出包含以上 CI 参数的 3840 个信息流动方式。 例
如，一个参与者可能会被问到关于睡眠监视器在
不同的传播原则下将其所有者的音频发送给不同
接收者的问题。根据信息发送者和信息类型的区
别，这些问题被分为 48 组，由 2000 名参与者作
答。参与者可在五种回答中挑选一种，作为对特
定信息流动方式可接受性的看法，这五种回答包
括： “完全不可接受”“部分不可接受”“中性”“部
分可接受”和“完全可接受”。通过分析不同 CI 参
数组合对调查结果的影响，对其可接受性进行评
分。如果一个参数在所有配对组中的平均可接受
性得分显著高或显著低，这意味着该参数对于参
与者的隐私期望而言是重要的。 例如，无论信息
发送者如何，特定信息类型的平均可接受性得分
都很高。如果两项参数具有显著高或低的平均可
接受性得分，这意味着可能存在涉及两个参数之
间相互作用的隐私规范。
Noah Apthorpe 等人在分析上述调查结果后，
得出以下结论。 第一，大多数信息流动的负可接
受性得分表明，应当按照特定情境对物联网设备
的通信进行一定程度的限制。设备制造商有必要
在软件开发过程中对设备通信过程进行严格评
估，且需特别注意其设备使用的第三方服务 ，因为
这些服务通常会将信息调用给潜在的未知接收
者。第二，设备制造商的隐私权政策条款应当更
注重传输原则和信息接收者的规定，由于信息发
送者和信息类型对平均可接受性得分的影响小于
传输原则和信息接收者，这说明在物联网情境中，
消费者更注重对于数据传输条件和最终接收者的
约束。第三，通过 CI 参数构筑通用的隐私偏好调
查方法，将各参数根据特定情境具体化，能够为分
析和规制新兴技术带来的隐私冲击提供有效的实
— 30 —
证数据。企业、学者、监管机构和消费者权益团体
都可以运用该方法发现和确定现有的规则缺陷，
并加以改善。
结语
长期以来，信息技术和数字应用一直被视为
对隐私的威胁，因为它们具有获取、储存、检索、分
析和传播信息的巨大能力，许多人认为这些技术
从根本上破坏了隐私规则的适用基础。 然而，网
络隐私的挑战不是场地不同，或者隐私要求不同，
而是网络作为一种特殊的技术中介，可能会干扰
或中断我们在线行为中的信息流动 。数字技术的
架构、协议和设计等尽管具有一定的特性 ，但当从
具体场景中抽象出来时，它们仍然忠于人类实践
和社会生活的基本规范与组织原则 。我们不应认
为，包括资讯规范在内的社会行为规范会随着向
数字媒介的转变而消失。 相反，对于网络隐私的
保护应当着眼于它们在社会领域中的作用及其与
根深蒂固的社会规范之间的联系。情境脉络完整
性理论以特定情境中的信息规范为基准，通过动
态、场景导向的方式重新塑造了数字经济中的隐
私范式。在搜索引擎、社交网站、云存储平台、智
能手机应用、大数据分析等领域，该理论都能够作
为评估信息流动的基础性框架，以应对和解决新
兴技术造成的隐私困境。随着未来社会生活的进
一步数字化和信息化，这一框架不仅将为我国信
息法学的发展提供重要参考，对于合理规制网络
和数字产业也极具现实意义。
参考文献：
［1］ Solove D． J． The Digital Person： Technology and Pri-
vacy in the Information Age ［M］． Newyork： NYU
Press，2004： 18．
［2］ Milberg S． J，Smith H． J，Burke S． J． Information Pri-
vacy： Corporate Management and National Ｒegulation
［J］． Organization Science，2000（ 11） ： 35 － 37．
［3］ Postman N． Informing Ourselves to Death，in The Na-
ture of Technology［M］． Berlin： Springer，2013： 77．
［4］ Kristol D． M． HTTP Cookies： Standards，Privacy，and
Politics［J］． ACM Transactions on Internet Technolo-
gy，2001（ 1） ： 151 － 198．
［5］ Cohen J． E． DＲM and Privacy［J］． Berkeley Techno-
logical Law Journal，2003（ 18） ： 575 － 617．
［6］ 徐明． 大数据时代的隐私危机及其侵权法应对［J］．
中国法学，2017（ 1） ： 37．
［7］ Westin A． F． Social and Political Dimensions of Priva-
cy［J］． Journal of Social Issues，2003 （ 59 ） ： 431
－ 453．
［8］ Nissenbaum H． Privacy as Contextual Integrity［J］．
Washington Law Ｒeview，2004（ 79） ： 137．
［9］ Barth A，Datta A，Mitchell J． C． Privacy and Contex-
tual Integrity： Framework and Applications［J］． IEEE
Symposium on Security and Privacy，2006（ 1） ： 185．
［10］ Bellovin S． M，Blaze M，Landau S． It’s Too Compli-
cated： How the Internet Upends Katz，Smith，and E-
lectronic Surveillance Law［J］． Harvard Journal of Law
＆ Technology，2017（ 30） ： 32 － 101．
［11］ Shvartzshnaider Y，Apthorpe N，Feamster N． Going a-
gainst the （ Appropriate） Flow： A Contextual Integrity
Approach to Privacy Policy Analysis［J］． The Seventh
AAAI Conference on Human Computation and
Crowdsourcing，2019（ 7） ： 162 － 170．
［12］ Turow J，Hennessy M，Bleakley A． Michael Hennessy
＆ Amy Bleakley，Consumers’Understanding of Priva-
cy Ｒules in the Marketplace［J］． Journal of Consumer
Affairs，2008（ 42） ： 411 － 424．
［13］ Kirkegaard E． O． W，Bjerrek J． D． The OKCupid Data-
set： A Very Large Public Dataset of Dating Site Users
［J］． Open Differential Psychology，2016（ 3） ： 2．
［14］ Zimmer M． Addressing Conceptual Gaps in Big Data
Ｒesearch Ethics： An Application of Contextual Integri-
ty［J］． Social Media + Society，2018（ 10） ： 1 － 11．
［15］ Felt A． P，Ha E，Egelman S． Android Permissions：
User Attention，Comprehension，and Behavior［J］．
Proceedings of the Eighth Symposium on Usable Priva-
cy and Security，2012（ 11） ： 1 － 3．
［16］ Wijesekera P，Baokar A，Hosseini A． Android Per-
missions Ｒemystified： A Field Study on Contextual In-
tegrity［J］． USENIX Security，2015（ 22） ： 499 － 514．
［17］ Apthorpe N． J，Shvartzshnaider Y，Mathur A． Discov-
ering Smart Home Internet of Things Privacy Norms U-
sing Contextual Integrity［J］． Wearable and Ubiquitous
Technologies，2018（ 1） ： 51 － 59．
（ 责任编辑、校对： 谈 悠）

Dynamic Privacy Theory and its Application in

Digital Economy Architecture
NI Yunwei
（ School of Law，Nanjing Audit University，Nanjing，Jiangsu，211815）
Abstract： The distinction between public and private fields is getting increasingly blurred in social structural relationships which
are being reshaped by digital economy applications． With private paradigm as its main connotation，traditional privacy definition
is faced up with risks of deconstruction． To a certain extent，it has also destroyed the factual basis of existing legal rules． Taking
information norms in given contexts as its basis，the contextual integrity theory reshapes privacy paradigms in digital economy
through dynamic and scene － oriented means． In search engines，social networking sites，cloud storage platforms，smart phone
applications，big data analyses and other fields，this theory would hopefully serve as a basic framework for information flow evalu-
ation to deal with the privacy dilemma caused by emerging technologies．
Key words： privacy rights； personal information protection； contextual integrity； digital economy

— 31 —