分类目录归档:不知所云

不学无术又一年

年底了,送别2020年最后一缕阳光,也总算是交待完未结的事项,总算是能按惯例 (201920182017201620152014201320122011201020092008) 要回忆一下过去一年的读书。回首一下过去一年的读书。

2020年读了22本书,而且绝大多数都是在疫情初期困顿在家时所读,真的是一年不如一年,想读的书目日渐增长,能读完书却增长缓慢,就好像是玩“俄罗斯方块”,方块垒地越来越高,消除速度却越来越慢。

读的主要是历史书和小说。

《胡骑啸长安 : 盛唐诗人的安史离乱》就很有意思,讲了很多我耳熟能详大诗人在安史之乱这段动荡岁月前后的经历与心路历程,再结合他们的作品,是大人物们在大时代下的生活切片。

《战国歧途》也是本有意思的小书,零散讲了一些战国的切片,可以看出作者不怎么喜欢秦国。

《唐长安城考古笔记》也读起来非常愉快,大概是因为我本身是西安人,看着身边熟悉的地理位置在唐代扮演了怎样的角色,这大概是我最喜欢的一类书了。

《中国的内战 : 1945-1949年的政治斗争》从国民党的失败与共产党的胜利两个角度搭建全书的架构,此前对这段历史关注比较少,总是把胜利当成理所当然,后面有了兴趣做更多的研读。

马伯庸的《两京十五日》也是一贯的紧张刺激,只是结尾有些跟不上,但这种把小人物穿插在大人物命运里的讲故事方式我一向都很喜欢。

《传奇中的大唐》是我2020年最喜欢的一本书,依旧是唐史,但这本书的切口是唐传奇,从文学作品为线索介绍唐朝的生活,非常有趣。

人脸识别技术的法律风险与合规思路

1,为什么人脸识别技术在个人信息保护领域更为敏感?

人脸识别技术的敏感性,来自于我们几乎无法对我们的面部信息进行修改。而其他类型的个人信息,比如用户名、电子邮箱、手机号、甚至是姓名我们都可以较为容易地进行变更。如果不考虑《碟中谍》这样的电影,人脸识别技术收集的面部识别信息一旦被收集就可能是永久被收集。

伴随着公众隐私保护意识的觉醒,人脸识别技术的运用正在让越来越多的民众警惕。这种警惕一方面来自于被窥视所带来的不快,而且很多场景下民众并不知道自己的面部特征信息会被如何利用;另一方面也来自于在很多场景下民众除了提供面部特征以外别无选择,不得不将自己的“脸面”无条件奉上。

因此我们看到了有法学院教师发起“人脸识别第一案”起诉强制人脸识别的动物园,也看到了宿豫警方在对宿豫一家健身中心进行网络安全检查时对该健身中心违法采集人脸信息给予警告处罚。

2,我国对人脸识别技术的运用有哪些规定?

即将于2021年元旦生效的《民法典》将个人生物识别信息列为个人信息,面部识别特征就是生物识别信息的典型代表。此外,人脸识别技术还涉及肖像权及隐私权,这两项权利都是与个人信息并列的法益。也就是说,企业在运用人脸识别技术时,不仅需要考虑个人信息保护的问题,还需要考虑肖像权与隐私权保护问题。

目前,我国个人信息、隐私权与肖像权的处理主要以以“同意”为基本原则。在《个人信息保护法》通过后,可能会在个人信息层面增加更多的处理合法性依据,即不依赖同意也可以处理个人信息。但人脸识别技术在隐私权、肖像权仍然无法绕开“同意”。因此,获取“同意”在人脸识别技术的运用中扮演着重要的角色。

在《个人信息保护法(草案)》中,拟规定在公共场所安装图像采集、个人身份识别设备,在目的上应当为维护公共安全所必需,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:(1)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;(2)个人生物识别信息应与个人身份信息分开存储;(3)原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。此外,在另一部推荐性国家标准《远程人脸识别系统技术要求》(GB/T 38671-2020)中,对人脸识别技术的安全性标准提出了建议。

3,人脸识别技术主要被运用哪些场景?

人脸识别技术通过面部特征实现对不同个人身份的识别,通常用于个人身份的识别、验证,以替代身份证、门卡、用户名密码等身份验证手段。比较常见且容易产生纠纷的人脸识别技术运用场景有以下几种:

门禁系统,主要用于小区、公园、写字楼物业使用人脸识别系统替代传统的IC卡、门禁卡对住户、访客进行身份验证,确保进入限制区域的人员具有相应的权限。在杭州的“人脸识别第一案”中,便是因为野生动物园使用人脸识别替代身份证导致产生纠纷。清华大学劳东燕教授也因为所居住的小区安装人脸识别门禁系统进行维权。

行为分析,商场可能会为了提升商场的运营效率部署人脸识别系统,对消费者在商场内的购物路径、消费情况进行精准统计,并对会员进行精准画像。如杭州某商场人流密集区域部署摄像头进行人脸抓拍,通过智能摄像头识别会员信息,精准统计客流,并通过云端的人脸识别,完成会员身份的确认。在此基础上基于设备识别到的会员数据及第三方系统数据,从多维度分析商圈、门店与顾客画像,让购物中心全面了解客户,实现AI辅助导购进行销售决策。此外,像广告屏也可能使用人脸识别系统,准确判断不同用户对广告屏中广告的表情反馈。

App人脸识别,主要用于各类App的身份验证,比如刷脸支付、上班打卡等场景。相对于其他场景下人脸识别技术的运用,App人脸识别技术的运用会存在更多相关方。比如某公司如果要求员工使用钉钉人脸识别进行打卡签到,那么会涉及员工、用人单位、钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体。数据如何在这些主体中流转、处理会是一个复杂的问题,深究起来会涉及劳动法、个人信息保护等多层次法律关系。

4,人脸识别技术的法律风险是什么?

人脸识别的法律风险一方面来自于“同意”难以有效获得。人脸识别技术的使用者在公众场所往往并不愿意公众知道相关技术的运用,以减少“不必要”的麻烦,更谈不上有效获取个人信息主体的同意。这直接导致通过此等方法采集的面部识别信息若用于商业用途很难具有合法性基础。

人脸识别技术的另一方面风险是运用过程中容易走极端,不提供替代方案。比如在杭州“人脸识别第一案”中,游客购买了一张杭州野生动物世界的年卡,有效期内通过同时验证年卡及指纹方式入园。但在三个月后,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门,必须进行人脸识别验证年卡才能继续使用,所以被告上法庭。因此,如果经营者未经充分评估,贸然引入人脸识别技术而又没有提供替代方案,可能导致原有协议无法继续履行,或需要收集原约定范围之外的个人信息或数据才能继续履行协议。如果经营者仅以用户不同意收集面部识别特征为由拒绝继续提供服务,则可能违反双方已有的服务协议。

此外,人脸识别技术的精准度有赖于大量数据对算法进行训练。而训练所需要的素材往往很难通过自我积累,需要从外购买获得。而出售、购买面部识别特征数据具有极高的法律风险,有可能触犯刑法,构成侵犯公民个人信息罪。

5,有什么好的方法可以在公共场所获取“同意”?

公共场所是人脸识别技术最难取得“同意”的场景,具体分为“告知”与“同意”两个环节。

在《信息安全技术 个人信息告知同意指南(征求意见稿)》附录D“公共场合场景下的告知同意”中,建议在汽车站、火车站、地铁站、机场、商场等公共场所收集个人信息时,建议个人信息控制者以显著方式向个人信息主体进行展示告知。比如在商场内张贴告知:“本商场安装有人脸识别系统,以便进行客流分析或进行个性化推荐。我们承诺会保护您的人脸等信息安全,详情可向询问台咨询或扫描二维码。”而“同意”则是通过提供不收集个人信息的选择方案实现,例如,设置不成为会员的购买方式;不通过人脸识别的支付方式等。

此外,在欧盟数据保护委员会发布的《关于通过视频设备处理个人数据的指引3/2019》中,推荐使用双层的告知结构,第一层在使用视频处理个人数据公众场合张贴告示,提供简要说明,并通过二维码等渠道提供指向第二层说明的访问途径;第二层进行详细的说明。具体示例如下:

当然,获取“同意”需要在具体的业务场景下根据实际情况进行设计,在法律合规与商业需求中找到平衡。

6,如何应对使用人脸识别技术升级原有服务导致的法律风险?

经营者引入人脸识别这样的新技术,有必要开展个人信息安全影响评估。使用人脸识别技术对原有服务进行升级,可能导致突破原协议的范围,将新的个人信息、肖像权、隐私权引入原本相对简单的法律关系,让原本不必收集的面部识别特征成为必不可少的数据。如果原先协议对新需要的面部特征信息未有覆盖,则可能构成违约。因此,在服务技术升级的同时,需要考虑如果个人不同意提供新的数据,能否继续使用已有服务,确保协议能够在原框架下继续履行。因此《杭州市物业管理条例(修订草案)》拟要求物业不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。

此外,引入人脸识别技术可能让新的第三方主体加入合同关系。比如当企业决定使用钉钉人脸打卡功能,这意味着钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体会加入法律关系,数据的流转与法律协议将变得复杂。直接的后果是当个人要求行使如查阅、修正、删除、合同解除等权利时,需要各方主体同步响应,这会对企业间个人信息保护能力的协同提出更高的要求。

7,如果需要购买数据训练人脸识别技术,有哪些合规措施可以采取?

数据购买具有极高的法律风险。购买面部识别信息时,有必要对供应商数据的数据来源进行严格审核,对自然人向供应商提供的授权文件进行逐一审核或抽查,确保授权文件真实有效。

此外,购买面部识别信息可以参考其他领域数据购买的合规方案。在北京慧辰资道资讯股份有限公司(“慧辰资讯”)2020年6月首次公开发行股票所提交的法律意见书中,详细介绍了慧辰资讯购买数据的合法性基础与相应的内控措施。慧辰资讯所采集的数据,主要为消费者态度数据。慧辰资讯通过《个人信息授权书》的方式,获取被采集者的同意。慧辰资讯向数据供应商购买数据的,会要求供应商确保在采集过程就授权第三方使用相关数据取得个人信息主体出具的明确授权文件。慧辰资讯还通过供应商管理制度,对数据供应商的资质、合规性、重点数据进行供应商核查,并通过数据处理协议、合规经营承诺函的形式对数据供应商进行管理。

8,除了获取同意,还有哪些措施可以采取?

在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。即根据“最小化”的个人信息保护原则,缩短面部识别特征的生命周期,通过减少数据的收集达到降低人脸识别技术的法律风险的目的。

在法国数据保护机构CNIL发布的题为《机场的面部识别:有哪些挑战和需要遵循的主要原则?》报告中,在技术措施领域要求:(1)只有在相关乘客做出动作后,才会启动面部识别摄像头;(2)通过技术配置,模糊背景中其他乘客的脸;(3)通过面部识别区分控制区和传统控制区的广告牌和地面标记。

这些技术措施和规划要求企业在使用人脸识别技术伊始就考虑个人信息等权益的保护问题,通过默认设计保护个人信息等权益。

9,随着人脸识别技术的发展,我们应该前瞻性地关注哪些问题?

在2020年9月美国斯坦福大学计算机系教授李飞飞联合斯坦福医学院教授阿诺·米尔斯坦等科研人员在《自然》发表了题为《利用环境智能照亮医疗的黑暗空间》的论文中,强调了环境智能技术的潜力。环境智能,即通过机器学习和非接触式传感器能够对人类存在做出敏感反应和反馈的电子空间。而人脸识别技术是环境智能的重要组成部分。

环境智能技术除了运用摄像头,还会综合运用深度传感器、温度传感器、无线传感器、声音传感器等设备。环境智能可以运用于重症监护、临床护理、甚至是老年人独立生活。因为环境智能的本质是全面监控,收集数据的深度与广度都远超人脸识别技术,所以环境智能技术必须更加注重隐私和数据安全性设计。

人脸识别技术、环境智能技术、自动驾驶等技术近年来高速发展,背后是对海量数据的收集与处理。这些数据的处理深刻地影响着每个人与技术的关系。我们在享受技术进步带来便利的同时,需要关注新技术对个人信息、隐私、肖像的保护予以警觉;经营者在享受技术进步带来利润的同时,需要关注如何降低自己处理数据的法律风险。

ENISA《欧盟的网络安全技能发展情况》报告:执行摘要

翻译:DeepL

来源:https://www.enisa.europa.eu/publications/the-status-of-cyber-security-education-in-the-european-union

执行摘要

网络安全技能短缺(The cybersecurity skills shortage)是指劳动力市场上缺乏合格的网络安全专业人员,这对经济发展和国家安全都是一个问题,特别是在全球经济快速数字化的情况下。它对构成现代社会核心的数据、信息技术系统和网络构成了高度的威胁。这种短缺可以进一步分析为两个同时存在的问题:一个是量的问题,一个是质的问题。量性问题是指网络安全专业人才供不应求,不能满足就业市场的要求,而质性问题则是指专业技能不足以满足市场的需求。本报告主要探讨了网络安全教育体系的现状,以及无法吸引更多的学生学习网络安全专业,无法培养出具有正确的网络安全知识和技能的毕业生。报告认为,通过重新设计教育和培训途径,确定学生毕业后和进入劳动力市场后应具备的知识和技能,可以改善目前网络安全教育中的许多问题。本分析介绍了澳大利亚、法国、英国和美国四个国家——如何利用认证来重新思考网络安全学位。这些认证计划的建立有不同的目的。其主要目的包括:让更多的毕业生拥有可随时被产业界部署的技能,帮助雇主了解学生在学术生涯中培养出来的技能和知识,以及帮助人们选择学位选项。学位认证的最终影响是通过推广网络安全教育、研究和宣传,减少网络安全教育的影响。目前,这四个国家的国家主管部门已经对387个网络安全学位进行了认证。虽然流程和标准不同,但认证有一些共同点:

  • 有具体的重点和足够的学分专门用于网络安全课程和活动。
  • 结构化的课程,可能包括实践/培训部分或特定类型的考试和活动,如网络安全竞赛;
  • 高素质的师资队伍,其中可能包括来自产业界的讲师;
  • 更广泛的多学科/跨学科重点;
  • 外部外联活动以及与国家网络安全生态系统其他部分的合作;
  • 关于学位教育和就业结果的信息。

在此背景下,欧洲网络安全协会创建了网络安全高等教育数据库,这是一份欧洲经济区国家和瑞士的网络安全学位互动清单。该数据库旨在成为所有欧洲公民通过高等教育学位提升网络安全知识和技能的主要参考点。通过检查数据库,公民应该能够在网络安全教育和培训方面做出更多的决定,选择最适合自己需要的学位。在确定信息工作者和雇主可能认为最有用的是什么的时候,数据库从科学文献(本报告第3节)和国家主管部门在评定学位时使用的标准(第4节)两方面进行了大量的借鉴。本报告提出了三个主要考虑因素。

  • 网络安全学位认证(如第4节所示)可有助于制定全面的网络安全劳动力发展战略。这可能是重要的第一步,主要是因为它明确了教育系统应该灌输哪些知识和技能,从而明确了学生毕业后在组织中申请工作时,雇主可以期待什么。未来的研究对于确定认证对学生和雇主的主要好处,以及认证是否能有效地提供更多的技能型劳动力是至关重要的。
  • 然而,确定正确的知识和技能意味着什么只是一个更广泛的问题的一部分,其他几个因素使这个问题变得更加复杂。尽管认证可能是朝着正确的方向迈出了一步,但不能认为它是解决人才短缺问题的唯一办法。网络安全认证既是一个质的问题,也是一个量的问题,应该相应地解决这个问题。通过认证学位来提高网络安全专业毕业生的质量,当然可以让潜在的求职者更有就业能力,但如果专业人才的管道不够充裕,无法保证职位空缺,那是不够的。未来的研究应该确定哪些政策能够激励看起来很大一部分学生进入更有利于网络安全职业的学术和学习途径。
  • 最后,尽管本报告的重点在于此,但政策应超越仅针对国家教育和培训系统的举措。如果能将处理劳动力市场需求方面产生的问题的措施纳入其中,政策将大有裨益。目前,有大量证据表明,劳动力市场需求方的问题,如雇主不愿意对网络安全人力资本进行投资,以及高层次的入职要求等,都对网络安全技能短缺产生了影响。正因为如此,如果能找到缓解从教育系统向劳动力市场过渡的解决方案,从而鼓励雇主成为发展国家网络安全人才队伍的系统参与者,将特别有希望。

鉴于这些考虑,本报告建议进一步调查以下内容。

  • 网络安全学位认证对网络安全技能短缺的影响。对已经建立的国家认证的实施情况和结果进行严格和系统的分析,可以为其他国家可能的最佳实践提供启示。
  • 采用和推广ENISA的网络安全高等教育数据库。只有当数据库包括欧盟大多数网络安全学位时,该数据库才会成为公民和雇主的有用工具。如果能做到这一点,它还将有助于进一步分析欧盟网络安全教育的变化状况。
  • 欧盟网络安全技能短缺的性质和特点。本报告汇总了现有的数据,对欧盟的网络安全技能短缺有了更深入的了解,但同时也指出了缺乏细化的基本信息。由于在设计缓解短缺的政策之前,应该先对其进行充分的了解,因此在知识上仍有太多的空白需要填补。
  • 政策干预是最有效的是增加专业人才的渠道。要确保从量和质两个方面解决人才短缺问题,缓解战略中应包括确保有效增加专业人才梯队的措施。已经制定的一些政策,可以提高人们对网络安全职业的兴趣,但还需要更多地了解这些方案在多大程度上取得了成功,以及是否可以扩大这些方案的规模,以满足日益增长的劳动力市场需求。

网络安全高等教育数据库:https://www.enisa.europa.eu/topics/cybersecurity-education/education-map

杭州渐变健康码:呼吁合规措施配套,超越“叶公好龙”式的恐惧

随着国内疫情的逐渐平息,为防控疫情立下汗马功劳的健康码也在面临是“鸟尽弓藏”还是深化使用的难题。相较于一味以隐私与个人信息保护为由否定“渐变健康码”的发展思路,不如仔细思考采取哪些合规措施才能让“渐变健康码”保护隐私与个人信息。

一、进击的健康码

2020年5月底,杭州卫健委开始论证“一码知健”的设计思路:通过集成电子病历、健康体检、生活方式管理的相关数据,在关联健康指标和健康码颜色的基础上,使用渐变色,探索建立个人健康指数排行榜。同时,也可以通过大数据对楼道、社区、企业等健康群体进行评价。无独有偶,在更早的时候深圳与广州都在论证对健康码进行升级,运用在更广泛的城市治理中。

杭州“一码知健”的设计目标是促进健康生活方式的养成,通过数据的汇集,对个人健康进行全面评价。在全面评价个人健康的基础上,促进个人健康生活方式的养成,进而从根本上节约本就稀缺的医疗资源。好的医疗条件在哪里都是稀缺资源,再多的投入都无法抵消人们对健康生活、长命百岁的向往。因此养成健康生活方式才是预防疾病、疏解医疗资源稀缺难题的最高效的途径。当微信都可以让大家互相攀比每日步数,成为督促自己多步行健身的外部因素,能够更准确评价个人健康的“一码知健”也有可能让大家在健康的生活方式上再往前迈一步。而通过数据对个体以及人群的准确评价,也能够在预防疾病、合理分配医疗资源等方面提供更多的参考。

在《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据列为一项生产要素,并提出“加快推动各地区各部门间数据共享交换”,“一码知健”便是这一思路的体现。在2020年6月1日生效的《基本医疗卫生与健康促进法》中规定:“国家推进全民健康信息化,推动健康医疗大数据、人工智能等的应用发展,加快医疗卫生信息基础设施建设,制定健康医疗数据采集、存储、分析和应用的技术标准,运用信息技术促进优质医疗卫生资源的普及与共享。”杭州酝酿的“一码知健”也是健康信息化、智能化建设的发展方向。

二、烫手的数据

尽管数字化、智能化会带来诸多便利,但无论是从哪个角度,“一码知健”所涉及的数据都是高度敏感的,因此引起公众与舆论的恐慌与警觉。根据官方公开的信息,“一码知健”会将电子病历、健康体检、生活方式管理的相关数据作为数据来源,换句话说,“一码知健”计划渗透到我们生活的方方面面,即使是最隐私的睡眠也会被加以评判。在“一码知健”的设计中,饮酒200毫升将导致健康评分下降1.5分,吸烟5支将导致健康评分下降3分,如果步行达到15000步,评分则会大幅度上升5分。

在2020年6月1日生效的《基本医疗卫生与健康促进法》中,明确规定:“国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。”“一码知健”涉及大量的个人健康信息,当杭州卫健委只强调利用,而不讲安全措施,必然是掀起公众情绪的反弹。

根据新近通过的《民法典》以及已经生效的《网络安全法》,我国目前个人信息以“告知-同意”为最主要的合法性基础。对个人信息的收集、使用需要以个人同意为判断是否合法。但对于“一码知健”的数据会来自于不同的机构、设备,如何获取用户饮酒、吸烟的数据,如果“一码知健”是通过监控视频结合人脸识别技术,将饮酒、吸烟的行为与相应个人进行匹配,从而进行扣分。这样的收集、使用行为会远超公众对监控收集个人信息的心理预期。另外一些数据,如每日步数、睡眠时间的收集、使用需要依托第三方手机或智能设备的厂商。第三方厂商将用户数据提供给“一码知健”同样需要在保障个人知情权的基础上获得个人的同意。

除此以外,“一码知健”中的数据还可能属于健康医疗大数据或人口健康数据,法规对这两类数据又有专门的收集、存储、共享、使用、删除等方面的要求。如《国家健康医疗大数据标准、安全和服务管理办法(试行)》要求健康医疗大数据的收集、使用需要遵循医学伦理原则,保护个人隐私,并建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理,确保健康医疗大数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯,对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。《人口健康信息管理办法(试行)》要求利用单位或者个人不得超出授权范围利用和发布人口健康信息,且不得对外提供涉及保密信息和个人隐私信息。

因此,面对法律法规对数据的保护的强力监管,杭州“一码知健”只是抛出数据的利用方案,对如何遵守法律、采取安全措施只字未提,自然会招来一片质疑的声音,让公众处于被时时刻刻健康的不安之中。

三、不要止步于“叶公好龙”

杭州是以“全国数字经济第一城”为目标的城市,同样应该以“全国数字合规第一城”为目标,在遵守法律、合规措施方面引领全国风气。面对“一码知健”所能带来的正面效应与隐私风险,一边倒批评隐私风险当然是更加简单,但这只是叶公好龙。人们憧憬新技术能够带来便利,但当新技术真的来临,却又开始恐惧新技术的隐私风险,甚至想把龙一棍子打死,而更有建设性的思路应该是想着如何驯服那只龙。

“一码知健”背后的杭州卫健委可以从公开透明、遵守法律做起,通过《白皮书》《个人信息保护说明》等文件向公众充分告知“一码知健”的原理,比如会收集哪些数据,收集后的数据会如何使用,有效期是多久,以及采取了哪些措施确保数据安全。如果需要从手机或其他第三方厂商获取数据,则需要求第三方厂商向用户告知个人信息的用途,确保用户的知情权、监督权。此外,杭州卫健委还需要确保用户有选择权,在没有其他合法性基础的情况下,用户应当可以自愿选择是否加入“一码知健”,并且赋予用户随时退出、注销的权利。

因为面向数以百万计的用户,“一码知健”在遵守法律的同时,还应当符合更高的标准。“一码知健”有必要全面根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020)进行贯标,定期开展个人信息安全影响评估并公开评估报告,并在杭州卫健委内部设立个人信息保护负责人和个人信息保护工作机构,负责“一码知健”相关个人信息保护的工作。

数据所带来便利性与隐私威胁是一体两面。让数据“睡大觉”是懒政,只想着利用而不考虑合法合规同样是懒政。就像明知脚下有金矿而不去挖掘是放弃财富的愚蠢行为,只顾挖掘而不顾矿工的健康同样是不负责任的行为。可持续发展的理念不止于环境保护领域,同样适用于数据的开发利用。政府部门作为掌握大量数据的机构,有义务通过合规措施,提高数据保护能力,起到数据合规的带头模范作用,以此获取公众信任,让数据能够持续发挥应有的价值。

新零售的数据合规隐忧:俞延彬诉天猫、淘宝、支付宝、乐友网络侵权责任纠纷案

  • 案件名称:俞延彬与浙江天猫网络有限公司等网络侵权责任纠纷案
  • 法院:北京市海淀区人民法院
  • 案号:(2018)京0108民初13661号
  • 裁判日期:2019年12月10日
  • 原告:俞延彬
  • 被告: 北京乐友达康科技有限公司
  • 被告: 支付宝(中国)网络技术有限公司
  • 被告: 浙江淘宝网络有限公司
  • 被告: 浙江天猫网络有限公司
  • 裁判结果:四被告共同赔偿原告经济损失1元

建立适应融合发展的标准规范、竞争规则,引导实体零售企业逐步提高信息化水平,将线下物流、服务、体验等优势与线上商流、资金流、信息流融合,拓展智能化、网络化的全渠道布局。鼓励线上线下优势企业通过战略合作、交叉持股、并购重组等多种形式整合市场资源,培育线上线下融合发展的新型市场主体。建立社会化、市场化的数据应用机制,鼓励电子商务平台向实体零售企业有条件地开放数据资源,提高资源配置效率和经营决策水平。

——《国务院办公厅关于推动实体零售创新转型的意见》(2016)

一、案件事实

2018年1月31日,俞延彬作为消费者前往作为智慧门店的乐友清河门店购买了商品,使用支付宝进行支付。支付完成后,支付宝在俞延彬未勾选“授权淘宝获取你线下交易信息并展示”的情况下,将俞延彬的购物数据传输至淘宝网与天猫网。俞延彬认为乐友清河门店、支付宝、淘宝、天猫的行为构成侵犯个人信息,故诉至法院。
法院将案件重点交易链条总结为如下交易环节:

  1. 俞延彬通过乐友清河店的支付宝收款码扫码支付商品价款; 
  2. 俞延彬将支付完成页面的“授权淘宝获取你线下交易信息并展示”前面的默认勾选√取消;
  3. 支付宝公司将收款后的用户身份识别代码上传到乐友公司的智慧门店平台;
  4. 智慧门店平台系统自动匹配该支付宝用户同时为淘宝网、天猫网用户;
  5. 淘宝网、天猫网分别将俞延彬在乐友清河店完成的交易信息推送到手机淘宝、手机天猫订单中显示。

我画了张流程图方便理解:

二、勾选行为是什么?

案件的关键在于:用户不勾选同意时,支付宝以何法律依据将用户线下购物产生的个人信息传输给淘宝或天猫?

支付宝公司辩称:

不是通过默认勾选的页面决定是否将信息传递给线下商户,页面应该是起到了一个告知用户的效果,但实际上页面本身的设计是由于没有从后台调取到用户的身份信息,所以它的设计没有传达出应该告知的内容。用户点击取消对勾后,默认为用户已经了解到这条信息,后续的订单信息仍然是通过这种数据传输的方式给了门店,所以后续的订单信息仍然是在手机淘宝中进行展示,没有再继续向用户来传递这条信息。这是一个告知,并不是一个授权。

简而言之,支付宝认为无论用户是否勾选“同意”,支付宝并不在乎,只是向用户打个招呼,即使用户不勾选“同意”支付宝依然认为用户已经同意。

但法院并不赞同这样的观点:

在支付宝支付完成页面有“授权淘宝获取你线下交易信息并展示”字样,从文字表述上来看,该表述显然是“授权”性质的条款,从用户的角度来说,如果将该段表述前的默认勾选√取消,则应当理解为淘宝将不再获取该笔线下交易的信息。但是在俞延彬将该默认勾选√取消后,也就是在俞延彬已经明确拒绝淘宝公司获取其线下交易信息并展示的情况下,在俞延彬完成第二笔交易时却不再出现该“授权”条款,俞延彬的淘宝、天猫订单中随即出现了线下交易的订单。支付宝公司辩称该“授权”条款实则为履行告知义务,但无论从表述上还是从实际交易情况来看,支付宝公司的解释均无法使人信服。

三、共享与同意

智慧门店之所以有智慧,在于线上线下数据的打通,这也是“新零售”的要义所在。通过线上线下数据的联通,实现更为精准的营销,优惠券、广告会更加精准地投放。但问题在于,线上线下的数据传输,会涉及多个法律实体,即使是集团内部不同公司间的数据共享仍然是一种将数据提供给第三方的行为。

案件中,支付宝公司、淘宝公司、天猫公司辩称,原告分别是其用户,各公司已经在其《隐私政策》中对收集、使用及共享个人信息的行为取得了原告的授权。但法院对各家公司的《隐私政策》进行了严格审核,并指出:

  1. 支付宝公司《隐私政策》中明确只有获得同意才会共享用户个人信息。
  2. 淘宝公司和天猫公司《隐私政策》关于“使用其关联公司提供的产品或服务”中并无“支付宝”当面付工具的使用。

进而法院认为三公司未经同意即共享原告个人信息具有主观过错,且网络运营者共享用户个人信息的行为不应概括授权:

如果认为网络运营者仅仅采用概括式的授权即履行了其告知义务,而在具体场景的应用中无需再次取得用户同意,则个人信息相关权益的所有人在进行该种授权时对于其个人信息的使用方式以及使用范围无法明确知晓,可能导致个人信息脱离于用户意志而被不当收集和使用,不利于对个人信息的保护。

法院总结道:

个人信息共享是一个融合了个人信息流动的动态的过程,在此过程中可能对个人信息安全带来一定的威胁,在个人信息共享的过程中个人信息使用者应当明确告知个人信息相关权益的所有人其使用信息的目的、范围,并获得个人信息相关权益的所有人的明确授权,以确认协议、具体场景下的文案确认动作等形式确认征求了用户的同意,并在获得的授权范围内使用该个人信息。乐友公司、支付宝公司、淘宝公司、天猫公司在明知其使用智慧门店中个人信息需要事先获得用户授权的情况下,并未实际取得用户授权,使用了俞延彬的个人信息,该行为侵犯了俞延彬对其个人信息享有的权益,构成共同侵权,依法应当承担相应的侵权责任。

新零售中的数据共享,关键在于保障消费者的知情权、选择权以及公平交易权。《消费者权益保护法》在个人信息保护领域有着不亚于《网络安全法》的重要性,尤其是在面向消费者的业务中,而向消费者告知数据共享的情况即是保障消费者知情权、选择权以及公平交易权的体现。因此,法院认为“原告诉请的知情权、选择权和公平交易权已经包含于俞延彬对其个人信息的支配控制权内涵中”。

四、新零售下设计“同意”

“合法、正当、必要”是我国确立的个人信息处理基本原则。所谓“必要”与“正当”紧密关联,是从个人信息主体,而非处理者的视角进行判断。根据诉讼中披露的《阿里巴巴智慧门店产品服务协议》条款来看,智慧门店设立目的是为现实智慧门店产品服务,支付宝公司将线下门店交易信息传输给淘宝公司,并通过淘宝公司获得用户在线上店处享受的优惠权益,以便线上线下门店实现线下门店引流等目的。法院认为:

该使用目的并非基于用户的“必要”,而是网络公司的商业考量。为用户之必要,则应当在收集、使用个人信息时,其所获取的个人信息应当以满足使用目的为限,不得超出范围收集和使用个人信息。

在新通过的《民法典》第一千零三十五条中,围绕“同意”构建了个人信息处理的规则。

处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。

《民法典》

目前,少有法律、行政法规在“同意”之外开口,比如《身份证法》对查验公民个人信息进行了规定,并不需要同意;《征信业管理条例》将企业的董事、监事、高级管理人员与其履行职务相关的信息排除于个人信息范围之外,也不以同意为使用规则。

只要超出原有处理用户个人信息的范围,就应当重获“同意”。虽然在GDPR下围绕数据处理有若干种合法性基础,同意只是其中之一,但我国的个人信息处理规则目前仍是围绕同意构建。在案件中法院强调再次“个人信息控制者只有在取得用户知情同意的情况下,方可与他人对用户的个人信息进行共享。”此前在新浪微博诉脉脉、淘宝诉美景案中,法院无不以“同意”为原则,构建并强调了“三重授权”规则。

进一步,在新零售的场景下,需要更多元化的“同意”获取方案。在案件中,支付宝、淘宝、天猫主张已在以往服务中获得了原告同意,但法院并不认可,这在某种程度上宣告了“一锤子式同意”方案的终结,“同意”需要传拆在业务场景中,结合纸质文件、员工培训、物联网设备、App等多元因素设计“同意”方案,层层管理用户同意。

无论如何设计“同意”方案,真正的难点在于用户选择“不同意”时该如何操作。在本案中,用户选择同意与否并没有实质区别,因此而导致纠纷。即使是在 《个人信息告知同意指南(征求意见稿)》中,也未对用户选择“不同意”的情形下个人信息控制者该如何处理提供明确指引。期待正式版本的标准能够更加完善。

五、尾声?

在俞延彬就涉案行为投诉后,支付宝公司、淘宝公司、天猫公司即立即查找了存在的问题,停止了侵权行为,未造成损害的扩大。

本案法院一审判决四被告共同赔偿1元,而原告要求赔礼道歉的诉讼请求被法院驳回(不知道被告们是否会上诉)。面对高昂的合规成本,支付宝公司、淘宝公司、天猫公司选择了整改,但或许有更多的企业愿意承担1元钱的不合规的风险吧。

快递企业个人信息滥用的法律责任:邓某某诉顺丰案

  • 案件名称:邓某某与北京顺丰速运有限公司侵权责任纠纷案
  • 裁判法院:北京市第三中级人民法院
  • 案号:(2020)京03民终2049号
  • 裁判日期:2020.03.26
  • 上诉人(原审原告):邓某某
  • 被上诉人(原审被告):北京顺丰速运有限公司
  • 裁判结果:撤销一审判决,顺丰赔偿邓某某财产损失10,000元

一、案件事实

2019年5月6日,社保中心通过顺丰公司的快递业务向邓某某邮寄社保卡,快递单载明:收件人为晋鼎能源公司邓某某,收件人电话。后该快件未妥投。后顺丰公司在未与收件人邓某某联系确认的情况下,根据系统识别结果,直接将收件地址更改为邓某某当时的工作单位嘉永会通公司的办公地址。顺丰公司派送员将该邮件送至嘉永会通公司前台,在邓某某未在场的情况下派送员拆开快件,并将快件交至嘉永会通公司其他工作人员手中。

该快件封皮粘贴了一张提示单,内容为:

社会保障卡专用,禁止私自转址(非常重要),此件为对公业务(非常重要),此件有回单业务(非常重要),派件员注意事项:

1.派件物品为社保卡,此件只对单位负责人不对参保个人。其投递时间为5天,5天内无法投递的请原件务必速退回虎坊路点部(010SA)。

2.签收时,请收件人拆包核对卡数及单位名称,清点无误后,收件人需提供单位公章或者社保登记证复印件或者收件人的身份证复印件,三者取其一即可。并在《回执单》下方签上联系人姓名及电话。

3.必需在回单资料上盖单位公章(若收件地址为居委会社保所,盖业务章即可)若无法盖公章,需将回单资料和社保登记证复印件或收件人身份证复印件一并寄回。

4.签回执单不规范,必投诉。如有疑问拨打:7930/7005注:《回执单》全称为《北京市社会保障卡发行回执单》。

顺丰公司表示快件派送后,未签回执单。

二、法院观点

关于工作地点是否构成隐私:

孤立来看,邓某某的收件地址为其工作单位地址,具有一定范围内的公开性;邓某某在其他单位兼职情况是其不愿为外人知晓且对其现有工作会造成影响的信息,具有一定的隐私性,而上述隐私信息能否不被他人特别是嘉永会通公司知悉或者排除知悉的可能性,与邓某某收取兼职单位邮件的地址和内容紧密相关,故此,在本案中,当邓某某的兼职信息和收件地址信息结合起来时,其便共同构成了邓某某不愿意为外界所知晓的隐私信息。

关于兼职行为是否影响隐私的判断:

对于邓某某违反公司规定而兼职的行为是否影响隐私信息的认定,本院认为,邓某某的行为并未涉及严重违法犯罪的范畴,仅属于其与单位是否发生违约事实的审查范围,故此并不影响上述信息的隐私性认定。

关于顺丰私自拆件的行为:

顺丰公司的投递行为,两个环节至关重要:修改收件地址、拆开邮件。

依照顺丰公司的陈述,依照最初收件地址送达并未成功,此时应当如何处理,《快递暂行条例》第二十六条第一款予以了明确,即“快件无法投递的,经营快递业务的企业应当退回寄件人或者根据寄件人的要求进行处理;属于进出境快件的,经营快递业务的企业应当依法办理海关和检验检疫手续”,然顺丰公司却擅自调取了其系统内存储的邓某某其他地址,进而改变收件地址,随后顺丰公司为完成快递封皮上提示单标明的核对要求,打开了邮件并与嘉永会通公司的人员进行核对,进而导致了邓某某的个人隐私被泄露,据此,本院认为,邓某某的隐私信息泄露与顺丰公司的行为之间具有结果关系。

同时,本院亦认为顺丰公司的行为存在明显过错,具体表现在:其一,除却违反上文所述的邮件无法投递之处理的法律规范之外,顺丰公司在明知收件人电话且快递封皮明确告知“禁止私自转址”的前提下,未经联系、允许,擅自修改收件地址的行为明显不当;其二,擅自修改收件地址并送达后,顺丰公司工作人员在未见到收件人本人的前提下,擅自拆开邮件并与非收件人进行内容核对,行为亦明显不当。

综上,本院认为顺丰公司在投递邮件的过程中泄露了邓某某的个人隐私信息且对此存在明显过错。

责任认定:

本院认为邓某某之劳动合同的解除与其兼职信息的泄露具有一定的结果关系,邓某某因工作机会的暂时丧失而遭受了财产损失。然还应看到,上述后果的产生,与邓某某违反嘉永会通公司的规章制度亦不可分割,邓某某对其因劳动合同解除而遭受的损失也应承担相应的责任,故邓某某以劳动合同正常解除所应得的补偿为基础要求顺丰公司全部赔偿缺乏法律依据。本院综合顺丰公司的过错程度、侵权行为与损害结果的关联程度,确定顺丰公司赔偿邓某某财产损失10000元。现没有证据证明邓某某因此次隐私信息被泄露而遭受明显的精神痛苦,故对其精神损害赔偿的请求,本院不予支持。

三、快递业个人信息保护的特色

快递企业可能是掌握最多个人信息的企业类型之一,基于“快递实名制”的要求快递企业积累的个人信息具有相当的准确性。因此一直都是个人信息泄露的高危行业,各企业个人信息泄露的新闻不胜枚举。且因为快递行业严重依赖人力,在服务终端法律结构复杂,有正式员工、有劳务人员、有加盟网点、也有直营门店、也有个体户,各种类型不一而足。

此外,在很多场景下快递企业很难获取收件人的同意,仅能获取发件人的同意,收件人同意难以获得或只能通过发件人间接获得,也因此存在虚假快递要求收件人到付邮费进行诈骗。

而更重要的,是每一单快递都会积累一次个人信息,这意味着个人信息会重复累积。在本案中,就是因为顺丰利用了历史积累的收件地址,导致泄露用户隐私,进而构成违法。个人信息处理的原则是“合法、正当、必要”,对于必要性通常体现在个人信息的“最小化”处理,通俗言之就是能不收集就不收集。这当然与大数据利用的宗旨背道而驰,但却是保护个人信息安全的最有效方式之一。但对于快递中的个人信息,用户的预期仅是用于本次快递,通常不会期望用于下次订单(当然这个问题要在具体场景下进行讨论与设计),数据的生命周期应尽可能短促,以降低长期存储数据带来的隐忧。

读书笔记:《人类简史》

人类另一项独有的特点,在于我们用两条腿直立行走。能够站起来,就更容易扫视整片草原,看看哪里有猎物或敌人,而且既然手不需负责移动身体,就能发挥其他用途,像是丢石块或是做信号。手能做的事情越多,可以说人就变得越厉害;于是人的演化也就越来越着重神经发展,也不断地对手掌和手指的肌肉做修正。于是,人类的手开始能够处理非常精细的任务,特别是能够生产、使用复杂的工具。最早有证据证明人类开始制作工具,大约可追溯到250万年前,而且工具的制作和使用也正是考古学家对远古人类的一种判断标准。

loc. 194-199

经过烹调,食物中的病菌和寄生虫就会被杀死。此外,对人类来说,就算吃的还是以往的食物(例如水果、坚果、昆虫和动物尸体),所需要的咀嚼和消化时间也能大幅缩减。例如,黑猩猩要咀嚼生肉,每天得花上五个小时,但人类吃的是熟食,每天花上一小时就够。

loc. 241-243

就算只是几十个人,想随时知道他们之间不断变动的关系状况,所需要取得并储存的相关信息量就已经十分惊人。(如果是个50人的部落,光是一对一的组合就可能有1225种,而更复杂的其他社会组合更是难以计数。)虽然所有猿类都对这种社会信息有浓厚兴趣,但它们并没有有效的八卦方式。尼安德特人与最早的智人很可能也有一段时间没办法在背后说彼此的坏话。然而,如果一大群人想合作共处,“说坏话”这件事可是十分重要。大约在7万年前,现代智人发展出新的语言技能,让他们能够八卦达数小时之久。

loc. 376-381

人类语言真正最独特的功能,并不在于能够传达关于人或狮子的信息,而是能够传达关于一些根本不存在的事物的信息。据我们所知,只有智人能够表达关于从来没有看过、碰过、耳闻过的事物,而且讲得煞有其事。

loc. 389-391

社会学研究指出,借由八卦来维持的最大“自然”团体大约是150人。只要超过这个数字,大多数人就无法真正深入了解、八卦所有成员的生活情形。

loc. 426-427

所以,究竟智人是怎么跨过这个门槛值,最后创造出了有数万居民的城市、有上亿人口的帝国?这里的秘密很可能就在于虚构的故事。就算是大批互不相识的人,只要同样相信某个故事,就能共同合作。

loc. 434-436

无论是现代国家、中世纪的教堂、古老的城市,或者古老的部落,任何大规模人类合作的根基,都在于某种只存在于集体想象中的虚构故事。例如教会的根基就在于宗教故事。像是两个天主教信徒,就算从未谋面,还是能够一起参加十字军东征或是一起筹措资金盖起医院,原因就在于他们同样相信神化身为肉体、让自己被钉在十字架上救赎我们的罪。所谓的国家,也是立基于国家故事。两名互不认识的塞尔维亚人,只要都相信塞尔维亚国家主体、国土、国旗确实存在,就可能冒着生命危险拯救彼此。至于司法制度,也是立基于法律故事。从没见过对方的两位律师,还是能同心协力为另一位完全陌生的人辩护,只因为他们都相信法律、正义、人权确实存在。(当然,他们也相信付的律师费确实存在。)

loc. 436-442

有限公司”的英文称为“corporation”,这点颇为讽刺,因为这个字的语源是“corpus”(拉丁文的“身体”),而这正是有限公司所没有的。虽然公司并没有真正的实体,但在法律上我们却将它称为“法人”,好像它真的是有血有肉的人一般。

loc. 474-476

哥贝克力石阵的年代约是公元前9500年,所有证据都显示,它是由狩猎采集者建造而成。一开始,考古学界觉得这简直是天方夜谭,但经过一次又一次检视之后,无论是这个结构的年代,还是建造者尚未进入农耕社会,都是毋庸置疑的。看起来,过去我们对于远古采集者的能力和他们文化的复杂程度,都是严重低估。

loc. 1253-1256

很有可能,哥贝克力石阵的文化中心就与人类首次驯化小麦(或小麦驯化人类)有着某种关联。养活建造和使用这些巨型结构的人,需要非常大量的食物。所以,采集者之所以从采集野生小麦转而自行种植小麦,可能并不是为了增加日常食物供应,而是为了支持某种神庙的建筑和运作。在传统的想象中,人是先建立起村落,接着等到村落繁荣之后,再在村落中心盖起信仰中心。但哥贝克力石阵显示,很有可能其实是先建立起信仰中心,之后才围绕着它形成村子。

loc. 1263-1267

浮士德跟魔鬼交易,人类则跟谷类交易。但人类做的交易不只这一项,另一项则是和绵羊、山羊、猪、鸡之类的动物命运有关。过去四处流浪的采集部落会跟踪猎杀野绵羊,也逐渐改变了羊群的组成。第一步可能是开始挑选猎物。人类发现,如果猎杀的时候只挑成年公羊或是年老生病的羊只,对人类来说反而有利。放过有繁殖能力的母羊和年轻的小羔羊,当地羊群就可长可久。至于第二步,可能是积极赶走狮子、狼和敌对的人类,保护羊群不受掠食者侵扰。第三步可能就是将羊群赶到某个狭窄的峡谷,方便控制和保护。最后一步,就是在羊群当中做出更谨慎的挑选,好符合人类的需要。

loc. 1267-1272

现代人之所以要花费大把银子到国外度假,正是因为他们真正相信了浪漫的消费主义神话。

loc. 1570-1571

历史上有许多最重要的驱动因素,都是这种存在于主体之间的概念想法:法律、金钱、神、国家。

loc. 1601-1602

因为智人的社会秩序是通过想象建构,维持秩序所需的关键信息无法单纯靠DNA复制就传给后代,需要通过各种努力,才能维持种种法律、习俗、程序、礼仪,否则社会秩序很快就会崩溃。举例来说,汉谟拉比国王将人分成上等人、平民和奴隶,但这件事并不存在于人类的基因组里,并不是一个自然的区分方式。如果巴比伦人无法让大家的心里都有这项“真理”,整个社会就会停止运作。同样,就算是汉谟拉比本人,他后代的DNA里也没记载着上等人如果杀了个平民女性就该付30舍客勒的银子。汉谟拉比必须特地教导他的儿子,告诉他帝国的法律是如何如何,以后再由儿子来教孙子,以此代代相传。

loc. 1633-1638

文字本来应该是人类意识的仆人,但现在正在反仆为主。计算机并无法理解智人如何说话、感觉和编织梦想,所以我们现在反而是用一种计算机能够理解的数字语言来教智人如何说话、感觉和编织梦想。

loc. 1779-1781

真正让多神论与一神论不同的观点,在于多神论认为主宰世界的最高权力不带有任何私心或偏见,因此对于人类各种世俗的欲望、担心和忧虑毫不在意。因此,要向这个最高权力祈求战争胜利、健康或下雨,可以说是完全没有意义,因为从他全知全观的角度来说,某个王国的战争输赢、某个城市的兴衰胜败,又或是某个人的生老病死,根本不构成任何差别。希腊人不会浪费祭品去祭拜命运女神,而印度教徒也并未兴建寺庙来祭拜阿特曼。

loc. 2814-2818

一般而言,一神教徒比多神教徒更为狂热、更热衷传教。毕竟,如果某个宗教愿意承认其他信仰,情况只有两种:第一种本来就认为世上没有唯一的神,而是有许多神同时存在;第二种认为虽然有一位最高的神,但下面分成许多小神祇,信仰每位神祇,可以说是看到了部分的真相。但由于一神教通常认为自己信奉的就是唯一的神,也认为只有自己看到了完整的真相,自然就会批评其他所有宗教都不可信。在过去两千年间,一神论者多次发动以暴力消灭其他竞争对手的战争,目的就是要加强自己的掌控。

loc. 2873-2877

虽然我们无法解释历史做出的选择,但有一点可以确定:历史的选择绝不是为了人类的利益。随着历史演进,毫无证据显示人类的福祉必然提升。没有任何证据,证明对人类有益的文化就会成功扩张,而对人类无情的文化就会消失。没有任何证据,证明基督教是比摩尼教更好的选择,或证明阿拉伯帝国比波斯帝国对人类更有利。

loc. 3152-3155

科学革命并不是“知识的革命”,而是“无知的革命”。真正让科学革命起步的伟大发现,就是发现“人类对于最重要的问题其实毫无所知”。 对于像是伊斯兰教、基督教、佛教、儒教这些前现代知识体系来说,它们假设世上所有重要的事情都已经为人或为神所知。这些全知者可能是某些伟大的神、某个全能的神或是某些过去的智者,通过经典或口传,将这些智慧传给后人。而对于平民百姓而言,重点就是要钻研这些古籍和传统,正确加以理解,就能获得知识。在当时,如果说《圣经》、《古兰经》或《吠陀经》居然漏了某些宇宙的重大秘密,而这个秘密又居然能被一般血肉之躯的人给发现,这简直是不可思议的事。

loc. 3252-3257

荷兰到底是如何赢得了金融体系的信任?首先,他们坚持准时、全额还款,让贷款人借款给他们的风险降低。其次,荷兰司法独立,而且保护个人权利特别是私有财产权。相较之下,独裁国家不愿保障个人和其财产,于是资本也就一点一滴离开,流向那些愿意遵守法制、保护私有财产的国家。

loc. 4157-4160

随着时间过去,国家和市场的权力不断扩大,也不断削弱家庭和社群过去对成员的紧密连接。国家开始派出警察,制止家族里的私刑,改用法院判决取代。市场也派出小贩和商人,让各地悠久的传统逐渐消失,只剩下不断汰换的流行商业文化。但光是这样还不够。为了真正打破家庭和社群的力量,他们还需要找到内应、从内部击破。

loc. 4678-4681

《巫师3:狂猎》通关

血与酒

我早已不是游戏的狂热爱好者了,但仍然花了一百多个小时通关了《巫师3:狂猎》及《石之心》《血与酒》两个资料片。从去年开始,断断续续,有一搭没一搭地玩着游戏,只是在最近才努力了一下,把最后一点 《血与酒》 的任务做掉,昆特牌打完,然后干掉最终BOSS。说起来其实《巫师1》《巫师2:王国刺客》我都玩过。 《巫师1》 大概是玩了一半的剧情,知道松鼠党、烈焰蔷薇骑士团等一干人等,但没有通关。《 巫师2 》也是玩了大半的剧情。但玩得一直不投入,直到 《巫师3:狂猎》 上手。不光通关了全部剧情,还专门把原著小说《猎魔人》拿出来,一口气读了四本,当然现在全部七本都已经出版,应该也会读完。

刚开始上手 《巫师3》,我还会小心翼翼地看攻略,看如何选择才能做到最优。但毫不犹豫被“血腥男爵”的任务打脸,不管怎么样,都没有happy ending,只有战争下的不同悲剧,有些是悲剧更大,有些更小。在原著小说里,这一点尤为明显,因为小说不会给读者读档重来的机会,但里面 Geralt 所面临的选择也更加残酷,尤其在The Less Evil (译作《勿以恶小》) 这一短篇小说里 :

恶就是恶,是小,是大,还是不小不大,这些全都一样。他们区别很模糊。我不是虔诚的隐士,我这辈子所做的也并不全是善事。但如果非要在两种恶性之间做选择,我一样都不选。

Geralt of Rivia

游戏里,被一群人虐杀的受害者可能是战犯,好心解除诅咒可能导致瘟疫干掉几万人,屠杀整个村庄的猎魔人刚刚被村庄拖欠报酬,还差点被阴掉……这样的任务不一而足。

行走在威伦阴郁的配乐、不时下雨的天气,讨厌的怪物都让人感觉无比压抑。尽管 Geralt 每每强调自己是变种人,没得感情,但实际是他的感情比谁都丰富,只是不轻易表露。猎魔人以消灭怪物为生,但 Geralt 会放过情有可原的怪物,也会干掉比怪物还可怕的人类。

如果不读小说,恐怕体会不到Ciri与 Geralt 的父女之情,小说的主轴,就是两个人加Yennefer各种阴差阳错命运的交汇,互相的拯救:

命运并不存在。对我们来说,命中注定的只有死亡。命运的第二道刃是思维。第一道是我。第二道是死亡,它与我如影随形。不,我没有权利让你与死亡为邻,Ciri。

Geralt of Rivia

当然这是剧情角度, 《巫师3:狂猎》的游戏性自然也是没得说,只是本该争分夺秒的寻女儿之旅不停的为各种琐碎任务打断,也要为各种“牌局”所打断,在成为开放世界的同时,剧情的紧促感也不复存在。当然这也是“沙盒”游戏的弊端,玩家很容易陷入一个个精彩的支线任务,止最终目标而不顾。《塞尔达传说:旷野之息》也是一样,玩家几乎会忘记拯救塞尔达公主这一终极目标,只是满世界乱窜进行探索。当然也没有人为了主线剧情一路直冲关底,要不也真是辜负了关卡设计师设计的各种平衡。

游戏已然通关,但小说还没读完,后面读小说想必我会听着巫师系列的OST来读,也算是沉浸式阅读。至于说剧集嘛……看了一集,处处透露着粗糙简陋的感觉,我还是不继续看了。