“數(shù)字抗疫”之下應該如何保護個人隱私？

作者 楊燕青 馬紹之

新冠肺炎疫情暴發(fā)以來，不少國家通過數(shù)字技術排查病患、追蹤密切接觸者，在阻斷疫情傳播過程中取得了積極成果。在近期全球“經濟重啟”中，數(shù)字技術用于接觸者追蹤，也被認為是走出“封鎖”的必要條件之一。

隨著主要國家疫情趨于緩和，復工需要更加精準的防疫措施。越來越多的政府開始積極探索數(shù)字技術在抗疫領域的應用，希望借助信息科技做好復工與抗疫之間的平衡。在發(fā)達國家，尤其是歐洲，對于個人位置等隱私數(shù)據(jù)的應用也引發(fā)了公眾對于數(shù)據(jù)泄露和濫用的擔憂，這將影響人們對相關應用程序使用的積極性，從而使數(shù)字抗疫技術的效果大打折扣，因此這個過程中的個人數(shù)據(jù)保護就變得至關重要。

本文全面梳理了數(shù)字技術抗擊疫情的主要應用類型，并分析和討論了目前國際上抗擊疫情數(shù)字應用中的個人數(shù)據(jù)保護思路。全球疫情仍在持續(xù)，疫情中如何處理數(shù)據(jù)和隱私保護，難免會有“特別安排”性質，但仍將影響“后疫情時期”的全球數(shù)據(jù)治理環(huán)境，因而，各國的具體制度安排和治理思路十分重要，中國的情況亦是如此。

　　1 數(shù)字技術抗擊疫情

自新冠肺炎疫情暴發(fā)以來，主要國家紛紛宣布實施“社交隔離”等防疫措施減緩病毒傳播速度。然而隔離措施隱含巨大的經濟成本，經濟活動不可能永遠停滯，4月下旬開始，疫情趨緩的歐美主要國家已經開始分階段重啟經濟。

隔離措施的放松意味著已經得到控制的疫情有可能出現(xiàn)反復，在前期防控被視為較成功的德國與韓國，已經再次出現(xiàn)公共場所聚集性感染事件。如何平衡經濟重啟與控制疫情之間的關系成為各國都面臨的新挑戰(zhàn)。在這一背景下，越來越多的政府將目光轉向數(shù)字技術，希望借此平衡好復工與防疫之間的關系，此前部分國家已經使用數(shù)字技術防疫并收獲了積極的成果。

數(shù)字技術防疫可以歸納為四類，分別是數(shù)字化文檔、數(shù)學模型、接觸者追蹤和遠程醫(yī)療。第一類是數(shù)字化文檔，該技術通常用于隔離環(huán)節(jié)，將傳統(tǒng)的電話訪問與上門檢查替換成數(shù)字化遠程檢查。這不僅節(jié)省人力，還可以將人們目前在哪里、曾經去過哪里與身體狀況等信息一并生成文檔以備工作人員查詢。第二類是借助數(shù)學模型，通過搜集人口流動信息嘗試刻畫疾病的傳播特征，以此作為防疫依據(jù)。第三類是接觸者追蹤（contact tracing），通過數(shù)字技術識別那些“與感染病毒的人有密切接觸者”，幫助密切接觸者及時獲得護理和治療，從而防止病毒的進一步擴散。最后一種是遠程醫(yī)療，為用戶提供遠程診斷、治療和其他非緊急醫(yī)療服務。

數(shù)字化文檔是最先被用來輔助防疫的。2月初，中國內地就推出了“健康碼系統(tǒng)”，是最早推行此類追蹤監(jiān)控系統(tǒng)的國家之一。該系統(tǒng)依托于幾乎覆蓋全部中國內地居民手機的應用程序（App），用紅、黃、綠三色二維碼區(qū)分使用者的健康程度，并以此判斷居民是否可以自由出行。

其他國家和地區(qū)的數(shù)字化文檔主要用于了解隔離人群的位置識別。在韓國、中國香港和印度，當?shù)卣块T通過手機App提醒隔離人群不要離開指定區(qū)域。中國臺灣、比利時與捷克等地區(qū)則會追蹤隔離人群的手機信號完成上述工作。在中國臺灣，如果運營商檢測到某人越界，會發(fā)送短信通知此人手機并將相關信息報告相關部門。如果人們不帶手機離開隔離地點將可能受到罰款等處罰，在韓國這不僅意味著折合約17000元人民幣重罰，還可能面臨監(jiān)禁指控。俄羅斯則會使用人像識別技術判斷隔離人群是否違反隔離規(guī)定。

研究人員利則用大數(shù)據(jù)的數(shù)學建模來分析傳染病的傳播特征，以此作為防疫依據(jù)，此時移動電話公司和社交網絡平臺擁有的海量客戶及其訪問位置數(shù)據(jù)將提供有力支持。研究人員據(jù)此可以嘗試預測疾病的傳播，從而實現(xiàn)更精準的抗疫措施，另外政府部門也可以借助這些數(shù)據(jù)評估政策的實際效果。

美國疾病控制和預防中心（CDC）建立了一個名為“新冠疾病移動數(shù)據(jù)網絡”（Covid-19 Mobility Data Network）的抗疫計劃。通過收集和分析移動廣告商提供的匿名手機用戶位置數(shù)據(jù)，預測并降低新冠肺炎疫情在全國的傳播。目前，聯(lián)邦和各州政府已經建立了覆蓋500多個城市的用戶手機數(shù)據(jù)庫。英國也有類似計劃。倫敦國王學院、蓋伊醫(yī)院和圣托馬斯醫(yī)院正在與健康數(shù)據(jù)科學公司ZOE合作開發(fā)新冠肺炎患者跟蹤應用程序，利用新冠病毒感染者提交的相關數(shù)據(jù)來分析疫情發(fā)展和傳播的路徑。

科技巨頭谷歌可能是全球擁有最多個人用戶數(shù)據(jù)的公司，他們也在考慮如何幫助政府和研究人員使用匿名的聚合數(shù)據(jù)（aggregated data）應對疫情。例如使用谷歌地圖的出行數(shù)據(jù)可以幫助政府了解街道或博物館的擁擠程度，這對評估社交隔離的影響十分重要。歐盟部分國家已經開始了類似計劃，德國、意大利已經在歐盟隱私法許可范圍內使用匿名的電信數(shù)據(jù)分析人群是否遵守社交隔離規(guī)定。

有些國家還將數(shù)據(jù)的使用擴展至“接觸者追蹤”領域，具體操作有兩種做法。一種是中心化的，由政府直接從平臺獲取用戶的位置數(shù)據(jù)，搜集數(shù)據(jù)可能來自警察局擁有的個人出行數(shù)據(jù)，也可能是手機App的位置數(shù)據(jù)，借此追蹤那些與感染者到過同一地點的人。

第二種方法則是去中心化的，主要依靠用戶手機互相之間傳遞信息，確定是否接觸過感染者，這需要通過專門的手機應用來完成。首先感染者的手機會收到一段專屬代碼，并自動與周圍的手機匹配，當附近有人與感染者相處一定時間后，對方手機會自動通知使用者，并告知可能在何時何地接觸過感染者。這個過程中無論是感染者還是接觸者都不會被第三方識別。

4月10日，谷歌和蘋果罕見地宣布合作，它們將共同促進其移動平臺用于公共健康監(jiān)控應用程序的接觸者追蹤。兩家公司使用的是去中心化的方法。

遠程醫(yī)療是過去就存在的服務，此前主要通過電話等方式進行。新冠肺炎疫情以來，社交隔離措施使得人們出行受限，遠程醫(yī)療需求大大增加，越來越多的機構參與進來。

　　2 數(shù)據(jù)隱私：問題的提出

個人位置的數(shù)據(jù)使用在疫情防控中的積極作用值得肯定，但隨著越來越多的國家和地區(qū)開始使用數(shù)字技術抗擊疫情，個人隱私數(shù)據(jù)使用也讓隱私保護與確保公共衛(wèi)生安全之間的關系變得緊張起來。

在上文中討論的四種數(shù)字技術防疫應用中，隱私保護的討論主要集中在“接觸者追蹤”領域。數(shù)字化文檔與數(shù)學模型的隱私保護問題相對較少，因為前者主要針對特定的感染患者，后者使用的多是匿名的聚合數(shù)據(jù)，這類數(shù)據(jù)通常不屬于數(shù)據(jù)保護法的范疇。而在遠程醫(yī)療領域，由于主要是對專業(yè)醫(yī)生分享個人數(shù)據(jù)，所以多數(shù)國家公民分享數(shù)據(jù)的意愿都比較高。

得益于移動數(shù)據(jù)和相關技術（如GPS監(jiān)測手環(huán)）的發(fā)展，個體追蹤變得容易。截至2019年6月，經濟合作與發(fā)展組織（OECD）國家中每100人擁有113個移動寬帶賬號，這意味著絕大多數(shù)人攜帶著可用于創(chuàng)建個人位置詳細日志的設備。通過比較來自不同個體的位置線索就可以實現(xiàn)“接觸者追溯”，并通知可能接觸的人。

然而位置數(shù)據(jù)具有高度的敏感性，可以用來識別特定自然人身份或者反映特定自然人的活動情況。而且一旦被泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇，直接涉及數(shù)據(jù)主體的切身隱私利益與個人安全。

實際上，即使使用匿名數(shù)據(jù)，仍存在對個人進行身份識別的風險，無論是確診患者還是疑似感染者都有可能因此產生“污名”。比如疑似或確診感染者光顧的企業(yè)也可能被泄露并導致收入損失，即使在這些地方已經關閉并消毒以后仍是如此。另一方面，接觸者追蹤系統(tǒng)與任何信息系統(tǒng)一樣，也存在網絡安全風險、數(shù)據(jù)泄露和被勒索軟件攻擊的可能性。勒索者可以利用接觸者追蹤系統(tǒng)，謊稱自己確診并曾光顧過該企業(yè)的方法要求企業(yè)支付贖金。最后，如果對接觸者沒有明確和可操作的建議，還可能產生錯誤信息，造成適得其反的行為，甚至恐慌。

除了位置數(shù)據(jù)，另一種侵犯隱私的技術是無人機使用。一些國家正在使用或考慮部署無人機，對人群拍照、進行自我隔離宣傳或對被監(jiān)視者進行發(fā)燒、咳嗽、呼吸和心率等監(jiān)測。這些無人機和閉路電視攝像機一樣都可與面部識別算法聯(lián)合使用，容易引起公眾的不安。

　　3 數(shù)據(jù)隱私：各國實踐

限制病毒傳播對人民健康和確保醫(yī)療衛(wèi)生系統(tǒng)正常運轉極為重要，在一定程度上減少隱私保護也許是必要的。但并非一定如此，只要遵從一定的原則，數(shù)字技術抗疫中也可以做到保護隱私權。

中國在2020年3月6日發(fā)布了新版《信息安全技術個人信息安全規(guī)范》。規(guī)范明確了“行蹤軌跡”屬于“個人敏感信息”，在收集此類信息時，需滿足“最小必要原則”和“合法性原則”，只有在“與公共安全、公共衛(wèi)生、重大公共利益直接相關”等11種例外情形下才不必征得授權同意。

在抗擊疫情的數(shù)據(jù)使用中，歐盟委員會的針對疫情中數(shù)據(jù)保護的指引值得參考。2020年4月16日，歐盟委員會發(fā)布了“支持抗擊新冠肺炎疫情應用程序的數(shù)據(jù)保護指引”（Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection）。該指引旨在提供必要的框架，以確保公民在使用程序時個人數(shù)據(jù)得到足夠的保護，并對侵犯行為進行限制。這將提高公民對創(chuàng)新應用程序的信任度，以此保障公民最大限度的參與，從而充分發(fā)揮應用程序的潛力。根據(jù)學者的研究（Hinch et al，2020），追蹤程序至少需要60%的公民參與才能足夠有效。

該指引主要針對自愿下載的與抗擊疫情有關的應用程序。這些應用程序可能包括以下功能：1）提供新冠肺炎的相關信息；2）提供自我評估和調查問卷等癥狀檢查功能；3）提醒曾在感染者附近的人接受檢測或自我隔離的接觸者追蹤功能；4）提供隔離患者與醫(yī)生之間的溝通功能，包括診斷和治療建議等遠程醫(yī)療功能。

根據(jù)該指引，開發(fā)抗擊新冠病毒相關應用程序的必要條件有7個，具體包括：

1.國家衛(wèi)生當局負責。鑒于數(shù)據(jù)的高度敏感性和明確的最終使用目的，指引首先明確了國家衛(wèi)生部門應負責確保搜集、使用數(shù)據(jù)時遵守《通用數(shù)據(jù)保護條例》（GDPR）。

2.用戶可完全控制其個人數(shù)據(jù)。在用戶的設備上安裝應用程序應該是自愿的，且用戶應該能夠對應用程序的每個功能分別給予同意。如果使用了近距數(shù)據(jù)（proximity data，如藍牙等），應將其存儲在個人設備上，并且只有在用戶同意的情況下才可以共享。

3.限制個人數(shù)據(jù)的使用。應用程序應堅持數(shù)據(jù)最小化原則，即只處理與目的相關且僅限于相關目的的個人數(shù)據(jù)。委員會認為位置數(shù)據(jù)對接觸追蹤來說并非必需，因此建議在這種情況下不使用位置數(shù)據(jù)。

4.嚴格限制數(shù)據(jù)存儲。個人數(shù)據(jù)的保存時間不應超過必需的時間。時限應根據(jù)醫(yī)療相關性以及采取必要行政措施的實際時間來確定。

5.數(shù)據(jù)的安全性。數(shù)據(jù)應存儲在個人的設備上，并進行加密處理。

6.確保所處理的數(shù)據(jù)的準確性。根據(jù)歐盟個人數(shù)據(jù)保護規(guī)則的要求，第三方處理的任何個人數(shù)據(jù)必須準確無誤。為了確保最大程度的準確性，這也是確保接觸追蹤應用程序的效率所必需的，應該使用藍牙等近距技術對接觸進行更精確的評估。

7.國家數(shù)據(jù)保護機構的參與。開發(fā)應用程序時，應充分征詢數(shù)據(jù)保護當局意見，并由數(shù)據(jù)保護機構負責審查應用程序的部署情況。

目前已經有法國、德國、意大利等8個歐盟國家聯(lián)合開發(fā)了確保隱私保護同時具有“接觸者追蹤”功能的應用程序——歐洲保護隱私的近距離追蹤（Pan-European Privacy-Preserving Proximity Tracing）。

該應用程序的功能通過加密存儲每個人手機中與附近其他手機藍牙連接的信息實現(xiàn)。如果一個人的新冠病毒檢測呈陽性，衛(wèi)生部門會給他一個代碼，他可以根據(jù)自己的意愿向運行該應用程序的國家信托服務(national trust service)提供這個代碼。然后信托服務會向接近感染者的手機發(fā)送警報。這個過程中無論是感染者還是接觸者都不會被識別。

個人數(shù)據(jù)保護在金融行業(yè)中的實踐也具有參考意義。金融數(shù)據(jù)本身也是敏感數(shù)據(jù)，并且通常需要值得信賴的保管人（金融機構）保管。金融領域解決隱私問題的政策組合主要有兩類思路。一個思路是限制數(shù)據(jù)的使用，例如歐盟、巴西、日本等國家和地區(qū)在最新的《數(shù)據(jù)保護法》中規(guī)范了包含個人身份信息的數(shù)據(jù)收集和使用。這些法律面臨的挑戰(zhàn)是如何在盡職調查中平衡個人數(shù)據(jù)使用。另一個思路是讓客戶控制其個人數(shù)據(jù)，并決定向哪些公司授予數(shù)據(jù)訪問權限，這可以促進競爭并增加社會福利（Jones & Tonetti， 2020）。歐盟、澳大利亞和墨西哥最近推進的“開放銀行”都遵循了這個思路。

實際上，不同國家的公民對于個人數(shù)據(jù)分享時的隱私考慮差別甚大。根據(jù)調研數(shù)據(jù)，主要國家70%的受訪者對于將個人醫(yī)療數(shù)據(jù)（DNA、健康信息等）交給醫(yī)生都表示信任，但對于將數(shù)據(jù)交給政府或私人公司，主要國家大多數(shù)受訪者表示不信任。印度的情況卻完全不同，人們對醫(yī)生和政府表示相似程度的信任。中國對私人公司的信任程度雖然高于全球水平，但明顯低于對于醫(yī)生和政府的信任。各國在數(shù)字抗疫中制定隱私保護的具體思路時，應在符合公眾偏好的基礎上建立具體相關規(guī)則。

　　4 “重啟經濟”時期的數(shù)字防疫

如今“第二波疫情”國家的疫情趨于緩和，但復工可能使疫情反復。在一些國家，已經出現(xiàn)了明顯的R（事實傳染數(shù)）上升，在一些前期防控被視為較成功的國家，例如德國和韓國也再次出現(xiàn)公共場所聚集性感染事件。此時接觸者追蹤變得更加重要。5月11日世界衛(wèi)生組織突發(fā)衛(wèi)生事件規(guī)劃執(zhí)行主任邁克爾·瑞安就警告，假如不配合強有力的“接觸者追蹤”機制，“重啟經濟”猶如“閉眼開車”。

感染者可能在出現(xiàn)癥狀前就傳播病毒，這就需要對所有可能有傳染性的人采取嚴格的隔離措施。在傳統(tǒng)追蹤方法下，對每個疑似病例進行跟蹤需要的資源巨大，當感染病例數(shù)量眾多，并且由于資源有限，廣泛的接觸追蹤可能會不可持續(xù)。此時需要更加精準的追溯的方式，數(shù)字化的“接觸者追蹤”成為最佳選擇。

這種大范圍的數(shù)據(jù)使用不僅將影響抗擊疫情的結果，還可能會影響未來的數(shù)據(jù)使用。如果公共部門或其私人部門合作伙伴成功地使用應用程序抗擊疫情，并同時對個人數(shù)據(jù)使用負責，將獲得公眾的信任并得到強有力支持。但如果出現(xiàn)數(shù)據(jù)保護的問題，負面的使用體驗很容易失去公眾的信任，這對未來使用數(shù)據(jù)也會產生深遠的負面影響，因為信任的建立需要長時間的積累。

此時，透明的公共政策可以更好地根據(jù)社會偏好構建醫(yī)療程序，并逐步積累公眾的信任。監(jiān)管部門應當著手建立透明的規(guī)則，并與公眾進行清晰的溝通。許多亞洲國家已開始調整法律和政策框架，以確保數(shù)據(jù)使用適當。

中國在全球范圍內較早運用了數(shù)字技術——“健康碼”的方式來抗擊疫情，中國的數(shù)據(jù)運用模式是“中心化”的，這里需要特別關注個人數(shù)據(jù)的隱私保護，政府須對參與數(shù)據(jù)收集和運營的公司的個人數(shù)據(jù)保護情況進行監(jiān)督和干預；同時，應采取技術手段防止數(shù)據(jù)泄露；并在一定期限之后（確保今年年底和明年沒有第二波疫情的情況下），中止這些數(shù)據(jù)的繼續(xù)使用，或者刪除在商業(yè)公司的相關數(shù)據(jù)。此外，隨著跨地區(qū)人員流動大規(guī)?；謴?，全國各地“健康碼”系統(tǒng)的無縫對接也至關重要。

展望未來，疫情終將過去，對于公共健康危機時期的數(shù)據(jù)使用應該與正常時期有所區(qū)分。在這場公共健康危機中，只有監(jiān)管部門對個人數(shù)據(jù)使用做出合理安排，才能獲得公眾的信任，為抗疫成功打下堅實的基礎，而這種對技術的信任并不會消失，還將使成功運用數(shù)字抗疫的國家在未來技術發(fā)展和競爭中處于優(yōu)勢地位。

（楊燕青系第一財經日報副總編輯、第一財經研究院院長，馬紹之系第一財經研究院研究員）

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。