原標題 “數字抗疫”與隱私保護

作者 楊燕青 馬紹之

新冠肺炎疫情暴發以來，不少國家通過數字技術排查病患、追蹤密切接觸者，在阻斷疫情傳播過程中取得了積極成果。在近期全球“經濟重啓”中，數字技術用於接觸者追蹤，也被認爲是走出“封鎖”的必要條件之一。

隨着主要國家疫情趨於緩和，復工需要更加精準的防疫措施。越來越多的政府開始積極探索數字技術在抗疫領域的應用，希望藉助信息科技做好復工與抗疫之間的平衡。在發達國家，尤其是歐洲，對於個人位置等隱私數據的應用也引發了公衆對於數據泄露和濫用的擔憂，這將影響人們對相關應用程序使用的積極性，從而使數字抗疫技術的效果大打折扣，因此這個過程中的個人數據保護就變得至關重要。

本文全面梳理了數字技術抗擊疫情的主要應用類型，並分析和討論了目前國際上抗擊疫情數字應用中的個人數據保護思路。全球疫情仍在持續，疫情中如何處理數據和隱私保護，難免會有“特別安排”性質，但仍將影響“後疫情時期”的全球數據治理環境，因而，各國的具體制度安排和治理思路十分重要，中國的情況亦是如此。

1 數字技術抗擊疫情

自新冠肺炎疫情暴發以來，主要國家紛紛宣佈實施“社交隔離”等防疫措施減緩病毒傳播速度。然而隔離措施隱含巨大的經濟成本，經濟活動不可能永遠停滯，4月下旬開始，疫情趨緩的歐美主要國家已經開始分階段重啓經濟。

隔離措施的放鬆意味着已經得到控制的疫情有可能出現反覆，在前期防控被視爲較成功的德國與韓國，已經再次出現公共場所聚集性感染事件。如何平衡經濟重啓與控制疫情之間的關係成爲各國都面臨的新挑戰。在這一背景下，越來越多的政府將目光轉向數字技術，希望藉此平衡好復工與防疫之間的關係，此前部分國家已經使用數字技術防疫並收穫了積極的成果。

數字技術防疫可以歸納爲四類，分別是數字化文檔、數學模型、接觸者追蹤和遠程醫療。第一類是數字化文檔，該技術通常用於隔離環節，將傳統的電話訪問與上門檢查替換成數字化遠程檢查。這不僅節省人力，還可以將人們目前在哪裏、曾經去過哪裏與身體狀況等信息一併生成文檔以備工作人員查詢。第二類是藉助數學模型，通過蒐集人口流動信息嘗試刻畫疾病的傳播特徵，以此作爲防疫依據。第三類是接觸者追蹤（contact tracing），通過數字技術識別那些“與感染病毒的人有密切接觸者”，幫助密切接觸者及時獲得護理和治療，從而防止病毒的進一步擴散。最後一種是遠程醫療，爲用戶提供遠程診斷、治療和其他非緊急醫療服務。

數字化文檔是最先被用來輔助防疫的。2月初，中國內地就推出了“健康碼系統”，是最早推行此類追蹤監控系統的國家之一。該系統依託於幾乎覆蓋全部中國內地居民手機的應用程序（App），用紅、黃、綠三色二維碼區分使用者的健康程度，並以此判斷居民是否可以自由出行。

其他國家和地區的數字化文檔主要用於瞭解隔離人羣的位置識別。在韓國、中國香港和印度，當地政府部門通過手機App提醒隔離人羣不要離開指定區域。中國臺灣、比利時與捷克等地區則會追蹤隔離人羣的手機信號完成上述工作。在中國臺灣，如果運營商檢測到某人越界，會發送短信通知此人手機並將相關信息報告相關部門。如果人們不帶手機離開隔離地點將可能受到罰款等處罰，在韓國這不僅意味着摺合約17000元人民幣重罰，還可能面臨監禁指控。俄羅斯則會使用人像識別技術判斷隔離人羣是否違反隔離規定。

研究人員利則用大數據的數學建模來分析傳染病的傳播特徵，以此作爲防疫依據，此時移動電話公司和社交網絡平臺擁有的海量客戶及其訪問位置數據將提供有力支持。研究人員據此可以嘗試預測疾病的傳播，從而實現更精準的抗疫措施，另外政府部門也可以藉助這些數據評估政策的實際效果。

美國疾病控制和預防中心（CDC）建立了一個名爲“新冠疾病移動數據網絡”（Covid-19 Mobility Data Network）的抗疫計劃。通過收集和分析移動廣告商提供的匿名手機用戶位置數據，預測並降低新冠肺炎疫情在全國的傳播。目前，聯邦和各州政府已經建立了覆蓋500多個城市的用戶手機數據庫。英國也有類似計劃。倫敦國王學院、蓋伊醫院和聖托馬斯醫院正在與健康數據科學公司ZOE合作開發新冠肺炎患者跟蹤應用程序，利用新冠病毒感染者提交的相關數據來分析疫情發展和傳播的路徑。

科技巨頭谷歌可能是全球擁有最多個人用戶數據的公司，他們也在考慮如何幫助政府和研究人員使用匿名的聚合數據（aggregated data）應對疫情。例如使用谷歌地圖的出行數據可以幫助政府瞭解街道或博物館的擁擠程度，這對評估社交隔離的影響十分重要。歐盟部分國家已經開始了類似計劃，德國、意大利已經在歐盟隱私法許可範圍內使用匿名的電信數據分析人羣是否遵守社交隔離規定。

有些國家還將數據的使用擴展至“接觸者追蹤”領域，具體操作有兩種做法。一種是中心化的，由政府直接從平臺獲取用戶的位置數據，蒐集數據可能來自警察局擁有的個人出行數據，也可能是手機App的位置數據，藉此追蹤那些與感染者到過同一地點的人。

第二種方法則是去中心化的，主要依靠用戶手機互相之間傳遞信息，確定是否接觸過感染者，這需要通過專門的手機應用來完成。首先感染者的手機會收到一段專屬代碼，並自動與周圍的手機匹配，當附近有人與感染者相處一定時間後，對方手機會自動通知使用者，並告知可能在何時何地接觸過感染者。這個過程中無論是感染者還是接觸者都不會被第三方識別。

4月10日，谷歌和蘋果罕見地宣佈合作，它們將共同促進其移動平臺用於公共健康監控應用程序的接觸者追蹤。兩家公司使用的是去中心化的方法。

遠程醫療是過去就存在的服務，此前主要通過電話等方式進行。新冠肺炎疫情以來，社交隔離措施使得人們出行受限，遠程醫療需求大大增加，越來越多的機構參與進來。

2 數據隱私：問題的提出

個人位置的數據使用在疫情防控中的積極作用值得肯定，但隨着越來越多的國家和地區開始使用數字技術抗擊疫情，個人隱私數據使用也讓隱私保護與確保公共衛生安全之間的關係變得緊張起來。

在上文中討論的四種數字技術防疫應用中，隱私保護的討論主要集中在“接觸者追蹤”領域。數字化文檔與數學模型的隱私保護問題相對較少，因爲前者主要針對特定的感染患者，後者使用的多是匿名的聚合數據，這類數據通常不屬於數據保護法的範疇。而在遠程醫療領域，由於主要是對專業醫生分享個人數據，所以多數國家公民分享數據的意願都比較高。

得益於移動數據和相關技術（如GPS監測手環）的發展，個體追蹤變得容易。截至2019年6月，經濟合作與發展組織（OECD）國家中每100人擁有113個移動寬帶賬號，這意味着絕大多數人攜帶着可用於創建個人位置詳細日誌的設備。通過比較來自不同個體的位置線索就可以實現“接觸者追溯”，並通知可能接觸的人。

然而位置數據具有高度的敏感性，可以用來識別特定自然人身份或者反映特定自然人的活動情況。而且一旦被泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇，直接涉及數據主體的切身隱私利益與個人安全。

實際上，即使使用匿名數據，仍存在對個人進行身份識別的風險，無論是確診患者還是疑似感染者都有可能因此產生“污名”。比如疑似或確診感染者光顧的企業也可能被泄露並導致收入損失，即使在這些地方已經關閉並消毒以後仍是如此。另一方面，接觸者追蹤系統與任何信息系統一樣，也存在網絡安全風險、數據泄露和被勒索軟件攻擊的可能性。勒索者可以利用接觸者追蹤系統，謊稱自己確診並曾光顧過該企業的方法要求企業支付贖金。最後，如果對接觸者沒有明確和可操作的建議，還可能產生錯誤信息，造成適得其反的行爲，甚至恐慌。

除了位置數據，另一種侵犯隱私的技術是無人機使用。一些國家正在使用或考慮部署無人機，對人羣拍照、進行自我隔離宣傳或對被監視者進行發燒、咳嗽、呼吸和心率等監測。這些無人機和閉路電視攝像機一樣都可與面部識別算法聯合使用，容易引起公衆的不安。

3 數據隱私：各國實踐

限制病毒傳播對人民健康和確保醫療衛生系統正常運轉極爲重要，在一定程度上減少隱私保護也許是必要的。但並非一定如此，只要遵從一定的原則，數字技術抗疫中也可以做到保護隱私權。

中國在2020年3月6日發佈了新版《信息安全技術個人信息安全規範》。規範明確了“行蹤軌跡”屬於“個人敏感信息”，在收集此類信息時，需滿足“最小必要原則”和“合法性原則”，只有在“與公共安全、公共衛生、重大公共利益直接相關”等11種例外情形下才不必徵得授權同意。

在抗擊疫情的數據使用中，歐盟委員會的針對疫情中數據保護的指引值得參考。2020年4月16日，歐盟委員會發布了“支持抗擊新冠肺炎疫情應用程序的數據保護指引”（Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection）。該指引旨在提供必要的框架，以確保公民在使用程序時個人數據得到足夠的保護，並對侵犯行爲進行限制。這將提高公民對創新應用程序的信任度，以此保障公民最大限度的參與，從而充分發揮應用程序的潛力。根據學者的研究（Hinch et al，2020），追蹤程序至少需要60%的公民參與才能足夠有效。

該指引主要針對自願下載的與抗擊疫情有關的應用程序。這些應用程序可能包括以下功能：1）提供新冠肺炎的相關信息；2）提供自我評估和調查問卷等症狀檢查功能；3）提醒曾在感染者附近的人接受檢測或自我隔離的接觸者追蹤功能；4）提供隔離患者與醫生之間的溝通功能，包括診斷和治療建議等遠程醫療功能。

根據該指引，開發抗擊新冠病毒相關應用程序的必要條件有7個，具體包括：

1.國家衛生當局負責。鑑於數據的高度敏感性和明確的最終使用目的，指引首先明確了國家衛生部門應負責確保蒐集、使用數據時遵守《通用數據保護條例》（GDPR）。

2.用戶可完全控制其個人數據。在用戶的設備上安裝應用程序應該是自願的，且用戶應該能夠對應用程序的每個功能分別給予同意。如果使用了近距數據（proximity data，如藍牙等），應將其存儲在個人設備上，並且只有在用戶同意的情況下才可以共享。

3.限制個人數據的使用。應用程序應堅持數據最小化原則，即只處理與目的相關且僅限於相關目的的個人數據。委員會認爲位置數據對接觸追蹤來說並非必需，因此建議在這種情況下不使用位置數據。

4.嚴格限制數據存儲。個人數據的保存時間不應超過必需的時間。時限應根據醫療相關性以及採取必要行政措施的實際時間來確定。

5.數據的安全性。數據應存儲在個人的設備上，並進行加密處理。

6.確保所處理的數據的準確性。根據歐盟個人數據保護規則的要求，第三方處理的任何個人數據必須準確無誤。爲了確保最大程度的準確性，這也是確保接觸追蹤應用程序的效率所必需的，應該使用藍牙等近距技術對接觸進行更精確的評估。

7.國家數據保護機構的參與。開發應用程序時，應充分徵詢數據保護當局意見，並由數據保護機構負責審查應用程序的部署情況。

目前已經有法國、德國、意大利等8個歐盟國家聯合開發了確保隱私保護同時具有“接觸者追蹤”功能的應用程序——歐洲保護隱私的近距離追蹤（Pan-European Privacy-Preserving Proximity Tracing）。

該應用程序的功能通過加密存儲每個人手機中與附近其他手機藍牙連接的信息實現。如果一個人的新冠病毒檢測呈陽性，衛生部門會給他一個代碼，他可以根據自己的意願向運行該應用程序的國家信託服務(national trust service)提供這個代碼。然後信託服務會向接近感染者的手機發送警報。這個過程中無論是感染者還是接觸者都不會被識別。

個人數據保護在金融行業中的實踐也具有參考意義。金融數據本身也是敏感數據，並且通常需要值得信賴的保管人（金融機構）保管。金融領域解決隱私問題的政策組合主要有兩類思路。一個思路是限制數據的使用，例如歐盟、巴西、日本等國家和地區在最新的《數據保護法》中規範了包含個人身份信息的數據收集和使用。這些法律面臨的挑戰是如何在盡職調查中平衡個人數據使用。另一個思路是讓客戶控制其個人數據，並決定向哪些公司授予數據訪問權限，這可以促進競爭並增加社會福利（Jones & Tonetti， 2020）。歐盟、澳大利亞和墨西哥最近推進的“開放銀行”都遵循了這個思路。

實際上，不同國家的公民對於個人數據分享時的隱私考慮差別甚大。根據調研數據，主要國家70%的受訪者對於將個人醫療數據（DNA、健康信息等）交給醫生都表示信任，但對於將數據交給政府或私人公司，主要國家大多數受訪者表示不信任。印度的情況卻完全不同，人們對醫生和政府表示相似程度的信任。中國對私人公司的信任程度雖然高於全球水平，但明顯低於對於醫生和政府的信任。各國在數字抗疫中制定隱私保護的具體思路時，應在符合公衆偏好的基礎上建立具體相關規則。

4 “重啓經濟”時期的數字防疫

如今“第二波疫情”國家的疫情趨於緩和，但復工可能使疫情反覆。在一些國家，已經出現了明顯的R（事實傳染數）上升，在一些前期防控被視爲較成功的國家，例如德國和韓國也再次出現公共場所聚集性感染事件。此時接觸者追蹤變得更加重要。5月11日世界衛生組織突發衛生事件規劃執行主任邁克爾·瑞安就警告，假如不配合強有力的“接觸者追蹤”機制，“重啓經濟”猶如“閉眼開車”。

感染者可能在出現症狀前就傳播病毒，這就需要對所有可能有傳染性的人採取嚴格的隔離措施。在傳統追蹤方法下，對每個疑似病例進行跟蹤需要的資源巨大，當感染病例數量衆多，並且由於資源有限，廣泛的接觸追蹤可能會不可持續。此時需要更加精準的追溯的方式，數字化的“接觸者追蹤”成爲最佳選擇。

這種大範圍的數據使用不僅將影響抗擊疫情的結果，還可能會影響未來的數據使用。如果公共部門或其私人部門合作伙伴成功地使用應用程序抗擊疫情，並同時對個人數據使用負責，將獲得公衆的信任並得到強有力支持。但如果出現數據保護的問題，負面的使用體驗很容易失去公衆的信任，這對未來使用數據也會產生深遠的負面影響，因爲信任的建立需要長時間的積累。

此時，透明的公共政策可以更好地根據社會偏好構建醫療程序，並逐步積累公衆的信任。監管部門應當着手建立透明的規則，並與公衆進行清晰的溝通。許多亞洲國家已開始調整法律和政策框架，以確保數據使用適當。

中國在全球範圍內較早運用了數字技術——“健康碼”的方式來抗擊疫情，中國的數據運用模式是“中心化”的，這裏需要特別關注個人數據的隱私保護，政府須對參與數據收集和運營的公司的個人數據保護情況進行監督和干預；同時，應採取技術手段防止數據泄露；並在一定期限之後（確保今年年底和明年沒有第二波疫情的情況下），中止這些數據的繼續使用，或者刪除在商業公司的相關數據。此外，隨着跨地區人員流動大規模恢復，全國各地“健康碼”系統的無縫對接也至關重要。

展望未來，疫情終將過去，對於公共健康危機時期的數據使用應該與正常時期有所區分。在這場公共健康危機中，只有監管部門對個人數據使用做出合理安排，才能獲得公衆的信任，爲抗疫成功打下堅實的基礎，而這種對技術的信任並不會消失，還將使成功運用數字抗疫的國家在未來技術發展和競爭中處於優勢地位。

（楊燕青系第一財經日報副總編輯、第一財經研究院院長，馬紹之系第一財經研究院研究員）