应对疫情全球大流行,我们需要立法保护隐私与数据


几周之前,我们习以为常的平静生活戛然而止。幸亏有了数字技术,我们可以把社交、工作和学习转到线上开展,还可以在线打打零工、收送快递,来保持工作和生产经营,大部分人的生活得以勉强维持。很多人也逐渐习惯了用即时通讯软件向亲朋好友嘘寒问暖。

数字技术不仅将我们联结在一起,还帮助我们应对疫情大流行的危机。通过各种应用程序和大数据分析,我们可以跟踪公民的行动轨迹,用以识别确诊病例,防止病毒在确诊病例之间及他人之间进一步扩散和传播。数字技术甚至可以用于减少人与人之间的接触,来防止病毒不知不觉的传播:中国研发并投入使用了一批手机应用程序,要求居民在上面登记自己的健康信息、查看自己是否与确诊病例密切接触过,政府可以通过这些信息跟踪病毒的传播轨迹,并对检查合格的居民发布允许进入公共场所的授权。以色列总理近期宣布国家进入“紧急模式”,并动用了此前在反恐行动中采取的措施,直接从居民手机上搜集信息用于跟踪病毒轨迹。韩国开发了一个手机程序,用于监督人们的检疫隔离。台湾地区更早以前就整合了全民健保数据库和海关入境数据库,用于识别可能携带病毒入境的旅客。

美国也在运用技术手段跟踪疫情大流行的发展趋势。政府已经开始找谷歌、脸书、大数据Palantir、人脸识别Clearview AI 这样的公司探讨“如何运用从人们智能手机中收集到的位置信息来抗击新型冠状病毒。” 也有志愿者开发了“冠状病毒APP”来让用户检查自己是否与确诊病例有过交集,以此鼓励人们居家隔离、自我监督。据《华尔街日报》报道,政府官员已经在用从人们手机上收集到的位置信息来研究美国人的行踪以及与病毒传播之间的关系。

隐私保护方面的专家和活动家们对此表示担忧,尤其是因为这些数字技术依赖的是去标识化的信息,例如会显示病人的生活细节,导致各种猜测,有时候还会由于所参加的活动、访问的地址而引起污名化。如果这些应用程序只是小范围使用,会给人带来一种虚假的安全感。如果大范围使用,则会制造集体恐慌,带来其它危害。还有人担忧政府也会获得这些数据,并在疫情结束之后继续使用,或是在疫情期间将数据用于非防疫用途。不过,当前的共识似乎是行动轨迹信息的集合不会带来隐私风险。

政府官员已经在用从人们手机上收集到的位置信息来研究美国人的行踪以及与病毒传播之间的关系。

值此危机时刻,为了保障公共利益,公民与个人的权利和利益常常受到这样那样的限制,包括宵禁、强制停产停工、旅游禁令等等。限制个人隐私的法律也属于这种限制。但是,我们应当认真审视这样的限制,它们是否有足够的有效性,代价是什么,能不能通过披露更少隐私的方式达到相似的结果。广泛而模糊的监控权会严重减损人们的隐私权,并且,在许多民主宪政国家,还会侵害法治。例如,在以色列,对于拉平疫情曲线而言更重要的措施是禁止人们为了非必要目的外出,而不是进一步加强监控。

最后,我们必须铭记的一个关键问题是,技术手段一旦用上,就很难恢复原状。“911事件”和反恐战争之后所发生的事情已经说明了这一点,即使控制住了这次疫情,我们还会担心有更新型的病毒,这些管控措施就会留下来。很可能为了预防下一次疫情,我们会保留这些措施并且习以为常,进入新常态。当然,还有很多新公司会把这当作经营模式的一部分。

我们应当认真审视这样的限制,它们是否有足够的有效性,代价是什么,能不能通过披露更少隐私的方式达到相似的结果。

在很多地区,发布大规模的居家令可能是防止疫情扩散最有效的方法,正如众多欧洲国家美国的城市和州目前在实施的。这并不意味着政府不应当使用个人信息来应对疫情,也不是说政府不应当与私部门合作。我们还是很需要技术手段来结束新冠疫情。事实上,欧盟委员会已经发令要求通讯企业上交行动轨迹汇总数据,用以跟踪疫情轨迹,监督人们是否遵守了居家令。部分欧洲国家还采取了独立的信息管控措施应对危机:德国在实施欧洲《通用数据保护条例》的本国立法中加入了一些条款,明确允许在流行病事件中使用个人数据;意大利通过了关于紧急状态的立法,要求所有近期去过疫情风险地区的人主动或通过医生告知卫生主管部门。同样的,对于国家而言,为了判断哪些人可以回归工作、减少对人们活动和工作权利的限制,要评估人们是否健康、是否具备免疫力,这时候行动许可应用程序(例如“健康码”)、大规模的病例筛查及接触史调查就能派上用场了。

我想说的是,在政府决定采用信息技术手段,例如运用个人数据来防止第二波疫情爆发、发布“健康码”的同时,这些手段应当被谨慎小心地使用。这些措施应当是疫情防控所必须的,而且范围和程度要与疫情相适应。为了维护我们的自由和法治,数字技术手段的使用应当受到严格的限制,包括所收集到的信息在哪些情况下可以与其它信息相整合,以及信息的使用方式、主体、期限等等都应明确。例如,非常规的个人隐私限制措施,应当明确只在这次疫情中使用,并且只在相同目的很难有其它替代方案的情况下使用。不能只依赖个人的同意和授权来保护个人隐私。对使用个人授权数据加以限制的权利,也不应当是“可放弃的”。基于类似的原因,欧盟数据保护委员会针对疫情期间的个人数据使用发布了一则声明,电子前沿基金会也针对如何收集数据、兼顾公共卫生与隐私发布了一系列指引。一些政府所试图推行的紧急法令,例如匈牙利总理所发布的,已经超出了必要的、与疫情相适应的范围,人权倡导者、公民社会与司法机关有必要对此保持警醒。

这很有可能是一条漫长而曲折的道路。但眼下已经到了思考的时间,我们需要想一想,等疫情逐步结束,我们回复到日常生活之后,我们究竟想改变什么,技术应该扮演怎样的角色。到时候我们可能不需要强化监控。也许,当我们看到污染程度下降了,可以减少旅行,用视频会议替代某些会面。也许,某些文艺作品教科书至此开始对全民免费开放。还有可能,我们终将如愿形成一套能够更好地保护个人信息的法律。

 


本文初稿曾于2020年3月18日发表在伯克曼互联网与社会研究中心的Medium博客合集,可点击链接查看