基于个人数据收集与分析的公共卫生监测应用已经成为各国政府应对新冠疫情,助力经济复苏的重要手段。而平衡公共卫生利益与用户个人隐私保护就成为手机监控程序正当性的基础。美国的著名智库兰德公司在这一研究报告中提出了一种量化手机监控程序的隐私保护状况的“记分卡”标准。这一量化标准的普及对于提高应用的隐私保护透明度,帮助用户横向比较不同手机应用的隐私保护政策从而做出选择,具有很大的实践意义。
世界各地的公共卫生官员正在努力处理新冠病毒引发的肺炎的全世界大流行(Corona Virus Disease 2019,COVID-19)。作为解决措施的一部分,政府、技术公司和研究机构正利用数据收集和分析技术来了解这一疾病并掌握该疾病的传播模型,跟踪其在社区的传播路径。由于具备大量基于技术的数据来源——特别是收集了用户使用手机所产生的数据——随着隔离令的放松和经济活动的重启,这些公共卫生监控项目可能会被证明对避免继发的感染峰值而言特别重要。
一、平衡公共卫生利益和对新冠肺炎手机监控工具侵犯隐私的担忧
包括美国在内的数十个国家一直在使用手机工具和数据来源进行COVID-19的监测活动,如跟踪感染和社区传播、确定有风险的人口密集地区以及执行隔离令。这些工具可以增强传统的流行病学干预措施,比如利用基于技术的数据收集来追踪接触者(例如通过自动发送信号和在手机应用程序上保存记录)。随着应对措施的发展进步,其他一些有益的技术包括鉴定低传染风险者的工具,或者在取消居家隔离令时建立社区信任的工具也需逐步普及。
然而,针对新冠肺炎的手机公共卫生监测项目在可能带来好处的同时,也伴随着潜在危害。收集包括个人健康、位置和联系数据等敏感数据,会构成对公民个人隐私的重大风险。正在被收集个人数据的公民会担心谁将收到这些数据,接收方会如何使用数据,数据将会如何与其他实体共享,以及将会采取何种措施来保护数据免遭盗窃或滥用。
隐私风险也会影响政府责任和公众信任。由于政府官员或科技公司可能会侵犯公民隐私,这可能导致公民拒绝进行COVID-19检测、下载公共卫生导向的手机应用程序或共享疾病症状情况和位置数据。更广泛地说,真实的或感知到的侵犯隐私行为可能会使公民不相信政府发布的相关信息或不遵守政府有关COVID-19的指令。
随着美国公共卫生机构考虑实施COVID-19相关的手机监控程序,隐私问题亟需解决,以鼓励相关程序得到更广泛和安全的使用。否则,COVID-19手机监控程序可能会无效,收集的数据亦无法代表当地的情况。
#防止个人受到政府的不正当镇压,特别是针对边缘人群(如宗教或少数民族)的镇压。个人信息的收集和使用如果与政府权力结合起来,可能会导致更广泛的歧视和数据滥用。
#防止来自窃取身份、欺诈、勒索和其他犯罪活动的伤害。
#防止因个人行为或信仰被公开而可能带来的声誉、经济或社会损害的风险。例如,关于一个人的就医情况和生活方式习惯的信息可能会对就业或保险产生负面影响。
在这些领域中,侵犯隐私所造成的伤害很可能对那些已经处于弱势或边缘地位的公民产生不公平的影响,因为他们可能只能用最有限的资源来减轻最严重的政治、社会或经济伤害。
美国的少数群体也是受COVID-19影响最严重的群体,任何侵犯隐私、具有胁迫性的项目,或污蔑感染者的项目,都会对他们造成不成比例和不公平的影响。
为帮助公共卫生官员理解和评估移动监测程序对隐私的影响,兰德公司的研究人员开发了一种简洁、标准化和透明化的隐私记分卡。
+简明性非常重要。因为数据收集和使用的隐私政策通常很冗长,而且用复杂的法律术语撰写,这使得典型用户无法阅读和理解这些政策。
+兰德公司的研究团队之所以想设计一种标准化的方法,是因为有许多类型的移动监控程序可以用于监测COVID-19,公共卫生机构不仅需要能够评估这类程序的有效性和可用性,还需要能够比较不同程序的隐私保护情况,以便在选择干预措施时做出正确的决定。
+最后,透明度对于建立移动监控程序工具潜在用户的信任至关重要。
该团队分析了来自不同来源的文件,包括咨询机构、科技公司、政府官员、国会议员,以及关键的法律文件(如欧盟的GDPR、HIPAA法案和《加州消费者保护法案》CCPA)来开发一套标准,以适用于应对COVID-19的移动监控程序。
“分数”是根据程序内容满足标准的程度来分配的,并由一个客观的、基于事实的评价性问题来决定。评分选项包括:(1)完全满意;(2)部分满意;(3)不满意;(4)不清楚;(5)不适用(N / A)。
为了演示如何通过使用记分卡来评估和比较移动监控程序,研究团队对包括美国在内的20个国家的40个此类程序进行了评分。他们发现,即使那些程序集中在相似的活动上(例如症状跟踪和接触跟踪),但不同的程序之间仍存在着相当大的差异。
例如:澳大利亚的COVIDSafe接触者追踪程序完全符合20项计分卡标准中的16项,部分符合另外两项标准。相比之下,韩国的接触追踪程序仅全部或部分符合6项标准,有9项标准没有达到,其余5项标准不是不清楚就是不适用(所有评估程序的完整记分卡见完整报告的附录B)。
不过,研究团队没有评估他们所评分程序的渗透水平或有效性。
三、联邦、州和地方官员如何使用计分卡方法来保护隐私和支持公共卫生
随着美国公共卫生机构继续开发、评估和推动移动监控程序的使用,联邦、州和地方官员可以采取一些行动来加强对移动监控程序用户的隐私保护。
(一)对联邦政府的建议
1、联邦政府可以支持州和地方机构实施移动监控程序,方法是创建一个此类程序的注册表,其中包括基于隐私保护记分卡的相关信息。各机构可以利用这些信息库来支持在其在各自管辖范围内使用的方案的选择,并协调各种方法。
2、美国强大的技术产业可能会继续推动移动监控程序的其他方式的开发。联邦政府可以在协调技术、公共卫生和隐私社会的利益攸关方方面发挥重要作用,以确保此类项目服务于它们所述的公共卫生目标,并纳入强有力的隐私保护,包括隐私记分卡中所确定的那些内容。
3、 为了进一步确保移动监控程序的范围仅限于公共卫生目标,联邦政府应明确联邦机构在哪些权限下可以使用所收集的数据。
4、更广泛地说,联邦政府将有机会促进保护消费者数据隐私的全国文化,既能与公众建立信任,又能防止移动数据的滥用。特别是行政部门和国会推动了一项全国性数据隐私法案,这部法案可以防止手机公共健康监控程序被用作不受约束的政府权力手段。一部联邦法律可以帮助解决私营企业收集使用敏感的有关键康和行为的数据的问题,并为规范和澄清企业的数据共享手段提供统一方法。这些努力可以保障当前和未来的公共卫生以及数据经济发展。
(二)对州政府和地方政府的建议
1、为了理清手机监控程序工具开发者和终端用户的预期,各州应该实施一种基于记分卡的方法来评估这类程序中的隐私保护状况。(见下页的例子)
虽然一些隐私标准可能需要在可用性和公共卫生目标之间进行权衡,但许多标准亦可以在有限影响甚至不影响这些程序的有效性的情况下实现。
例如,通过公共审计和开源平台来提高透明度,或者通过“日落条款”和数据保留限制来实施时间限制,这些措施都不会阻碍移动技术的使用,但将有助于保护用户隐私,并有助于鼓励利益相关方和用户的参与。
2、在制定其规划的过程中,州和地方政府应咨询社区的利益相关方,以确保程序在满足当地需求的同时对隐私和公平风险保持敏感性。
尤其重要的是,在这些沟通过程中,应让那些受病毒严重影响的人以及那些历来受到政府广泛监控的人居于协商的中心地位。
(三)一个基于记分卡的评估隐私保护的例子,包括COVID-19手机监控程序
美国:谷歌/苹果暴露通知应用程序接口(API)|接触追踪
谷歌和苹果联合开发了一种交互协议(或API),在用户长时间接近另一感染用户的情况下,该协议允许低功耗蓝牙向潜在暴露的该用户发出预警。该协议旨在通过允许公共卫生机关开发使用蓝牙芯片发送和接收随机分配和更改标识符的应用程序来保护匿名性。如果某一用户被确定感染,该用户可以选择将设备标识符纳入到COVID-19检测呈阳性的个人名单中。用户设备定期检查此标识符列表,如果发现一个标识符已被用户设备接收,则通知该用户有潜在的暴露。该协议现在可用于应用程序开发,并将直接集成到移动操作系统中。
通过记分卡,移动监控应用程序的终端用户可以看到具体程序提供了哪些隐私保护,以及该程序如何达到或未达到确定的标准的解释。在存在隐私权衡的情况下——例如,有必要收集真实身份;或者数据需要集中管理,而非分散于用户的设备上——公共卫生官员可以解释不符合特定标准的原因。这种权衡的透明度包括了基于公共卫生需要的理由,有助于建立用户信任。
