病毒接触者全球监控大网:健康与隐私可以两全吗?
病毒接触者全球监控大网:健康与隐私可以两全吗?
这一张张以追踪每个普通人为目的大网,将会带来一个怎样的未来?
2020 年 4 月 6 日,东京一名戴著防护口罩的女士走进的地下通道。
Photo: Eugene Hoshiko/AP
如何寻找隐形病毒的传播路径?大流行病的阴影下,各国政府正竞逐使用监控技术来控制 2019 冠状病毒 (COVID-19) 的传播,越来越多的人脸识别摄像头和体温热像仪出现在公共场所,警方动用无人机巡街羞辱违反居家禁令的人,权力机构收集手机位置数据监视隔离状况……然而,多少数字化举措,是在借防疫为名行侵犯隐私权之实?电子监控忽然泛滥,背后又有多大合理性?这是「温水煮青蛙」状态下的普通人愈发难回应的问题。
据联合国区域间犯罪和司法研究所人工智能和机器人中心主任伯利兹 (Irakli Beridze) 统计, 截至 4 月 20 日,也即疫情在世界范围扩散不到两个月的时间内,已至少有 28 个国家开始使用各类数字监控技术应对 2019 冠状病毒病 ,其中 23 个国家采用接触者追踪应用程序 (APP),10 个国家使用先进的物理监控技术 (比如部署装有热传感器的面部识别摄像机、用于监控公民居家隔离的无人机和 CCTV 摄像头)。这个名单还在快速变长,德国、法国和挪威等国都在部署从 5 月初铺开使用追踪 APP。
在有健全制衡机制的国家,这些防疫措施是成比例且合法的,但在 有些国家,这些措施匆忙经过立法机构,未经充分审查就予以实施,甚至有国家越过立法机构直接动用追踪恐怖分子的情报工具来定位冠状病毒患者 。
就在不久前的历史教训是, 有些权利一旦让渡就再难收回 :911 后,公民被告知国家需要加强监控手段和数据共享以应对恐怖主义,但在此后 20 年间,情报机构在真正阻止恐怖主义行动上作为寥寥,却被斯诺登等吹哨人揭露严重的权力滥用。萦绕 2019 冠状病毒病危机时代的不确定性,无人知晓这种数据收集还会持续多久。等到大流行病真正结束后,各国政府又是否会将扩张后的监控能力缩减到疫情爆发前的状态?
政府该不该拿位置数据来「灭火」?
呈指数传染爆发的 2019 冠状病毒病疫情 ,给依靠人工追踪的传染病防治手段带来难题,许多国家求助于技术手段,使公共卫生机构更有效率地找到接触过病毒的人,并做出符合公共健康福祉的限制社会活动政策。目前,多国实施的大范围封锁和社会疏远措施是一种颇为钝性的干预,「捂」死病毒的同时也扼住了经济社会运行的动脉,随着感染曲线被拉平,各国决策机构都陆续开始考虑重新开放部分社会生活。
但是,在退出封锁的计划实施之前,还需要搭建好兜底措施,不但要继续扩大检测范围并对确诊患者充分治疗,还要一旦发现新病例就及时了解其在传染期间密切接触过哪些人——避免社区传播的死灰复燃。从技术角度看,实现这一目标最简单的入口便是手机,全球移动手机用户约为 35 亿。在隐私保护法律更为严格同时权力相对分散的欧美地区,技术专家希望开发有助于追踪病毒踪迹同时兼顾用户隐私的手机 APP,并避免其沦为一个当局永久性使用的监控工具。
技术专家们大体对依凭数字技术方案解决公共卫生燃眉之急持乐观态度,但在关键细节上存在分歧:智能手机应用应该使用蓝牙技术感应附近手机的接近度,还是使用蜂窝网络和 GPS 收集位置数据?这个关键技术手段上的分歧,会产生数据究竟是被高度集中还是分散存储这两种截然不同的安全后果。
通过移动手机可以收集到的位置数据、精度由低到高包括呼叫详细记录 (CDRs,即通过手机连接附近电信塔获取位置)、GPS 踪迹以及蓝牙。前两种数据可以形成聚合视图 (aggregate view) 以追踪判断人们去过哪里,商业上一直被用来投放目标广告,协助零售、运输、城市设计等公司进行布点分析,公共服务上则有助于理解人口流动。蓝牙用于识别与另一台设备的接近度,商业上可以用来监测用户在商店的具体什么地方,而公共福祉上则可用来接触者追踪。
通信运营商将匿名化的大数据倒卖给第三方已经是一种规范化的市场行为,强调匿名是指其他人不能用这些数据反向推导出数据对象的身份信息。公共卫生机构基于移动服务运营商匿名数据创建的交互式地图来分析居家令效果非常直观,此次疫情中,德国电信向疾控机构罗伯特·科赫研究所 (RKI) 免费提供海量匿名手机基站登录数据进行研究,德国联邦政府数据保护专员对此行为就开了绿灯。奥地利电信运营商 A1 也自愿向政府提供了用户的匿名位置数据,并声明数据只能以 20 人一组为单位进行分析,无法追溯识别其中个体或更小的团体。
正如世卫组织总干事谭德塞所说,「你不能蒙着眼睛去灭火。」政府理应掌握大数据来制定疫情相关的公共政策,但是否也应该被给予信任来收集公民个人信息? 如何保证收集到的数据只单一服务于医疗卫生目的,而不被挪用作其他指控甚至压迫的用途?被虎视眈眈的位置数据和健康数据恰恰是公民最敏感的隐私,你去过什么地方、频繁出入什么场所、携带哪种疾病,都包含着定义你身份的元素,而特定身份又决定了你的政治光谱,这就是为什么人们在让步身份数据给权力机构时必须慎之又慎。
减少「数据废气」:蓝牙方案胜出
据统计,全球目前已至少涌现出 43 种接触追踪 APP,其中 28% 没有隐私政策,64% 使用 GPS 追踪技术而非更隐私友好的蓝牙。令人鼓舞的迹象是众多软件工程师、健康卫生专家以及数据保护专家正群策群力,达成兼顾保护隐私和控制病毒扩散的共同目标,自愿联合进行开源的分散式隐私保护接触追踪解决方案的研究。
有影响力的开源方案包括由瑞士洛桑联邦理工学院隐私保护教授特龙科索 (Carmela Troncoso) 发起的欧洲多国专家参与的 DP-3T (Decentralized Privacy-Preserving Proximity Tracing,也即去中心化的隐私保护型近距离追踪技术),美国斯坦福和加拿大滑铁卢大学青年学者主导的 Covid Watch ,还有美国西雅图两位工程师发起的 CoEpi 。
欧洲拥有最严格的数据隐私保护法律和强烈的社会意识,部分原因根植在历史记忆中。 维也纳经济大学商业信息学教授施皮克曼 (Sarah Spiekermann) 在接受端传媒采访时就说, 二战时大屠杀的「效率」,就很大程度上由犹太人数据库和记录文件的存在所驱动 。在施皮克曼教授看来,欧洲方案 DP-3T 提供了较理想的隐私架构基准,她制作了一个用于考察追踪 APP 是否益于隐私保护的 电子表格工具 ,表格里罗列出了关键问题,以让软件开发及运营者充分自查他们的解决方案,其中最关键的维度是信息处理的集中化和分散化程度。
假设手机持有者 A 和 B 在公共场所相遇并保持临近距离一段时间,他们之间就产生了一次「数字握手」,握手的数据内容不但本地存储在彼此的手机中,还会与 APP 负责方 C 进行后端数据交互。若 A 不幸被确诊感染病毒,C 就会向 B 发送风险暴露提示。从隐私保护的角度,C 掌握 AB 身份数据以及两人间会面信息的多寡就意味着整个信息处理过程是高度集中还是相对分散的。比如,C 是否能识别出进行数字握手的公民?C 是否对设备间的数字握手进行了登记?感染数据是否被 C 进行了个人层面的存储?另外,政府或安全机构是否可以进入 C 的位置对感染数据进行系统化监视?
施皮克曼教授认为,许多国家采纳了基于谷歌地图收集 GPS 信号的追踪应用,尽管其准确度很高 (3 米误差内),但从隐私保护角度却是一个糟糕的选择。因为从应用提供者后端可以看到手机持有者与谁近距离出入了什么场所,这就产生了超出感染追踪目的的额外信息含量,比如手机持有者参与了抗议示威或出现在不该去的敏感场所,这种「数据废气 (data exhaust)」形成的副产品可能被滥用于其他不相干目的。
作为一种无线通讯协议,蓝牙可以用来与附近的移动电话进行信号交换,并通过信号强度来估算距离。它在一些高风险近距离接触场景下比 GPS 得到的数据更准确,比如有墙壁间隔的建筑物内、车内、飞机上以及地下交通等。同时,蓝牙比 GPS 技术能更严密地对数据对象进行结构化匿名处理,使用随机生成和能本地储存的联系事件编号,系统可以在不存储或传输任何个人信息的情况下正常运行,从而更容易搭建起去中心化系统,具有更强的隐私保护功能。
虽然蓝牙技术受到隐私保护专家的一致青睐,但目前阶段仍存在不小的技术挑战。蓝牙有一项标准被称为接收到信号强度指示 (或 RSSI),目的是提供精细的位置细节。RSSI 的有效性受到各种干扰因素的影响,比如设备之间的相对方向,手机是否在揹包中或以其他方式屏蔽了信号。但技术专家表示这个技术难题是可以通过校准来得以解决的。另一个不容忽视的现实难题是 很多人并没有长时间开启蓝牙的习惯 。
依托蓝牙技术的接触者追踪 APP 要想产生功用,就必须获得充足的用户基数,牛津大学大数据研究所的弗雷泽 (Christophe Fraser) 估计,至少需要有六成人口自愿下载安装才能发挥作用。 值得参照的先例是从 3 月 20 日在新加坡铺开使用的「TraceTogether」,这个政府主导设计的蓝牙追踪 APP 下载人数已经达到一百万,但仍只是总人口数目的六分之一。新加坡国家发展部长黄循财说,需要四分之三的人口使用该 APP 才能将其作为一种有效的接触者追踪工具。这样的下载使用率如果完全依赖自愿参与原则基本是难以完成的目标,更遑论在智能手机并不普及的地区。
同时,这类蓝牙追踪 APP 或多或少也遇到安卓和 iOS 系统兼容的问题,麻省理工媒体实验室城市科学研究员伯克 (Alex Berke) 在接受端传媒的采访时说,TraceTogether 还受到一项技术问题困扰,即 iOS 隐私限制不会让 APP 在非使用状态下持续发送蓝牙信号,这意味着对于 iOS 用户来说很多接触点都会丢失。不过,在 4 月 10 日苹果和谷歌公司宣布联手设计新的隐私和安全敏感解决方案后,这一难题也很快会被解决了。
科技巨头的入场
美国两大科技巨头——谷歌和苹果——的工程师将联手打造「去中心化的接触者追踪工具」(decentralized contact tracing tool),项目第一阶段是开发蓝牙追踪 APP 的编程接口 (API),提高安卓和 iOS 系统设备间的互操作性,公共卫生机构可以将其集成到自己的 APP 中,第二阶段为开发操作系统级别的基于低功耗蓝牙技术的接触者追踪系统。提供该 API 所定义功能的软件预计在五月中旬整合进 iOS 和安卓操作系统,全球数十亿智能手机用户可以选择是否启用这项功能。
苹果和谷歌的重磅入场,直接将用户的手机转变为新冠病毒追踪器,并凭借他们在操作系统领域的垄断,触及世界上多数活跃设备。伯克说:「现在有很好的理由相信蓝牙将成为追踪病例接触的首选方法,但这将与位置记录相结合使用。」当在操作系统层面启用接触追踪功能后,即使人们没有从公共卫生机构下载官方应用,也会收到接触 2019 冠状病毒病阳性病例的提醒。把通知功能放置在系统层面,直接成为了每一部手机自带的功能,当然大力助推解决了用户使用率低的状况,但也意味着用户的主动权又少了一分。
为了防止有人用未证实的感染案例滥用警报,两家公司还会与公共卫生机构合作,例如医院给被确诊的人一个代码,患者必须输入代码才能触发警报。苹果和谷歌承诺,该系统只用于追踪接触者,会在适当时刻拆除系统,并明确表示不会用于定向广告等其他用途,将最大限度保护个人隐私,避免捕捉位置数据。
全球大流行病与数位时代之下,人类亲密接触的尺度由流行病毒学家和软件工程师严格定义——即两人在 1.5 至 2 米的距离内「数字握手」10 至 15 分钟。 与你在街上擦肩而过的人不足以触发警报,但坐在公园长椅上一起喝咖啡则有可能, 这种精度的测量不可避免可能会导致你频繁收到狼来了的警报,最终心态上产生麻木 。
更何况,在现实生活场景中根本不存在所谓密不透风的匿名数据。假设憋在家中许久的你偷偷约朋友出门散步,没过两天你收到病毒风险暴露提醒,你觉得你会花多久时间意识到身边谁被感染了?人们或多或少可以从其他多个数据来源或是身边社交圈往来,拼出身份的碎片。
苹果和谷歌的强强联手也让整个隐私安全的讨论变得更为紧迫。施皮克曼教授在视频采访中就连连摇头:「只要有美国大公司加入,原则上,这就不是一件好事,因为他们没有让人可以信赖的记录。」她在隐私自查表格中也设计了有关监视资本主义的维度,追问 APP 会不会给从事数据商业化的企业留下数据痕迹。
「政府不应该在数据上信任他们,这是权力累积的问题,普通用户和科技企业间不对称权力太大了。」施皮克曼说。
逢谈数据,我们并没有生活在一个拥有公众信任的文化环境中。哈佛商学院教授扎波夫 (Shoshana Zuboff) 在《监视资本主义时代》一书中谈到, 过去十年间,人们亲眼目睹,自己的人生和生活,在被谷歌为代表的科技公司单方面获取并转化为它们的私有数据流。其中一些数据用于改善产品和服务,其余的则被视为「行为盈余」并因其蕴含的丰富预测性信号而被标价出售。剑桥分析公司 (Cambridge Analytica) 的丑闻敲响警钟,科技公司并未按承诺彻底销毁用户数据,反而不断从中榨取剩余价值,最终酿成危及民主社会良性运转的恶果 。
科技公司在威胁全人类的疾病大流行中扮演公共服务的角色,也意味着可以赋予它们更多合法性、显著性及优先权。美国商业科技分析师 Ben Thompson,在他被称为「硅谷圈必读」的订阅通讯「Stratechery」中评述: 「苹果和谷歌正在创造一种选项,当社会认为这种程度上监控是可以接受的,技术就就会做好准备。」对于科技巨头来说,把数据从去中心化转为中心化,不过就是打开一个开关的事儿。
数字特洛伊木马
现实防疫压力驱使更多的政府选择了那些缺乏深思熟虑的选项。 东亚国家利用发达的智能城市基建将监视手段最大化,如在世界手机拥有率最高国家之一韩国,政府出于公共健康利益需要,就绕过了韩国《公共信息保护法》,通过查询手机 GPS 定位信息、信用卡消费记录、闭路电视监控录像等手段综合分析新冠患者及疑似患者的相关信息,并事无巨细向社会公开患者年龄、性别、民族、工作家庭地址、旅行历史等身份资料,导致患者在网上遭到无端指责和仇恨言论的攻击。卫生部门以类似军事化的准确度追踪病患,某些情况下数据处理人员还可以看到患者在特定时间特定场所是否佩戴口罩的图像。
中国作为世界上监控设施最完备的国家——截止 2019 年,「天网」系统的监控摄像头在中国大陆已投入使用 2 亿个,是美国监控摄像头的四倍。在疫情下,中国迅速果断部署面部识别摄像头、无人机巡视、手机监控等手段遏制疫情扩散,在外界看来,实属意料之内。中国最大的国有电信运营商中国电信和中国联通,就在武汉疫情爆发初期协助政府追踪定位出城的武汉人。 手机信号发射塔不如支付宝、微信等应用通过 GPS 收集的位置数据精度高,2 月 11 日杭州率先上线支付宝 健康码 后,这张数字防疫「天网」以极高效率在全国铺开。健康码会将信息共享给警方,其隐私政策不明确, 普通用户并不知晓后端系统如何对人进行红绿黄颜色分类 ,即使是被系统命令隔离也不知道具体缘由。人们担忧这种社会控制的新常态会持续很长时间。
新加坡政府开源了 TraceTogether 移动应用的底层技术,以期为各国政府以及开发者也能够打造此类防疫应用提供解决方案 ,但欧美软件工程师并非认同这个相较最优的亚洲追踪 APP 的方方面面。 麻省理工媒体实验室的伯克就说,「TraceTogether 是有参考价值的——但是是被很多西方研究者用来参考不应该做成哪样的 APP,因为它对用户隐私有风险,同时给予政府太多信任去尊重用户的自由,尤其在用户被发现有接触其他被感染用户的时候。」
新加坡政府通过这个蓝牙 APP 收集的唯一数据是用户的手机号码,保留这些数据是为了让卫生部在用户与感染病例接近的情况下能够快速联系到用户。此外,当用户被接触追踪应用联系到后,会被要求分享他们的数据记录,如果拒绝,他们可能会根据新加坡《传染病法》被起诉。有德国数据专家认为 APP 与用户手机号码联系并无必要,他人反而可依据手机号码识别出具体个人。
在一些严重遭受疫情影响的国家,为了追踪冠状病毒而开发的 APP,甚至扮演了「特洛伊木马」的角色。 3 月 3 日,伊朗人就收到卫生部短信通知,建议大家去医院或医疗中心之前,安装并使用一款名为 AC19 的手机应用来确定自己和家人是否感染病毒。一旦下载,该 APP 就会要求用户验证电话号码,并提示允许向政府服务器发送精确的位置数据,随后回答出现症状的一串问题。很快,人们发现这款政府应用根本无法告诉用户是否感染冠状病毒,反而会收集大量用户姓名、地址、出生日期等数据,甚至可以实时追踪位置。随后,该应用被谷歌从谷歌商店中下架。
据《耶路撒冷邮报》报道,以色列总理内塔尼亚胡,则单独指示国家安全局辛贝特来监控潜在冠状病毒携带者的移动手机,他们可以进入一个被称为「工具」(The Instrument) 的庞大数据库, 这项技术最初是为了协助反恐行动而开发,能够追踪国内所有手机的实际位置,并监控通话和短信 。没人知道「工具」中的记录会被储存多久,面对批评声音,一位以色列官员对《耶路撒冷邮报》辩解道:「说实话,像谷歌和 Facebook 这样的商业公司会永远保存你的数据,你为什么会反对国家保留这些数据来拯救生命呢?」
在印度,目前市面上至少有 16 种冠状病毒相关应用,多数为地方政府开发且信息集中度较高,其中一半没有隐私政策。由政府国家信息中心推出的名为「Aarogya Setu」(意为「健康之桥」) 的应用最为主流,以高达五千万的下载量居 2019 冠状病毒接触追踪类 APP 之首。4 月 14 日,这款应用更新了用户界面,一个叫「e-pass」的功能出现在应用内——这实际上就是印度版的「健康码」,这个 QR 码由政府发放,使用者在封锁期间经过通勤检查站时需要出示,检查人员可以扫码看到通行人的公司名、供应链伙伴、工作位置和属性。由于印度进入封城的第二阶段且持续至 5 月 3 日,政府只允许少数服务行业运转,如食品杂货、医药、牛奶商、媒体、电信服务等,这些行业的从业人员被要求向政府申请「e-pass」。
科技并非万能,在缺乏数字素养教育的多数发展中国家,公民对隐私关注不足让政策制定者设计了有漏洞的监视框架。人们过于诉诸科技方案也会进一步加剧数字鸿沟,抛弃低收入者、年长者、部落社群等,而他们恰恰是感染冠状病毒的弱势人群。 设下数字监控大网不难,想要这张网循规蹈矩、见好就收,才是已经可以预见的难题。
这一张张以追踪每个普通人为目的大网,将会带来一个怎样的未来?
肆零
肆
文章版权归原作者所有。
