疫情之下的數據治理及人工智能應用邊界探索

宗 喆，魯俊群

（1.暨南大學經濟學院//廣發銀行博士后工作站，廣東廣州 510080 ； 2.清華大學人工智能國際治理研究院，北京 100084）

1 研究背景

2020 年以來，隨著新冠病毒的全球爆發，人類面臨著全球危機，一國政府在疫情危機下所做的任何決策，都可能影響全人類未來數年的發展方向。這些決策不但會影響全球的醫療水平進步、醫療系統升級、以及科技水平提升，還將可能影響全球的經濟和政治格局［1］。在數據隱私和人工智能等技術治理層面，于2018 年開始實施的歐盟《一般數據保護條例》（下文簡稱“GDPR”）一方面在全球范圍內將數據隱私權上升為基本人權［2］；另一方面標志著數據治理開始進入全球監管模式，因為GDPR 自2018 年5 月25 日正式生效以來，個人數據保護的概念和監管條款的合理性在全球范圍內被廣泛關注，其試圖實現個人信息保護與數字經濟的協同發展，在世界范圍內具有典范意義［3］。另一方面，隨著科技企業與數字經濟的融合度越來越高，硅谷作為世界科技企業圣地，其所在地美國加州也高度重視數據保護及數據治理，2018 年6 月美國加州通過《2018加州消費者隱私法案》（下文簡稱“CCPA”），旨在加大對消費者數據的保護力度，同時加大對科技企業在使用消費者數據層面的監管。

綜上所述，歐美國家剛剛建立的個人數據隱私保護體系在新冠疫情面前面臨著重大考驗。疫情之下，歐美及一些亞洲國家及地區在使用AI 等技術手段防控疫情時，在平衡個人數據保護與公共利益優先的邊界上所做的探索，不但影響著國際疫情防控的力度和效果，同時還會極大地影響未來世界各國在平衡個人數據保護、人工智能技術治理和公共利益優先之間的取舍。因此，剖析疫情危機下各國對于使用大數據及人工智能技術的邊界設定，對未來探索危機下如何平衡個人數據保護與公共利益優先，具有重大理論及現實意義。本文首先對歐美國家常態下的數據隱私保護治理思路和模式進行總結分析；再基于國際案例，對疫情下各國采用人工智能等技術進行防疫的模式進行分析；最后本文將分析新冠病毒全球爆發背景下，各國對科技防疫模式探索的啟示，并明確各國應在內部確定數據保護與公共利益優先的臨界點，以及建立平衡數據保護與公共利益的國際合作機制對當今信息科技高度繁榮全球社會的重要性與必要性。

2 歐美國家現行數據治理思路與模式

2.1 歐盟對數據保護管轄權和數據屬性均作出嚴格界定［4］

在GDPR 中，歐盟對于數據保護的管轄權和數據屬性界定都較為嚴格。首先，GDPR 在空間上對于數據的約束被看作是一種“長臂管轄”［5］。GDPR 第3 條規定：第一，GDPR 監管任何在歐盟內部設立的數據控制者，以及其數據處理行為。也就是說，如果數據持有者和處理者的經營場所在歐盟境內，不論該數據處理的行為是否發生在歐盟境內，該數據持有者或處理者都將受到GDPR 監管；第二，只要向歐盟數據主體提供產品或服務，需要持有或處理歐盟數據主體數據的所有企業，無論是否在歐盟內部擁有實體機構，都要受到GDPR 的監管；第三，只要是對發生在歐盟范圍內的數據主體進行監控的行為，都要受到GDPR 監管。其次，GDPR 對相關企業使用數據主體數據的過程和種類上也做了嚴格的界定。第一，GDPR 第7 條明確規定，要求數據控制者必須能夠證明，數據主體確實同意處理其個人數據，且數據主體必須被授予隨時撤回其授權的權利，撤銷數據使用授權的過程應與同意授權一樣簡單易行。值得注意的是，在GDPR 之前的大數據時代，數據主體從未真正被賦予對自己數據的控制權，各類基于個人數據保護的條例大都流于形式［6］，而GDPR 第7 條的約定，明確賦予數據主體對自己數據的控制權；第二，GDPR 第9 條明確規定，對于顯示種族或民族背景、政治觀點、宗教或哲學信仰、工會成員身份數據、基因數據、為了特定識別自然人的生物性識別數據、以及和自然人健康、個人性生活或性取向相關的數據，應當禁止處理。根據GDPR 的定義，“生物性識別數據”被定義為基于特別技術處理自然人的相關身體、生理或行為特征而得出的個人數據，這種個人數據能夠識別或確定自然人的獨特標識，例如臉部形象或指紋數據；而“基因數據”指的是和自然人的遺傳性或獲得性基因特征相關的個人數據，這些數據可以提供自然人生理或健康的獨特信息，尤其是通過對自然人生物性樣本進行分析而可以得出的獨特信息。

2.2 加州詳細劃定個人信息范疇［7］

另一方面，在CCPA 中，加州當局對于CCPA管轄空間的認定標準可被總結為處理加州居民的個人信息的實體，且該實體滿足以下一個或多個條件：第一，年度總收入超過2 500 萬美元；第二，每年獨自或與他人聯合，為商業目的購買、出售、分享不少于5 萬個消費者、家庭或設備的個人信息；第三，有不少于50%的年收入來自于出售消費者個人信息。值得注意的是，在CCPA 中，實體被定義為獨資企業、合伙企業、有限責任公司、公司、協會或其他法律實體等。可見，CCPA 以“加州居民”為核心要素，對相關實體進行監管。另外，CCPA 對相關企業使用數據主體（消費者）數據的過程上與GDPR 做了類似的界定。第一，CCPA雖然并未將明確的“用戶同意”作為數據處理的基礎，但其在1 798.100 條款中明確指出數據主體有權要求收集數據主體個人信息的企業向其披露企業收集個人信息的類別和具體內容，且收集個人信息的企業應當在收集時或者收集前告知消費者所收集個人信息的類別以及所收集信息的使用目的。若未向數據主體提供符合CCPA 要求的告知義務，企業不得收集其他類別的個人信息，或者將所收集個人信息用于其他目的，即：在CCPA 中，監管要求企業需盡到詳細告知義務；第二，在CCPA第1 798.105 條款中，除知情權外，CCPA 賦予數據主體要求企業刪除其收集的數據主體個人信息的權利；隨后，在CCPA 第1 798.120 條款中，CCPA 同樣明確了數據主體有權退出企業對其數據的出售及使用，且在第1 798.125 條款中，CCPA 明確指出企業不得由于數據主體行使了自己的數據權益而拒絕向數據主體提供服務或對其價格歧視。

與GDPR 相比，CCPA 并未明確或強調個人敏感數據不可使用或交易（其強調要遵照美國其他相關法規要求），但CCPA 不但對于個人信息數據的范圍做了明確的指導，而且對數據的類型做了比GDPR 更細化的分類。具體來說，在CCPA 第1 798.140 條款中，CCPA 指出數據主體的信息不但涉及個人，還涉及其家庭信息以及其使用的設備信息——“個人信息”系指直接或間接地識別、關系到、描述、能夠相關聯或可合理地連結到特定消費者或家庭的信息，包括但不限于真實姓名、郵政地址、個人標識符、在線標識符、互聯網協議地址、電子郵件地址、帳戶名稱、社會安全號碼、駕駛證號碼、護照號碼等等。而且，在CCPA 第1798.140 條款中還明確指出包括個體的DNA、虹膜、視網膜、靜脈圖案成像、錄音圖像、面部印記、聲紋、以及包含識別信息的擊鍵模式、節奏、步態模式或節奏等等都被視為生物特點信息被納入監管范圍。

2.3 歐盟和加州均將數據監管由事后處罰轉為風險監管

GDPR 和CCPA 提出的監管要求，本質上都體現了數據監管層面在面對未知的人工智能等新技術時的一種風險防范需求。歐盟對于“特定技術應用”進行數據保護影響評估的要求早在GDPR 實施前就存在［8］，而GDPR 在某種程度上加強了對以人工智能為代表的新技術對侵犯個人數據安全風險的防范。具體來說，GDPR 第35 條規定：當某種類型的處理——特別是新技術進行的處理——在給自然人的權利與自由帶來較高風險時，數據控制者應當在處理之前評估該技術對個人數據保護的影響。GDPR針對數據處理活動建立的風險評估制度，不但統一了歐盟內部關于數據保護法律框架的強制性義務，同時使歐盟針對數據處理活動的監管具備較強的可擴展性和動態調整能力［8］。一言以蔽之，歐盟對于數據處理活動進行風險評估的核心可以理解為：通過描述數據處理的過程（特別是新技術），識別和評估將該數據與技術用于處理歐盟內部數據主體數據可能引起的風險，從而進行對AI 等新技術的風險管理。另一方面，雖然CCPA 并未明確提出數據監管向對數據處理及新技術應用的風險管理轉型，但CCPA 明確表示，加州政府已經意識到個人信息無授權披露和隱私損害可能對個人造成包括財務損失、名譽損耗、身份盜用等惡劣影響。加州政府希望通過CCPA 立法，為數據主體控制其個人數據提供有效途徑，從而進一步拓展加州人的隱私權，以避免2018 年數千萬人的個人數據被Cambridge Analytica公司濫用的丑聞重現。可見，加州立法機構出臺CCPA，嚴格監管企業對數據主體數據的處理和使用，在一定程度上也希望將數據監管這一嚴肅的監管問題由事后處罰轉為事前風險管理。

2.4 歐盟及加州均未明確危機發生時保護公共利益的明確觸發器

由GDPR 和CCPA 的思路可見，歐美主要國家目前對數據治理的主要思路已經轉變為事前風險管理，但GDPR 和CCPA 等數據保護法規未能明確闡述，當公共安全危機爆發時，數據治理及AI 治理應如何精準應對。具體來說，一方面為應對各種突發危機情況，GDPR在諸多關鍵條款中均保留了涉及“公共利益優先”的敞口。具體來說，GDPR 在“個人數據處理原則（第5 條）”“個人數據處理合法性（第6 條）”“對特殊類型個人數據處理辦法（第9 條）”及“數據主體反對權（第21 條）”均有涉及公共利益特例的相關條款。尤其在醫療健康和公共衛生事項上，以分析傳染病及其預警為目的、檢測流行病及其傳播趨勢等情況下，即使未經主體同意，GDPR允許政府及相關機構出于公共利益目的使用個人敏感數據信息［9］，即：GDPR 在第9 條第2 款明確表示在公共健康領域，當歐盟或歐盟成員國已經為保障數據主體權利采取適當措施的法律基礎上，為實現公共利益必須處理個人敏感數據時，第9 條第1款中禁止處理個人敏感數據的要求將不再適用。換句話說，GDPR 授予了各國在危機情況下自行通過修例的形式使用個人數據的權利。

但另一方面，GDPR 和CCPA 均未明確確定量化指標作為“公共利益優先”敞口的觸發器，進而導致在本次新冠疫情全球爆發中，歐美主要國家對于使用個人數據用于防控病毒傳播缺乏法理依據。薛瀾等［10］認為，公共安全管理應包括風險管理、應急管理和危機管理，其中風險管理的對象應為“風險”，應急管理的對象應為“事件”。當風險本身發展到“不可預知”和“知識盲區”階段時，往往伴隨著事件影響重大、發展態勢迅猛等特點，這時公共安全管理應該進入危機管理階段。而在大數據驅動的新型公共安全治理模式中，構建以“風險-應急-危機”一體化的治理模式符合理論與現實需求［11］。本文認為，在大數據及人工智能時代，各國政府應建立一種數據及新技術治理觸發器機制，采用量化指標等形式，使公共安全進入危機管理時，數據治理和AI 等新技術治理也能及時、有法律依據的從風險管理模式進入危機管理模式，并與公共安全危機管理相結合，以確保公共利益可以得到充分保障。

3 新冠疫情下各國對民眾個人數據獲取及人工智能技術應用的邊界探索

自從2020 年2 月以來，新冠病毒在全球擴散的趨勢變得越發難以節制，如何在大數據、AI 技術蓬勃發展的時代，在GDPR 和其他隱私保護法的監管下，充分利用大數據和AI 新技術為各國破解疫情危機助力，成為各國政府需要審慎思考并積極探索的新問題。在各國探索過程中，歐盟和美國等國由于面對較為嚴苛的個人數據保護法規，探索過程進展遠比亞洲國家及地區緩慢。

3.1 歐美國家的艱難探索

在處理新冠病毒傳播問題上，波蘭是歐盟內部對新冠疫情反應最快、強度最高的國家之一。一方面，波蘭于3 月4 日確診首例新冠患者，而波蘭衛生部于3 月11 日在疫情控制良好的情況下就宣布波蘭進入流行病緊急狀態；另一方面，波蘭政府出臺的防疫政策強度很高，其很早就宣布大學、中小學、幼兒園全部停課，而彼時波蘭的確診人數還未達百人。在流行病緊急狀態中，波蘭頒布的具體措施包括對邊境嚴加管控，禁止外國人進入波蘭；波蘭公民抵達波蘭后必須進行14 天隔離；限制大型購物中心開業；只開放雜貨店、藥店等生活必需品經營場所等等。之后，波蘭于3 月20 日上線名為“家庭隔離（Home Quarantine）”的應用程式，以確保境外返回人員滿足居家隔離14 天的硬性指標。其具體操作方式為，隔離人員需要預先上傳一張自己在居所（收集背景影像）的自拍照，應用程式后續會向隔離人員發送拍照要求（人員和背景需要與備案自拍吻合），如20 分鐘內隔離人員沒有按要求重新拍攝自拍照，應用程式會自動通知警察當局。但是，波蘭當局為境外返回人員提供了另一個選擇，即接受警務人員不定期的上門訪問。波蘭政府這樣安排的本質是：如果境外返回人員不想披露自己的個人信息（家庭環境、個人圖片數據），可以選擇警務人員不定期上門檢查的形式來完成居家隔離監督［12］。

與波蘭早早開始使用大數據和AI 技術監控居家隔離不同，歐洲其他主要國家卻受限于GDPR 及本國隱私法案，對是否應該將民眾智能手機數據和AI技術用于防止疫情擴散爭議不斷。在新冠疫情中，德國的態度具有代表性。自從新冠疫情在歐洲蔓延開始，德國對使用數字監控方式輔助抗疫始終持有懷疑態度，因為根據德國和歐盟的相關隱私法規，使用智能手機定位數據來追蹤疫情的蔓延屬于非法行為。德國衛生部部長施潘（Jens Spahn）曾表示希望德國政府能夠效仿亞洲國家，利用手機定位信息追蹤確診患者的密切接觸人群，以有效阻止病毒傳播。但另一方面，德國聯邦政府公民數據保護專員施泰恩（Christof Stein）表示德國不應該被新冠疫情所蒙蔽，而忘記數據保護的重要性。由于對是否該收集智能手機追蹤數據用于防疫在德國國內存在巨大爭議，2020 年3 月德國進行的應對新冠疫情的修例中，草案原有的一項建議——允許政府追蹤民眾手機定位數據用于防疫，沒有出現在修例內容中［13］。

本文認為，德國最初決定不使用智能手機數據追蹤疫情擴散的主要原因在于截至3 月上半月，德國的疫情狀況并不十分嚴峻——累計確診人數不足一萬，而死亡率始終低于1%。隨著新冠疫情的發展，德國政府所面對的疫情擴散形勢陡然嚴峻，截至4月上旬，德國累計確診人數已經超過十萬，而死亡率也逼近2%，在這種情況下，使用智能手機定位數據來追蹤疫情蔓延的想法重新被德國當局提上日程。德國總理默克爾已經公開表示，她歡迎開發手機追蹤應用程序，以應對歐洲新冠病毒擴散，但默克爾同時強調，該應用程序應保護個人數據信息且不儲存用戶位置［14］。在德國的引領下，目前歐洲已經開展了泛歐洲數據保護追蹤程序PEPP-PT（Pan-European Privacy-Preserving Proximity Tracing）的 開發，該項目由德國Fraunhofer Heinrich Hertz Institute通訊處負責，已經有至少八個國家的技術專家加入。在應用程序規劃中，PEPP-PT 具有如下特點：首先，PEPP-PT 是一款應用于智能手機的藍牙測距應用程序（與新加坡Trace Together 類似）；其次，PEPP-PT 特別注意加強數據保護、匿名化，力爭符合GDPR 的合規性和安全性；第三，PEPP-PT 力求建立一條既可以跨多國追蹤，又可以支持本地追蹤的感染鏈［15］。

另一方面，雖然CCPA 沒有涉及到公共利益與個人數據隱私保護平衡的條款，但美國當局在新冠疫情之下也面臨著公共利益與個人數據隱私保護的取舍。同德國、英國等歐洲國家一樣，美國也希望找到一個即能不觸及個人隱私數據，又能利用新技術防止疫情持續擴散的途徑。3 月下旬，美國政府開啟了與Facebook、谷歌等多家科技公司的商談，討論應如何利用手機定位技術更好地應對新冠疫情在美國的爆發。谷歌發言人表示，谷歌正在探索匯總匿名位置信息的方法，以幫助美國當局對抗COVID-19 病毒。谷歌認為，該應用程序應符合隱私協議，并且不涉及共享任何個人定位、移動線路以及聯系方式等敏感信息，而美國政府可以通過有效的法院授權從服務商處獲取特定的信息［16］。另外，4 月11 日全美最知名的兩家科技公司——蘋果和谷歌確認，他們將聯合打造適用于美國法規的應用程序，幫助美國政府和衛生機構追蹤新冠病毒的傳播路徑。在蘋果和谷歌的規劃中，該應用程序將基于藍牙技術，使程序使用者獲知自己何時接觸過新冠病毒確診患者。另外，谷歌表示，該應用程序不會收集個人身份信息或用戶定位數據，確診患者的信息也不會被谷歌、蘋果公司的其他用戶看到。谷歌還表示，該應用程序由使用者自主選擇是否打開定位功能，只被用于公共衛生當局追蹤密切接觸者，且獲取的使用者定位數據只被儲存約14 天［17］。

3.2 亞洲國家及地區的探索

雖然目前對新冠病毒的起源地尚存諸多爭議，但該病毒引起世界各界廣泛重視始于在亞洲的區域性爆發，因此亞洲各國及地區政府對大數據和AI 的科技防疫探索也普遍早于歐美國家。韓國當局率先在使用個人隱私數據進行疫情防控方面取得突破性進展。韓國當局上線了一張可以被公眾輕松獲得的電子地圖，允許公眾查詢他們是否進入過新冠確診患者的行動范圍，以幫助公眾自我判斷是否為潛在密切接觸者。在電子地圖上，韓國政府通過使用確診患者的智能手機GPS 定位信息、信用卡使用記錄、監控視頻等，公開了確診患者所到過的所有地方，以使公眾獲悉他們是否可能與確診者發生過密切接觸［12］。韓國政府該項做法在韓國國內引起了巨大爭議,雖然韓國疾病預防控制中心主任鄭恩京（Jeong Eun-kyeong）表示，在面對嚴重的傳染病時，公共利益應該重于個人隱私，但首爾國立大學的流行病學家Cho Sung-li 諫言韓國冠狀病毒追蹤小組應考慮公布個人全部隱私數據的副作用。由于認為自身隱私權被嚴重侵犯，釜山的一名確診患者基于其個人行程信息被完全公開的事實，向國家人權機構——國家人權委員會提起個人隱私被侵犯的上訴［18］。

作為亞歐文化交界地，以色列在本次新冠病毒爆發中采取了“防疫優先”的思路。受疫情影響，以色列政府早在3 月12 日就下令關閉學校，并禁止十人以上聚會，以嚴防新冠病毒傳播。另外，內塔尼亞胡總理于3 月14 日表示以色列計劃利用反恐追蹤技術以及停止部分經濟的做法應對疫情，以降低新冠疫情的傳播風險。隨后，以色列發布管控令，宣布全境關閉購物中心、咖啡廳、飯店以及娛樂設施，只有食品超市、藥店和加油站可以繼續營業。內塔尼亞胡總理還于3 月17 日批準一系列防疫措施，其中包括以色列安全局不再需要法院命令來追蹤個人電話，但所有收集的數據必須在30 日后刪除。與韓國一樣，以色列政府對采取的措施引起了部分人群的不滿，以色列民主研究所的研究員Tehilla Shwartz Altshuler 表示，以色列安全局不再需要法院命令來追蹤個人電話的措施將使以色列面對“監視民主”的威脅［19］。

不像韓國和以色列當局在疫情危機下選擇“重防疫、輕隱私”，中國香港和中國臺灣地區則嘗試在盡量保護個人隱私的情況下使用大數據和新技術進行科技防疫。為確保被隔離人員遵守隔離規范，香港特區政府于3 月推出名為“居安抗疫（StayHomeSafe）”的智能手機應用，其工作原理如下：抵港人員首先將獲得一個帶有唯一二維碼的手環，之后需要通過“居安抗疫”掃描腕帶的二維碼以進行配對綁定。最后，抵港人員需要在居所內走動以完成腕帶對居所范圍的校對。香港“居安抗疫”應用程序本質上屬于地理圍欄技術，該技術不同于GPS 位置追蹤，是通過被隔離人員在家中走動完成對家庭信號的采集，包括：居所WiFi 網絡信號、居所周圍WiFi 網絡信號、藍牙信號等，通過收集環境信號，構建被隔離人的居所綜合特征。若居家隔離人員離開其隔離區，則會觸發警報裝置并將該信息上報給特區政府，而違反隔離要求者將面臨最高六個月的監禁以及最高兩萬五千港幣的罰款。對于該種方式的隔離監控，香港特區政府表示“居安抗疫”不會引起隱私問題，因為其并不能追蹤使用人的確切位置。中國臺灣則采用了一個被稱為“電子圍欄”的智能手機應用程序，當被隔離人員離開居所或關閉移動設備時，該應用程序將向當局發出警報，以提示隔離人有可能已經違反隔離要求。與香港選擇的技術不同，臺灣選取的是監視手機蜂窩信號的方式判斷隔離者是否離開居所［20］。臺灣網絡安全部門負責人Jyan Hong-wei 表示，“電子圍欄”的作用是防止應被隔離人群出現違反隔離要求，使疫情傳播加速的情況出現［12］。

在所有動用大數據及AI 技術科技防疫的亞洲國家中，新加坡政府首創了一種基于藍牙技術的疫情追蹤方式，該方式極大限度地平衡了“科技防疫”與“個人數據保護”的矛盾，為日后歐盟和美國等受限于嚴苛個人數據保護法的國家提供了科技防疫的新思路。3 月20 日,新加坡政府上線了一項名為“TraceTogether”的應用程序，“TraceTogether”不使用GPS 或任何形式的智能手機定位數據，而是通過手機間的藍牙接觸來進行接觸關系判斷，特別適用于確診患者不能明確描述其密切接觸人群的情況。具體來說，“TraceTogether”由新加坡政府技術局（GovTech）和新加坡衛生部聯合開發，其藍牙觸碰的距離識別范圍為兩米。新加坡智慧國家和數字政府辦公室（SNDGO）表示，“TraceTogether”的使用需要公眾明確授權，并且需要使用者提供個人聯系電話，以便在發生與確診患者密切接觸時可以及時通知密切接觸者。新加坡當局強調，該應用程序不收集或使用用戶信息，僅在有患者被確診時，記錄他們的密切接觸者。在整個流程中，新加坡衛生部和政府技術局都不會掌握用戶的數據信息，但當需要時，衛生部有權向個人用戶要求授權查看個人數據日志，如果用戶拒絕，衛生部和政府當局可能會跟據本國《傳染病法》起訴相關用戶［21］。

4 國際數據保護及新技術抗疫應用國際探索的啟示

4.1 各國內部需要明確數據保護與公共利益優先的臨界點

危機通常被定義為個人、機構以及社會所面臨的挑戰超出日常規范的狀態［22］4-18。本文認為，對于是否應該在防疫中使用大數據和AI 技術，歐盟及美國需站在真實民眾意愿角度進行思考，而在危機之中，國民有多大意愿放棄部分隱私權、以及愿意放棄哪些隱私權，以換取公共利益最大化，值得國際社會深思。Aldehoff 等［23］通過一項調查顯示，德國分別有63%和67%的受訪者愿意在危機中放棄其住址和電話號碼等隱私權，但若將需要放棄的隱私權中加入通話內容或聊天記錄等敏感內容，該比例則大幅下降至27%。可見，公眾并非不愿意在危機中放棄隱私權以換取公共利益，但公眾意愿與危機的嚴重程度和自身對危機的認知水平高度相關。

危機發生時，對危機影響的判斷很大程度上依賴于個人主觀［22］16-18。在本次全球新冠疫情危機中，由于主觀判斷不同，各國對于是否、何時以及如何將基于個人數據處理的新技術用于監控疫情傳播表現出了迥異的態度。主觀判斷結合客觀現實，不但應反映在一國決定是否將數據治理由常態模式升級為危機治理的過程，還應反映在一國決定是否以及何時將公共利益置于比個人隱私保護更優先的級別。只有充分協調好一國國內及國際間對于主觀判斷與客觀現實的不同研判，才能更好地在危機中平衡個人數據保護和公共利益之間的利弊，進行有效的危機管理。

為應對各種危機情況，GDPR 在諸多關鍵條款中均保留了涉及“公共利益優先”的敞口。可見，在特殊情況下，各國政府需要根據公共危機發展的進程，研判對公共利益與個人數據隱私的取舍，決定是否通過修例來實現處理個人敏感數據。但是，從英國、德國等歐洲主要國家在新冠疫情危機下對使用智能手機數據用于個人定位的實際行動來看（截至四月上旬），即便新冠疫情在本國擴散難以節制的情況下，各國依然認為沒有達到動用GDPR 涉及公共利益優先條款的臨界點——使用個人數據用于追蹤疫情擴散。而另一方面，從歐美國家內部對于該問題所產生的激烈爭論情況來看，各國對于上述邊界的具體位置尚不明確，即：各國并不了解究竟在何種情況才應該動用GDPR 涉及公共利益優先條款使用個人數據來確保公共利益。當疫情爆發時，公共健康專家普遍認為為取得積極的防疫結果，當局應盡早啟動涉及公共利益優先條款，收集和使用個人數據用于疫情防控；而數據保護專家則往往相反，其普遍認為新冠疫情防控不能高于個人數據隱私保護。上述現象充分表明，雖然GDPR 等法規明確保留了涉及“公共利益優先”的敞口，但各國在達成是否、何時以及如何使用“公共利益優先”監管敞口過程中充滿爭議，而內部長期無法達成共識會使該敞口的設置失去其本該發揮的作用。結合本次新冠疫情來看，各國迫切需要建立一個比GDPR更為明確且細化的數據處理治理和新技術使用機制，以使各國數據保護法規的公共利益優先敞口能夠及時有效地發揮作用。

4.2 建立平衡數據保護與公共利益的國際合作機制至關重要

近來一些政府及政要的表態充分表明在疫情危機下加強國際合作的合理性與必要性。中國政府于2020 年4 月6 日向國際發布關于COVID-19 的國際共享信息,以推進疫情防控的國際合作［24］；英國外交大臣拉布（代理行使首相職權）于4 月表示，新冠病毒的全球蔓延體現了國際合作的重要性［25］；同期，德國總理默克爾表示只有強有力、協調一致的國際合作才能戰勝新冠疫情［26］。但在數據和技術國際流動及共享層面，疫情危機下的國際合作推進還面臨著重重困難。在云計算出現以后，大規模的政府數據、商業數據和個人數據通過云服務來存儲和處理，造成了主權國家的法律管轄權與信息流通性之間的矛盾［5］，導致各主要國家都加強了對本地數據的保護力度。據Fieldfisher［27］對包括中國、歐盟、美國、日本、加拿大、巴西、印度、新加坡、韓國、澳大利亞、新西蘭在內總計47 個主要國家的統計表明，其中有44 個國家（93.6%）擁有明確的數據駐留規則（Data Residency Rules），而其中的42 個國家（95.5%）的數據保護監管者擁有對違反本國數據駐留規則的行為施加懲罰的權利。在GDPR 中，歐盟對將歐盟內部數據轉移至第三國或國際組織的具體規則也進行了詳細闡述。具體來說，在GDPR 第45 及46 條中，歐盟要求接受數據的境外第三方通過其嚴苛的“充分性保護”認定，不但要求第三方國家或國際組織對數據保護有充分的法律保障和執行力，還需要對其法治、人權和基本自由、國家安全、公共安全等諸多方面進行歐盟認證。一言以蔽之，在當前現實情況下，無論是基于何種目的，本地數據的跨境國際流通難以實現。

如前文所述，在本次新冠疫情的爆發中，各國為防止疫情擴散而使用的大數據和人工智能技術主要基于本地應用，還并未出現各國間合作交換個人數據以控制疫情國際傳播的案例。雖然在GDPR 第49 條中明文規定，當數據轉移符合歐盟或成員國法律確認，向未通過“充分性保護”認定的第三國或國際組織轉移數據屬于必要事項，GDPR 允許向未通過“充分性保護”認定的第三國或國際組織轉移數據。但是，當危機發生時，各國在內部尚且不能對個人數據保護及公共利益優先的平衡達成共識，希望各國能就個人數據保護及公共利益優先問題達到國際共識更加不切實際。本文認為，各主要國家在常態下就應在數據治理和人工智能等技術治理層面加強國際合作，并在設計本地治理模式時應更多地考慮國際包容性；另一方面，各國應加強國際交流，積極探索并建立在人類危機情況下，為全人類公共利益而進行數據跨境處理的治理模式和互信機制。

5 對中國的啟示

在新冠疫情中，“科技防疫”作為新事物開始被人熟知。騰訊“防疫健康碼”在于2020 年2 月9日率先落地深圳后［28］，騰訊與國家信息中心聯合推出“衛生規范健康碼標準”，并在全國擴散。騰訊健康碼可在全國大部分社區提供社區成員登記、復工人員登記、人員健康自查報告等服務，以此提高數據采集效率。另一方面，在國務院辦公廳電子政務辦的指導下，阿里巴巴支付寶的全國版健康碼也于2020 年2 月16 日上線，該健康碼與企業復工申請通道聯合在一起，確保企業能實時了解員工健康信息［29］。

使用個人數據與新技術進行科技防疫，對我國國內新冠疫情防控及經濟復產復工起到重要支持作用，但運用大數據和AI 技術進行科技防疫，對我國相關機構提出了更高的要求。本質上，任何與風險相關的決定都涉及客觀事實和主觀判斷［30］。在本次控制新冠疫情傳播的過程中，我國相關部門根據對新冠病毒傳播風險的判斷——基于客觀事實與主觀判斷，依照《中華人民共和國傳染病防治法》以及臨時出臺的《通知》與《指引》等行政性文件，進行防止新冠疫情擴散的相關管制。在這一過程中，在使用個人大數據和人工智能算法層面，我國尚且缺乏明確的法理依據。中國數字經濟日益崛起，但我國城市與鄉村人口、中老年與青年人口的知識體系與對危機風險的認知、對個人數據保護的認知均存在巨大差異，因此即便在危機中使用個人數據和AI 技術時，相關機構也應盡可能平衡不同認知水平人群對個人數據隱私權的認知，通過立法形式，而非行政形式，做到使用個人數據和新技術有法可依，并且要切實加強個人數據保護意識，防止出現數據被違法濫用的情況。

6 結語

新冠疫情爆發已在全球范圍內對人類生命安全以及經濟發展造成了難以衡量的巨大損失。同時，如本文所述，新冠疫情為歐美國家尚處于摸索階段的數據隱私治理體系及尚待建立的人工智能技術治理體系拋出了一個巨大挑戰。在新冠疫情下，如何維護數據隱私保護和人工智能技術治理，如何對他們和公共利益優先監管敞口進行取舍，對各國來說都是一個全新的問題，需要各國政府及相關機構隨著疫情發展的不斷深入而進行不斷探索。另外，當疫情危機席卷全球時，任何一個國家為平衡維護數據隱私保護及AI 治理與公共利益優先所做的選擇，都會對其他國家（尤其是區域內國家）產生重要影響。因此，各國需要開展更多國際交流與合作，共同摸索個人隱私與公共利益之間的臨界點，爭取達成更多國際共識，這不但有利于各國應對本次國內新冠疫情傳播危機，而且可以為危機過后的數據保護和人工智能治理模式提供可借鑒的國際經驗。