歐洲的接觸者追蹤技術之隱私考量

孫雨瀟 張清芳 符 婷 李艷麗

1(中國農業科學院 北京 100081)2(倫敦大學法學院 倫敦 WC1E 6DH)3(哈薩克斯坦國立大學國際關系學院 阿拉木圖 050040)(sunyuxiao@caas.cn)

1 基于分布式存儲技術的接觸者追蹤技術概述

1.1 接觸者追蹤技術的發展

全球范圍內的政府機構以及流行病相關單位都對開發智能設備監控新冠肺炎疫情APP產生了濃厚的興趣，各個國家也都積極部署了不同類型的接觸者追蹤APP，我國主要采用“防疫健康碼”，通過將可信身份認證平臺生成的個人身份標識，與全國一體化政務服務平臺整合匯聚的確診或疑似患者數據，交通等部門匯聚的同行、同乘密切接觸數據以及全國各地健康碼數據進行關聯和綁定，采取動態安全二維碼技術生成具備身份和健康情況雙重屬性的國家健康碼.歐洲國家更傾向于基于分布式存儲技術[1]的接觸者追蹤(decentralized privacy-preserving proximity tracing, DP3T)技術.DP3T前身是由德國羅伯特·科赫研究所(RKI)和德國海因里希·赫茲通信技術研究所(HHI)牽頭開展的“泛歐隱私保護接觸追蹤(pan-european privacy-preserving proximity tracing, PEPP-PT)”項目，該項目在2個問題遭遇重大爭議：其一，收集而來的數據以集中化存儲于數據庫或以分散方式存儲；其二，項目的透明性存疑.隨后該項目被擱置[2].相較PEPP-PT項目，DP3T在歐洲得到較多認可.目前，DP3T已在奧地利及瑞士得到實施，且以分散式存儲信息.此外，2020年4月，谷歌及蘋果公司宣布建立合作伙伴關系，聯合開發接觸者追蹤工具——藍牙曝光通知框架(Google/Apple exposure notification service, GAEN)，同樣采用分散方式存儲并以藍牙信息作為曝光通知的技術基礎[3].

1.2 DP3T收集數據的情況

DP3T的工作原理基于智能手機便攜攜帶性及適配手機端的APP，主要使用藍牙低功耗技術(bluetooth low energy, BLE).設備所載APP在特定時間段內(如每隔幾分鐘)，創建一個隨機臨時藍牙標識符(ephemeral bluetooth identifiers，EphIDs)，基于藍牙低功耗技術進行廣播，同時收集附近其他智能手機發送的此類標識符.如圖1所示，攜帶設備開啟該APP的人群之間距離較短(例如1～2 m以內)，EphIDs會進行自主交換，相互注冊為潛在的危險接觸者[4].如果某人經過檢測呈陽性，并上傳更新即時狀態標記為“已感染者”，已交換過的設備定期檢查交換的標識符信息，能快速匹配信息進而向與該感染者有過密切接觸的人群發出警示.與集中式存儲的技術相反，這些信息不會集中注冊并存儲在一個中央數據庫中，僅存儲在安裝該APP的智能設備上，即沒有中央數據庫，因此可以極大減輕隱私風險.

圖1 DP3T工作流程簡圖

2 《歐洲數據保護條例》的適用與合規

2018年5月25日起生效的《歐洲數據保護條例》(General Data Protection Regulation, GDPR)被稱為史上最嚴格的數據保護法[5]，為個人與公司、實體組織甚至是政府機構之間的隱私保護提供了翔實的法律基礎.鑒于其廣泛的域外管轄效力，DP3T及未來與之相似的GAEN框架合作，需謹慎考慮是否及如何落入GDPR治理系統.

GDPR第2條規定其管轄的數據處理行為實質范圍(material scope)是“全部或部分以自動化的方式(automated means)處理個人資料的，以及以非自動化方式處理的，但構成存檔系統(filling system)一部分或擬構成存檔系統一部分的個人數據的其他方式”.即形式上符合GDPR的處理方式分為2種：自動化處理技術和存檔系統，二者至少要符合1個.此觀點在GDPR序言(recital)第15條得到再次驗證：“如果個人數據包含在或打算包含在存檔系統中，則自然人的保護應適用于以自動方式處理個人數據，也適用于人工處理個人數據.”

介質回收系統的磁選機包括精煤、中煤、矸石磁選機和掃選磁選機，選煤廠對各磁選環節分別進行詳細的檢測，結果見表2。

因此，DP3T技術的外觀性合規適用需檢測2個關鍵詞：自動化和存檔系統.對于自動化，GDPR第22條中再次進行闡釋：原則上禁止可能對個人產生法律效力或類似的重大影響的完全的自動化決策，同時規定了某些例外情況及相應保障措施.此類將條款表達為禁止性規定并輔以例外情況的解釋，不同于一味以正面方式賦予權利式的做法(即直接規定可以適用的例外情況)，強調和保護了數據主體對個人數據的控制權.這是由于在以自動化方式處理數據中沒有人為干預，極可能因其內部設計或其他影響個人權利和自由情況而造成對特定個人的歧視.GDPR第4條第6款解釋存檔為任何結構化的個人數據，不論是以中央的、分散的或按功能、地域的方式，可按特定標準進行查閱的數據集中存儲形式.根據這一規定，其核心概念是結構化的數據集，以方便獲取與個人相關的數據.因此“存檔系統”實際上可理解為作為存儲介質的個人信息數據庫.

如上所述，基于藍牙低耗能的DP3T技術所研發的APP依賴于智能設備(手機)來自動化地發送 、接收、交換和存儲信息，顯然符合自動化的定義.此外，在確定感染者的狀態后，自動化決策還將反映在設備之間的信息交換和匹配，即自動化檢測和確認風險，然后通知設備用戶(數據主體)提出風險警告.此外，在DP3T中，數據存儲位于用戶之間的后端服務器上，從而自動形成了基于數字技術的非人工的存檔系統，即便存儲的信息是無序亂碼的隨機藍牙標識符，但仍具備一定結構化(如藍牙近距離檢測等)數據訪問標準.因此，可以說就外觀形式而言，DP3T技術顯然符合GDPR合規要素.

3 實質上的合規風險：匿名化

針對GDPR的管轄，最關鍵問題是在DP3T技術下APP將收集什么信息，以及如何收集.

歐盟數據保護委員會(EDPB)發布了《關于在COVID-19疫情背景下使用位置數據和接觸者追蹤工具的情況》，強調可合理利用位置數據進行分析，以便盡早破壞疫情傳染鏈[6].但分布式接觸追蹤技術主要功能特點，也是其隱私保護[7]設計體現在于其收集的數據并非傳統、典型的個人數據，而是臨時藍牙標識符EphID作為位置和設備標識的替代.以蘋果和谷歌公司的GAEN框架為例，其收集的信息大致分為以下幾類：

1) 臨時藍牙標識符以及相關密切接觸標識符信息，存儲在分散的各用戶設備上.

2) 用戶上傳的關于其自身的陽性檢測診斷信息.

3) 相關設備和加密信息，即當用戶通過APP通知信息時，其IP地址和其他元數據將被應用服務器檢測.GAEN承諾不收集和保留這些信息.加密后的相關元數據，包括有關曝光接觸的時間和接近程度的信息，將分散地存儲在用戶設備上.

4) 通知信息，即GAEN將定時下載和廣播陽性檢測標識符信息，進而匹配和評估暴露風險(包括標識符接觸的距離遠近、日期等)，從而生成通知[8].

EphID是隨機生成的，無法驗證身份.正如研究人員指出，分布式存儲系統是機密性和匿名性的基礎，在一定程度上可確保用戶對個人數據的控制[9].根據前述設計，通過分布式接觸者追蹤APP收集的數據是匿名的，被視為GDPR項下的個人數據可能性較小.根據GDPR第4條規定，個人數據概念需滿足“任何直接或間接與已識別或可識別自然人有關的信息”，不包括也不適用于匿名信息.

DP3T在實踐中未必能夠貫徹匿名化設計.DP3T中，每個隨機標識符用戶手機根據手機密鑰創建，而非后端服務器，以防止其他人將臨時藍牙標識符EphID還原為可識別的個人.以這種方式，除從受感染用戶的智能手機發出匿名“標識符”外，不會公開任何信息.但匿名是不斷移動和發展的，并不完全可靠[10].根據DP3T技術數據保護影響評估報告顯示(DPIA)[11]，該技術存在固有風險，引起了廣泛隱私擔憂，即廣播的臨時藍牙標識符有可能以鏈接方式重新追溯到感染者.如果采用零風險方法，也就是說，只要可以重新識別數據，即使這種重新識別的風險可能性很小，也應當認定為是個人數據，除非這種數據匿名性能夠確保無論重新識別所付出的成本、時間或專業知識如何不成比例，也不可逆轉地防止了對數據進行重新識別.但這種零風險與GDPR的態度并不完全一致，這是由于在GDPR中對于匿名的認定考慮到客觀因素，例如“重新識別的成本和所需的時間”以及“處理時的可用的和已發展的技術水平”.因此，DP3T所收集的數據因其匿名化與重新可識別的風險仍然有可能會落入GDPR適用范圍內.

另一方面，GDPR對個人數據實際上采用了較為廣泛的關聯式概念，即一系列的因素中有1個或多個能夠直接或間接地結合分析并得出可識別至特定個人的結論.也因此有學者指出，未來的個人數據很可能會發展成一類“高維度數據”，以至于可能結合位置、濕度等多維度信息，天氣也能夠識別出并發展為與個人有關的數據[12].而藍牙技術本身可能是一種標記，通過個性化過程將用戶從其他用戶中區分，即使沒有指明用戶的個人信息，也加劇了存在隱私風險的考量.

4 設計隱私與隱私增強技術考量

DP3T收集基于藍牙接觸信息，淡化身份和地點信息，力求在保障個人隱私和實現疫情預警功能二者之間尋找平衡[13]，這是對GDPR原則性規定的保障和強化.在數據傳輸和存儲環節，DP3T意味著沒有中央服務器存儲用戶設備接收和發送的標識符EphID，任何用戶數據都將盡可能保留在用戶自己的設備上，實現存儲限制和數據最小化原則.這與服務器通常由政府或其他受信實體控制的集中式模型恰好相反.這消除了對中央服務器的需求，依靠多個服務器或最終用戶設備進行協作，這是將DP3T視為一種隱私增強技術(privacy enhanced technology)的原因[14].同時，這一考量體現了GDPR的“設計的隱私保護”策略，在技術設計中嵌入了數據保護原則，以便以盡可能少的數據(數據最小化原則)和分離數據的方式(數據處理目的限制原則)處理個人數據，這類技術措施包括數據匿名和假名化、處理設備上的個人數據以避免非法訪問數據、在14天后刪除有關數據以及要求獲得用戶的明確同意等等.

5 平臺問題和隱私問題的區別化討論

DP3T如今最受關注的實踐是蘋果和谷歌公司發起的GEAN項目，需額外考慮一個問題：在技術中立的前提下，操控技術的企業是否能夠被賦予完全的信任，即當科技巨頭公司充當控制者時風險將如何規避和緩解.這些問題指出了應當區分隱私問題和平臺問題[15].例如，接受以隱私保護為導向的DP3T技術并不意味著對使用其手段的公司也投以信任票，基于技術的優勢和信息的不對稱，導致它們可以完全訪問和查閱信息處理的過程，并可以決定諸如識別和鏈接之類的控制權力.因此，除非采取充分、適當的保護措施，否則應當對于使用這些技術和處于計算機基礎設施的集中式控制的這些企業投以風險關注，否則會構成追蹤公眾通信的大規模監視風險.對此，相關數據保護法律可以分配和建立新的數字權利賦予個人，并在適當的情況下，聯合政府予以改善.數據保護和隱私法很容易被保密的技術所規避，這些干預需要強有力的監督，從而阻止不必要的副作用或濫用，以維護數據安全和保護個人隱私.

6 結 論

分布式接觸者追蹤應用程序(DP3T)在歐洲備受關注，原因在于其創新地考慮了設計上的隱私，并成為隱私增強技術的體現，臨時藍牙標識符的隨機性克服了對個人數據的依賴并加強了匿名性.但是技術仍存在固有風險，易引發一些隱私憂患，對此，將DP3T列入GDPR的治理系統和范圍內可以保障技術上的合規使用，并加強關注未來的平臺隱私問題.