病毒接觸者全球監控大網：健康與隱私可以兩全嗎？

如何尋找隱形病毒的傳播路徑？大流行病的陰影下，各國政府正競逐使用監控技術來控制2019冠狀病毒（COVID-19）的傳播，越來越多的人臉識別攝像頭和體温熱像儀出現在公共場所，警方動用無人機巡街羞辱違反居家禁令的人，權力機構收集手機位置數據監視隔離狀況……然而，多少數字化舉措，是在借防疫為名行侵犯隱私權之實？電子監控忽然氾濫，背後又有多大合理性？這是「温水煮青蛙」狀態下的普通人愈發難回應的問題。

據聯合國區域間犯罪和司法研究所人工智能和機器人中心主任伯利茲（Irakli Beridze）統計，截至4月20日，也即疫情在世界範圍擴散不到兩個月的時間內，已至少有28個國家開始使用各類數字監控技術應對2019冠狀病毒病，其中23個國家採用接觸者追蹤應用程序（APP），10個國家使用先進的物理監控技術（比如部署裝有熱傳感器的面部識別攝像機、用於監控公民居家隔離的無人機和CCTV攝像頭）。這個名單還在快速變長，德國、法國和挪威等國都在部署從5月初鋪開使用追蹤APP。

在有健全制衡機制的國家，這些防疫措施是成比例且合法的，但在有些國家，這些措施匆忙經過立法機構，未經充分審查就予以實施，甚至有國家越過立法機構直接動用追蹤恐怖分子的情報工具來定位冠狀病毒患者。

就在不久前的歷史教訓是，有些權利一旦讓渡就再難收回：911後，公民被告知國家需要加強監控手段和數據共享以應對恐怖主義，但在此後20年間，情報機構在真正阻止恐怖主義行動上作為寥寥，卻被斯諾登等吹哨人揭露嚴重的權力濫用。縈繞2019冠狀病毒病危機時代的不確定性，無人知曉這種數據收集還會持續多久。等到大流行病真正結束後，各國政府又是否會將擴張後的監控能力縮減到疫情爆發前的狀態？

政府該不該拿位置數據來「滅火」？

呈指數傳染爆發的2019冠狀病毒病疫情，給依靠人工追蹤的傳染病防治手段帶來難題，許多國家求助於技術手段，使公共衞生機構更有效率地找到接觸過病毒的人，並做出符合公共健康福祉的限制社會活動政策。目前，多國實施的大範圍封鎖和社會疏遠措施是一種頗為鈍性的干預，「捂」死病毒的同時也扼住了經濟社會運行的動脈，隨着感染曲線被拉平，各國決策機構都陸續開始考慮重新開放部分社會生活。

但是，在退出封鎖的計劃實施之前，還需要搭建好兜底措施，不但要繼續擴大檢測範圍並對確診患者充分治療，還要一旦發現新病例就及時了解其在傳染期間密切接觸過哪些人——避免社區傳播的死灰復燃。從技術角度看，實現這一目標最簡單的入口便是手機，全球移動手機用戶約為35億。在隱私保護法律更為嚴格同時權力相對分散的歐美地區，技術專家希望開發有助於追蹤病毒蹤跡同時兼顧用戶隱私的手機APP，並避免其淪為一個當局永久性使用的監控工具。

技術專家們大體對依憑數字技術方案解決公共衞生燃眉之急持樂觀態度，但在關鍵細節上存在分歧：智能手機應用應該使用藍牙技術感應附近手機的接近度，還是使用蜂窩網絡和GPS收集位置數據？這個關鍵技術手段上的分歧，會產生數據究竟是被高度集中還是分散存儲這兩種截然不同的安全後果。

通過移動手機可以收集到的位置數據、精度由低到高包括呼叫詳細記錄（CDRs，即通過手機連接附近電信塔獲取位置）、GPS蹤跡以及藍牙。前兩種數據可以形成聚合視圖（aggregate view）以追蹤判斷人們去過哪裏，商業上一直被用來投放目標廣告，協助零售、運輸、城市設計等公司進行布點分析，公共服務上則有助於理解人口流動。藍牙用於識別與另一台設備的接近度，商業上可以用來監測用戶在商店的具體什麼地方，而公共福祉上則可用來接觸者追蹤。

通信運營商將匿名化的大數據倒賣給第三方已經是一種規範化的市場行為，強調匿名是指其他人不能用這些數據反向推導出數據對象的身份信息。公共衞生機構基於移動服務運營商匿名數據創建的交互式地圖來分析居家令效果非常直觀，此次疫情中，德國電信向疾控機構羅伯特·科赫研究所（RKI）免費提供海量匿名手機基站登錄數據進行研究，德國聯邦政府數據保護專員對此行為就開了綠燈。奧地利電信運營商A1也自願向政府提供了用戶的匿名位置數據，並聲明數據只能以20人一組為單位進行分析，無法追溯識別其中個體或更小的團體。

正如世衞組織總幹事譚德塞所說，「你不能蒙着眼睛去滅火。」政府理應掌握大數據來制定疫情相關的公共政策，但是否也應該被給予信任來收集公民個人信息？如何保證收集到的數據只單一服務於醫療衞生目的，而不被挪用作其他指控甚至壓迫的用途？被虎視眈眈的位置數據和健康數據恰恰是公民最敏感的隱私，你去過什麼地方、頻繁出入什麼場所、攜帶哪種疾病，都包含着定義你身份的元素，而特定身份又決定了你的政治光譜，這就是為什麼人們在讓步身份數據給權力機構時必須慎之又慎。

全球大流行病與數位時代之下，人類親密接觸的尺度由流行病毒學家和軟件工程師嚴格定義——即兩人在1.5至2米的距離內「數字握手」10至15分鐘。

減少「數據廢氣」：藍牙方案勝出

據統計，全球目前已至少湧現出43種接觸追蹤APP，其中28%沒有隱私政策，64%使用GPS追蹤技術而非更隱私友好的藍牙。令人鼓舞的跡象是眾多軟件工程師、健康衞生專家以及數據保護專家正群策群力，達成兼顧保護隱私和控制病毒擴散的共同目標，自願聯合進行開源的分散式隱私保護接觸追蹤解決方案的研究。

有影響力的開源方案包括由瑞士洛桑聯邦理工學院隱私保護教授特龍科索（Carmela Troncoso）發起的歐洲多國專家參與的DP-3T（Decentralized Privacy-Preserving Proximity Tracing，也即去中心化的隱私保護型近距離追蹤技術），美國斯坦福和加拿大滑鐵盧大學青年學者主導的Covid Watch，還有美國西雅圖兩位工程師發起的CoEpi。

歐洲擁有最嚴格的數據隱私保護法律和強烈的社會意識，部分原因根植在歷史記憶中。維也納經濟大學商業信息學教授施皮克曼（Sarah Spiekermann）在接受端傳媒採訪時就說，二戰時大屠殺的「效率」，就很大程度上由猶太人數據庫和記錄文件的存在所驅動。在施皮克曼教授看來，歐洲方案DP-3T提供了較理想的隱私架構基準，她製作了一個用於考察追蹤APP是否益於隱私保護的電子表格工具，表格裏羅列出了關鍵問題，以讓軟件開發及運營者充分自查他們的解決方案，其中最關鍵的維度是信息處理的集中化和分散化程度。

假設手機持有者A和B在公共場所相遇並保持臨近距離一段時間，他們之間就產生了一次「數字握手」，握手的數據內容不但本地存儲在彼此的手機中，還會與APP負責方C進行後端數據交互。若A不幸被確診感染病毒，C就會向B發送風險暴露提示。從隱私保護的角度，C掌握AB身份數據以及兩人間會面信息的多寡就意味着整個信息處理過程是高度集中還是相對分散的。比如，C是否能識別出進行數字握手的公民？C是否對設備間的數字握手進行了登記？感染數據是否被C進行了個人層面的存儲？另外，政府或安全機構是否可以進入C的位置對感染數據進行系統化監視？

施皮克曼教授認為，許多國家採納了基於谷歌地圖收集GPS信號的追蹤應用，儘管其準確度很高（3米誤差內），但從隱私保護角度卻是一個糟糕的選擇。因為從應用提供者後端可以看到手機持有者與誰近距離出入了什麼場所，這就產生了超出感染追蹤目的的額外信息含量，比如手機持有者參與了抗議示威或出現在不該去的敏感場所，這種「數據廢氣（data exhaust）」形成的副產品可能被濫用於其他不相干目的。

作為一種無線通訊協議，藍牙可以用來與附近的移動電話進行信號交換，並通過信號強度來估算距離。它在一些高風險近距離接觸場景下比GPS得到的數據更準確，比如有牆壁間隔的建築物內、車內、飛機上以及地下交通等。同時，藍牙比GPS技術能更嚴密地對數據對象進行結構化匿名處理，使用隨機生成和能本地儲存的聯繫事件編號，系統可以在不存儲或傳輸任何個人信息的情況下正常運行，從而更容易搭建起去中心化系統，具有更強的隱私保護功能。

雖然藍牙技術受到隱私保護專家的一致青睞，但目前階段仍存在不小的技術挑戰。藍牙有一項標準被稱為接收到信號強度指示（或RSSI），目的是提供精細的位置細節。RSSI的有效性受到各種干擾因素的影響，比如設備之間的相對方向，手機是否在揹包中或以其他方式屏蔽了信號。但技術專家表示這個技術難題是可以通過校準來得以解決的。另一個不容忽視的現實難題是很多人並沒有長時間開啟藍牙的習慣。

依託藍牙技術的接觸者追蹤APP要想產生功用，就必須獲得充足的用戶基數，牛津大學大數據研究所的弗雷澤（Christophe Fraser）估計，至少需要有六成人口自願下載安裝才能發揮作用。值得參照的先例是從3月20日在新加坡鋪開使用的「TraceTogether」，這個政府主導設計的藍牙追蹤APP下載人數已經達到一百萬，但仍只是總人口數目的六分之一。新加坡國家發展部長黃循財說，需要四分之三的人口使用該APP才能將其作為一種有效的接觸者追蹤工具。這樣的下載使用率如果完全依賴自願參與原則基本是難以完成的目標，更遑論在智能手機並不普及的地區。

同時，這類藍牙追蹤APP或多或少也遇到安卓和iOS系統兼容的問題，麻省理工媒體實驗室城市科學研究員伯克（Alex Berke）在接受端傳媒的採訪時說，TraceTogether還受到一項技術問題困擾，即iOS隱私限制不會讓APP在非使用狀態下持續發送藍牙信號，這意味着對於iOS用戶來說很多接觸點都會丟失。不過，在4月10日蘋果和谷歌公司宣布聯手設計新的隱私和安全敏感解決方案後，這一難題也很快會被解決了。

「政府不應該在數據上信任他們，這是權力累積的問題，普通用戶和科技企業間不對稱權力太大了。」

科技巨頭的入場

美國兩大科技巨頭——谷歌和蘋果——的工程師將聯手打造「去中心化的接觸者追蹤工具」（decentralized contact tracing tool），項目第一階段是開發藍牙追蹤APP的編程接口（API），提高安卓和iOS系統設備間的互操作性，公共衞生機構可以將其集成到自己的APP中，第二階段為開發操作系統級別的基於低功耗藍牙技術的接觸者追蹤系統。提供該API所定義功能的軟件預計在五月中旬整合進iOS和安卓操作系統，全球數十億智能手機用戶可以選擇是否啟用這項功能。

蘋果和谷歌的重磅入場，直接將用戶的手機轉變為新冠病毒追蹤器，並憑藉他們在操作系統領域的壟斷，觸及世界上多數活躍設備。伯克說：「現在有很好的理由相信藍牙將成為追蹤病例接觸的首選方法，但這將與位置記錄相結合使用。」當在操作系統層面啟用接觸追蹤功能後，即使人們沒有從公共衞生機構下載官方應用，也會收到接觸2019冠狀病毒病陽性病例的提醒。把通知功能放置在系統層面，直接成為了每一部手機自帶的功能，當然大力助推解決了用戶使用率低的狀況，但也意味着用戶的主動權又少了一分。

為了防止有人用未證實的感染案例濫用警報，兩家公司還會與公共衞生機構合作，例如醫院給被確診的人一個代碼，患者必須輸入代碼才能觸發警報。蘋果和谷歌承諾，該系統只用於追蹤接觸者，會在適當時刻拆除系統，並明確表示不會用於定向廣告等其他用途，將最大限度保護個人隱私，避免捕捉位置數據。

全球大流行病與數位時代之下，人類親密接觸的尺度由流行病毒學家和軟件工程師嚴格定義——即兩人在1.5至2米的距離內「數字握手」10至15分鐘。與你在街上擦肩而過的人不足以觸發警報，但坐在公園長椅上一起喝咖啡則有可能，這種精度的測量不可避免可能會導致你頻繁收到狼來了的警報，最終心態上產生麻木。

更何況，在現實生活場景中根本不存在所謂密不透風的匿名數據。假設憋在家中許久的你偷偷約朋友出門散步，沒過兩天你收到病毒風險暴露提醒，你覺得你會花多久時間意識到身邊誰被感染了？人們或多或少可以從其他多個數據來源或是身邊社交圈往來，拼出身份的碎片。

蘋果和谷歌的強強聯手也讓整個隱私安全的討論變得更為緊迫。施皮克曼教授在視頻採訪中就連連搖頭：「只要有美國大公司加入，原則上，這就不是一件好事，因為他們沒有讓人可以信賴的記錄。」她在隱私自查表格中也設計了有關監視資本主義的維度，追問APP會不會給從事數據商業化的企業留下數據痕跡。

「政府不應該在數據上信任他們，這是權力累積的問題，普通用戶和科技企業間不對稱權力太大了。」施皮克曼說。

逢談數據，我們並沒有生活在一個擁有公眾信任的文化環境中。哈佛商學院教授扎波夫（Shoshana Zuboff）在《監視資本主義時代》一書中談到，過去十年間，人們親眼目睹，自己的人生和生活，在被谷歌為代表的科技公司單方面獲取並轉化為它們的私有數據流。其中一些數據用於改善產品和服務，其餘的則被視為「行為盈餘」並因其藴含的豐富預測性信號而被標價出售。劍橋分析公司（Cambridge Analytica）的醜聞敲響警鐘，科技公司並未按承諾徹底銷燬用戶數據，反而不斷從中榨取剩餘價值，最終釀成危及民主社會良性運轉的惡果。

科技公司在威脅全人類的疾病大流行中扮演公共服務的角色，也意味着可以賦予它們更多合法性、顯著性及優先權。美國商業科技分析師Ben Thompson，在他被稱為「矽谷圈必讀」的訂閲通訊「Stratechery」中評述：「蘋果和谷歌正在創造一種選項，當社會認為這種程度上監控是可以接受的，技術就就會做好準備。」對於科技巨頭來說，把數據從去中心化轉為中心化，不過就是打開一個開關的事兒。

數字特洛伊木馬

現實防疫壓力驅使更多的政府選擇了那些缺乏深思熟慮的選項。東亞國家利用發達的智能城市基建將監視手段最大化，如在世界手機擁有率最高國家之一韓國，政府出於公共健康利益需要，就繞過了韓國《公共信息保護法》，通過查詢手機GPS定位信息、信用卡消費記錄、閉路電視監控錄像等手段綜合分析新冠患者及疑似患者的相關信息，並事無鉅細向社會公開患者年齡、性別、民族、工作家庭地址、旅行歷史等身份資料，導致患者在網上遭到無端指責和仇恨言論的攻擊。衞生部門以類似軍事化的準確度追蹤病患，某些情況下數據處理人員還可以看到患者在特定時間特定場所是否佩戴口罩的圖像。

中國作為世界上監控設施最完備的國家——截止2019年，「天網」系統的監控攝像頭在中國大陸已投入使用2億個，是美國監控攝像頭的四倍。在疫情下，中國迅速果斷部署面部識別攝像頭、無人機巡視、手機監控等手段遏制疫情擴散，在外界看來，實屬意料之內。中國最大的國有電信運營商中國電信和中國聯通，就在武漢疫情爆發初期協助政府追蹤定位出城的武漢人。手機信號發射塔不如支付寶、微信等應用通過GPS收集的位置數據精度高，2月11日杭州率先上線支付寶健康碼後，這張數字防疫「天網」以極高效率在全國鋪開。健康碼會將信息共享給警方，其隱私政策不明確，普通用戶並不知曉後端系統如何對人進行紅綠黃顏色分類，即使是被系統命令隔離也不知道具體緣由。人們擔憂這種社會控制的新常態會持續很長時間。

新加坡政府開源了TraceTogether移動應用的底層技術，以期為各國政府以及開發者也能夠打造此類防疫應用提供解決方案，但歐美軟件工程師並非認同這個相較最優的亞洲追蹤APP的方方面面。麻省理工媒體實驗室的伯克就說，「TraceTogether是有參考價值的——但是是被很多西方研究者用來參考不應該做成哪樣的APP，因為它對用戶隱私有風險，同時給予政府太多信任去尊重用戶的自由，尤其在用戶被發現有接觸其他被感染用戶的時候。」

新加坡政府通過這個藍牙APP收集的唯一數據是用戶的手機號碼，保留這些數據是為了讓衞生部在用戶與感染病例接近的情況下能夠快速聯繫到用戶。此外，當用戶被接觸追蹤應用聯繫到後，會被要求分享他們的數據記錄，如果拒絕，他們可能會根據新加坡《傳染病法》被起訴。有德國數據專家認為APP與用戶手機號碼聯繫並無必要，他人反而可依據手機號碼識別出具體個人。

在一些嚴重遭受疫情影響的國家，為了追蹤冠狀病毒而開發的APP，甚至扮演了「特洛伊木馬」的角色。3月3日，伊朗人就收到衞生部短信通知，建議大家去醫院或醫療中心之前，安裝並使用一款名為AC19的手機應用來確定自己和家人是否感染病毒。一旦下載，該APP就會要求用戶驗證電話號碼，並提示允許向政府服務器發送精確的位置數據，隨後回答出現症狀的一串問題。很快，人們發現這款政府應用根本無法告訴用戶是否感染冠狀病毒，反而會收集大量用戶姓名、地址、出生日期等數據，甚至可以實時追蹤位置。隨後，該應用被谷歌從谷歌商店中下架。

據《耶路撒冷郵報》報導，以色列總理內塔尼亞胡，則單獨指示國家安全局辛貝特來監控潛在冠狀病毒攜帶者的移動手機，他們可以進入一個被稱為「工具」（The Instrument）的龐大數據庫，這項技術最初是為了協助反恐行動而開發，能夠追蹤國內所有手機的實際位置，並監控通話和短信。沒人知道「工具」中的記錄會被儲存多久，面對批評聲音，一位以色列官員對《耶路撒冷郵報》辯解道：「說實話，像谷歌和Facebook這樣的商業公司會永遠保存你的數據，你為什麼會反對國家保留這些數據來拯救生命呢？」

在印度，目前市面上至少有16種冠狀病毒相關應用，多數為地方政府開發且信息集中度較高，其中一半沒有隱私政策。由政府國家信息中心推出的名為「Aarogya Setu」（意為「健康之橋」）的應用最為主流，以高達五千萬的下載量居2019冠狀病毒接觸追蹤類APP之首。4月14日，這款應用更新了用戶界面，一個叫「e-pass」的功能出現在應用內——這實際上就是印度版的「健康碼」，這個QR碼由政府發放，使用者在封鎖期間經過通勤檢查站時需要出示，檢查人員可以掃碼看到通行人的公司名、供應鏈夥伴、工作位置和屬性。由於印度進入封城的第二階段且持續至5月3日，政府只允許少數服務行業運轉，如食品雜貨、醫藥、牛奶商、媒體、電信服務等，這些行業的從業人員被要求向政府申請「e-pass」。

科技並非萬能，在缺乏數字素養教育的多數發展中國家，公民對隱私關注不足讓政策制定者設計了有漏洞的監視框架。人們過於訴諸科技方案也會進一步加劇數字鴻溝，拋棄低收入者、年長者、部落社群等，而他們恰恰是感染冠狀病毒的弱勢人群。設下數字監控大網不難，想要這張網循規蹈矩、見好就收，才是已經可以預見的難題。

這一張張以追蹤每個普通人為目的大網，將會帶來一個怎樣的未來？