台湾大数据防疫解密:效率与风险之间,如何做到钢索平衡?

以健保制度为基础的台湾“科技防疫”工作,除了成功守住抗疫防线、大受好评之外,也如其他民主法治国家一般,在运用大数据分析工具时,必须面对来自个人资料与隐私权保护领域的诘问。
2020年4月8日台北,中央流行疫情指挥中心指挥官陈时中在街头的萤幕上宣传防疫。
台湾 公共卫生 大数据 科技 隐私与安全

相较于全球COVID-19疫情至今仍以每日增加超过10万例确诊的趋势不断迅速攀升,台湾政府谨记SARS惨痛的教训,到6月21日为止,将疫情控制在仅446例确诊,7例死亡。在疫情爆发前,恐怕从没有人能预想到,紧邻疫情发源地的台湾,竟能守得如此严密,把一切可能的伤害都控制在相对微小的范围内。

防疫有成,绝非侥幸,是防疫团队与全台民众共同努力的成果;然而得之不易的安全,也并非毫无代价。面对COVID-19所带来的巨大威胁,为了保卫社会安全之故,台湾政府遂行种种“必要之措施”,透过身份识别串连不同资料库,打造出有效的标记与区隔工具,希望能找出所有可能让疫情扩散的风险。以科技防疫为名,我们或许就正在见证后疫情时代的数位毛细孔治理术。

我们必须要警觉,那一套统治技术其实是任何政府来做都会很危险的,我们却不知不觉地往那个方向、去建构那样子的一个环境

中研院法律所副研究员邱文聪

疫情之中,台湾快速向“实名制社会”前进

摊开台湾防疫大事纪,为了抵挡看不见的病毒,就得让每一个人变得更加透现。测量体温、询问行踪、取得姓名、联络方式都成为疫情日常的一部分。从1月底开始,政府很快地就把移民署出入境资料库勾稽到健保资料库。只要民众去看病,健保卡一插,荧幕上就会自动显示几月几号从哪里回来。即便症状同为发烧,如果知道病人是从武汉回台,医师诊断势必就会有所留意。

“这样的一个资讯系统,是医疗院所诊断时很好的工具”,健保署署长李伯璋说。

但也有些民众可能因为担心自己被隔离,看病时试图以未带健保卡为由,隐匿高风险旅游史。有鉴于此,健保署随后再进一步修改系统,无论有无健保卡,医事人员只要输入民众的身份证字号,即可查询旅游史资讯。

至于为了防范居家隔离、居家检疫者任意外出的电子围篱系统,除了串接卫政体系之外,也还会纳入民政与警政体系。前者负责日常通报查核与支援协助,后者则是作为落实隔离检疫的最后一道保险。若系统显示对象脱离监控范围,便会即刻发送告警简讯给当事人与有关单位,而警方也会前去巡视。

行政院资讯安全处处长简宏伟透露,二月系统刚上路时,因为民众警觉心仍不够高,“跑出去”的监控对象大概有三成左右,但随着欧美疫情变严重后,民众逐渐心生警惕,以目前来说,“跑出去”的监控对象大约不到1%。“我们的民众很乖。”简宏伟如是说。

此外,当疫情影响逐渐加大,可是口罩产能还无法跟上需求,为确保口罩公平分配,2月初政府旋即推出口罩实名制,协同全台药局作为贩售通路,借由健保卡验证民众身份与购买资格。刚开始每人每周限购2片口罩。随着产量提升,3月初改为每周3片;等到4月时,则再增加为14天9片。随着口罩配给片数提高,政府也继续推动“口罩实名制2.0”,缓解每间药局外无止尽的排队人潮。

于是,原本提供给民众了解个人就医情况的健康存折APP,便被征用来提供民众登记购买口罩。除了可以透过健保卡与自然人凭证在APP上进行身份验证之外,也开放使用手机门号验证。李伯璋坦言,他刚上任健保署长时,健康存折APP的下载量只有31万,现在因为疫情的缘故,已暴增到470几万。

等到台湾实施“口罩实名制3.0”时,则正式纳入四大超商实体通路。此后民众在超商多媒体事务机(KIOSK)就可以直接读取健保卡,验证身份与购买资格,再到柜台付款,隔周回去原超商就可以领取口罩。此时,民间团体台湾人权促进会开始质疑,此举有违法疑虑,批评台湾政府出卖民众的个人资料。

不难察觉的是,台湾各式科技防疫应用中,透过系统“知道你是谁”至为关键。而环绕着全民健保制度与健保IC卡所构筑的身份体系,几乎就成为桥接一切的核心枢纽。随着系统不断串接起另一个系统,形成愈来愈庞杂的单一网络,也就得以更加立体地形塑出每一个人的样貌。如今健保卡就好像是一张愈来愈万能的通行证,可以打开更多原本打不开的门。它不仅可以看病,甚至还可以拿去报税、买口罩和领三倍振兴券。

虽然依照全民健康保险法原初的立法精神来看,健保卡理应只能用于健保,不该挪作他用,“可是法律的写法,让唐凤有一些空间可以去操作。只要东西不储存在里面,就通通没事”,中研院法律所副研究员邱文聪解释。

根据《全民健康保险法》第16条第1项但书之规定,健保卡“不得存放非供医疗使用目的及与保险对象接受本保险医疗服务无关之内容。”

但邱文聪分析,“那张(健保)卡除了作为储存的功能之外,其实可以作为单纯的读取功能,而这个读取的功能,可以提供作为身份识别之用,所以那张卡就变成了某一种身分证,就是eID还没发行之前的eID,实名制就是靠这张卡来做。”

当政府在科技应用上不断追求有效、精确与便利的同时,恐怕也悄悄地打开了个人隐私不再的潘朵拉之盒。没有人知道,等到疫情过后,盒子是否就会完全阖上?

“整个疫情引发台湾社会对于实名制的接受程度,很令人触目惊心”,邱文聪坦言,“如果我们的社会氛围就是接受实名制的话,补不补全民健保法那个漏洞,其实差别不大。终究我们要面对最核心的问题是整个(民主)防御体系的瓦解跟崩毁,好不容易建立起来一些对于国家权力限制的机制,或者是大家觉得应该要有的界线,一下之间好像大家都觉得没关系了。”

“我们必须要警觉,那一套统治技术其实是任何人(政府)来做都会很危险的,我们却不知不觉地往那个方向去建构那样子的一个环境”,邱文聪提醒,“政府很喜欢去举其他国家数位化的例子,来作为推行实名制的依据,但却没有考虑到说,其实很不一样的社会文化环境或基础,有可能会导向截然不同的两种社会。”

究竟,在疫情的催化之下,台湾会成为下一个基进透明的爱沙尼亚,亦或是更加亲近于我们看似进步发达的邻居?

防疫期间,政府除了一步步夯实台湾社会迈向实名制的基础,事实上,若是仔细推敲整起钻石公主号事件中政府的因应作为,并对照去看那篇刊登在《医学网路研究期刊》,由前行政院副院长陈其迈领衔,与台大公共卫生学院院长詹长权、李伯璋和简宏伟等11人所共同撰写的论文,将会发现更多所谓“大数据防疫”的端倪与弦外之音。

2020年2月21日日本,从隔离的钻石公主号游轮上载有船上乘客的公共汽车离开了横滨的港口。
2020年2月21日日本,从隔离的钻石公主号游轮上载有船上乘客的公共汽车离开了横滨的港口。

手机大数据疫调:政府穿越人海“找到你”

2月初,突如其来的钻石公主号事件,像是猛然迎头撞上台湾好不容易才刚要筑起的疫病防波堤。虽然事后看来波澜未兴,也未造成重大社区感染,仿佛就只是虚惊一场。可是在那个时空环境当下,谁也没有十足的把握说,一切都会没事的。

时间倒转回1月31日,钻石公主号靠港基隆,当时2千多名乘客下船游览的足迹遍布北台湾各大观光景点。数日后,邮轮继续航行到日本,却惊传有10人确诊COVID-19。眼看着钻石公主号的疫情愈发严峻,最终一共有712人确诊,平均每5人就有1人被感染,更造成13人死亡。

可是如何展开疫调成了大难题,到底谁下了船?谁又去了哪里?而谁碰到了谁?问题一环扣着一环,一时千头万绪。“那时就在想说可以怎么做,就有一个想法,现在大部分人都会带手机,那有没有可能利用手机去找出来?”简宏伟回忆。

因此他们即刻找来五大电信业者开会,确认透过基地台找出漫游注册的国外手机门号是可行之后,便着手展开调查。“先找出外国游客的门号;第二,找出他们到底去过哪些地方;第三,这些地方(的)范围里,到底有多少国内民众?”简宏伟说。

首先,为了确认船上乘客持有的手机门号,他们根据交通部提供的钻石公主号航线,请其中一家基地台设置比较多的电信业者找出沿线的基地台,并延长撷取资料的时间,把到港和离港时间,前后各再加上2小时,确认在这段时间内,从基地台捞出来的手机门号一直都在这条线上,如此就比较有把握判定这些手机门号是属于船上乘客的。

再者,为要找出这些乘客到底在这一天内去过哪些地点。他们先去找了和邮轮合作的旅行社,看看有哪些热门的观光行程,并透过国道eTag系统确认旅行社游览车的动向。接着协请基隆警方询问,有多少在地计程车司机当天有载到外国游客、去了哪里。然后针对第一阶段已经找出来的乘客手机门号,请电信公司再透过基地台找出这些门号行经的地点。调查后发现,大概所有乘客移动的范围都在北台湾,“这样子我们就觉得还好,就是区域性、桃园以北”,简宏伟说。

最后,则是要去估算可能暴露在这些特定地点的民众到底有多少人。依据医师专家团队的建议,他们请五大电信业者将筛选条件设定为以标示地点周边的基地台为中心,距离500公尺以内,停留超过5分钟以上的民众,即被认定为是有可能接触到钻石公主号乘客的暴露族群。根据论文提供的数字,最终计算加总共有627,386人。

不过针对这套技术,简宏伟也不讳言,其实各家电信业者捞取资料的演算法都有不同,基地台资料本身的品质也存在差异,但资安处并不会过问资料取得的方法或是确认资料正确与否,“对我们来讲,他资料不用给我们,因为我们只是想知道那个数字多少。有困难的时候,我们就会找大家一起讨论怎么解决。”

简宏伟认为,相较于看似更精确的GPS,“以这样的不精准,已经可以达到我们要的效果,只要知道范围就可以了。我们不需要知道精准的这个人是在这个点,还是差个10公分、20公分。”他也强调,“我们用电信讯号,其实是(达到)隐私保护跟疫情调查的平衡。人权这一道线,不可以跨过去。”

可是邱文聪从欧盟GDPR的标准来看,却是不以为然。欧盟容许使用的是非标定个人的整合资料(aggregated data),但他认为,简宏伟的意思是说,“我标定个人,可是我是模模糊糊地标定,所以我不算是。”这和欧盟标准截然不同,“那就是在标定个别的人,不是说我的解析度不够高、因为我不是用GPS、只是用基地台,然后有几公尺的误差,所以还好。因为你已经是以特定个人为(追踪)对象了。”邱文聪说。

然而,台湾终究不是欧盟,防疫上考虑的往往是更实际的问题,找出标示地点、暴露族群后,接下来要思考的则是如何通知这些对象。在指挥中心2月7日的记者会上,卫福部部长暨防疫指挥官陈时中表示,针对钻石公主号一案,能够掌握的特定接触对象,都会尽可能地去做详尽疫调;但就更广大的不特定接触对象而言,则会透过灾防告警细胞广播讯息发送通知。如同较大的地震发生前,都会收到中央气象局的告警讯息一样。

因此当天晚间快八点时,所有居住在台北、新北和基隆的民众都会收到由指挥中心发布的细胞广播讯息,呼吁1月31日有到访标示地点者,应进行自主健康管理至2月14日,并提醒民众留意发烧和呼吸道症状。同时还附上一个Bitly的短网址,可以连结到一份标示出所有船上乘客到访地点的Google地图。

然而当天晚上,有一位网友raysun0130在PTT八卦版发文提到,他人不在北北基,因此并没有收到细胞广播讯息,但却收到了另一封简讯,内容完全相同。他在文章底下的推文中自陈,1月31日确实有经过台北车站(标示地点之一),可是同行家人却也没有收到简讯。他很疑惑到底这是怎么一回事?

事实上,他应该就是那627,386分之1。然而一直要等到5月中陈其迈等人的论文刊出后,外界才终于得以完整拼凑出事情的原貌。虽然在2月14日的记者会上,陈时中有约略提到,“在北北基发出的简讯里,我们大概就是看了60万人。这里面看病的人有19万人,有6万多人有呼吸道相关的疾病。”

然而当时外界并未细究数字从何而来,陈时中所谓的“看了60万人”,其实指的不是向北北基不特定民众发送的细胞广播讯息,而是后来透过电信业者直接向那627,386人发送的一般简讯,于是那位IP位址在桃园的r网友也才会收到那封简讯。

简宏伟表示,当时顾虑到“有些人可能是从南部来玩的,其实他不是住在这个范围之内,那这些要不要通知?所以我们后来就建议说,针对这62万多人再发简讯。”然而两阶段的作法,一直要等到论文披露后才比较广为人知,起初包含媒体报导在内,多半都以为只有发送细胞广播简讯。

2020年3月31日桃园国际机场,为加强边境防疫,在出境大堂有一架体温探测设备,荧幕上显示人的体温。
2020年3月31日桃园国际机场,为加强边境防疫,在出境大堂有一架体温探测设备,荧幕上显示人的体温。

健保搭配大数据监控:如何保证不走向“滥用”的险境?

但为何陈时中又能知道60多万人里,看病的人有19万人?简宏伟还原当时决策的考量,“大家一定很想知道,到底钻石公主号的游客下来,有没有对台湾的民众造成感染。那你要怎么做?后来就是希望健保署去追这一段。”于是从电信资料通往健保资料的旋转门就此被直接推开。

“陈(其迈)副院长在organize的时候,一定是要有一些相关的资源去配合。我是被告知说我要做什么事情,他希望得到什么资讯”,李伯璋表示,在他看来,公卫出身的陈其迈,“很有效率很有概念,知道善用健保的大资料库去处理(疫情)。在这方面,同仁都是使命必达。”

“拿到这些(基地台)资料以后,我们就请电信公司是不是可以给我们这些手机登录的人,然后就把资讯pass给健保署,可是手机的门号我们就没有pass给它(健保署),因为对它来讲,手机是不需要的”,简宏伟解释,那个资讯就是“当初登记这个门号的身分证,这样可以再从健保(资料库)这边去观察,这批人里面,有多少是后来有感染或确诊的。”

“他们透过五大电信公司,很快就把那个名单给我们”,李伯璋证实,资安处提供的即是身分证字号,然后健保署再把那批名单对应到健保资料库去做分析,“锁定是不是有上呼吸道的症状,或是腹痛(的病人)。假如一直在看病都没有好,那可能我们就会特别再去访查。”

根据论文指出,截至2月29日,62万多潜在接触者中有121人因肺炎住院,其中有24人被通报为疑似COVID-19,但最终检测结果均为阴性。而41名仍在住院的潜在接触者,有23人接受检测,亦全显示为阴性。

李伯璋进一步说明,“我们一直有show资料给资安处,每天都有给他这60几万人目前的状况,譬如说,李伯璋,从几号到几号,每天都会告诉他说,什么时候去看病,都会列出来,看病一次、两次、三次、五次,都会有不同报表出来。”根据论文所揭露的资讯,至少从1月31日到3月10日为止,指挥中心都有持续透过健保资料库监控这些人的健康状况。

此外,针对4月下旬爆发的敦睦舰队事件,当时指挥中心也是透过电信业者运用同一套技术,筛选条件改为距离150公尺或500公尺以内,视基地台密度与资料品质而定,停留超过10分钟以上,最终捞出20多万潜在接触者,并对其发送告警简讯。

不过问及健保署是否也有比照钻石公主号的模式,持续监控这些人的健康状况时,李伯璋一开始并不笃定,先是打电话向同事确认,问到资料代码后,又在一个LINE群组内翻查许久,虽有找到档案,但下载时限也早已逾期,他才抬起头来说,“应该是有啦,敦睦舰捞资料的情况跟钻石公主号是同一个概念,我们也是每天都提供资料给他(陈其迈)。研究模式都一样,那时候逻辑就是这样。”

在大数据防疫思维主导下,一有大规模紧急状况发生时,透过电信资料串连健保资料进行接触追踪,俨然已经成为指挥中心既定的SOP。如此一来,原本不可见的风险方才成为可被计算的数值,并能针对特定对象持续进行监控,有察觉到任何异常,也都能预先进行处置。然而论文针对62万多人健康状况的分析结果却是令人玩味。

根据论文里的表2显示,有收到告警简讯的62万多人中,无论是呼吸道症状或肺炎的比率都低于全人口。但考量到这62万多人和全人口之间可能存在年龄偏差,作者之一、负责研究结果判读的台北医学大学口腔医学院副院长陈立升解释,未经年龄调整的数字“通常在我们的流行病学的看法是,你过于乐观推论说,这组照顾得特别好。”

经过年龄标准化调整后,62万多人发生呼吸道症状或肺炎的比率确实皆上升,不像原先那么低,可是还是略低于全人口。“理论上我们感觉这组(62万多人)应该比较危险,他们做出来没有(比较危险),他们当然也觉得说好像就OK了、就放心了,实务上来讲就觉得说(没事了)。”陈立升分析。

最终钻石公主号事件并未对于台湾疫情造成任何影响,就防疫的角度而言当然是欢迎之至。但从研究的角度来看,若要佐证这套大数据接触追踪的方法有效,岂非就是要能够找出高风险族群吗?陈立升坦言,“也有可能我们标定的并不是真正风险高的那群人。假如一个人碰20个人好了,大概也是6万人,也许这些人真的是比较危险。”但他认为,发送告警简讯给这62万多人应该还是多少起了一些功用。

尽管研究结果与预先猜想并不相符,论文依旧肯认这套大数据接触追踪方法的效用,并归因于可能是这62万人因为收到告警简讯,对于自身健康状态较为注意,也遵照自主健康管理的指示,相对减少外出,从而降低了感染风险。詹长权在电话中受访时表示,研究还是必须试着解释为何如此,但也一定不是百分之百满意。至于一位不愿具名的公卫学者则认为,能够想出这套方法做研究值得鼓励,“可是在学术上的说服力我觉得还可以更好。”

到底这套大数据接触追踪方法实际上在钻石公主号事件中起了什么样的作用,或许还是需要更多研究才能下定论。但就防疫实务来观察,起初指挥中心虽未对外言明,可是等到敦睦舰队事件发生后,便又立刻动用同一套方法,甚至后来更为之撰写论文,发表去国际期刊。

2020年3月27日台湾,乘客在台铁的车厢内。
2020年3月27日台湾,乘客在台铁的车厢内。

这打破了常态跟例外的那条线的一个很危险的状态。因为你如果把自己圈限在说这就是例外,那民主社会底下,还有一个可以去确认它的可能性,现在例外结束了,你不要再继续。但是你把例外变成是常态以后,那就会很危险。

中研院法律所副研究员邱文聪

“例外常态化”的危机

“这样子的电信技术是每个国家都有,那为什么其他国家做不到?”简宏伟认为,差别在于“有没有想到,坦白说我自己认为,副院长至少这一点非常灵活。如果原来你问我,我也会认为是说GPS,比较不会直接想到说拿电信的讯号。”他也自豪地说,“至少我们守住了不侵犯人权,或是讲最少侵犯,我也不敢讲百分之百都没有。但至少我们自己在检视的时候,的确是有得到法律的授权。”

姑且不论其他国家到底是没想到,还是因为知道法律上有疑虑。拉回来看,问题是这套作法到底是根据哪一条法律授权?事实上,《严重特殊传染性肺炎防治及纾困振兴特别条例》一直要2月25日才正式公布,因此看似合法概括一切的第7条,“中央流行疫情指挥中心指挥官为防治控制疫情需要,得实施必要之应变处置或措施。”根本无法适用于钻石公主号事件。而在论文中,则主张是根据2007年修法后的传染病防治法,政府为了遏制传染病爆发,取得个人资讯无需经过授权或同意。

这一切看在邱文聪眼里,却可说“这就是在胡搞瞎搞。”他认为,虽然从传染病防治法来看,似乎确实可以找到一些很微弱的规范基础,但它并不像论文写得那么昭然若揭,明白写下法律有授权政府可以直接调人民资料。可是因为论文也没有点出到底是依据哪一条,他只能推测其中一个可能是第43条。

根据《传染病防治法》第43条规定,“地方主管机关接获传染病或疑似传染病之报告或通知时,应迅速检验诊断,调查传染病来源或采行其他必要之措施,并报告中央主管机关。传染病或疑似传染病病人及相关人员对于前项之检验诊断、调查及处置,不得拒绝、规避或妨碍。”

因此邱文聪推测,指挥中心很可能就是由此扩大衍生,把这条解读成如果为了调查需要而去搜集资料的时候,对方同样也不能拒绝,“43条我说他很微弱,因为他原来设计的并不是处理他们现在讲的这种情况。我们讲说要做接触追踪,传统的作法是一个一个问。这次他们的手法是用大量的数据筛选过程,然后来达成接触追踪的目的。在目的上来讲好像是一样,可是在手段使用上面,其实是完全不一样的情况。”

不过邱文聪也强调,这并不是说一定不能用大数据做接触追踪,可是如果要问说法律依据,很明显就是没有,“当初2007年(修法)的时候,绝对没有想到自己要干这样的事情。所以才会觉得说也不太够,要再弄一个(特别条例)第7条。”

“如果要严格去分析,健保制度本来只是为了给付的目的,所以才有这些资料的收集,(健保)并不是为了传染病防治而存在,所以很显然那是一个目的外的利用,”邱文聪解释。但根据个人资料保护法第6条第4款,“公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。”看似提供了目的外利用健保资料的相当依据。

可是邱文聪质疑的是,当资安处提供一批身分证字号给健保署,再去监控这些人的健康状况时,真的还能够宣称是“无从识别特定之当事人”吗?身分证字号如果叫做无从识别当事人的话,那还有什么东西是可以识别的呢?

以GDPR的标准来看,这批资料不仅可以找出个别对象,也可以用来串连不同资料,更可以推论出个人资讯,因此当然完全符合可识别的标准。结果“他为了操作的需要,也不去清楚地讲述说到底法律依据是哪一个,这样子呼咙来呼咙去,其实就会把本来好不容易建立起来的个资保护体系、传染病防治法体系,一夕之间就整个崩解掉。”邱文聪说。

令邱文聪更忧心的是,“现在这套手法其实已经被大家觉得说蛮好用的,不是只有在疫情可以用,平常也很好用,而且他们是没有反省能力地去觉得说,这个有什么不对吗?如果这个说理可以说得通的话,那不要说疫情的时间可以这样做,平常为什么不能这做?平常你也可以这样做,而且也可以为了其他很多你宣称重要的问题来做。”

“如果我们不知道他在这个时候,到底干了哪些事,那我们当然就无从去讲说,你在平常的时候不要干这样的事情。”邱文聪说。归结到最后,他认为最核心的问题是,“这打破了常态跟例外的那条线的一个很危险的状态。因为你如果把自己圈限在说这就是例外,那民主社会底下,还有一个可以去确认它的可能性,现在例外结束了,你不要再继续。但是你把例外变成是常态以后,那就会很危险。”

读者评论 5

会员专属评论功能升级中,稍后上线。加入会员可阅读全站内容,享受更多会员福利。
  1. 如果政府沒有採取文中所提到的各種防疫措施,今天的台灣會變成什麼樣子?如果把所有問題都提升到憲法層次討論,大法官有沒有可能還是給出合憲的答案?建議本篇報導應補充第三方專家與學者的見解會較為深入完整。

  2. 這真的是很重要的聲音。
    今日的成果,來自SARS當年留下的法規,然而今日的法規,下次還能保證一切堪用且在界線內嗎?

  3. 例外不能常態化,而且例外本身需要極大的支持去執行。

  4. 非常感謝邱先生持續在這個議題上發聲,讓大家不致於沉溺在防疫的成就中而忽略的人權的重要。
    我在想,在緊急狀況下利用個人資訊處理對公眾有益的事務,公眾應該還算可以接受。如果那條「緊急狀況」的界線太難劃分,那麼在我們有能力劃分之前,是不是可以先規定:若要引用「緊急情況」的規則,有關單位必須在事前(或一定時間內)揭露使用到的個資、目的、及範圍等資訊,讓公眾可以審視、檢討合理性。如果公眾認為超出合理範圍,至少事後可以究責,或是再立法補強。

  5. 很高兴看到疫情之下还有这样的讨论。