我们究竟将如何结束封锁期?这次封锁遏制了整个经济的发展,保护了超过10亿人。一些人建议采取一种选择性的方式,让比较年轻、相对不那么脆弱的群体,先于其他人回到工作岗位。但流行病学家发出了严厉警告,指出此举将不可避免地造成严重公共卫生后果,大多数地区对这一方式的支持率下降。
现在,唯一被普遍接受的解决方案是逐步放宽限制,通过大规模病毒检测、患者追踪和接触者跟踪,来识别所有与感染者有所接触的人。而且,由于不可能对全部人口进行检测,最终的解决方案在于有效使用追踪和跟踪系统。
在必要的范围内进行追踪和跟踪的唯一可行方法,是使用手机提供的地理位置数据。在这种方法中,只要两个人的设备(即蓝牙信号)在一段时间内靠近,就会被识别为“接触”。已经有人提出甚至部署了几个识别这种相互接触行为的系统。新加坡在推行“合力追踪”手机应用(TraceTogether)计划追踪;谷歌和苹果最近协作开发了一个自愿的联系和追踪应用程序;欧洲国家也大范围启动了泛欧洲隐私保护邻近追踪(PEPP-PT)项目。
显然,任何追踪和跟踪系统,都会引发严重的隐私问题。毕竟,方案的关键是要识别感染者。即使用户身份证是匿名的,但在使用程序的过程中,用户也须要与一个名字和手机号码绑定。目前的设计可以增加额外的技术功能,以限制应用所收集到的邻近数据,同时仍然允许有效的追踪和跟踪。但首先,收集和使用数据的规则须要适应新的监测需求。
为此,最近的一项提案将隐私分为了三种类型:避免第三方窥探、避免个人联系人窥探和避免政府窥探。除韩国外,没有任何已经建立了追踪和跟踪系统的国家,选择公开阳性病例的个人信息,就像美国的性罪犯数据库一样。但即使项目能够确保前两级隐私安全,也无法在不影响系统有效性的情况下,保证政府不侵犯个人隐私。
因此,就目前而言,我们应该设计系统来阻止其他人和黑客侵犯隐私。但在找到能够避免第三级隐私侵犯、且切实可行的方法之前,我们还必须等待。一项重要的技术要求,是将数据的使用期限制在14天以内,超过14天就应该自动删除。这一原则既适用于手机上的数据,也适用于政府所存储的数据。但要充分遵守这一原则,就须要尽快进行研究和开发,以简化数据的自动销毁协议。这些协议对于目前的任务来说过于复杂和繁琐,尤其是涉及移动设备时尤为如此。
这是软件和硬件研发人员的任务。对于政策制定者来说,保持“使用限制原则”是重中之重,即用户所提供的数据只用于收集期间所声明的目的——跟踪冠状病毒阳性病例。
政策制定者还必须解决手机用户同意公开数据的程序问题。一种是“选择加入”的方式,从保护隐私的角度来看是最优的,有赖于用户自行安装追踪和跟踪应用程序。但在东南亚以外地区,没有证据表明这种方式能够确保足够的参与率。
一个稍显武断的选择是“选择退出”方式,即所有移动设备都会自动安装该应用程序,但用户可以删除或禁用它。加拿大最近的一项调查显示,该国三分之二的人支持政府的追踪计划。然而,这意味着多达三分之一的加拿大人可能会选择退出。
剩下的唯一选择就是强制数据共享,也就是将应用程序进行硬编码,直接嵌入到设备的操作系统中。为了让这种方法更容易被接受,这个系统就像收集到的数据一样,必须附带一个日落条款(Sunset clause,即终止生效日期),以便在危机过去后逐步取消。
但我们如何定义取消的时机呢?在美国,为了应对危机,《健康保险可携性与责任法案》中有关患者隐私的规定已明显放松,而关于何时完全恢复这些规定,美国卫生与公众服务部几乎没有任何明确表态。为了避免重蹈覆辙,追踪和跟踪项目应该有一个明确的、可验证的目标,比如一段时间没有新的感染病例,或者大多数人都接种了疫苗时。然后,应该把这些日落条款写入软件,并接受独立机构——如电子前沿基金会(Electronic Frontier Foundation)的审查。
最后一个问题是,谁来设计这样的系统,为数据的收集和存储制定规则,并决定平衡隐私和有效性的最佳方法?我们应该召集来自私营部门、政府、学术界和民间社会的代表,而不是将绝对控制权交给程序开发商或国家。
本次疫情迫使我们重新思考原有的数据收集和隐私保护框架,以尽可能少的计算开销,处理公共卫生突发事件,是一项不小的成就。资助计算机科学的资助机构,须要尽快调整他们的工作重点,把重点放在引进实用而可靠的数据收集方法和必要的保护措施上。
如果隐私必须暂时排在公共卫生之后,就必须有明确的协议来结束这种异常状态。正如美国人类学家玛格丽特·米德(Margaret Mead)所言:“暂时接受一种较轻的恶可能是必要的,但绝不能将一种必要的恶贴上善的标签。”
