新冠疫情防控常态化下的个人信息保护工作的思考和建议
编者按:
在我国新冠病毒疫情较为严重的期间,本公号发表过关于个人信息保护与疫情联防联控的系列文章:
除原创文章之外,本公号还收集或翻译了关于疫情防控和个人信息、网络安全方面,域外政府部门或当局发布的权威文件:
今天和大家分享的是10天前写下的一个对策性的建议。
一、个人信息多头收集、多头使用导致的问题
到目前为止,我国新冠疫情联防联控工作主要利用个人的通信记录信息(其中包括了手机基站位置信息)、地理位置信息(例如GPS信息、所连接的WIFI信息等)、行程信息(如高铁、飞机行程信息)、家庭住址、家庭和社会关系、身份证号、手机号码等个人信息,实现病毒传播链的追查、密切接触者的追踪、个人健康风险判断(如健康码)等目的。
同时,我国法律规定县级以上人民政府是地方传染病防控的领导机构,各级地方人民政府均将防控工作层层分解至具体的区域、单位、街道、社区等,不可避免地导致特定个人的上述个人信息,在不同生活工作的场景中同时被“多头收集、多头存储、多头使用”。
1、个人信息安全问题
由于收集使用个人信息的组织众多,其信息安全能力和水平参差不齐,人员的个人信息安全保护意识不一,很容易造成个人信息的重复、过度、强制收集,随意流转、共享、公开等问题;在面临黑客组织或敌对势力的网络窃取和攻击时,也经常存在发现难、抵御更难的局面。
2、效率和精确度低下问题
在开展传播链的追查、密切接触者的追踪、个人健康风险判断(如健康码)时,目前利用个人信息的方案精确度较低。例如,手机基站位置信息所覆盖的地理范围在城市中约为100-1000米之间,因此在精确度需求较高的接触追踪中只能起到辅助判断的作用;在个人健康风险判断时,基站信息仅能体现是否曾经途径、逗留过高风险的城市或地区,在当下全国已经取消“封城”的情况下,基于基站信息和行程信息的健康码的实际功效,已经显著下降。利用GPS等精准地理位置,其范围缩限到5-10米之内,虽然提高了精确度,但还是易受室内等复杂环境的影响,而且由于GPS信息涉及用户隐私的敏感性较高,掌握该信息的公司不愿共享等问题,导致大量、普遍使用GPS信息存在事实上的困难,以及较高的法律和安全风险。
因此,目前无论是传播链的追查、密切接触者的追踪,仍然主要需要通过人工访谈、个人回忆、或回溯各种通过登记形成的记录并手工排查的方式。不仅耗时耗力不准确,还客观上固化了个人信息的“多头收集、多头存储、多头使用”的局面,进而导致个人信息安全问题难以解决。
二、复工复产可采用蓝牙技术路径
目前我国已经进入全面复工复产阶段,人员流动和互动较联防联控时期,呈指数级增长。如果仍然延续前文所述的技术防控路径,个人信息安全问题以及效率和精确度低下问题,均将愈演愈烈,难以支撑复工复产阶段的疾病风险管控工作。
此外,如果与国际上的人员流动逐渐放开,由于外国高度关注个人信息安全和隐私保护,强制要求外国人员大量登记个人信息,以及利用其手机基站信息或GPS信息的方式,不仅可能导致强烈抵制,还可能引发国际舆论风波,被长期指责我国的人士所利用,进而影响我国国际合作交流的大局。
目前,我国人员相对密集、人员活动活跃的地区,基本已经实现了人手一台智能手机。事实上,开展病毒传播链的追查、密切接触者的追踪、个人健康风险判断,可通过手机蓝牙方式(利用其低功耗的广播及短距离通信特性)实现,最大程度地减少个人信息的收集、存储、使用,同时解决个人信息安全问题以及效率和精确度低下的问题。
1、蓝牙方式的基本原理
通过安装定制开发的APP,或者在操作系统层面嵌入定制开发的通信协议,开启手机蓝牙,蓝牙广播用户自己的临时ID,并保存其他临近用户广播的临时ID。
民用手机之间通过蓝牙通信的距离最远不超过10米,因此通过蓝牙交换的临时ID就属于近距离接触人的ID。其次,可以进一步设置存储临时ID的条件或门槛,例如近距离接触超过15分钟以上才存储其他用户的临时ID。
蓝牙方式不记录存储具体的地理位置信息,仅记录智能终端设备何时曾近距离接触过的事实,因此相较手机基站信息或GPS信息,蓝牙方式在个人信息和隐私保护方面的风险小得多。
2、基于蓝牙的去中心化方案
如果某一用户A在医疗机构确诊为新冠病毒患者,并向指定的服务器上传自己的临时ID。随后服务器将确诊用户的临时ID广播到所有的智能手机。所有的智能手机在本地进行匹配。假设用户B的手机发现所存储的近距离接触人的临时ID库中存有A的临时ID,则手机向用户B预警,提示其曾近距离接触过确认患者。
此方案中,用户的临时ID在本地生成,并在本地定期变换。上传至服务器端后,从服务器端无法反推用户的个人身份和联系方式。用户B也无法知道用户A的个人身份。此外用户B为密切接触人的信息,仅为用户B个人所知。
“泛欧隐私保护接触追踪(PEPP-PT)”项目和苹果谷歌联合推出的接触追踪技术属于基于蓝牙的去中心化方案。
3、基于蓝牙的中心化方案
在此方案中,每一个用户的ID是通过服务器端统一下发的。ID的生成可以取决于用户提供的个人信息,例如姓名、电话号码、年龄等。因此,对于服务器端,ID对应的个人身份是可知的。为了提高安全性,ID可以定期变换。
用户A在医疗机构确诊后,向服务器上传的不是自己的ID,而是其终端所存储的临近用户的ID列表。随后服务器端根据接收的密切接触的ID列表,将预警推送至所有曾密切接触的智能终端。同时,由于服务器端能够通过ID列表还原出真实的个人身份,也就同时掌握了密切接触人的名单和联系方式。
新加坡政府开发的“TraceTogether”的APP属于该方案。
4、小结
蓝牙方式记录密切接触人,直接服务于实现病毒传播链的追查、密切接触者的追踪,此外,根据与确诊病患接触的时长、距离等因素,还能计算出密切接触人的健康风险高低,替代目前基于基站、行程、GPS信息的健康码所起到的作用。
去中心化的方案主要关注个人信息保护,医疗机构或公共卫生部门无法获知密切接触人的个人身份或联系方式。主要依靠得到预警的个人自觉采取隔离或寻求测试的措施。
中心化的方案对医疗机构或公共卫生部门比较友好。仅医疗机构或公共卫生部门能够掌握接触人的个人身份或联系方式。因此,服务于精准防控是该方案的首要目标。
两个方案触发数据上传的条件均为患者在医疗机构确诊。两个方案均不需记录个人的地理位置信息;确诊人的身份信息均不会泄露;在互联网上传输的均为数字形式的ID,并非明文的个人信息,但两个方案均依赖于足够多的人安装APP并打开蓝牙。
三、复工复产阶段的个人信息保护建议
本节分两个部分提出建议,一是针对在我国采用蓝牙方式的工作建议,二是关于复工复产阶段整体的个人信息保护工作建议。
1、对于采用蓝牙方式的建议
如前所述,通过蓝牙方式,能够在最小化个人信息收集使用的前提下,精准实现病毒传播链的追查、密切接触者的追踪、个人健康风险判断。因此我国复工复产阶段可依赖于该技术。具体建议如下:
建议一:我国公共卫生部门组织开发具备此功能的APP或插件。该APP或插件应同时具备“去中心化”和“中心化”两种方案。
建议二:组织对该APP或插件开展试点工作,测试其运行和效用
建议三:将我国的方案主动在国际层面或向世界卫生组织沟通,推动形成国际统一的、能够跨国境使用的APP或插件。
通过蓝牙方式的好处在于有效改变“多头收集、多头存储、多头使用”的局面。在“中心化”方案中,卫健部门能够统一、集中掌握和管理个人身份信息和密切接触人身份;各区域、单位、街道、社区不再需要登记所有出入人员的个人信息。
2、关于复工复产阶段整体的个人信息保护工作建议
参考欧盟近期发布的《支持抗击新冠疫情的APP的数据保护指引》(Guidance on Apps supporting the fight againstCOVID 19 pandemic in relation to data protection),除接触追踪之外,我国复工复产阶段还存在其他三类功能性的APP,分别是:
信息类的APP:为用户提供准确的冠状病毒的相关信息;
症状检查类的APP:为个人提供自我评估和指导;
远程医疗类的APP:在自我隔离的患者和医生之间建立沟通平台,包括提供进一步的诊断和治疗建议。
对于这三类APP,可通过标准进一步细化《网络安全法》《传染病防治法》《突发公共卫生事件应急条例》中关于个人信息保护的要求,参考既有的国家标准,分别界定:
每一类型APP运行所必需的个人信息的最小范围或最小的操作系统权限;
每一类型APP所应当遵循的保存、使用方面的规范;
每一类型APP的个人信息存储时间和对外共享的限制等。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
人脸识别系列文章
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”