您所在的位置:首页 > i医疗 > 医疗信息化 >  隐私风险 | 消除健康码的隐私风险,才能让中国科技抗疫成为范本
隐私风险 | 消除健康码的隐私风险,才能让中国科技抗疫成为范本
  • 2020-04-02 11:27
  • 作者:佚名
  • 来源:PingWest品玩

随着新冠肺炎疫情在中国的逐渐缓解,疫情防控进入了一个崭新阶段:

在确保社会运转和人们生产生活走向正常化的同时,“外防输入、内防扩散”仍在持续中。疾控工作“功亏一篑”的紧迫感并不比此前更低。

在社会正常运转的逐步恢复中,健康码即将派上更加重要的用场。比如在北京等地,非住户往来社区需要扫码填报信息;武汉市人员在4月8日解封后也需出示湖北健康码“绿码”才可离汉。

在疫情最紧张的时期,各地陆续推出的健康码是居民维持基本生活的必备工具。当省际交通封锁陆续解除,因为疫情而滞后的全国交通潮不可避免到来,健康码已然成为甚至比身份证更加重要的通行依据。

在一个基层防疫检查站里,工作人员既要确保不放过高风险人士,又需要避免过度干扰通行者正常的生产生活。在这样的场景下,通行时间有限,信息不对称。通过类似健康码这样的,一个权威的公共监控和信息披露平台,能够有效赋能基层人员,提高通行效率,尽量降低病毒扩散的风险。

毫无疑问,健康码在疫情期间的紧急状态扮演了关键作用,是一个庞大国家的末梢血管上的管理者,在信息极度不对称的前提下进行信息调取和人员管理的重要依据。

但是在具体使用过程中,健康码不可避免地暴露出其作为一款赶工开发的产品的一些缺陷。而其中最受诟病的,就是其在用户数据隐私方面的风险。

“健康码”们的隐私风险

▍ 第一种最直接的缺陷,就是知情同意的缺失

“京心相助”是北京市辖区内常用的信息填报小程序之一。在许多社区门口的体温检查站都能够看到这款小程序的二维码,从居民,到快递员、送餐员和访客等非居民,都在使用这款小程序验证身份。

但是在首次扫码后,“京心相助”直接将用户带到一个菜单,选择自己对应的身份,进行信息填报,而没有提供给用户一个查看其用户协议和隐私政策的机会。事实上,在这款小程序里的任何地方都找不到有这样协议和政策存在的迹象。

在填写信息的时候,“京心相助”会警告用户,瞒报和谎报信息将依法承担法律责任,要求用户配合。然而,这款小程序却没有提供相应的权利责任声明文件。

上海玛娜数据科技发展基金会发布的一份报告显示,他们调查了微信和支付宝平台上的多个省市各自数十种健康码,发现绝大多数缺乏用户协议和隐私政策,许多健康码直接。

《网络安全法》第四十一条规定对用户信息采集过程中的知情同意做出了规定,要求网络运营者收集和使用个人信息时,应当公开收集和使用的规则,明示收集和实用信息的目的、方式和范围。在互联网信息服务中,用户协议和隐私政策是合法的、最常用的获取用户知情同意的方式。

专业人士指出,健康码在缺乏这两种协议和政策的前提下直接收集用户的信息,不排除可能违背了《网络安全法》关于数据收集条文的精神。考虑到在不少地区健康码属于半强制甚至强制使用,缺乏两种协议对用户数据隐私的保护作出界定和公示,侵犯了持码人的隐私权利,将其推向了一种两难境地(稍后详述)。

各地微信健康码的协议情况。图片来源:上海玛娜数据科技发展基金会

▍ 信息获取和数据所有权条款主张超出需要的范围

缺乏足够知情同意机制的健康码占绝大多数。即使是那些提供了用户服务协议和隐私政策的健康码小程序,在信息收集、使用和分享方面仍存在不小的漏洞。

使用微信支付菜单下的“防疫健康码”,直接进入的是国家政务服务平台开发的“全国一体化政务服务平台防疫健康信息码“。这款健康码提供了相关的《用户服务协议》和《隐私政策》。

该小程序的《隐私政策》提到这个小程序的信息收集范围,包括用户曾经使用过的其它 app 的信息,而这属于和健康码的核心功能无关的信息。

《网络安全法》第四十一条同样对此作出了规定:网络运营者不得收集与其提供的服务无关的个人信息。虽然用户接受协议使用服务就意味着接受了协议和政策中的条款,但是这样的条款仍难免违背法律精神之嫌。

该小程序的《隐私政策》还指出,为了保护用户或公众的人身财产安全免遭侵害,预防钓鱼、欺诈、病毒和网络攻击,这个小程序会和第三方关联公司和合作伙伴进行数据分享。以及,“随着我们业务的持续发展,我们以及我们的关联公司有可能进行合并、收购、资产转让或类似的交易,您的信息有可能作为此类交易的一部分被转移。”

然而在此前的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中,已经有明确要求:为疫情防控、疾病防治收集的个人信息,不得用于其他用途。

前面提到,使用健康码的目的是验证持码人的身份和健康状况、活动轨迹,为基层防疫工作人员作出决定提供帮助。健康码的使用过程,其参与方只有持码人本人、防疫工作人员和数据平台/政府,通过这个过程获得的数据,没有理由对非相关的第三方进行共享。

▍ 缺乏疫情过后的数据删除机制

使用健康码是一种值得提倡的高科技防疫手段。但是当疫情完全过去之后,这些在紧急状况下为了完成一个更大的集体使命而收集的信息,将会何去何从?

目前官方部门还没有为疫情结束后,在疫情期间提取的数据的合规处置提供指导性的意见。围绕健康码的信息提取工作在很大程度上是不周全的,很大程度上聚焦于收集和使用,没有重视数据删除的重要性。

只有少数的健康码服务,在其用户使用协议和隐私政策中有和删除有关的条文。比如,前面提到的微信“防疫健康码”其中和删除信息有关的条文,明显参考了欧盟《通用数据保护条例》(GDPR)。

GDPR 提供了很强的参考价值,甚至中国的信息安全和数据隐私方面的立法都在很大程度上参照了它。GDPR 在数据删除上作出了更加严格的规定:在收集或处理个人数据的目的已经达到,无更多必要继续保留数据时,数据主体(用户)有权要求数据控制者立即删除数据,而数据控制者有义务立即删除数据。

对于收集来的数据,如果在已经达到目的后不立即删除,甚至将其用于其它和原本收集目的无关的行为,同样是对用户隐私的侵犯,不符合世界主流的用户数据隐私保护惯例的精神。

健康和隐私的假两难境地

健康码是个好东西——这是任何人都可以同意的表述。但是,对于这样的一个互联网服务,接受它不等于接受它的全部。

健康码和一众小程序,它们的成功推行在很大程度上是因为民众已经接受了移动互联网,认可它的效率。然而由中国互联网公司主力开发的健康码,也没能免得了中国互联网行业的俗:从公司到用户,为了用户体验舍弃隐私的普遍做法。

而当类似的重大公共卫生事件到来时,人们总是希望能够借助任何工具手段去帮助他们保持健康。有关部门告诉人们,健康码能够让生活通行更方便,连健康码这个名字都在暗示它能够守护人们的健康。

但是在这种暗示的同时,大部分健康码缺乏隐私政策,无法证明自己在数据隐私保护上面做了足够的努力,更何况前述的主流健康码还存在数据分享滥用的风险。因为健康码,人们或许的确获得了一定程度上的实际健康效果和更多的心理暗示——对于防疫同样重要——但可能失去的是对自己的关键信息的掌控,损失的的是自己的权利,健康码巧妙,但又错误地利用了马斯洛的需求层次理论中,人们对于生理健康的最基本需求:缺少它会引起疾病,有了它不会得病。在隐私和健康之间,人们自然会选择健康。

在这种处境中,大部分人可能不假思索就默选了后者,而有另一小部分人难免遭遇两难境地:他们需要通过检查站,不希望让渡自己的隐私,但是不接受这一点就无法获得健康码、通过检查站。

“隐私还是健康”的这道题看起来有两个选项,实际上只有一个。

尤瓦尔·赫拉利在《金融时报》上撰稿指出,在隐私和健康之间是一种假两难选择。这两者不应该是对立的,人们可以而且理应同时享受它们。中间地带不应该被这种非黑即白的选择所侵蚀。

而且,人们不应该认为紧急状态期间采取的临时措施,会在状态结束后立即消失。它们总会比紧急状态持续更长的事件,而且社会总是会进入新的紧急状态(在这方面,作为以色列人的赫拉利很有经验)。比如,以色列在1948年独立战争时宣布的一系列特别条例中,对部分甜品的禁令直到2011年才废除;美国自911恐袭事件后在国内大举采用以前只在国外对付敌人才会使用大规模监控技术。

赫拉利还认为人们不应该在隐私和健康之间做出选择,因为这会给持续性的隐私侵犯创造合法性。阅读了健康码的用户协议和隐私政策后,许多网友也认同这种观点。他们担心自己通过健康码提交的信息被滥用,和其它数据一起交叉验证,导致自己在互联网上从未公开过的隐私资料(如医疗档案、家庭信息、准确住址等)彻底曝光在数据滥用者的面前。

过度窥探用户隐私的缺口一旦打开,之后就很难再关上了。

好在从近年来中国在信息安全和数据隐私立法方面的努力,以及在疫情期间有关部门发布的多份指导性文件中,我们看到了一种更现代的思路,和赫拉利所说的相似:隐私和健康可以兼得。以下举一个例子:

《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求:收集联防联控所必须的个人信息应参照国家标准,坚持最小范围原则为疫情防控、疾病防治收集的个人信息,不得用于其他用途。

为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息。

疫情结束后,应对相关个人信息进行封存。

信息技术“抗疫”,需要更好的先例

一番批判之后,我们还是需要回过头来看清现实:从疫情爆发到健康码启用,只用了短短一个月甚至几周的时间,快速开发、上线确实是中国互联网行业的壮举。

但是,最初上线的只是一个最小可型产品,它需要持续的开发和改进,完善功能、查缺补漏,才能成为一个好的产品。

通过信息安全和数据隐私立法,让中国互联网行业更规范、健全,是全行业的主旋律。作为一项全民级别的互联网服务,不论健康码的生命周期到底有多长,它都理应补上自己的不足,确保合法合规,不留后患。

更何况现在中国的疫情已经日趋稳定,不需要以紧急状态为理由,放任数据隐私方面的风险继续存在。

新冠肺炎是人类进入高速移动互联网时代之后经历的第一次全球大流行病。信息技术对于疫情防控能够起到的帮助不亚于医学。中国在疫情期间对信息技术工具的使用,包括并不限于健康码、基于二维码的非接触移动支付等,不说“抄作业”,至少是为其它国家和外国公司提供了有价值的参考。

因此,中国更需要在信息技术防疫方面树立一个更好的先例,从健康码开始。

在中国疫情期间,人们暂时牺牲了隐私,为配合疫情防控工作尽到了义务。在疫情即将过去之际,健康码平台应该建立一套更加完善的数据收集、使用和事后处理机制,并在相关信息安全、数据隐私法律法规和政策的框架之内,继续改进产品,用合规的方式对用户赋予的信任做一个交代。

 
转载请注明出处:HC3i数字医疗
【责任编辑:程泱溥 TEL:(010)68476606】

标签:健康码  疫情  
  • 分享到: