孙雨潇 张清芳 符 婷 李艳丽

1(中国农业科学院 北京 100081)2(伦敦大学法学院 伦敦 WC1E 6DH)3(哈萨克斯坦国立大学国际关系学院 阿拉木图 050040)(sunyuxiao@caas.cn)

1 基于分布式存储技术的接触者追踪技术概述

1.1 接触者追踪技术的发展

全球范围内的政府机构以及流行病相关单位都对开发智能设备监控新冠肺炎疫情APP产生了浓厚的兴趣，各个国家也都积极部署了不同类型的接触者追踪APP，我国主要采用“防疫健康码”，通过将可信身份认证平台生成的个人身份标识，与全国一体化政务服务平台整合汇聚的确诊或疑似患者数据，交通等部门汇聚的同行、同乘密切接触数据以及全国各地健康码数据进行关联和绑定，采取动态安全二维码技术生成具备身份和健康情况双重属性的国家健康码.欧洲国家更倾向于基于分布式存储技术[1]的接触者追踪(decentralized privacy-preserving proximity tracing, DP3T)技术.DP3T前身是由德国罗伯特·科赫研究所(RKI)和德国海因里希·赫兹通信技术研究所(HHI)牵头开展的“泛欧隐私保护接触追踪(pan-european privacy-preserving proximity tracing, PEPP-PT)”项目，该项目在2个问题遭遇重大争议：其一，收集而来的数据以集中化存储于数据库或以分散方式存储；其二，项目的透明性存疑.随后该项目被搁置[2].相较PEPP-PT项目，DP3T在欧洲得到较多认可.目前，DP3T已在奥地利及瑞士得到实施，且以分散式存储信息.此外，2020年4月，谷歌及苹果公司宣布建立合作伙伴关系，联合开发接触者追踪工具——蓝牙曝光通知框架(Google/Apple exposure notification service, GAEN)，同样采用分散方式存储并以蓝牙信息作为曝光通知的技术基础[3].

1.2 DP3T收集数据的情况

DP3T的工作原理基于智能手机便携携带性及适配手机端的APP，主要使用蓝牙低功耗技术(bluetooth low energy, BLE).设备所载APP在特定时间段内(如每隔几分钟)，创建一个随机临时蓝牙标识符(ephemeral bluetooth identifiers，EphIDs)，基于蓝牙低功耗技术进行广播，同时收集附近其他智能手机发送的此类标识符.如图1所示，携带设备开启该APP的人群之间距离较短(例如1～2 m以内)，EphIDs会进行自主交换，相互注册为潜在的危险接触者[4].如果某人经过检测呈阳性，并上传更新即时状态标记为“已感染者”，已交换过的设备定期检查交换的标识符信息，能快速匹配信息进而向与该感染者有过密切接触的人群发出警示.与集中式存储的技术相反，这些信息不会集中注册并存储在一个中央数据库中，仅存储在安装该APP的智能设备上，即没有中央数据库，因此可以极大减轻隐私风险.

图1 DP3T工作流程简图

2 《欧洲数据保护条例》的适用与合规

2018年5月25日起生效的《欧洲数据保护条例》(General Data Protection Regulation, GDPR)被称为史上最严格的数据保护法[5]，为个人与公司、实体组织甚至是政府机构之间的隐私保护提供了翔实的法律基础.鉴于其广泛的域外管辖效力，DP3T及未来与之相似的GAEN框架合作，需谨慎考虑是否及如何落入GDPR治理系统.

GDPR第2条规定其管辖的数据处理行为实质范围(material scope)是“全部或部分以自动化的方式(automated means)处理个人资料的，以及以非自动化方式处理的，但构成存档系统(filling system)一部分或拟构成存档系统一部分的个人数据的其他方式”.即形式上符合GDPR的处理方式分为2种：自动化处理技术和存档系统，二者至少要符合1个.此观点在GDPR序言(recital)第15条得到再次验证：“如果个人数据包含在或打算包含在存档系统中，则自然人的保护应适用于以自动方式处理个人数据，也适用于人工处理个人数据.”

介质回收系统的磁选机包括精煤、中煤、矸石磁选机和扫选磁选机，选煤厂对各磁选环节分别进行详细的检测，结果见表2。

因此，DP3T技术的外观性合规适用需检测2个关键词：自动化和存档系统.对于自动化，GDPR第22条中再次进行阐释：原则上禁止可能对个人产生法律效力或类似的重大影响的完全的自动化决策，同时规定了某些例外情况及相应保障措施.此类将条款表达为禁止性规定并辅以例外情况的解释，不同于一味以正面方式赋予权利式的做法(即直接规定可以适用的例外情况)，强调和保护了数据主体对个人数据的控制权.这是由于在以自动化方式处理数据中没有人为干预，极可能因其内部设计或其他影响个人权利和自由情况而造成对特定个人的歧视.GDPR第4条第6款解释存档为任何结构化的个人数据，不论是以中央的、分散的或按功能、地域的方式，可按特定标准进行查阅的数据集中存储形式.根据这一规定，其核心概念是结构化的数据集，以方便获取与个人相关的数据.因此“存档系统”实际上可理解为作为存储介质的个人信息数据库.

如上所述，基于蓝牙低耗能的DP3T技术所研发的APP依赖于智能设备(手机)来自动化地发送 、接收、交换和存储信息，显然符合自动化的定义.此外，在确定感染者的状态后，自动化决策还将反映在设备之间的信息交换和匹配，即自动化检测和确认风险，然后通知设备用户(数据主体)提出风险警告.此外，在DP3T中，数据存储位于用户之间的后端服务器上，从而自动形成了基于数字技术的非人工的存档系统，即便存储的信息是无序乱码的随机蓝牙标识符，但仍具备一定结构化(如蓝牙近距离检测等)数据访问标准.因此，可以说就外观形式而言，DP3T技术显然符合GDPR合规要素.

3 实质上的合规风险：匿名化

针对GDPR的管辖，最关键问题是在DP3T技术下APP将收集什么信息，以及如何收集.

欧盟数据保护委员会(EDPB)发布了《关于在COVID-19疫情背景下使用位置数据和接触者追踪工具的情况》，强调可合理利用位置数据进行分析，以便尽早破坏疫情传染链[6].但分布式接触追踪技术主要功能特点，也是其隐私保护[7]设计体现在于其收集的数据并非传统、典型的个人数据，而是临时蓝牙标识符EphID作为位置和设备标识的替代.以苹果和谷歌公司的GAEN框架为例，其收集的信息大致分为以下几类：

1) 临时蓝牙标识符以及相关密切接触标识符信息，存储在分散的各用户设备上.

2) 用户上传的关于其自身的阳性检测诊断信息.

3) 相关设备和加密信息，即当用户通过APP通知信息时，其IP地址和其他元数据将被应用服务器检测.GAEN承诺不收集和保留这些信息.加密后的相关元数据，包括有关曝光接触的时间和接近程度的信息，将分散地存储在用户设备上.

4) 通知信息，即GAEN将定时下载和广播阳性检测标识符信息，进而匹配和评估暴露风险(包括标识符接触的距离远近、日期等)，从而生成通知[8].

EphID是随机生成的，无法验证身份.正如研究人员指出，分布式存储系统是机密性和匿名性的基础，在一定程度上可确保用户对个人数据的控制[9].根据前述设计，通过分布式接触者追踪APP收集的数据是匿名的，被视为GDPR项下的个人数据可能性较小.根据GDPR第4条规定，个人数据概念需满足“任何直接或间接与已识别或可识别自然人有关的信息”，不包括也不适用于匿名信息.

DP3T在实践中未必能够贯彻匿名化设计.DP3T中，每个随机标识符用户手机根据手机密钥创建，而非后端服务器，以防止其他人将临时蓝牙标识符EphID还原为可识别的个人.以这种方式，除从受感染用户的智能手机发出匿名“标识符”外，不会公开任何信息.但匿名是不断移动和发展的，并不完全可靠[10].根据DP3T技术数据保护影响评估报告显示(DPIA)[11]，该技术存在固有风险，引起了广泛隐私担忧，即广播的临时蓝牙标识符有可能以链接方式重新追溯到感染者.如果采用零风险方法，也就是说，只要可以重新识别数据，即使这种重新识别的风险可能性很小，也应当认定为是个人数据，除非这种数据匿名性能够确保无论重新识别所付出的成本、时间或专业知识如何不成比例，也不可逆转地防止了对数据进行重新识别.但这种零风险与GDPR的态度并不完全一致，这是由于在GDPR中对于匿名的认定考虑到客观因素，例如“重新识别的成本和所需的时间”以及“处理时的可用的和已发展的技术水平”.因此，DP3T所收集的数据因其匿名化与重新可识别的风险仍然有可能会落入GDPR适用范围内.

另一方面，GDPR对个人数据实际上采用了较为广泛的关联式概念，即一系列的因素中有1个或多个能够直接或间接地结合分析并得出可识别至特定个人的结论.也因此有学者指出，未来的个人数据很可能会发展成一类“高维度数据”，以至于可能结合位置、湿度等多维度信息，天气也能够识别出并发展为与个人有关的数据[12].而蓝牙技术本身可能是一种标记，通过个性化过程将用户从其他用户中区分，即使没有指明用户的个人信息，也加剧了存在隐私风险的考量.

4 设计隐私与隐私增强技术考量

DP3T收集基于蓝牙接触信息，淡化身份和地点信息，力求在保障个人隐私和实现疫情预警功能二者之间寻找平衡[13]，这是对GDPR原则性规定的保障和强化.在数据传输和存储环节，DP3T意味着没有中央服务器存储用户设备接收和发送的标识符EphID，任何用户数据都将尽可能保留在用户自己的设备上，实现存储限制和数据最小化原则.这与服务器通常由政府或其他受信实体控制的集中式模型恰好相反.这消除了对中央服务器的需求，依靠多个服务器或最终用户设备进行协作，这是将DP3T视为一种隐私增强技术(privacy enhanced technology)的原因[14].同时，这一考量体现了GDPR的“设计的隐私保护”策略，在技术设计中嵌入了数据保护原则，以便以尽可能少的数据(数据最小化原则)和分离数据的方式(数据处理目的限制原则)处理个人数据，这类技术措施包括数据匿名和假名化、处理设备上的个人数据以避免非法访问数据、在14天后删除有关数据以及要求获得用户的明确同意等等.

5 平台问题和隐私问题的区别化讨论

DP3T如今最受关注的实践是苹果和谷歌公司发起的GEAN项目，需额外考虑一个问题：在技术中立的前提下，操控技术的企业是否能够被赋予完全的信任，即当科技巨头公司充当控制者时风险将如何规避和缓解.这些问题指出了应当区分隐私问题和平台问题[15].例如，接受以隐私保护为导向的DP3T技术并不意味着对使用其手段的公司也投以信任票，基于技术的优势和信息的不对称，导致它们可以完全访问和查阅信息处理的过程，并可以决定诸如识别和链接之类的控制权力.因此，除非采取充分、适当的保护措施，否则应当对于使用这些技术和处于计算机基础设施的集中式控制的这些企业投以风险关注，否则会构成追踪公众通信的大规模监视风险.对此，相关数据保护法律可以分配和建立新的数字权利赋予个人，并在适当的情况下，联合政府予以改善.数据保护和隐私法很容易被保密的技术所规避，这些干预需要强有力的监督，从而阻止不必要的副作用或滥用，以维护数据安全和保护个人隐私.

6 结 论

分布式接触者追踪应用程序(DP3T)在欧洲备受关注，原因在于其创新地考虑了设计上的隐私，并成为隐私增强技术的体现，临时蓝牙标识符的随机性克服了对个人数据的依赖并加强了匿名性.但是技术仍存在固有风险，易引发一些隐私忧患，对此，将DP3T列入GDPR的治理系统和范围内可以保障技术上的合规使用，并加强关注未来的平台隐私问题.