宗 喆，魯俊群

（1.暨南大學經(jīng)濟學院//廣發(fā)銀行博士后工作站，廣東廣州 510080 ； 2.清華大學人工智能國際治理研究院，北京 100084）

1 研究背景

2020 年以來，隨著新冠病毒的全球爆發(fā)，人類面臨著全球危機，一國政府在疫情危機下所做的任何決策，都可能影響全人類未來數(shù)年的發(fā)展方向。這些決策不但會影響全球的醫(yī)療水平進步、醫(yī)療系統(tǒng)升級、以及科技水平提升，還將可能影響全球的經(jīng)濟和政治格局［1］。在數(shù)據(jù)隱私和人工智能等技術治理層面，于2018 年開始實施的歐盟《一般數(shù)據(jù)保護條例》（下文簡稱“GDPR”）一方面在全球范圍內將數(shù)據(jù)隱私權上升為基本人權［2］；另一方面標志著數(shù)據(jù)治理開始進入全球監(jiān)管模式，因為GDPR 自2018 年5 月25 日正式生效以來，個人數(shù)據(jù)保護的概念和監(jiān)管條款的合理性在全球范圍內被廣泛關注，其試圖實現(xiàn)個人信息保護與數(shù)字經(jīng)濟的協(xié)同發(fā)展，在世界范圍內具有典范意義［3］。另一方面，隨著科技企業(yè)與數(shù)字經(jīng)濟的融合度越來越高，硅谷作為世界科技企業(yè)圣地，其所在地美國加州也高度重視數(shù)據(jù)保護及數(shù)據(jù)治理，2018 年6 月美國加州通過《2018加州消費者隱私法案》（下文簡稱“CCPA”），旨在加大對消費者數(shù)據(jù)的保護力度，同時加大對科技企業(yè)在使用消費者數(shù)據(jù)層面的監(jiān)管。

綜上所述，歐美國家剛剛建立的個人數(shù)據(jù)隱私保護體系在新冠疫情面前面臨著重大考驗。疫情之下，歐美及一些亞洲國家及地區(qū)在使用AI 等技術手段防控疫情時，在平衡個人數(shù)據(jù)保護與公共利益優(yōu)先的邊界上所做的探索，不但影響著國際疫情防控的力度和效果，同時還會極大地影響未來世界各國在平衡個人數(shù)據(jù)保護、人工智能技術治理和公共利益優(yōu)先之間的取舍。因此，剖析疫情危機下各國對于使用大數(shù)據(jù)及人工智能技術的邊界設定，對未來探索危機下如何平衡個人數(shù)據(jù)保護與公共利益優(yōu)先，具有重大理論及現(xiàn)實意義。本文首先對歐美國家常態(tài)下的數(shù)據(jù)隱私保護治理思路和模式進行總結分析；再基于國際案例，對疫情下各國采用人工智能等技術進行防疫的模式進行分析；最后本文將分析新冠病毒全球爆發(fā)背景下，各國對科技防疫模式探索的啟示，并明確各國應在內部確定數(shù)據(jù)保護與公共利益優(yōu)先的臨界點，以及建立平衡數(shù)據(jù)保護與公共利益的國際合作機制對當今信息科技高度繁榮全球社會的重要性與必要性。

2 歐美國家現(xiàn)行數(shù)據(jù)治理思路與模式

2.1 歐盟對數(shù)據(jù)保護管轄權和數(shù)據(jù)屬性均作出嚴格界定［4］

在GDPR 中，歐盟對于數(shù)據(jù)保護的管轄權和數(shù)據(jù)屬性界定都較為嚴格。首先，GDPR 在空間上對于數(shù)據(jù)的約束被看作是一種“長臂管轄”［5］。GDPR 第3 條規(guī)定：第一，GDPR 監(jiān)管任何在歐盟內部設立的數(shù)據(jù)控制者，以及其數(shù)據(jù)處理行為。也就是說，如果數(shù)據(jù)持有者和處理者的經(jīng)營場所在歐盟境內，不論該數(shù)據(jù)處理的行為是否發(fā)生在歐盟境內，該數(shù)據(jù)持有者或處理者都將受到GDPR 監(jiān)管；第二，只要向歐盟數(shù)據(jù)主體提供產(chǎn)品或服務，需要持有或處理歐盟數(shù)據(jù)主體數(shù)據(jù)的所有企業(yè)，無論是否在歐盟內部擁有實體機構，都要受到GDPR 的監(jiān)管；第三，只要是對發(fā)生在歐盟范圍內的數(shù)據(jù)主體進行監(jiān)控的行為，都要受到GDPR 監(jiān)管。其次，GDPR 對相關企業(yè)使用數(shù)據(jù)主體數(shù)據(jù)的過程和種類上也做了嚴格的界定。第一，GDPR 第7 條明確規(guī)定，要求數(shù)據(jù)控制者必須能夠證明，數(shù)據(jù)主體確實同意處理其個人數(shù)據(jù)，且數(shù)據(jù)主體必須被授予隨時撤回其授權的權利，撤銷數(shù)據(jù)使用授權的過程應與同意授權一樣簡單易行。值得注意的是，在GDPR 之前的大數(shù)據(jù)時代，數(shù)據(jù)主體從未真正被賦予對自己數(shù)據(jù)的控制權，各類基于個人數(shù)據(jù)保護的條例大都流于形式［6］，而GDPR 第7 條的約定，明確賦予數(shù)據(jù)主體對自己數(shù)據(jù)的控制權；第二，GDPR 第9 條明確規(guī)定，對于顯示種族或民族背景、政治觀點、宗教或哲學信仰、工會成員身份數(shù)據(jù)、基因數(shù)據(jù)、為了特定識別自然人的生物性識別數(shù)據(jù)、以及和自然人健康、個人性生活或性取向相關的數(shù)據(jù)，應當禁止處理。根據(jù)GDPR 的定義，“生物性識別數(shù)據(jù)”被定義為基于特別技術處理自然人的相關身體、生理或行為特征而得出的個人數(shù)據(jù)，這種個人數(shù)據(jù)能夠識別或確定自然人的獨特標識，例如臉部形象或指紋數(shù)據(jù)；而“基因數(shù)據(jù)”指的是和自然人的遺傳性或獲得性基因特征相關的個人數(shù)據(jù)，這些數(shù)據(jù)可以提供自然人生理或健康的獨特信息，尤其是通過對自然人生物性樣本進行分析而可以得出的獨特信息。

2.2 加州詳細劃定個人信息范疇［7］

另一方面，在CCPA 中，加州當局對于CCPA管轄空間的認定標準可被總結為處理加州居民的個人信息的實體，且該實體滿足以下一個或多個條件：第一，年度總收入超過2 500 萬美元；第二，每年獨自或與他人聯(lián)合，為商業(yè)目的購買、出售、分享不少于5 萬個消費者、家庭或設備的個人信息；第三，有不少于50%的年收入來自于出售消費者個人信息。值得注意的是，在CCPA 中，實體被定義為獨資企業(yè)、合伙企業(yè)、有限責任公司、公司、協(xié)會或其他法律實體等。可見，CCPA 以“加州居民”為核心要素，對相關實體進行監(jiān)管。另外，CCPA 對相關企業(yè)使用數(shù)據(jù)主體（消費者）數(shù)據(jù)的過程上與GDPR 做了類似的界定。第一，CCPA雖然并未將明確的“用戶同意”作為數(shù)據(jù)處理的基礎，但其在1 798.100 條款中明確指出數(shù)據(jù)主體有權要求收集數(shù)據(jù)主體個人信息的企業(yè)向其披露企業(yè)收集個人信息的類別和具體內容，且收集個人信息的企業(yè)應當在收集時或者收集前告知消費者所收集個人信息的類別以及所收集信息的使用目的。若未向數(shù)據(jù)主體提供符合CCPA 要求的告知義務，企業(yè)不得收集其他類別的個人信息，或者將所收集個人信息用于其他目的，即：在CCPA 中，監(jiān)管要求企業(yè)需盡到詳細告知義務；第二，在CCPA第1 798.105 條款中，除知情權外，CCPA 賦予數(shù)據(jù)主體要求企業(yè)刪除其收集的數(shù)據(jù)主體個人信息的權利；隨后，在CCPA 第1 798.120 條款中，CCPA 同樣明確了數(shù)據(jù)主體有權退出企業(yè)對其數(shù)據(jù)的出售及使用，且在第1 798.125 條款中，CCPA 明確指出企業(yè)不得由于數(shù)據(jù)主體行使了自己的數(shù)據(jù)權益而拒絕向數(shù)據(jù)主體提供服務或對其價格歧視。

與GDPR 相比，CCPA 并未明確或強調個人敏感數(shù)據(jù)不可使用或交易（其強調要遵照美國其他相關法規(guī)要求），但CCPA 不但對于個人信息數(shù)據(jù)的范圍做了明確的指導，而且對數(shù)據(jù)的類型做了比GDPR 更細化的分類。具體來說，在CCPA 第1 798.140 條款中，CCPA 指出數(shù)據(jù)主體的信息不但涉及個人，還涉及其家庭信息以及其使用的設備信息——“個人信息”系指直接或間接地識別、關系到、描述、能夠相關聯(lián)或可合理地連結到特定消費者或家庭的信息，包括但不限于真實姓名、郵政地址、個人標識符、在線標識符、互聯(lián)網(wǎng)協(xié)議地址、電子郵件地址、帳戶名稱、社會安全號碼、駕駛證號碼、護照號碼等等。而且，在CCPA 第1798.140 條款中還明確指出包括個體的DNA、虹膜、視網(wǎng)膜、靜脈圖案成像、錄音圖像、面部印記、聲紋、以及包含識別信息的擊鍵模式、節(jié)奏、步態(tài)模式或節(jié)奏等等都被視為生物特點信息被納入監(jiān)管范圍。

2.3 歐盟和加州均將數(shù)據(jù)監(jiān)管由事后處罰轉為風險監(jiān)管

GDPR 和CCPA 提出的監(jiān)管要求，本質上都體現(xiàn)了數(shù)據(jù)監(jiān)管層面在面對未知的人工智能等新技術時的一種風險防范需求。歐盟對于“特定技術應用”進行數(shù)據(jù)保護影響評估的要求早在GDPR 實施前就存在［8］，而GDPR 在某種程度上加強了對以人工智能為代表的新技術對侵犯個人數(shù)據(jù)安全風險的防范。具體來說，GDPR 第35 條規(guī)定：當某種類型的處理——特別是新技術進行的處理——在給自然人的權利與自由帶來較高風險時，數(shù)據(jù)控制者應當在處理之前評估該技術對個人數(shù)據(jù)保護的影響。GDPR針對數(shù)據(jù)處理活動建立的風險評估制度，不但統(tǒng)一了歐盟內部關于數(shù)據(jù)保護法律框架的強制性義務，同時使歐盟針對數(shù)據(jù)處理活動的監(jiān)管具備較強的可擴展性和動態(tài)調整能力［8］。一言以蔽之，歐盟對于數(shù)據(jù)處理活動進行風險評估的核心可以理解為：通過描述數(shù)據(jù)處理的過程（特別是新技術），識別和評估將該數(shù)據(jù)與技術用于處理歐盟內部數(shù)據(jù)主體數(shù)據(jù)可能引起的風險，從而進行對AI 等新技術的風險管理。另一方面，雖然CCPA 并未明確提出數(shù)據(jù)監(jiān)管向對數(shù)據(jù)處理及新技術應用的風險管理轉型，但CCPA 明確表示，加州政府已經(jīng)意識到個人信息無授權披露和隱私損害可能對個人造成包括財務損失、名譽損耗、身份盜用等惡劣影響。加州政府希望通過CCPA 立法，為數(shù)據(jù)主體控制其個人數(shù)據(jù)提供有效途徑，從而進一步拓展加州人的隱私權，以避免2018 年數(shù)千萬人的個人數(shù)據(jù)被Cambridge Analytica公司濫用的丑聞重現(xiàn)?？梢?，加州立法機構出臺CCPA，嚴格監(jiān)管企業(yè)對數(shù)據(jù)主體數(shù)據(jù)的處理和使用，在一定程度上也希望將數(shù)據(jù)監(jiān)管這一嚴肅的監(jiān)管問題由事后處罰轉為事前風險管理。

2.4 歐盟及加州均未明確危機發(fā)生時保護公共利益的明確觸發(fā)器

由GDPR 和CCPA 的思路可見，歐美主要國家目前對數(shù)據(jù)治理的主要思路已經(jīng)轉變?yōu)槭虑帮L險管理，但GDPR 和CCPA 等數(shù)據(jù)保護法規(guī)未能明確闡述，當公共安全危機爆發(fā)時，數(shù)據(jù)治理及AI 治理應如何精準應對。具體來說，一方面為應對各種突發(fā)危機情況，GDPR在諸多關鍵條款中均保留了涉及“公共利益優(yōu)先”的敞口。具體來說，GDPR 在“個人數(shù)據(jù)處理原則（第5 條）”“個人數(shù)據(jù)處理合法性（第6 條）”“對特殊類型個人數(shù)據(jù)處理辦法（第9 條）”及“數(shù)據(jù)主體反對權（第21 條）”均有涉及公共利益特例的相關條款。尤其在醫(yī)療健康和公共衛(wèi)生事項上，以分析傳染病及其預警為目的、檢測流行病及其傳播趨勢等情況下，即使未經(jīng)主體同意，GDPR允許政府及相關機構出于公共利益目的使用個人敏感數(shù)據(jù)信息［9］，即：GDPR 在第9 條第2 款明確表示在公共健康領域，當歐盟或歐盟成員國已經(jīng)為保障數(shù)據(jù)主體權利采取適當措施的法律基礎上，為實現(xiàn)公共利益必須處理個人敏感數(shù)據(jù)時，第9 條第1款中禁止處理個人敏感數(shù)據(jù)的要求將不再適用。換句話說，GDPR 授予了各國在危機情況下自行通過修例的形式使用個人數(shù)據(jù)的權利。

但另一方面，GDPR 和CCPA 均未明確確定量化指標作為“公共利益優(yōu)先”敞口的觸發(fā)器，進而導致在本次新冠疫情全球爆發(fā)中，歐美主要國家對于使用個人數(shù)據(jù)用于防控病毒傳播缺乏法理依據(jù)。薛瀾等［10］認為，公共安全管理應包括風險管理、應急管理和危機管理，其中風險管理的對象應為“風險”，應急管理的對象應為“事件”。當風險本身發(fā)展到“不可預知”和“知識盲區(qū)”階段時，往往伴隨著事件影響重大、發(fā)展態(tài)勢迅猛等特點，這時公共安全管理應該進入危機管理階段。而在大數(shù)據(jù)驅動的新型公共安全治理模式中，構建以“風險-應急-危機”一體化的治理模式符合理論與現(xiàn)實需求［11］。本文認為，在大數(shù)據(jù)及人工智能時代，各國政府應建立一種數(shù)據(jù)及新技術治理觸發(fā)器機制，采用量化指標等形式，使公共安全進入危機管理時，數(shù)據(jù)治理和AI 等新技術治理也能及時、有法律依據(jù)的從風險管理模式進入危機管理模式，并與公共安全危機管理相結合，以確保公共利益可以得到充分保障。

3 新冠疫情下各國對民眾個人數(shù)據(jù)獲取及人工智能技術應用的邊界探索

自從2020 年2 月以來，新冠病毒在全球擴散的趨勢變得越發(fā)難以節(jié)制，如何在大數(shù)據(jù)、AI 技術蓬勃發(fā)展的時代，在GDPR 和其他隱私保護法的監(jiān)管下，充分利用大數(shù)據(jù)和AI 新技術為各國破解疫情危機助力，成為各國政府需要審慎思考并積極探索的新問題。在各國探索過程中，歐盟和美國等國由于面對較為嚴苛的個人數(shù)據(jù)保護法規(guī)，探索過程進展遠比亞洲國家及地區(qū)緩慢。

3.1 歐美國家的艱難探索

在處理新冠病毒傳播問題上，波蘭是歐盟內部對新冠疫情反應最快、強度最高的國家之一。一方面，波蘭于3 月4 日確診首例新冠患者，而波蘭衛(wèi)生部于3 月11 日在疫情控制良好的情況下就宣布波蘭進入流行病緊急狀態(tài)；另一方面，波蘭政府出臺的防疫政策強度很高，其很早就宣布大學、中小學、幼兒園全部停課，而彼時波蘭的確診人數(shù)還未達百人。在流行病緊急狀態(tài)中，波蘭頒布的具體措施包括對邊境嚴加管控，禁止外國人進入波蘭；波蘭公民抵達波蘭后必須進行14 天隔離；限制大型購物中心開業(yè)；只開放雜貨店、藥店等生活必需品經(jīng)營場所等等。之后，波蘭于3 月20 日上線名為“家庭隔離（Home Quarantine）”的應用程式，以確保境外返回人員滿足居家隔離14 天的硬性指標。其具體操作方式為，隔離人員需要預先上傳一張自己在居所（收集背景影像）的自拍照，應用程式后續(xù)會向隔離人員發(fā)送拍照要求（人員和背景需要與備案自拍吻合），如20 分鐘內隔離人員沒有按要求重新拍攝自拍照，應用程式會自動通知警察當局。但是，波蘭當局為境外返回人員提供了另一個選擇，即接受警務人員不定期的上門訪問。波蘭政府這樣安排的本質是：如果境外返回人員不想披露自己的個人信息（家庭環(huán)境、個人圖片數(shù)據(jù)），可以選擇警務人員不定期上門檢查的形式來完成居家隔離監(jiān)督［12］。

與波蘭早早開始使用大數(shù)據(jù)和AI 技術監(jiān)控居家隔離不同，歐洲其他主要國家卻受限于GDPR 及本國隱私法案，對是否應該將民眾智能手機數(shù)據(jù)和AI技術用于防止疫情擴散爭議不斷。在新冠疫情中，德國的態(tài)度具有代表性。自從新冠疫情在歐洲蔓延開始，德國對使用數(shù)字監(jiān)控方式輔助抗疫始終持有懷疑態(tài)度，因為根據(jù)德國和歐盟的相關隱私法規(guī)，使用智能手機定位數(shù)據(jù)來追蹤疫情的蔓延屬于非法行為。德國衛(wèi)生部部長施潘（Jens Spahn）曾表示希望德國政府能夠效仿亞洲國家，利用手機定位信息追蹤確診患者的密切接觸人群，以有效阻止病毒傳播。但另一方面，德國聯(lián)邦政府公民數(shù)據(jù)保護專員施泰恩（Christof Stein）表示德國不應該被新冠疫情所蒙蔽，而忘記數(shù)據(jù)保護的重要性。由于對是否該收集智能手機追蹤數(shù)據(jù)用于防疫在德國國內存在巨大爭議，2020 年3 月德國進行的應對新冠疫情的修例中，草案原有的一項建議——允許政府追蹤民眾手機定位數(shù)據(jù)用于防疫，沒有出現(xiàn)在修例內容中［13］。

本文認為，德國最初決定不使用智能手機數(shù)據(jù)追蹤疫情擴散的主要原因在于截至3 月上半月，德國的疫情狀況并不十分嚴峻——累計確診人數(shù)不足一萬，而死亡率始終低于1%。隨著新冠疫情的發(fā)展，德國政府所面對的疫情擴散形勢陡然嚴峻，截至4月上旬，德國累計確診人數(shù)已經(jīng)超過十萬，而死亡率也逼近2%，在這種情況下，使用智能手機定位數(shù)據(jù)來追蹤疫情蔓延的想法重新被德國當局提上日程。德國總理默克爾已經(jīng)公開表示，她歡迎開發(fā)手機追蹤應用程序，以應對歐洲新冠病毒擴散，但默克爾同時強調，該應用程序應保護個人數(shù)據(jù)信息且不儲存用戶位置［14］。在德國的引領下，目前歐洲已經(jīng)開展了泛歐洲數(shù)據(jù)保護追蹤程序PEPP-PT（Pan-European Privacy-Preserving Proximity Tracing）的 開發(fā)，該項目由德國Fraunhofer Heinrich Hertz Institute通訊處負責，已經(jīng)有至少八個國家的技術專家加入。在應用程序規(guī)劃中，PEPP-PT 具有如下特點：首先，PEPP-PT 是一款應用于智能手機的藍牙測距應用程序（與新加坡Trace Together 類似）；其次，PEPP-PT 特別注意加強數(shù)據(jù)保護、匿名化，力爭符合GDPR 的合規(guī)性和安全性；第三，PEPP-PT 力求建立一條既可以跨多國追蹤，又可以支持本地追蹤的感染鏈［15］。

另一方面，雖然CCPA 沒有涉及到公共利益與個人數(shù)據(jù)隱私保護平衡的條款，但美國當局在新冠疫情之下也面臨著公共利益與個人數(shù)據(jù)隱私保護的取舍。同德國、英國等歐洲國家一樣，美國也希望找到一個即能不觸及個人隱私數(shù)據(jù)，又能利用新技術防止疫情持續(xù)擴散的途徑。3 月下旬，美國政府開啟了與Facebook、谷歌等多家科技公司的商談，討論應如何利用手機定位技術更好地應對新冠疫情在美國的爆發(fā)。谷歌發(fā)言人表示，谷歌正在探索匯總匿名位置信息的方法，以幫助美國當局對抗COVID-19 病毒。谷歌認為，該應用程序應符合隱私協(xié)議，并且不涉及共享任何個人定位、移動線路以及聯(lián)系方式等敏感信息，而美國政府可以通過有效的法院授權從服務商處獲取特定的信息［16］。另外，4 月11 日全美最知名的兩家科技公司——蘋果和谷歌確認，他們將聯(lián)合打造適用于美國法規(guī)的應用程序，幫助美國政府和衛(wèi)生機構追蹤新冠病毒的傳播路徑。在蘋果和谷歌的規(guī)劃中，該應用程序將基于藍牙技術，使程序使用者獲知自己何時接觸過新冠病毒確診患者。另外，谷歌表示，該應用程序不會收集個人身份信息或用戶定位數(shù)據(jù)，確診患者的信息也不會被谷歌、蘋果公司的其他用戶看到。谷歌還表示，該應用程序由使用者自主選擇是否打開定位功能，只被用于公共衛(wèi)生當局追蹤密切接觸者，且獲取的使用者定位數(shù)據(jù)只被儲存約14 天［17］。

3.2 亞洲國家及地區(qū)的探索

雖然目前對新冠病毒的起源地尚存諸多爭議，但該病毒引起世界各界廣泛重視始于在亞洲的區(qū)域性爆發(fā)，因此亞洲各國及地區(qū)政府對大數(shù)據(jù)和AI 的科技防疫探索也普遍早于歐美國家。韓國當局率先在使用個人隱私數(shù)據(jù)進行疫情防控方面取得突破性進展。韓國當局上線了一張可以被公眾輕松獲得的電子地圖，允許公眾查詢他們是否進入過新冠確診患者的行動范圍，以幫助公眾自我判斷是否為潛在密切接觸者。在電子地圖上，韓國政府通過使用確診患者的智能手機GPS 定位信息、信用卡使用記錄、監(jiān)控視頻等，公開了確診患者所到過的所有地方，以使公眾獲悉他們是否可能與確診者發(fā)生過密切接觸［12］。韓國政府該項做法在韓國國內引起了巨大爭議,雖然韓國疾病預防控制中心主任鄭恩京（Jeong Eun-kyeong）表示，在面對嚴重的傳染病時，公共利益應該重于個人隱私，但首爾國立大學的流行病學家Cho Sung-li 諫言韓國冠狀病毒追蹤小組應考慮公布個人全部隱私數(shù)據(jù)的副作用。由于認為自身隱私權被嚴重侵犯，釜山的一名確診患者基于其個人行程信息被完全公開的事實，向國家人權機構——國家人權委員會提起個人隱私被侵犯的上訴［18］。

作為亞歐文化交界地，以色列在本次新冠病毒爆發(fā)中采取了“防疫優(yōu)先”的思路。受疫情影響，以色列政府早在3 月12 日就下令關閉學校，并禁止十人以上聚會，以嚴防新冠病毒傳播。另外，內塔尼亞胡總理于3 月14 日表示以色列計劃利用反恐追蹤技術以及停止部分經(jīng)濟的做法應對疫情，以降低新冠疫情的傳播風險。隨后，以色列發(fā)布管控令，宣布全境關閉購物中心、咖啡廳、飯店以及娛樂設施，只有食品超市、藥店和加油站可以繼續(xù)營業(yè)。內塔尼亞胡總理還于3 月17 日批準一系列防疫措施，其中包括以色列安全局不再需要法院命令來追蹤個人電話，但所有收集的數(shù)據(jù)必須在30 日后刪除。與韓國一樣，以色列政府對采取的措施引起了部分人群的不滿，以色列民主研究所的研究員Tehilla Shwartz Altshuler 表示，以色列安全局不再需要法院命令來追蹤個人電話的措施將使以色列面對“監(jiān)視民主”的威脅［19］。

不像韓國和以色列當局在疫情危機下選擇“重防疫、輕隱私”，中國香港和中國臺灣地區(qū)則嘗試在盡量保護個人隱私的情況下使用大數(shù)據(jù)和新技術進行科技防疫。為確保被隔離人員遵守隔離規(guī)范，香港特區(qū)政府于3 月推出名為“居安抗疫（StayHomeSafe）”的智能手機應用，其工作原理如下：抵港人員首先將獲得一個帶有唯一二維碼的手環(huán)，之后需要通過“居安抗疫”掃描腕帶的二維碼以進行配對綁定。最后，抵港人員需要在居所內走動以完成腕帶對居所范圍的校對。香港“居安抗疫”應用程序本質上屬于地理圍欄技術，該技術不同于GPS 位置追蹤，是通過被隔離人員在家中走動完成對家庭信號的采集，包括：居所WiFi 網(wǎng)絡信號、居所周圍WiFi 網(wǎng)絡信號、藍牙信號等，通過收集環(huán)境信號，構建被隔離人的居所綜合特征。若居家隔離人員離開其隔離區(qū)，則會觸發(fā)警報裝置并將該信息上報給特區(qū)政府，而違反隔離要求者將面臨最高六個月的監(jiān)禁以及最高兩萬五千港幣的罰款。對于該種方式的隔離監(jiān)控，香港特區(qū)政府表示“居安抗疫”不會引起隱私問題，因為其并不能追蹤使用人的確切位置。中國臺灣則采用了一個被稱為“電子圍欄”的智能手機應用程序，當被隔離人員離開居所或關閉移動設備時，該應用程序將向當局發(fā)出警報，以提示隔離人有可能已經(jīng)違反隔離要求。與香港選擇的技術不同，臺灣選取的是監(jiān)視手機蜂窩信號的方式判斷隔離者是否離開居所［20］。臺灣網(wǎng)絡安全部門負責人Jyan Hong-wei 表示，“電子圍欄”的作用是防止應被隔離人群出現(xiàn)違反隔離要求，使疫情傳播加速的情況出現(xiàn)［12］。

在所有動用大數(shù)據(jù)及AI 技術科技防疫的亞洲國家中，新加坡政府首創(chuàng)了一種基于藍牙技術的疫情追蹤方式，該方式極大限度地平衡了“科技防疫”與“個人數(shù)據(jù)保護”的矛盾，為日后歐盟和美國等受限于嚴苛個人數(shù)據(jù)保護法的國家提供了科技防疫的新思路。3 月20 日,新加坡政府上線了一項名為“TraceTogether”的應用程序，“TraceTogether”不使用GPS 或任何形式的智能手機定位數(shù)據(jù)，而是通過手機間的藍牙接觸來進行接觸關系判斷，特別適用于確診患者不能明確描述其密切接觸人群的情況。具體來說，“TraceTogether”由新加坡政府技術局（GovTech）和新加坡衛(wèi)生部聯(lián)合開發(fā)，其藍牙觸碰的距離識別范圍為兩米。新加坡智慧國家和數(shù)字政府辦公室（SNDGO）表示，“TraceTogether”的使用需要公眾明確授權，并且需要使用者提供個人聯(lián)系電話，以便在發(fā)生與確診患者密切接觸時可以及時通知密切接觸者。新加坡當局強調，該應用程序不收集或使用用戶信息，僅在有患者被確診時，記錄他們的密切接觸者。在整個流程中，新加坡衛(wèi)生部和政府技術局都不會掌握用戶的數(shù)據(jù)信息，但當需要時，衛(wèi)生部有權向個人用戶要求授權查看個人數(shù)據(jù)日志，如果用戶拒絕，衛(wèi)生部和政府當局可能會跟據(jù)本國《傳染病法》起訴相關用戶［21］。

4 國際數(shù)據(jù)保護及新技術抗疫應用國際探索的啟示

4.1 各國內部需要明確數(shù)據(jù)保護與公共利益優(yōu)先的臨界點

危機通常被定義為個人、機構以及社會所面臨的挑戰(zhàn)超出日常規(guī)范的狀態(tài)［22］4-18。本文認為，對于是否應該在防疫中使用大數(shù)據(jù)和AI 技術，歐盟及美國需站在真實民眾意愿角度進行思考，而在危機之中，國民有多大意愿放棄部分隱私權、以及愿意放棄哪些隱私權，以換取公共利益最大化，值得國際社會深思。Aldehoff 等［23］通過一項調查顯示，德國分別有63%和67%的受訪者愿意在危機中放棄其住址和電話號碼等隱私權，但若將需要放棄的隱私權中加入通話內容或聊天記錄等敏感內容，該比例則大幅下降至27%?？梢?，公眾并非不愿意在危機中放棄隱私權以換取公共利益，但公眾意愿與危機的嚴重程度和自身對危機的認知水平高度相關。

危機發(fā)生時，對危機影響的判斷很大程度上依賴于個人主觀［22］16-18。在本次全球新冠疫情危機中，由于主觀判斷不同，各國對于是否、何時以及如何將基于個人數(shù)據(jù)處理的新技術用于監(jiān)控疫情傳播表現(xiàn)出了迥異的態(tài)度。主觀判斷結合客觀現(xiàn)實，不但應反映在一國決定是否將數(shù)據(jù)治理由常態(tài)模式升級為危機治理的過程，還應反映在一國決定是否以及何時將公共利益置于比個人隱私保護更優(yōu)先的級別。只有充分協(xié)調好一國國內及國際間對于主觀判斷與客觀現(xiàn)實的不同研判，才能更好地在危機中平衡個人數(shù)據(jù)保護和公共利益之間的利弊，進行有效的危機管理。

為應對各種危機情況，GDPR 在諸多關鍵條款中均保留了涉及“公共利益優(yōu)先”的敞口?？梢姡谔厥馇闆r下，各國政府需要根據(jù)公共危機發(fā)展的進程，研判對公共利益與個人數(shù)據(jù)隱私的取舍，決定是否通過修例來實現(xiàn)處理個人敏感數(shù)據(jù)。但是，從英國、德國等歐洲主要國家在新冠疫情危機下對使用智能手機數(shù)據(jù)用于個人定位的實際行動來看（截至四月上旬），即便新冠疫情在本國擴散難以節(jié)制的情況下，各國依然認為沒有達到動用GDPR 涉及公共利益優(yōu)先條款的臨界點——使用個人數(shù)據(jù)用于追蹤疫情擴散。而另一方面，從歐美國家內部對于該問題所產(chǎn)生的激烈爭論情況來看，各國對于上述邊界的具體位置尚不明確，即：各國并不了解究竟在何種情況才應該動用GDPR 涉及公共利益優(yōu)先條款使用個人數(shù)據(jù)來確保公共利益。當疫情爆發(fā)時，公共健康專家普遍認為為取得積極的防疫結果，當局應盡早啟動涉及公共利益優(yōu)先條款，收集和使用個人數(shù)據(jù)用于疫情防控；而數(shù)據(jù)保護專家則往往相反，其普遍認為新冠疫情防控不能高于個人數(shù)據(jù)隱私保護。上述現(xiàn)象充分表明，雖然GDPR 等法規(guī)明確保留了涉及“公共利益優(yōu)先”的敞口，但各國在達成是否、何時以及如何使用“公共利益優(yōu)先”監(jiān)管敞口過程中充滿爭議，而內部長期無法達成共識會使該敞口的設置失去其本該發(fā)揮的作用。結合本次新冠疫情來看，各國迫切需要建立一個比GDPR更為明確且細化的數(shù)據(jù)處理治理和新技術使用機制，以使各國數(shù)據(jù)保護法規(guī)的公共利益優(yōu)先敞口能夠及時有效地發(fā)揮作用。

4.2 建立平衡數(shù)據(jù)保護與公共利益的國際合作機制至關重要

近來一些政府及政要的表態(tài)充分表明在疫情危機下加強國際合作的合理性與必要性。中國政府于2020 年4 月6 日向國際發(fā)布關于COVID-19 的國際共享信息,以推進疫情防控的國際合作［24］；英國外交大臣拉布（代理行使首相職權）于4 月表示，新冠病毒的全球蔓延體現(xiàn)了國際合作的重要性［25］；同期，德國總理默克爾表示只有強有力、協(xié)調一致的國際合作才能戰(zhàn)勝新冠疫情［26］。但在數(shù)據(jù)和技術國際流動及共享層面，疫情危機下的國際合作推進還面臨著重重困難。在云計算出現(xiàn)以后，大規(guī)模的政府數(shù)據(jù)、商業(yè)數(shù)據(jù)和個人數(shù)據(jù)通過云服務來存儲和處理，造成了主權國家的法律管轄權與信息流通性之間的矛盾［5］，導致各主要國家都加強了對本地數(shù)據(jù)的保護力度。據(jù)Fieldfisher［27］對包括中國、歐盟、美國、日本、加拿大、巴西、印度、新加坡、韓國、澳大利亞、新西蘭在內總計47 個主要國家的統(tǒng)計表明，其中有44 個國家（93.6%）擁有明確的數(shù)據(jù)駐留規(guī)則（Data Residency Rules），而其中的42 個國家（95.5%）的數(shù)據(jù)保護監(jiān)管者擁有對違反本國數(shù)據(jù)駐留規(guī)則的行為施加懲罰的權利。在GDPR 中，歐盟對將歐盟內部數(shù)據(jù)轉移至第三國或國際組織的具體規(guī)則也進行了詳細闡述。具體來說，在GDPR 第45 及46 條中，歐盟要求接受數(shù)據(jù)的境外第三方通過其嚴苛的“充分性保護”認定，不但要求第三方國家或國際組織對數(shù)據(jù)保護有充分的法律保障和執(zhí)行力，還需要對其法治、人權和基本自由、國家安全、公共安全等諸多方面進行歐盟認證。一言以蔽之，在當前現(xiàn)實情況下，無論是基于何種目的，本地數(shù)據(jù)的跨境國際流通難以實現(xiàn)。

如前文所述，在本次新冠疫情的爆發(fā)中，各國為防止疫情擴散而使用的大數(shù)據(jù)和人工智能技術主要基于本地應用，還并未出現(xiàn)各國間合作交換個人數(shù)據(jù)以控制疫情國際傳播的案例。雖然在GDPR 第49 條中明文規(guī)定，當數(shù)據(jù)轉移符合歐盟或成員國法律確認，向未通過“充分性保護”認定的第三國或國際組織轉移數(shù)據(jù)屬于必要事項，GDPR 允許向未通過“充分性保護”認定的第三國或國際組織轉移數(shù)據(jù)。但是，當危機發(fā)生時，各國在內部尚且不能對個人數(shù)據(jù)保護及公共利益優(yōu)先的平衡達成共識，希望各國能就個人數(shù)據(jù)保護及公共利益優(yōu)先問題達到國際共識更加不切實際。本文認為，各主要國家在常態(tài)下就應在數(shù)據(jù)治理和人工智能等技術治理層面加強國際合作，并在設計本地治理模式時應更多地考慮國際包容性；另一方面，各國應加強國際交流，積極探索并建立在人類危機情況下，為全人類公共利益而進行數(shù)據(jù)跨境處理的治理模式和互信機制。

5 對中國的啟示

在新冠疫情中，“科技防疫”作為新事物開始被人熟知。騰訊“防疫健康碼”在于2020 年2 月9日率先落地深圳后［28］，騰訊與國家信息中心聯(lián)合推出“衛(wèi)生規(guī)范健康碼標準”，并在全國擴散。騰訊健康碼可在全國大部分社區(qū)提供社區(qū)成員登記、復工人員登記、人員健康自查報告等服務，以此提高數(shù)據(jù)采集效率。另一方面，在國務院辦公廳電子政務辦的指導下，阿里巴巴支付寶的全國版健康碼也于2020 年2 月16 日上線，該健康碼與企業(yè)復工申請通道聯(lián)合在一起，確保企業(yè)能實時了解員工健康信息［29］。

使用個人數(shù)據(jù)與新技術進行科技防疫，對我國國內新冠疫情防控及經(jīng)濟復產(chǎn)復工起到重要支持作用，但運用大數(shù)據(jù)和AI 技術進行科技防疫，對我國相關機構提出了更高的要求。本質上，任何與風險相關的決定都涉及客觀事實和主觀判斷［30］。在本次控制新冠疫情傳播的過程中，我國相關部門根據(jù)對新冠病毒傳播風險的判斷——基于客觀事實與主觀判斷，依照《中華人民共和國傳染病防治法》以及臨時出臺的《通知》與《指引》等行政性文件，進行防止新冠疫情擴散的相關管制。在這一過程中，在使用個人大數(shù)據(jù)和人工智能算法層面，我國尚且缺乏明確的法理依據(jù)。中國數(shù)字經(jīng)濟日益崛起，但我國城市與鄉(xiāng)村人口、中老年與青年人口的知識體系與對危機風險的認知、對個人數(shù)據(jù)保護的認知均存在巨大差異，因此即便在危機中使用個人數(shù)據(jù)和AI 技術時，相關機構也應盡可能平衡不同認知水平人群對個人數(shù)據(jù)隱私權的認知，通過立法形式，而非行政形式，做到使用個人數(shù)據(jù)和新技術有法可依，并且要切實加強個人數(shù)據(jù)保護意識，防止出現(xiàn)數(shù)據(jù)被違法濫用的情況。

6 結語

新冠疫情爆發(fā)已在全球范圍內對人類生命安全以及經(jīng)濟發(fā)展造成了難以衡量的巨大損失。同時，如本文所述，新冠疫情為歐美國家尚處于摸索階段的數(shù)據(jù)隱私治理體系及尚待建立的人工智能技術治理體系拋出了一個巨大挑戰(zhàn)。在新冠疫情下，如何維護數(shù)據(jù)隱私保護和人工智能技術治理，如何對他們和公共利益優(yōu)先監(jiān)管敞口進行取舍，對各國來說都是一個全新的問題，需要各國政府及相關機構隨著疫情發(fā)展的不斷深入而進行不斷探索。另外，當疫情危機席卷全球時，任何一個國家為平衡維護數(shù)據(jù)隱私保護及AI 治理與公共利益優(yōu)先所做的選擇，都會對其他國家（尤其是區(qū)域內國家）產(chǎn)生重要影響。因此，各國需要開展更多國際交流與合作，共同摸索個人隱私與公共利益之間的臨界點，爭取達成更多國際共識，這不但有利于各國應對本次國內新冠疫情傳播危機，而且可以為危機過后的數(shù)據(jù)保護和人工智能治理模式提供可借鑒的國際經(jīng)驗。