疫情下的数据隐私问题

近期，关于利用智能手机位置数据在用户接触过COVID-19冠状病毒检测阳性者时发出通知的讨论甚嚣尘上。俄克拉荷马大学情报与国家安全中心高级研究员Adriana Sanford博士表示，接触者追踪也正成为一个热门话题。

Sanford在本周的Task Force 7 Radio节目中作为嘉宾出席，与主持人George Rettas（Task Force 7 Radio和Task Force 7 Technologies的总裁兼CEO）进行了讨论。

“这非常有趣，因为它能够说：‘嘿，George，你今天散步时，我们注意到你的iPhone在几秒钟内非常接近另一部iPhone。如果那部iPhone在几秒钟内接近了另一部iPhone，我们将记录你与那个人有过接触’"，Sanford说。

她补充道，如果一个人与另一部iPhone在近距离相处几秒钟，系统就会记录这一点。“之后，如果与你相邻的人检测呈阳性，他们有一种方式可以联系到包括你在内的所有人，说：‘嘿，这个人检测呈阳性。你可能需要自我隔离，或者你可能想接受检查，你可能想通知其他人。’”

Sanford表示，这是Google和Apple正在联合开发的一款新应用，基于蓝牙的接触者追踪系统。“他们基本上说，他们可以在不损害位置隐私的情况下跟踪感染的传播，“她解释说。“位置数据正被多个国家[如]台湾和以色列使用。”

隐私法在冠状病毒期间有多大分量？

Rettas指出，欧洲也在追踪居民手机以进行冠状病毒研究，并表示在法国、意大利、西班牙甚至以严格隐私法著称的德国，“这听起来很合理……这些信息可能有助于追踪病毒的传播”。他请Sanford分享对欧洲私下共享位置数据以帮助科学家研究病毒传播的看法。

Sanford表示，弄清人们的位置以及人们如何接触病毒非常重要。“位置数据现在是黄金，这正在引发问题。人们担心他们是否可以共享这些信息，“特别是因为GDPR。

在美国，《加州消费者隐私法案》（CCPA）现在已成为法律，尽管要到夏天才会执行，她说。

“位置数据是在冠状病毒成为问题之前就被密切关注的问题，即位置数据是否被视为个人信息；它是否可 personally identifiable？”

Sanford说，对此存在争议，有些人认为位置数据没有附加姓名。“但令人担忧的是，如果你定期监控一个人，你知道他们上班的时间，他们回家的时间，而且这是频繁进行的，你就能分辨出那个人是谁。”

Sanford表示，重要的是要考虑这些信息最终可能流向何处，以及它的准确性如何。

“随着这一技术的发展，出现了一些担忧，但他们正试图找到一种方法，能够快速通知人们是否与检测呈阳性的人接触过，当然，我们都想知道，“她说。

她指出，数据是通过某人的IP地址、他们在商店使用免费公共Wi-Fi时的移动设备，或者他们提供邮政编码时收集的。“但事实是，到目前为止，这方面存在一些问题，Google曾因未为用户提供明确的退出程序而违反GDPR。”

她表示，问题归结为我们是否有权限追踪某人。“这是不能隐藏在隐私政策小字中的内容，也不能是一个简单的选择加入弹窗。它确实需要向公众解释。”

Rettas评论说，他最近采访了新泽西州州长Phil Murphy，Murphy表示，当他对限制某些公民的行动做出决定时，他并没有考虑《权利法案》。“也许有某种东西赋予州长在特定情况下剥夺自由的广泛权力，“他说。“但他不知道它们是什么，当时也无法阐明。”

Sanford表示，她相信由于加州的CCPA，“居民比美国其他地区拥有更强的隐私权。这种隐私权非常重要。它实际上比我们在GDPR下的权利更大。根据CCPA，加州居民有权了解趋势、倾向、态度、能力和天赋，此外还有权知道你的信息何时被共享或收集。”

Rettas指出，在中国，警察头盔上佩戴着设备，检查走在街上的公民的体温。“美国这里的一些公司已开始要求在公司入口处对员工进行体温检查，以防止冠状病毒在其组织内传播，“他说。他询问Sanford，在大流行期间，谁有权知道另一位美国公民的体温？

“现在，这种新常态并不正常，“Sanford回答。“我认为每个人都在质疑这个过程究竟是什么，我们将走向何方。关于体温检查，目前公司、雇主正在尽力而为。”

如果正在测量体温，谁有权知道这些信息，依据是什么？“答案取决于很多因素，“比如谁在询问，她说。

此外，她表示，“在你开始对这些信息做任何事情并开始收集它之前，你最好确保你的合规官已经补充了隐私政策”，以包括能够收集体温信息。

此外，“你需要弄清楚你将向第三方提供多少信息，因为它最好非常少，“她说。“法律没有改变，关于共享的法律也没有放松。”

Sanford说，无论谁收集信息，都必须与披露信息的加州居民共享该信息及所有细节。

Rettas还指出，如果你曾处于高感染率的地方，人们被要求提供冠状病毒检测阴性的证明，然后才能返回工作岗位。他询问Sanford关于这一要求的合法性。

“想想这有多难——有多少人想要检测却无法得到？检测数量不够，“她说。“要求你在返回工作前进行检测，真的，几乎就像告诉人们现在你必须戴口罩一样，但没有口罩可买，所以人们戴着围巾。”

要求某人进行检测意味着该检测需要随时可用，但事实并非如此，她说。

冠状病毒的法律后果

Rettas表示，冠状病毒也在美国和海外引发了一系列诉讼。

Sanford补充说，许多诉讼来自邮轮公司不让乘客下船，导致乘客被困在海上，病毒在邮轮上传播。她还提到保险公司不支付索赔以及雇主强迫员工工作所涉及的诉讼问题。

“麦当劳曾遇到问题，员工开始抗议，不想回去工作，“她说。Sanford指出，枪支所有者声称他们是 essential businesses，在佛罗里达州，摔跤已被视为 essential business。

Rettas询问，如果企业得知员工或顾客的COVID-19检测呈阳性，会发生什么，他们需要与其他人分享多少信息？

“嗯，我们这里谈论的是在保护公共健康和保护隐私之间取得平衡，“Sanford回答。“我们对隐私有什么担忧？为什么对信息共享存在担忧？”

Sanford指出，如果其他人知道他们的信息和身份被泄露，那个人可能面临歧视、孤立、报复。“就我们知道某人检测呈阳性而言，他们的雇主确实需要分享，这样我们就不会进一步传播，但他们需要小心，只提供最少的信息；只要是保护他们所必需的，但不要过度分享。”

她强调了了解谁在要求这些信息的重要性。

“如果第三方介入，你真的要检查并确保这是一个正式的、实际的请求，这样你才有法律义务"分享，Sanford说。“如果是联邦政府或州机构要求，分享这些信息会容易得多，但要小心。量身定制你所说的内容。”

《Task Force 7 Radio》回顾是Cyber Security Hub的每周专题。

要收听本期及往期节目，请点击此处。