《大数据、隐私和COVID-19——学习数据保护方面的人道主义专业知识》

安德烈·茨威特 amp; 奥斯卡·格斯特雷因

国际人道主义行动杂志

摘要：

COVID-19大流行导致世界各国政府诉诸跟踪技术和其他数据驱动工具，以监测和遏制SARS-CoV-2的传播。在正常时期，如此大规模地侵入隐私和数据保护是不可想象的。然而，在大流行时期，使用电信运营商和/或技术公司提供的位置数据成为一种可行的选择。重要的是，法律法规很难保护人们的隐私免受政府和公司的滥用。既定的隐私制度侧重于个人同意，大多数人权条约都知道在紧急状态下对隐私和数据保护规范的减损。这几乎没有保障措施或补救措施来保证个人和集体的自治。然而，在危机期间负责任地使用数据的挑战并不新鲜。人道主义部门有十多年的经验可以提供。国际组织和人道主义行动者已经制定了关于如何在极端情况下负责任地使用数据的详细指导方针。本文简要介绍了这场全球危机期间数据保护和隐私的法律差距。然后，它概述了人道主义实践和学术界在危机期间数据保护和数据责任方面的技术水平。

介绍

2020年3月11日，世界卫生组织宣布，COVID-19的传播导致了全球大流行（世卫组织总干事在COVID-19媒体通报会上的开幕词-2020年3月11日（未注明日期）。自2019年12月在中华人民共和国湖北省迅速传播以来，该病毒引起了国际关注，随后又出现在韩国和日本等其他亚洲国家。虽然有些人可能会争辩说，长期以来将这场危机视为以亚洲为主的问题是'西方世界'的天真，但几乎所有欧洲国家以及越来越多的世界其他地区的大部分社会的关闭已经清楚地表明，这是一场全球危机，影响我们所有人的时间比预期的要长得多。在这种情况下，需要采取有力和果断的措施，拯救世界各地人民的生命和生计。

然而，我们比以往任何时候都更愿意处理这种危机。其中，大数据，人工智能和区块链技术可以具体帮助应对这种紧急情况（Qadir et al. 2016）。例如，来自移动电话公司的位置数据可以帮助确定和理解个人和群体的运动模式，从而有可能深入了解病毒如何传播以及是否遵守指令（Ali et al. 2016）。政府和私营公司正在开发应用程序，允许用户在自愿的基础上分享他们的行踪和社会联系（谷歌现在正在发布冠状病毒移动报告，喂养用户n.d.;巴哈鲁丁和黄2020）;专家警告隐私风险，因为美国使用GPS来对抗冠状病毒传播2020）。区块链技术可能有助于保持分散和加密安全的股票和药物分类账，以创建智能供应链管理（Zwitter和Boisse-Despiaux 2018）。VR可以帮助教师通过新的互动方式探索数字课堂的新途径（Checa and Bustillo 2020）。然而，尽管使用这些新兴技术可能很有希望，但重要的是要注意，它们的使用伴随着数字足迹，在全球范围内对数据保护和隐私产生了影响（Zwitter 2015）。此外，政治和企业参与者可能会利用当前的情况来证明未来和大流行结束后使用更具侵入性的数据是合理的。

本文将首先讨论位置数据在公共秩序中的潜在和当前用例，特别是用于控制COVID-19的传播。然后，报告将概述对现行做法的关切。我们随后将争辩说，由于适用的数据保护制度或人权规范侧重于个人和各自的减损规范，因此这些担忧并未得到缓解。最后，我们建议人道主义领域数据实践的指导原则和标准适用于这场危机，并且应将其视为所有考虑使用数据驱动的监控工具来应对COVID-19危机的州和企业的最低标准。

位置数据、公共秩序和控制

在应对大流行等大规模危机时，政府必须了解为什么会出现威胁，威胁情景如何发展，以及一般民众是否遵守遏制措施。各国政府和研究机构需要数据来深入了解这些方面，位置数据特别有吸引力，因为人道主义部门的工作已经显示了很多年。

当谈到使用通过移动通信基础设施和位置服务获取的位置数据时，许多评论员对中华人民共和国（中国）政府共同开发了一个手机应用程序，告知用户他们是否与COVID-19感染者有过密切接触（中国推出冠状病毒'密切接触'应用程序2020）感到惊讶。).此应用程序提供的见解基于对通过电话网络，WiFi连接，基于卫星的无线电导航系统（例如GPS，GLONASS，伽利略）收集的位置数据的分析以及其他监视组合，这些数据揭示了个人和人群的位置。此外，带有地图跟踪疾病的应用程序在香港（香港新型冠状病毒感染的最新情况）和韩国（冠状病毒移动应用程序在韩国的受欢迎程度飙升 - CNN N.D.）也迅速流行起来。在中国，这种方法似乎已经演变成'支付宝健康码'，这是一种根据不透明方法对居民进行分类的系统（Mozur et al. 2020）。用户填写调查后，此数据将与其他来源（如位置数据）合并。一旦分析了数据，就会生成一个QR码，其中包含三种颜色之一;绿色使其携带者能够不受限制地移动，黄色代码的'所有者'可能会被要求待在家里7天，红色QR码会导致两周的隔离。

与此同时，美国政府正在与谷歌和Facebook等几家大型科技公司积极谈判，以探索如何使用位置数据来对抗大流行，包括跟踪人们是否彼此保持安全距离以应对病毒的传播（Romm et al. n.d.）。谷歌已经利用大流行来展示无处不在的位置跟踪的一些优势（谷歌现在正在发布冠状病毒移动报告，喂养用户的位置历史n.d.）。最后，Athena Security和臭名昭着的间谍软件公司NSO等监控公司宣传专门的监控摄像头和专用数据分析服务，使用位置数据根据个人和团体的移动跟踪疾病的传播（Cox 2020;以色列间谍软件公司NSO希望跟踪和阻止冠状病毒 - 彭博社N.D.）。

人权和数据保护

现在，做'任何必要的事情'的诱惑非常强烈（Sevastopulo et al. 2020）。毫无疑问，在危机时期，政府越来越需要监督和控制公众，这可能使得限制个人自由的必要性。这种决策主义是许多紧急情况的特征。然而，宪法和人权在设计时考虑到了这种危机。此外，《公民权利和政治权利国际公约》和欧洲一级的《欧洲人权公约》都准备处理这种情况。从正式角度考虑这些事态发展，不妨看看欧洲委员会的法律和体制框架。这个国际组织管理和控制着保障个人自由的最重要的国际人权条约之一，即《欧洲人权公约》。欧洲委员会已经为目前的危机时期制定了程序和判例法（Mokhtar 2004）。

《欧洲人权公约》第15条关于紧急情况下克减的指南最近于2019年12月31日更新（欧洲委员会/欧洲人权法院，2019年）。在下列情况下，各国可减损：

战争或其他威胁国家生命的公共紧急情况，

采取紧急情况所严格要求的措施，

条件是措施不违反国际法规定的其他义务。

此外，《公民权利和政治权利国际公约》第4条的措辞类似，要求缔约国通过联合国秘书处向所有其他缔约国报告。某些权利，如生命权（合法战争行为造成的死亡除外）、禁止酷刑和其他形式的虐待、禁止奴役或奴役以及无法律不予惩罚的规则，是不可克减的。然而，许多其他权利也受到克减，特别是隐私权、言论自由、行动自由以及集会和结社自由。这种减损可能只是暂时的（Zwitter 2012）。这两个法律框架都允许各州具有一定的灵活性，使它们能够暂时减损某些权利。

数据保护和隐私是在危机期间可以减损的人权。当公共紧急情况需要时，它们可以暂时减少。使这种情况更加复杂的是使用来自公司机构的数据以及由公司机构使用的数据。仅简要提及以监视资本主义形式过度主导企业权力的问题（Zuboff 2019），数据所有权原则上是合同法问题，在许多情况下是客户在打算使用服务时必须默认接受的使用条款问题。特别是现在，私营公司掌握着使用大数据解决新冠危机的关键。此外，典型的数据保护框架（如欧盟通用数据保护条例（GDPR））侧重于个人权利和个人同意。因此，它们遗漏了集体自治的许多方面，如下所述。总之，标准数据保护制度和人权法在紧急情况下对隐私和负责任的数据使用几乎没有保护。

潜在问题

在过去的几年里，关于安全与个人自由之间的平衡，特别是关于隐私与安全之间的错误权衡的文章已经很多了（Solove 2011）。虽然像COVID-19传播这样的大流行需要采取全面的措施，但我们必须记住，在如此大规模上使用位置数据和其他（潜在）个人或人口统计学上可识别的数据会导致产生'数据耗尽'，这总是会产生后果。仅仅因为它可能是紧急情况，并不意味着一切都会顺利进行。

在这一点上，当考虑到部队成员使用健身应用程序'Strava'（Liptak 2018）或《纽约时报》最近基于对一套全面的假名手机记录的分析时，对位置数据的使用可以说是考虑不足的令人惊讶的，这些记录允许在更仔细的审查下识别几个着名和有影响力的个人（汤普森和沃泽尔2019）。监管框架中规定的行政权力对于获取这些数据集并进行分析并进行分析并没有必要，这本身就表明我们的社会缺乏针对此类实践的适当治理框架。不仅缺乏对使用此类数据的有效监督，而且如何保护个人免受虐待以及他们可以使用哪种补救措施来保护自己也是开放的。考虑到这种位置数据的滥用，美国联邦通信委员会于2020年2月28日提议对手机网络运营商重新包装和转售位置数据处以2亿美元的罚款（FCC提议对2020年无线位置数据违规处以超过2亿美元的罚款）。

此外，过去几年的研究一次又一次地证明，产生前所未有的数据量和改进分析大型数据集的技术的结合正在使大多数（如果不是全部）最先进的假名化/匿名化数据集的做法变得毫无意义，至少随着时间的推移（Rocher等人，2019）。).联合国隐私权问题特别报告员正确地强调了将'封闭'数据集与'开放'数据集相结合所带来的风险（Cannataci 2017）。在我们对移动设备作为污名化安全传感器的工作中，我们提出了'技术高档化'的概念，该概念描述了我们在永久监控的环境中的生活，并且那些相信无处不在的数据的好处的人使其他人的选择事实上过时了（Gstrein和van Eck 2018）。

虽然像冠状病毒大流行这样的危机需要专门，快速和有效的措施，但我们绝不能忘记数据是上下文相关的。同一个数据集在不同的环境中可能是敏感的，我们需要适当的治理框架来确保这些数据以合法和负责任的方式生成、分析、存储和共享。鉴于COVID-19大流行，位置数据可能对流行病学分析非常有用。在政治危机的背景下，同一地点数据可能威胁到法治、民主和人权的享受。

幸运的是，世界各地的一些当局已经对使用位置数据导致的潜在威胁做出了反应，以应对当前的大流行（数据保护法和COVID-19爆发）。2020年3月16日，欧洲数据保护委员会发布了一份声明，其中主席Andrea Jelinek强调'[...]即使在这些特殊时期，数据控制者也必须确保保护数据主体的个人数据（Olbrechts 2020）。因此，应考虑许多因素来保证个人数据的合法处理。[...].'

虽然这些努力值得赞扬，但最好通过议会的民主进程和透明的政策建立专门的法律框架。鉴于必须迅速采取行动，人们至少可以期望政府法令或行政行为详细描述手段、目标和所采取的做法，其基础和权限应植根于适当的法律基础和权限，包括建立监督机制。相反，目前的情况表明，独立的数据保护机构必须证明临时做法的合理性，这些机构必须损害其长期监督目标，以便为更大的利益提供短期支持。

数据责任人道准则

由于在许多情况下缺乏法律指导，必须采用在不同领域，特别是在人道主义行动领域确立的最佳做法。在过去的几十年里，人道界在如何在危机期间负责任地处理数据方面积累了广泛的专业知识。这一领域的一个核心角色是联合国人道主义事务协调厅（人道协调厅）。其人道主义数据中心与许多专家一起，就详细的指导说明进行了合作，以帮助负责任地处理数据（数据政策 - 人道主义数据中心）。这尤其涉及人道主义、公司和政府利益攸关方之间合作的最佳做法。

红十字与红新月国际委员会出版了一本关于人道行动中数据保护的详细手册（Kuner and Marelli 2017）。本手册涵盖了从基本数据保护原则到人道主义背景下的数据共享和数据保护影响评估（DPIA）问题的所有内容。此外，第二部分还介绍了特定场景和数据收集方法，例如使用移动应用程序，生物识别和云服务。这些准则涉及与人道协调厅准则大致相同的方面。这些特别涉及易受攻击的数据主体的公平数据处理，数据最小化以及数据保留和删除。

此外，荷兰红十字会与其他红十字会和红新月会一起发起了一个人道主义行动创新和数据科学领域的专家小组，发布了'510数据责任政策'（Van Der Veen n.d.）。本政策引入了以下关键原则：

(1)

数据保护，

(2)

合法性和正当性，

(3)

不伤害，

(4)

尊重数据主体的权利（包括访问、纠正和删除），

(5)

收集数据的目的规范，

(6)

最小化（根据必要性和相称性收集），以及

(7)

数据质量，包括准确性、最新性、有效性、可靠性和相关性。

其中一个关键发现是，数据保护超越了个人，包括弱势群体。这标志着从个人身份数据（PII）到人口统计可识别数据（DII）的转变（Raymond 2017）。因此，数据的收集和利用需要遵循相称性原则，考虑超出个人利益的利弊。此外，这种想法引入了数据生命周期，这需要处理数据的各个阶段，从考虑潜在的数据收集，到随后的收集，再到数据的分析和删除。

人道主义研究中的数据保护原则

现阶段需要强调的是，学术界并非闲置。在过去几年中，围绕数据伦理的讨论一直非常激烈。它的范围从围绕使用'公共数据'（例如社交媒体数据）的问题到偏见，并包括对轻推的考虑（Boyd and Crawford 2012;兹威特2014;捷迈2010;钱德勒2015）。人道主义行动、创新治理和数据保护领域的专家发表了大量关于公用事业和使用'大危机数据'风险的文章。（Latif et al. 2019）一个特定的用例是危机映射领域，Ushahidi和Resuberia

剩余内容已隐藏，支付完成后下载完整资料

Big data, privacy and COVID-19 – learning from humanitarian expertise in data protection

Andrej Zwitter amp; Oskar J. Gstrein

Journal of International Humanitarian Action volume 5, Article number: 4 (2020) Cite this article

16k Accesses

14 Citations

45 Altmetric

Metricsdetails

Abstract

The COVID-19 pandemic leads governments around the world to resort to tracking technology and other data-driven tools in order to monitor and curb the spread of SARS-CoV-2. Such large-scale incursion into privacy and data protection is unthinkable during times of normalcy. However, in times of a pandemic the use of location data provided by telecom operators and/or technology companies becomes a viable option. Importantly, legal regulations hardly protect peoplersquo;s privacy against governmental and corporate misuse. Established privacy regimes are focused on individual consent, and most human rights treaties know derogations from privacy and data protection norms for states of emergency. This leaves little safeguards nor remedies to guarantee individual and collective autonomy. However, the challenge of responsible data use during a crisis is not novel. The humanitarian sector has more than a decade of experience to offer. International organisations and humanitarian actors have developed detailed guidelines on how to use data responsibly under extreme circumstances. This article briefly addresses the legal gap of data protection and privacy during this global crisis. Then it outlines the state of the art in humanitarian practice and academia on data protection and data responsibility during crisis.

Introduction

On 11 March 2020 the World Health Organization declared that the spread of COVID-19 has resulted in a global pandemic (WHO Director-Generalrsquo;s Opening Remarks at the Media Briefing on COVID-19 - 11 March 2020 n.d). Since the virus gained international attention after its rapid spread in Hubei province in the Peoplersquo;s Republic of China (PRC) in December 2019, it subsequently appeared in other Asian countries such as South Korea and Japan. While some might argue that it was naiuml;ve of the lsquo;Western Worldrsquo; to consider this crisis as a predominantly Asian problem for too long, the shutdown of large parts of society in practically all European countries and increasingly the rest of the world has made clear that this is a global crisis that affects all of us for much longer than expected. In this situation strong and decisive measures to save the lives and livelihoods of people across all parts of the world are needed.

However, more than ever before we are prepared to handle such crisis. Amongst others, Big data, artificial intelligence and blockchain technology can concretely help to deal with this emergency (Qadir et al. 2016). For example, location data from mobile phone companies can help in determining and understanding movement patterns of individuals and groups to potentially give insight into how the virus spreads and whether instructions are complied with (Ali et al. 2016). Governments and private corporations are developing apps that allow users to share their whereabouts and social contacts on a voluntary basis (Google Is Now Publishing Coronavirus Mobility Reports, Feeding off Users n.d.; Baharudin and Wong 2020); Experts Warn of Privacy Risk as US Uses GPS to Fight Coronavirus Spread 2020). Blockchain technology might be able to help keep a decentralised and cryptographically secure ledger of stocks and medication to create smart supply chain management (Zwitter and Boisse-Despiaux 2018). VR can help teachers explore new avenues of digital classrooms with new ways of interaction (Checa and Bustillo 2020). Nevertheless, as promising as the use of these emerging technologies might be, it is important to note that their use comes with a digital footprint that invariably has consequences for data protection and privacy – on a global scale (Zwitter 2015). Furthermore, political and corporate players might use the current situation to justify more intrusive data use for the future and for times after the pandemic is over.

This article will first discuss the potential and current use cases of location data for public order and specifically for getting the spread of COVID-19 under control. It will then outline concerns regarding ongoing practices. We will subsequently argue that these concerns are not mitigated by applicable data protection regimes or human rights norms due to their focus on the individual and respective derogation norms. In conclusion, we propose that guiding principles and standards for data practices in the humanitarian field are applicable during this crisis, and they should be considered as minimum standards for all states and corporations considering the use of data-driven monitoring tools to tackle the COVID-19 crisis.

Location data, public order and control

When fighting a large-scale crisis such as a pandemic it is important for governments to understand why a threat is emerging, how the threat scenario develops, and whether the general population complies with measures for containment. Governments and research institutions need data to develop insights on these aspects, with location data being particularly attractive as work in the humanitarian sector has shown for many years by now.

When it comes to the use of location data sourced through mobile communication infrastructure and location services specifically, many commentators have been surprised by the fact that the government of the Peoplersquo;s Republic of China (PRC) co-developed a mobile phone application informing users whether they have been in close contact with someone infected by COVID-19 (China Launches Coronavirus lsquo;close Contactrsquo; App 2020). The insights presented by this app are based on the analysis of location data collected through phone networks, WiFi connections, satellite-based radio navigation system (e.g. GPS, GLONAS

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[596907]，资料为PDF文档或Word文档，PDF文档可免费转换为Word