安心出行：数码监控杀到埋身？

第四波疫情仍然僵持不下。近日，政府高官在不同场合提到，会视乎疫情发展强制安装「安心出行」，看似希望在下一波疫情来临之前，为强制进行「安心出行」铺垫好舆论，预备用数码监控来遏止疫情蔓延，取代封城，以免再度打击经济。政府官员再三强调，「安心出行」的行踪资讯只储存在市民手机上，叫市民放低私隐考虑，甚至研究透过蓝牙自动记录行踪。可是事实上，是否如官员声称，资料不会上载到政府储存就没有私隐问题？还是数码监控已经杀到埋身？

「接触追踪」手机应用的不同技术

人类面对迅速蔓延的全球化疫情的经验本来就不多，很多抗疫措施根本没有先例，简单如应否全民戴口罩也没有一致定论。这情况下，尝试运用智能电话等现代科技去控制疫情，本来是无可厚非的。很多国家都针对疫情开发不同的手机应用，而类似「接触追踪」的应用最令人期待。

「接触追踪」程式有不同技术，有些使用蓝牙（Bluetooth），也有些使用GPS定位，但无论那种技术，它们的目的也是一样，就是记录使用者接触过什么人，只要当中有人后来确诊，系统就可以通知用户，以求尽快找出潜在感染者。牛津大学的一份研究报告估算，若果有60%的人口愿意使用「接触追踪」手机应用，就可能在不用实拖严厉「封城」措施下控制疫情。不过始终这类技术的效果是未经实证。

总括来说，这些技术可以分为两大类：

苹果与Google暴露通知API （Google Apple Exposure Notification API，简称GAEN）是苹果与Google联合开发的高私隐度暴露通知系统。它利用蓝牙低功耗（Bluetooth Low Energy）发送加密的匿名随机编码，邻近电话可以接收和记录这些随机编码。日后若果用户确诊并且在应用程式内报告，与确诊者于潜伏期内在其附近逗留超过十至十五分钟的其他用户，就会收到系统发出的暴露风险提示。这个方法不会记录位置资讯，不单止Google和苹果不会得知使用者行踪，手机上也不会储存，能提供最大的私隐保障。不过这技术易也有限制，受环境干扰，蓝牙未必能准确测量两个人的距离。苹果与Google免费开放这个功能给各地官方机构使用，也提供了样板应用程式的源代码，要整合到各地的官方应用轻而易举，已经获英国、美国、德国、日本、俄罗斯等22个国家选用。

接触追踪（Contact Tracing）程式利用QR Code、GPS或蓝牙定位技术记录个人行踪，储存使用者到过的地方和时间。若果用户和确诊者在相同时间到过同一地点，系统就能通知用户，政府卫生部门亦可取得程式记录的行踪去协助进行传统的接触追踪去找出潜在接触者。程式可以设计成将日志资料储存在使用者的手机上，减少对私隐的损害，但始终程式详细记录了个人行踪，难免会有泄漏的风险，而且确诊者会被要求上载潜伏期内的行踪资料到中央资料库，令确诊者需要付出更大私隐代价。

「安心出行」属于后者。

明显地，使用GAEN的应用程式对个人私隐有更好保障，而且全自动化，对使用者来说更为方便。不过接触追踪程式也有好处，它能够帮助卫生部门进行传统的接触追踪，找出没有使用这个程式的接触者。所以，有些地方的应用集合了两种模式，例如英国的NHS COVID-19 app同时使用GAEN和QR code「打卡」。

为什么「安心出行」不使用GAEN？

在「安心出行」初推出时，我和一些业界朋友感到奇怪，为什么它不使用GAEN呢？

英国早在上半年时亦曾试过自行开发应用程式，利用蓝牙追踪接触者并将匿名化的数据储存在中央系统。 （概念上类似GAEN，与「安心出行」的方法不同。）那时候GAEN才刚发布，还未够成熟。计划当时已经有不少评论批评英国方法的私隐度不足，而且有技术问题，例如苹果出于耗电和私隐考虑，限制背景运行的程式使用蓝牙发送信号。在花了数百万英镑开发之后，英国政府最后还是放弃原计划，推出使用GAEN的程式。

而现在GAEN已在多国推出，技术上十分成熟。即使政府希望市民用QR code记录行踪以便利人手的接触追踪，也可以像英国般同时使用两种模式。整合GAEN没有太大成本，而且让市民有多一个私隐度更高的选择。

笔者并不想用「阴谋论」的方式去猜度，但早前创科局局长薛永恒接受传媒访问，提及当局正研究透过蓝牙定位技术自动记录行踪，就为不使用GAEN得供一个可能的解读。

苹果和Google在一开始开发GAEN时已经意识到，要发挥这个系统的功效，必须要大多数市民愿意使用，而很多人都抗拒政府监控个人行踪，所以GAEN必须提供最大的私隐保障。因此，除了使用密码学等技术手段去避免泄露私隐，苹果和Google亦对使用GAEN的程式订立严格的私隐要求，例如程式会被禁止使用GPS或蓝牙定位功能，以避免追踪用户的嫌疑，而且程式只可以用于对抗肺炎疫情单一目的。换句话说，使用GAEN的话，技术上就不能用蓝牙技术自动记录行踪，而程式的功能也会受苹果和Google限制。

若果「安心出行」早已预备加入自动记录行踪的功能，再加上官员吹风会强制安装，这难免让人担心「安心出行」只是一个更大型的数码监控计划的突破点。

私隐并不是单纯的技术问题

当然，政府官员一再解释，就算会透过蓝牙自动记录行踪，行踪资讯都只储存在市民手机上，不会上载到政府资料库，不会有私隐问题。

这是对私隐权的很大误解。

在日常生活，我们很多时都愿意向第三者透露十分私人的事情，例如家庭医生或者临床心理学家，而不会认为个人私隐被侵犯。这是因为我们了解到提供这些资料的目的，而且是达成这个目的的必要资讯，而对方受专业操守等规范，令我们相信他们不会向他人披露。

侵犯私隐与否，并不是单纯的技术问题，它涉及到复杂的社会情境和信任关系。会否传送资料到政府只是其中一点，但并不是这样就足够。

而且，笔者不认为政府有认真看待市民对「安心出行」的私隐忧虑。有关私隐权的两个最基本原则，「安心出行」无一达到。 （欧盟的《一般资料保护规范》General Data Protection Regulation的七项原则更全面，不过既然连最低要求也达不到，无谓谈标准更高的GDPR）。

强制使用必侵犯个人私隐

第一点是consent（允许），任何形式的个人资料收集，都应该先得到使用者明确允许，而且这个允许最好是持续进行，并不是点选过一次「我接受使用条款」，就代表可以为所欲为。原本「安心出行」使用QR code「打卡」，使用者自愿拿出手机扫描，必须使用者持续同意收集资料才能进行，这个方法问题不大。可是，如果改用蓝牙定位技术，市民不用拿手机出来，就会在不知情下被记录行踪，这样问题就大得多。更何况，如果日后强制使用「安心出行」，这就更加没有任何consent可言。

资料是否储存在用户手机上其实分别不大，因为今年二月政府根据《预防及控制疾病条例》的紧急立法早就埋下伏笔，第599D章《预防及控制疾病（披露资料）规例》列明，政府可要求某人提供手上有关「处理公共卫生紧急事态」或「识别和追踪可能已经蒙受染上疾病的危险的人」的资料。公众看到599G的选择性执法，不断被滥用在与防疫无关的情况，要说政府日后可以用599D强制任何人交出「安心出行」里的行踪资讯，相信不难想像。

任何强制使用或强制交出资料，必然严重侵犯个人私隐。

私隐政策含糊不清、公众无法了解程式运作

第二点是notice（知会），知会须要以准确、详细、具体和易懂的方式告知用户收集的个人资料的种类、用途以及保障。

我们看一看「安心出行」的私隐政策，里面只有寥寥数句的粗略概括，称收集个人资料「作感染风险通知、协助政府应对2019冠状病毒病蔓延的工作及相关的用途」，就连政府一直强调，资料只储存在市民手机上，也没有写出来。比较其他国家的类似应用程式，它们的私隐政策会清晰例明程式的每一项用途，不会以一句「相关用途」概括，更会详细说明会用什么方法保障个人资料。虽然白纸黑字的私隐政策，在「新香港」也可以随时被单方面更改，而且即使政府触犯私隐条例也没有后果（或者训斥），可是，现在连基本的声明也没有，政府凭什么说服市民，「安心出行」明天不会推出软件更新把所有行踪资料上载到中央资料库？

况且，即使在私隐政策写了出来，也未必足够令人安心，因为程式的运作不一定会符合私隐政策的描述。有些国家为了增加市民的信任，会把系统的源代码公开，让公众和专家能够审视程式的运作和安全性，例如加拿大的COVID Alert 。就算没有开放源代码，也会容许对程式进行「反向工程」审核程式。 「安心出行」不仅并非开源，它的使用条款清楚写明禁止「进行反编译，反向工程」。在「新香港」下，违反合约条文，也可能被控欺诈，而且随时不准保释，若有资讯安全专家希望用反向工程去审查「安心出行」的安全性，他大概要做好坐监的准备。

警惕以「抗疫」为名的数码监控

「安心出行」推出一个多月只有四十万下载（还不知当中有多少人在使用），在这个失败政权，市民自然因为无法信任而拒绝使用。主事官员不但未有反省，或者设法增加市民信任，更归咎市民不配合政府的抗疫措施，甚至不理民意，准备霸王硬上弓强制市民安装使用。邻近地区一向以大数据监控、人脸辨析、社会信用评级闻名，我们需要时刻警惕政权以「抗疫」或者「安全」为名，迫使我们慢慢习惯数码监控，不要让「安心出行」渐变为「香港社会信用评级」，这是每个有尊严的公民应有态度。

Medium