Cathy Lee、戴靖芸、陳舜伶、王柏堯
2024年08月27日
在流行病學中,接觸者追蹤(contact tracing)早在20世紀初天花大流行期間就被採用[註1]。至COVID-19疫情爆發時,疫調人員時常無法對每一位確診者進行詳盡之疫調,在智慧型手機普及度極高的背景下,透過手機功能進行接觸追蹤的防疫政策便應運而生。對此,各國開發的應用程式所採取的模式各不相同,有採自願加入模式(voluntary and opt-in basis)[註2]或強制加入模式(mandatory basis)[註3];在資料蒐集與儲存層面,有採中心化模式(centralized model)[註4]或去中心化模式(decentralized model)[註5],由於蒐集資料往往涉及各種身份識別與地理位置追蹤,對民眾所生之隱私風險不容小覻,因此,在平衡隱私風險與公共衛生目的時,效用評估為需考量的指標。
一、評估「效用」的參考指標:「使用率」與「能否找出疑似接觸者」
雖然數位接觸者追蹤工具都以控制疫情為最終目的,但在數位接觸者追蹤工具檢討報告中所提及的「效用」,會依各國疫情的嚴重程度及所設定期待達到的「效果」而不同,並沒有一致的定義。
例如,疫情嚴重、疫調窘迫之情況,數位工具若能對疑似接觸者示警即已發揮相當之作用,但在疫情平緩、案件數量少的地方,則可能會比較數位追蹤工具與傳統疫調可特定之接觸者範圍,以進一步評估數位工具使用及個資蒐集利用的必要性。由於數位接觸者追蹤工具僅是傳統疫調的輔助,在對這些工具的效用進行檢討時,因各種措施的迫切與必要性隨疫情發展有所差異,為達公共衛生目標之手段與個人隱私保障二者之權衡結果也應該有所不同。
英國牛津大學在疫情發展初期進行實驗模擬研究,並於2020年4月發布接觸者追蹤工具效用報告[註6],或許出於當時英國乃至歐洲疫情的迫切性,該份報告以數位防疫科技是否能控制疫情為研究核心,並沒有就數位監控的隱私代價進行討論。
研究結果指出,倘若數位防疫工具的使用率達到智慧型手機用戶的80%,或佔全國人口約60%,則有助於控制疫情;即便使用率較低,只要暴露通知能通知並隔離疑似接觸的程式使用者,這些數位防疫工具也可以延緩封城的時機。此後,「使用率」和「能否通知疑似接觸者」就成為日後研究接觸者追蹤應用程式效用的參考指標。
二、使用率的實際經驗數據:西班牙、德國與澳洲
在英國牛津大學模擬實驗研究報告發表以後,西班牙、德國與澳洲均利用接觸者追蹤應用程式的實際使用數據來分析使用率,以進一步討論數位防疫工具的效用。
(一)西班牙: Radar COVID前導測試
西班牙政府在正式推出接觸者追蹤應用程式 Radar COVID 前,曾在2020年6至7月間於人口1萬人的戈梅拉島(為加那利群島的主要島嶼)進行為期四週的前導測試報告,但由於統計僅有全國總下載數、無島上實際下載數,該報告從程式推廣員的觀察和加那利群島政府公開的下載數據,推估Radar COVID使用率為全島人口的33% (3,305/10,000)。
(二)德國:Corona-Warn-App
依據德國羅伯特科赫研究所(Robert Koch Institut RKI, 隸屬於德國聯邦衛生部)、德國電信股份公司(Deutsche Telekom)和 SAP(思愛普,軟體企業)組成的Corona-Warn-App(下稱 CWA) 開源計畫團隊所陸續公布的報告(下稱 RKI 報告),至2021年6月15日,有2,830萬次的下載,假設無同一人重複下載的情況,使用率為其人口的34% ;至 2022年2月底,則為4,320萬次,為人口的52%。
(三)澳洲:COVIDSafe
澳洲的COVIDSafe雖然欠缺官方的整體下載數據,但昆士蘭大學研究團隊曾就新南威爾士省的數據提出效用檢討報告(下稱UQ報告),該報告依據2020年5月至11月間619位確診者中,僅137位曾使用CovidSafe回報暴露通知,僅佔確診者數的22%,而推論該接觸者追蹤應用程式的整體使用率偏低。
以上三者的使用率均未達牛津大學研究報告所提出的60%指標,最接近的也只有德國在疫情後期的52%。但這是否代表相關的數位防疫工具效用不彰呢?
西班牙、德國和澳洲這三份報告並沒有單純以使用率否定其接觸者追蹤應用程式的效用,而是按照疫情的嚴重程度作出了不同的效果期待與效用評價。以下我們將進一步說明,這三份報告除使用率以外,還使用哪些方法討論防疫工具的效用。
三、找出疑似接觸者
(一)接觸者追蹤應用程式是否能找出疑似接觸者
透過接觸者追蹤應用程式找出疑似接觸者和確診者,是各國普遍期待達到的效果。RKI報告於2021年6月至2022年3月間陸續發布,在其研究涵蓋期間,德國疫情由2021年3月的每百萬人口確診案例29,507例增至2022年2月的每百萬人176,116例的高峰期(見圖一)。其中,2021年6月公布的第一份報告清楚表明,至5月底,約有六成的CWA使用者願意在確診以後,透過該應用程式來通知疑似接觸者,每1位確診者透過該程式的暴露通知系統約可通知6位疑似接觸者。之後,2022年3月發布的報告指出,至同年2月,約2.9百萬位確診使用者透過CWA來通知疑似接觸者(約佔活躍使用者總數的11%),並推估每1位確診者能透過該應用程式警示19位疑似接觸者,而接收到通知的疑似接觸者中,大約有五分之一經篩檢後被判定為確診者。據此RKI報告認為CWA能在疫情嚴峻下找出疑似接觸者,達成該工具所被期待的功能。
(二)相對於傳統疫調,是否能找出更多疑似接觸者
相較於德國RKI報告,西班牙前導測試報告和澳洲UQ報告進行時,疫情尚屬輕微(見圖一),對於利用資訊工具而非透過傳統疫調通知疑似接觸者的需求也較不迫切,兩份報告不僅止於討論接觸者追蹤應用程式是否能找出疑似接觸者和確診者,更進一步討論此一工具是否能比傳統疫調特定出更多的疑似接觸者或確診者。
西班牙前導測試報告推估,只要Radar COVID於全國實施時能如期地達到報告推算出來的使用率33%,透過該應用程式的通報機制,每1位確診者就可以找出6.3位疑似接觸者,較傳統疫調高出一倍。儘管該報告也指出確診者透過此曝露通知系統通知疑似接觸者的意願低(2021年4月,平均每100人只有7人最終有回報系統,即6.59%[註7]),但他們仍相信只要使用率達標或超過預期,Radar COVID便能找出更多疑似接觸者,紓解傳統疫調的壓力。
然而,澳洲的UQ報告則未給予COVIDSafe正面評價。UQ報告依據12歲以上的確診者和接觸者的數據,包含共619位確診者及超過25,300位透過傳統疫調而確認的接觸者,並訪問了6位疫調人員。研究發現,在619位確診個案之中,有137位確診者有使用COVIDSafe,使用率為22%,其中的32人透過COVIDSafe找到了205位疑似接觸者。這205位疑似接觸者中,有79位合乎接觸者要件並需接受隔離,正確識別率為39%。與此相較,傳統疫調人員能找出當中的62位,因此僅有17位是透過COVIDSafe所額外特定出來的接觸者,來自4位使用COVIDSafe的用戶。並且,這17位疑似接觸者在篩檢後並沒有確診,從而研究團隊認為COVIDSafe沒有對澳洲新南威爾士州的疫情帶來實際且具意義的貢獻。
三份報告均未單純以使用率來評估接觸者追蹤應用程式的效用,德國RKI報告涵蓋疫情較為嚴重的時期,在傳統疫調難以運作時,CWA的使用至少能減緩疫情散佈;西班牙前導測試報告和澳洲UQ報告,在疫情較為和緩、傳統疫調仍能發揮作用的情況下,則進一步期待此工具能比傳統疫調特定出更多的疑似接觸者或確診者。
四、效用評估與隱私侵害風險
上述報告主要的研究時間為全球疫情爆發初期,各國亟需控制突如其來的疫情,因而報告所討論的效用以是否能有效控制疫情為主,未具體就防疫的數位監控如何可能侵犯隱私進行討論。身處後疫情時代,更需回頭仔細檢視這些新興的防疫科技的效用是否有被過度誇大、在資料的蒐集與利用是否有其正當性與必要性,以避免政府在未來繼續使用成效不彰的防疫科技侵害人民隱私。衛福部於2024年3月所公布之《傳染病防治法》草案第52條之1,已納入用於查證受隔離或檢疫者行蹤之科技工具(例如:電子圍籬)[註8],疫情期間使用的科技措施成為防疫制度一環的趨勢可見一斑,即使該草案並未將其他防疫科技工具一併制度化,在面對未來的疫情時,政府仍很有可能認為這些科技工具的使用為主管機關有權採取之必要手段。本文所檢討的接觸者追蹤應用程式,其相較於傳統疫調能更快速而廣泛地蒐集與利用民眾個資,所造成的隱私風險也相對較高。因此,必須對接觸者追蹤工具進行效用評估,如此方能進一步探討以隱私為代價換取公衛安全的正當性。在探討防疫手段的正當性時,則應綜合評估疫情的嚴重程度與接觸者追蹤工具蒐集個資的模式與風險。
德國CWA以民眾自願下載為前提,下載時不需輸入個人資料,且採去中心化模式,以蘋果/Google應用程式開發介面[註9]設計,接觸者暴露資訊會透過藍牙接收,資料將短暫儲存於用戶手機資料庫中,至用戶確診時,可自願將其14天內的匿名接觸資訊傳送至應用程式伺服器,系統將自動發送警示給接觸者,不會有政府的衛生單位介入。因此,其所蒐集的使用者資料十分有限、對民眾而言隱私風險相對輕微,在疫情嚴重、傳統疫調人力不足的情況下,若能透過CWA的暴露通知系統通知疑似接觸者並找出若干確診者,多少可以輔助傳統疫調工作的不足。
西班牙Radar COVID與CWA一樣,採取維護個資設計,由於所蒐集回來的資料有限,隱私風險較小,且基於前導測試中評定此工具對傳統疫調的幫助,他們對Radar COVID亦採正面評價並於全國推行。
相對於此,澳洲的COVIDSafe在用戶下載安裝時必須輸入姓名(或假名)、電話、年齡區間和郵遞區號進行註冊,並同意澳洲數位轉型署(the Digital Transformation Agency)蒐集註冊資料,保存於National COVIDSafe Data Store中。COVIDSafe採中心化模式,用戶完成註冊後,將生成一組定時更新的加密參考代碼(reference code),並持續上傳至National COVIDSafe Data Store,接觸者暴露資訊會透過藍牙接收,接觸數據包含接觸者的加密參考代碼、接觸的日期、持續時間與距離,則儲存在用戶手機中21天。當用戶確診後,用戶將收到衛生單位的簡訊詢問是否同意將接觸資料上傳至National COVIDSafe Data Store,方便衛生人員透過對照加密參考代碼,致電找出疑似確診者。
因此,澳洲的COVIDSafe比起德國CWA與西班牙Radar COVID,蒐集較多個資,採中心化模式,也將更多的個資上傳到政府手中,具有更大的隱私風險[註10]。此外,澳洲在第一年疫情平緩,傳統疫調仍能發揮效果,若使用COVIDSafe無法比傳統疫調找出更多疑似接觸者或確診者,將難以正當化其對人民隱私的侵害。防疫雖然重要,仍必須考慮所實施的防疫手段是否造成不必要的隱私侵害。
從上述各國經驗可知,在不同情境之下,防疫與隱私之間權衡的結果可能有所不同。例如,疫情嚴重、且資訊工具所造成之隱私侵害極小,對該工具可能較易予以正面肯定;倘若疫情平緩、或資訊工具所造成之隱私風險較高時,使用該資訊工具便需要更強的理由來支持。研究接觸者追蹤應用程式之效用,不單是防疫技術上的檢討,而是更廣泛檢討隱私侵害與公衛安全之間的平衡。然而,截至目前為止,未見台灣相關機關對數位接觸者追蹤工具進行實效性研究,政府提供的相關數據也十分片段與零散,根本難以根據疫情發展階段權衡防疫與隱私侵害風險,這都彰顯了政府無意、甚至刻意規避檢討數位防疫措施的效用。
備註
1.Andrea Monti & Raymond Wacks, COVID-19 and Public Policy in the Digital Age, Routledge India (2021).
2.用戶依其意願下載應用程式,確診的用戶可自願選擇是否把手機中過去數天的暴露資訊上傳。
3.強制用戶必須下載應用程式,並透過應用程式直接把手機接收到的曝露資訊上傳。
4.通常手機用戶在下載應用程式時,需要註冊並輸入個資,儲存在中央資料庫中。並且,使用者確診以後,衛生部門會要求用戶把儲存在手機上過去暴露資訊上傳到中央資料庫中,方便進行疫調。
5.手機用戶不須輸入個資來註冊和下載。相關的確診者和其接觸者的暴露資訊,會短暫地儲存在手機當中,不會受任何中央實體管控。使用者確診後,如果選擇把確診數據上傳,應用程式便會按照暴露資訊,代為通知相關的疑似接觸者。
6.與後來按照實際環境測試的報告不同,此報告乃疫情大爆發期的模擬測試,利用模擬環境來測試數位接觸者追蹤工具在不同設計、使用率、和疫情趨勢下,能否有效遏止疫情和降低封城對經濟生活的影響。
7.Sergio Carrasco Mayans, Do EU Governments Continue to Operate Contact Tracing Apps Illegitimately?, Civil Liberties Union For Europe, 93, https://www.liberties.eu/en/stories/covid-contact-tracing-app-report/43795 (2021).
8.衛生福利部,衛生福利部公告「傳染病防治法」部份條文修正草案,衛授疾字第 1130100247 號,2024年3月11日。目前衛福部將預告草案下架,可至法源法律網瀏覽,https://web.archive.org/web/20240627075957/https://www.lawbank.com.tw/news/NewsContent.aspx?NID=200362.00 。
9.蘋果/Google 應用程式開發介面 (API)設計的接觸者暴露通知,是透過手機藍牙協定廣播一組經常輪替的匿名金鑰,每隔一段時間搜尋一次鄰近範圍內(通常1.5至2公尺)停留一段時間(通常10-20分鐘)的手機廣播訊號,並將手機彼此暴露資訊儲存在個別手機上。
10.Ariel Bogle, How does COVIDSafe compare to Europe’s contact tracing apps? (Jul. 27, 2020), https://web.archive.org/web/20240626171509/https://www.abc.net.au/news/science/2020-07-27/how-does-covidsafe-compare-contact-tracing-apps-apple-google/12488188
誌謝
本文撰寫前期由中研院政府科技發展計畫「資料安全研發及人才培育計畫」資助,後期由歐盟” States’ Practice of Human Rights Justification: A Study in Civil Society Engagement and Human Rights Through the Lens of Gender and Intersectionality” (101094346) 計畫資助。特此感謝兩計畫的支持。惟本文所表達之觀點或意見僅為作者立場,並不反映資助機構及歐盟的觀點或意見。資助機構及歐盟均不對本文意見負責。
本文感謝中研院法律所資訊法中心同仁的討論與建議。