位置数据：隐私和流行病

在COVID-19（新冠病毒）流行传播环境下，位置数据对于预防和阻止疾病的传播有什么特殊作用？

位置数据的搜集对现有伦理、隐私和数据保护框架构成的挑战。本文同时为数据共享的公司和研究人员提供信息和指导，以支持公共卫生应对措施。

鉴于COVID-19大传播下，全球对利用大型科技公司持有的位置数据来跟踪受病毒感染的个人，更好地了解社交距离的有效性。或根据先前的信息向可能接近已知病例的个人发送警报。

世界各国政府都在考虑是否以及如何使用移动定位数据来帮助控制病毒。例如

• 以色列政府通过了紧急条例来解决使用手机定位数据的危机。
• 欧洲委员会要求移动运营商提供匿名和汇总的移动位置数据。
• 韩国已经创建了一份公开的地图，记录了检测结果为阳性的个人的位置数据。

公共卫生机构和流行病学家一直对分析设备的位置数据跟踪疾病很感兴趣。一般来说，设备的移动可以有效地反映人员的移动(下面将讨论一些例外)。然而，它的使用伴随着一系列的道德和隐私问题。

为了帮助政策制定者解决这些问题，我们在下面提供了一个简单的基本指南:

• 什么是位置数据。
• 谁持有它。
• 如何收集它。

最后，我们讨论处理位置数据的一些初步的伦理和隐私考虑。研究人员和机构应该考虑：

• 如何以及在什么情况下收集位置数据；
• 位置数据在大多数司法管辖区被列为法律“敏感”的事实和理由；
• 对有效“匿名化”的挑战;
• 位置数据集的代表性(考虑到潜在的偏见和不包括没有手机的低收入和老年人群)；以及目的限制的独特重要性，或在大流行结束后不为其他民事或执法目的重用位置数据。

什么是精确位置数据?

精确的位置数据，或“移动数据”，涉及设备和人员如何随时间在空间中移动的信息。这些信息大多来自我们随身携带的设备。智能手机充当了人们的代理人(根据皮尤研究中心的数据，2019年，81%的美国人拥有智能手机，这几乎是普遍现象)。

为什么会这样呢?

即使是最基本的连接，或者是在设备上发送和接收无线内容的能力，也必须包含有关这些设备所在位置的信息。例如，无线服务提供商知道设备的位置，因为它们通过本地蜂窝基站和网络提供服务。

在更一般的层面上，IP地址(一种可由设备自由公开共享的标识符，用于发送和接收Internet流量)通常足以了解一个人所在的城市和州。

然而，分析COVID-19的大多数研究人员感兴趣的是关于设备(以及人)在一段时间内所处位置的高度“精确”的信息。一个人位于“华盛顿特区”这一事实并不足以追踪一种传染病，但诸如“在同一栋楼工作”或“与确诊患者同时在同一家餐厅用餐”(准确的地点)之类的信息可能非常有用。

通常情况下，我们认为位置数据具有隐私含义，因为它足够精确，能够识别出具有合理特异性的个体。这通常是GPS级别的特性，通常不包括IP地址之类的信息。测量准确的位置主要取决于环境，如人口密度(例如，在农村或偏远地区，较低水平的情况下可能比同一个人站在时代广场更能识别一个人)。

最近国外的立法提案试图建立严格的界限(比如美国众议院和商业讨论草案的1640英尺半径，或者2020年加州隐私权法案投票倡议的1850英尺半径)。

有时移动性或位置数据与已知的个人绑定(例如与手机订阅关联的名称)，有时则与与设备关联的唯一标识符绑定。在这些情况下，个性化数据通常被称为“匿名化”。在其他情况下，如果一个数据集被修改为显示一群人(而不是个人)的移动，那么它通常被称为“聚合”。

这部分我们讲讲谁可以访问位置数据，以及如何收集位置数据。

谁可以访问位置数据?

位置数据由提供不同服务的各种商业实体持有，包括作为设备（手机运营商和操作系统）核心功能的一部分，面向消费者的功能（移动应用程序）的一部分，或是依赖设备连接性（物联网）的物理空间中跟踪的一部分：

★移动电话运营商。手机运营商知道手机的位置，因为他们通过当地的手机信号塔直接呼叫手机，而GPS定位数据可以增强信号塔的功能。

★操作系统。移动操作系统的提供者——Android(谷歌)和iOS(Apple)——可能知道设备的位置，这是提供服务、改进功能或启用可选位置功能的结果。此外，一些用户可能选择使用蜂窝基站和Wi-Fi数据来改善定位服务。

★应用程序和应用程序合作伙伴。许多人都安装了带有地理定位功能的应用程序，比如天气警报、拼车服务或杂货配送。在许多情况下，这些位置数据是与合作伙伴共享的，目的是提供个性化的广告，或将免费应用程序货币化。许多应用程序使用软件开发工具包(SDKs)，或由第三方开发的代码。通常情况下，位置数据会与这些SDK提供者共享，以改进他们的服务，或者换取货币化或其他服务。

★位置分析提供商(物联网)。被连接的设备发出识别信息，使它们可以被跟踪，即使它们没有主动连接到网络。这包括手机(打开Wi-Fi或蓝牙时)，但也包括其他物联网设备，如健身追踪器、智能玩具或汽车。因此，许多机场、体育场和实体店分析这些信号数据，以便更好地了解他们最繁忙的时间、店内人流量最高的地点、顾客对什么产品感兴趣，或者人们排了多长时间的队。

如何收集位置数据?

当大多数人想到位置数据时，他们想到的是GPS(全球定位系统)。事实上，GPS只是众多推断设备位置的方法中的一种，大多数用于运营商、操作系统、应用程序等的组合中。常用方法有:GPS;基站;无线网络;还有信标(还有其他的)。每一个都提供了不同的精度级别，可以用于不同的目的:

★GPS。智能手机和其他设备可以通过卫星GPS探测位置，独立于任何电话或互联网接收，尽管手机的GPS芯片只是众多传感器中的一个。GPS信号的精度变化很大，可能受到天气或物理干扰的影响。例如，在城市地区，它的精确度要低得多，尤其是在探测大型建筑物内的特定位置时。因此，现代手机在不同的时间使用GPS和其他形式的定位信号(Wi-Fi，蓝牙)来创建一个更准确的定位。

★发射塔。手机信号塔有一个主要的功能，那就是被运营商用来提供手机服务。因此，移动运营商(如AT&T、Sprint、Verizon、T-Mobile和美国的许多其他运营商)大致知道设备的位置，因为它们知道设备连接的是哪个蜂窝基站。除了这个核心功能外，蜂窝基站还会发出独特的“蜂窝基站ID”，可以自由检测。有许多与已知信号发射塔的映射位置相关联的信号发射塔ID的私有和公共数据库。因此，附近发射塔的邻近程度(以及它们的id信号强度)可以用来推断设备的位置。在这里找到你当地的手机信号塔(OpenCellID)。

★Wi -Fi网络。移动设备可以通过扫描附近的Wi-Fi网络来推断它们的位置。附近的网络或“接入点”可能包括，例如，邻居的Wi-Fi，或咖啡馆和商店提供的Wi-Fi。大型数据库中存在无线路由器的唯一标识符(MAC地址和SSID)及其已知位置，Mozilla和Combain等公司报告了数百万个唯一Wi-Fi网络的数据库。尽管这些标识符具有相对公开的性质，但大多数（但不是全部）商业数据库为希望不包含自己的网络的用户提供了选择退出机制。2011年，谷歌创建了一种方法来选择一个特定的访问点不包括在它的数据库中，这涉及到将短语“_nomap”附加到无线路由器的SSID的末尾。Mozilla同样支持_nomap方法，但是其他数据库不支持，或者提供自己的选择。

★蓝牙信号。许多应用程序都是设计来检测它们与“信标”(beacons)的接近程度的。“信标”是一种小型无线电发射器，可以发射单向的蓝牙信号。信标很便宜，可以附加在个人物品上(如钥匙或钱包)。它们也可以安装在已知的位置，例如在零售空间或在商店的一个特殊的产品展示前。在这些情况下，用户授权访问蓝牙的应用程序可以推断设备的位置，或发送基于距离的警报或其他内容。

★合并信号以获得精度。现代智能手机将从上述来源探测到的信号结合起来，创造出一个比任何一个信号(如GPS)单独提供的位置更精确的位置。例如，iOS和Android利用设备上许多不同传感器(如高度计和加速度计传感器)发出的信号，提供整合的“位置服务”功能，为应用程序提供高度精确的位置信息(需要用户的许可)，用户可以在设置中进行控制。信号还可以组合起来创建预测位置服务，例如预测未来的交通堵塞，或向用户显示其预测路径上即将到来的景点。

这部分讨论位置数据在法律和对个人隐私保护方面的考虑。

位置数据的伦理和隐私考虑

议员们开始考虑如何利用那些生成商业位置数据的源头。当他们这样做时，我们建议他们考虑:

★如何以及在何种背景下收集位置数据(如上所述)

★在大多数司法管辖区，位置数据被归类为法律“敏感”的事实和原因

★对有效“匿名化”的挑战

★位置数据集的代表性(考虑到潜在的误差和不包括没有手机的低收入和老年人群)

★以及目的限制的独特重要性，或在大流行结束后不为其他民事或执法目的重用位置数据。

精确的位置数据在法律上是敏感的。在大多数司法管辖区，位置数据被视为受更大保护的一类特殊数据，如更高的安全标准和明确表示同意的要求。例如，美国联邦贸易委员会(FTC)长期以来的做法是，对位置数据要求需要获得肯定的同意。

2016年，联邦贸易委员会与广告平台InMobi达成和解，因为后者未能尊重用户不同意与应用程序共享位置数据的选择。正面明确同意也是美国2018-2020年大多数立法提案的一个特点，比如提议的《加州2020年隐私权法案》(California Privacy Rights Act of 2020);以及美国参议员坎特威尔提出的消费者在线隐私权法案。

美国最高法院还认为，位置数据具有独特的敏感性，因为它能够揭示关于人们的行为、模式和个人生活的高度敏感数据，最近在卡彭特诉美国(Carpenter v. United States)一案中(要求执法部门获得牢房位置数据的授权)。

在欧盟，获取位置数据通常受到电信保密的监管，受到《个人隐私指令》(ePrivacy Directive)的严格规定，该指令要求个人同意(只有极少数例外)。

精确的位置数据很难完全“匿名化”。“许多政府机构都有兴趣获取“匿名”或“匿名和汇总”的位置数据，以观察人口层面的趋势和动向。虽然在某些情况下这是可能的，但要使任何单独的精确位置数据集真正“匿名”是非常具有挑战性的。即使使用唯一标识符而不是名称，大多数人的行为都可以很容易地追溯到他们——例如，从他们的家的位置(设备晚上“居住”的地方)。这些挑战并非不可克服，但政策制定者应非常小心，不要过度承诺，并应将位置数据集视为私人的、敏感的信息。这意味着它应该受到行政、技术和法律的控制，以确保它仍然受到保护，并限制谁可以访问它以及出于什么目的访问它。

即使是完全“聚合”的位置数据有时也会暴露出来。有时，即使是关于大型人群模式的高度聚合的数据(例如高级热图)也可能无意中泄露信息。2017年，一份互动的“全球热度地图”无意中显示了Strava健身应用用户的移动，显示了被部署在机密地点的军事人员的位置。这一事件凸显了与开放数据和默认公共数据共享相关的一些更广泛的道德问题。在FPF对西雅图市的隐私评估中，我们建议公司全面分析所有风险，不仅包括隐私和重新识别的风险，还包括“群体隐私”，以及对数据质量、公平、公平和公众信任等其他价值的影响。

代表性和偏差是唯一重要的位置数据集。对于边缘化和弱势社区，会产生涉及地理定位的不公平数据处理。因此，加强隐私保护对这些群体尤为重要。例如，志愿应用更有可能吸引富裕社区。例如，市政府发布了一款名为“Street Bump”的移动应用，试图通过众包的方式来找出需要修复的道路。然而，富裕的市民下载这款应用的次数要多于贫穷社区的居民。因此，该系统报告称，在较富裕的社区出现了不成比例的坑洼，并可能导致该市不公平地分配或优先安排其维修服务。相比之下，手机运营商的数据可能更具代表性，但可能会漏掉更多的老年人、非常年轻的人或收入最低的人，他们可能没有手机。

在危机中，目的限制是非常重要的。目的限制是美国《公平信息实践原则》(FIPPs)和欧盟《一般数据保护条例》(GDPR)的核心指导原则。由于位置数据非常敏感，很难真正“去识别”(即显著减少或消除所有隐私风险)，因此人们严重担心，一旦公共卫生机构收集了用于流感大流行跟踪的位置数据，这些数据可能会被保留或用于其他目的。各国政府应考虑如何在第一时间(在用户知情或同意的情况下?)收集定位数据，如果决定将其用于大流行跟踪，则应明确将其用于该目的，而不应被重复使用或保留用于其他民事或执法用途。研究人员或机构应该有明确的政策和程序来描述数据管理的操作和技术方面。

结论

随着COVID-19的不断推广，我们正面临着对现有数据收集和使用规范和最佳实践的全球性挑战。在某些情况下，位置和移动数据可能为更好地了解和抗击大流行提供一条途径。寻求解决问题和风险的政府和研究人员应该问:位置数据是如何收集的，在什么情况下收集的;是否有必要和适当地实现其目标(包括数据是否真正代表整个人口并考虑到脆弱人口，如老年人);这些目标是否可以通过侵入性较小的手段实现;以及在大流行结束后如何使用、安全储存、保留或重新利用这些数据。

格密链公司一直致力于全同态加密与区块链技术的研发。

公司网站：https://gemilian.github.io

格密链公司推出保护数据隐私安全的运动健康APP。该APP利用全同态加密将用户的运动数据（跑步路线，心跳血压等健康数据）加密后存储到云端。同时将每次运动数据的摘要存储到区块链。云端通过机器学习对密文健康数据进行分析处理，结果返回给用户APP。整个过程不泄露任何用户个人数据，全密态环境处理。如果您有业务需求，可以联系我们。