本系列之前的一篇博文是关于多个国家正在开发或已经开发的手机应用程序,用于追踪新冠肺炎感染的传播情况。这篇博客特别描述了挪威的情况,我们表达了我们的担忧,但也表达了我们的信任,因为挪威数据保护局(‘Datatilsynet’)将现场保护隐私-这是受挪威严格的隐私法规监管的。
我们是对的,我们为挪威数据保护局的干预感到自豪,该局在6月份禁止了挪威新冠肺炎追踪应用Smittestopp。这项禁令表明了NDPA的独立性,当公共(和私人)组织违反法律时,NDPA有法律权力执行隐私保护。
这一权力植根于《个人数据法》(Personopysningsloven)、挪威实施的GDPR以及个人数据法规(Personopysningsforskriten)。
在对今年4月实施的应用程序Smittestopp进行评估后,NDPA得出结论认为,该应用程序主要在两个方面违反了隐私法:
这款应用程序并不是对用户基本数据保护权利的适当干预。
6月12日,NDPA通知挪威公共卫生研究所(NIPH),该应用程序将被禁止,并于7月6日得到确认。因此,NIPH立即停止从该应用程序的大约60万活跃用户那里收集数据,并删除了他们的Azure服务器上存储的所有数据。
违反比例干预要求的原因是,由于测试地区实际使用APP的人口相对较少(只有16%),APP在感染跟踪方面的预期价值较低。
违反数据最小化原则的原因是,这款应用的设计涵盖了三个不同的目的:
NDPA对这款应用程序也很关键,因为用户不可能选择他们的数据将用于这三个目的中的哪一个。
政府已经决定终止Smittestopp的进一步开发,转而专注于开发一款新的应用程序。在征求了NIPH的建议后,政府决定在谷歌苹果曝光通知系统(GAEN)的基础上开发一款新的应用程序,他们称之为“谷歌和苹果的国际框架”,因为很多国家(例如丹麦、芬兰、德国、英国)都在走向“GAEN之路”。
支持政府决定的重要论据是,GAEN只支持数字感染跟踪(基于蓝牙),不涉及中央数据存储,并包括交流经验和处理用户越境的可能性。与此同时,欧盟已经实施了一项分散日冕追踪应用的建议,将Gaen“直接放在框架内”。
NIPH的任务是在新应用程序开发任务的公开竞争中明确征求建议书,现在(10月20日)丹麦网络公司被聘请来进行开发。Netcompany与丹麦卫生当局有类似的合同,是唯一的投标人(!)。这款新的APP预计将于今年(2020年)实施。
三个主要问题仍在争论中,第一个是技术问题:蓝牙足够可靠吗?经验表明,在使用蓝牙时,确实会出现假阳性,但也会出现假阴性。
第二个问题当然是隐私。即使个人数据存储在手机本地,手机之间的通知也必须通过网络转发--那么黑客攻击又如何呢?此外,都柏林的三一学院发现,在安卓手机上,除非将所有者和位置信息发回谷歌,否则gaen将无法工作。
这就引出了第三个问题:让科技巨头控制一个涉及处理非常私人的信息的解决方案明智吗?“谷歌或苹果是否有权告诉民选政府或其公共卫生机构,他们在一款应用上可能有什么,或者可能没有什么?”
今年9月11日,挪威数据保护局发布了一份关于新冠肺炎(冠状病毒)感染追踪的数字解决方案的报告。这份报告是由Simula Research Laboratory开发的,该实验室没有投标新的基于GAEN的应用程序的合同(辩称他们是一家研究机构,而不是一家软件开发公司)。
这份名为《…》的报告。重点关注政府使用的效率、数据隐私、技术相关风险和有效性。在隐私和数据保护方面,报告指出,如果位置数据仍然由谷歌存储,新冠肺炎应用Smittestopp对隐私的侵犯将比Gen应用少。
最后,我们将引用一句话(在我们的翻译中):“数字感染跟踪没有完美的解决方案。有效的感染控制和隐私是对立的。“。
对于Runbox的我们来说,隐私是无价的,我们仍然在想是不是利大于弊。