 | | Aarogya Setu使用介面。圖/美聯社 | | | 印度今年4月推出新冠肺炎接觸史追蹤應用程式(App)「Aarogya Setu」,一度強制公務人員、私人企業員工和疫區居民下載使用,卻因無第三方監管數據流向,加上印度缺乏數據及個人資料保護法而引發爭議。 50歲的化學家戈希住在首都新德里東方的諾伊達市,他冒著6個月徒刑和約台幣450元罰鍰的風險,就是不願使用Aarogya Setu。戈希認為,比犯法還嚴重的是,「不確定政府將如何利用我的資料,他們若想要,可透過地點追蹤功能監視我。」 戈希並非唯一未雨綢繆者,隱私權團體指政府違反最高法院2017年的判例,控告政府強制人民使用Aarogya Setu;政府5月退讓,不強迫人們使用Aarogya Setu。 官員說,大多數人的地點資料最終刪除,但批評者指印度缺乏數據保護法,讓數百萬人的隱私權暴露於潛在風險之中。反對者也擔心,市民的個人資料可能被政府賣給企業,或用作新冠肺炎之外的監視用途。 藍芽+GPS 監控你的所在地 Aarogya Setu由印度國家訊息中心、電子和通訊技術部旗下的電子政府團體,以及產官學科技專家共同研發,App上線第40天,下載量就破1億次。 不同於許多國家的新冠肺炎接觸史追蹤App,Aarogya Setu利用藍芽和全球衛星定位系統(GPS)監控使用者所在地,推算使用者移動及與人的距離。使用者開啟Aarogya Setu後,會被要求輸入姓名、電話、年齡、性別、職業、過去30天去過的國家、健康狀況,以及自我評估疑似新冠肺炎的症狀,填妥後會得到一組獨特的「數位身分證」,用來傳送App相關資料。Aarogya Setu每15分鐘透過GPS更新並記錄地點,當兩名使用者在彼此的藍芽範圍內時,App會自動交流數位身分證並記錄時間和地點。若有人確診,資訊會上傳到手機、政府資料庫以追蹤接觸史。 專家評價低 蒐集數據遠超所需 美國麻省理工學院分析全球25款類似App,給予Aarogya Setu兩星評價,滿分為5星,主因是Aarogya Setu蒐集的數據遠超過其所需,新加坡的TraceTogether只用藍芽,獲得5星評價。 研發App的數據公司Indihood創辦人卡塔戈達說,Aarogya Setu至少辨識20萬曝險者和3500個新冠肺炎熱點,功效比率為24%。 印度理工大學資工教授班納賈說,結合藍芽和GPS大幅降低推算錯誤的機率,因為GPS和藍芽訊號得以互補。 保證刪數據 宣稱防火牆足夠 非政府數位權力倡議團體「網路自由基金會」指出,「人們相信GPS搭配藍芽,推算傳染傳播風險」,但政府強制人民下載引起法律爭議。 印度政府宣稱,Aarogya Setu有足夠的隱私防火牆,且會永久刪除相關數據。印度政府建立的公民參與平台MyGov執行長辛哈說:「手機上所有接觸史追蹤和地點數據將在30天的滾動周期刪除,相同數據上傳伺服器後會在45天內刪除。除非該使用者確診,則會在宣告治癒60天後清除。」 《Aarogya Setu數據存取和知識分享協議》表示,只要是為了追蹤新冠肺炎,匿名數據可與任何政府部門或機構共享,且任何數據都得在獲取180天後刪除。 「網路自由基金會」執行主任和律師古普塔說,「無從檢驗當局是否清除相關數據,若有第三方獲得分享的資訊,也應一併銷毀。」 公開原始碼 呼籲專家找漏洞 應透明運作的呼聲,印度政府5月27日公開App的原始碼並宣布糾錯賞金計畫,呼籲軟體專家協助尋找App的安全性漏洞或修正錯誤。發現App資安漏洞的白帽駭客巴提斯說:「這是邁向正確方向的一步,但仍要等到取得數據後才能得知全貌,我們也需要伺服器指令碼。」 指令碼能讓專家分析儲存在政府伺服器的市民資料,以及這些數據如何分享。辛格月初表示,政府計畫未來幾周公布伺服器指令碼。但卡塔戈達則說,就算有伺服器指令碼,存取數據分享資訊仍受限,「絕不可能看到數據分享給誰,因為這會取得整個政府的開源數據。」 反對追蹤App團體的一大考量是,印度沒有數據保護法律。《個人資料保護法》最近由聯合委員會審議,可望於今年稍晚通過,此法限制印度居民的個人資料使用、處理和儲存,此法若通過,將成立資料保護局,監管相關事務,但批評者表示,個資法存在疏漏,包括允許政府基於國安豁免相關部會。 印度目前只有部分數據保護措施。古普塔說:「沒有立法框架表示沒有官員層面的負責機制,若數據遭到濫用,也不會有處罰和防護措施。」 沒法律保護 政府曾經賣個資 此外,印度曾基於財政考量分享資訊,《2018-19年國家經濟調查》公開表示,政府將把市民資料當作商品,賣給私人企業創造收益。公共利益科學技術人員柯達立說:「印度已擬定銷售市民資料的策略,商品化印度人個資的所有權,違背印度的隱私基本權。」 穆迪政府去年未經國民同意,便以約合台幣2.6億元代價,把國民的車籍和駕照資料賣給87家私人企業,招致反對黨撻伐。 儘管政府保證Aarogya Setu的所有數據都會刪除,卡塔戈達告訴《美國有線電視新聞網》,部分App資訊將自動轉給國家健康資料庫。這個資料庫是印度仍在研發的雲端國民健康系統,包括病歷、保險和理賠等資料。 卡塔戈達說:「一旦國家健康資料庫上線運作,Aarogya Setu中的印度居民數據將自動轉過去。」 | 
沒有留言:
張貼留言