更多 UK Biobank 志願者嘅機密健康紀錄,再次出現喺中國商業平台 Alibaba 上面,The Guardian 報導。政府首席科學顧問 Sir Patrick Vallance 話官員正喺度同中方聯絡,要求刪除嗰啲貼文;呢個已經係上禮拜首次洩露之後嘅第二波。UK Biobank 手上有大約 50 萬英國志願者嘅基因同醫療資料,二十幾年儲落嚟用來做研究,係世界上科學價值最高嘅生物資料庫之一。呢宗洩露事件同期仲有幾單同中國有關嘅事:一個中國籍澳洲學生因為喺 Australia 參與民主抗議而喺中國被囚,Taiwan 喺非洲僅餘嘅盟友亦再受到北京施壓。
主流嘅睇法
主流 framing 好程序化,好安撫性。發生咗洩露;政府喺度交涉;中方可能會配合,可能唔會;Biobank 會檢討安全措施。GDPR、National Data Strategy、Information Commissioner’s Office,加埋 post-Brexit 嘅 Data (Use and Access) Act,紙面上組成英國政府曾經砌出嘅最完備數據保護架構。喺呢個 framing 入面,Biobank 事件係一個具體操作失誤,唔係結構失誤——要嘅係更好嘅補丁,唔係新模式。研究界好公道地指出,Biobank 嘅科學價值靠國際廣泛使用,將啲資料全部擺落防火牆後面,會整死佢本來要服務嘅公益科學。
另一邊嘅睇法
但結構性嘅睇法好難迴避。過去十年嘅數據保護架構,係圍住一類風險——西方科技公司嘅商業濫用——而建立嘅。而事後證明,呢類風險係次要嘅;主導地位已經係另一類:由一個地緣政治對手推動、又或者容許嘅資料外泄,而呢個對手唔承認呢套執法框架,違反咗都冇任何有意義嘅後果。同中國官員合作去要 Alibaba 下架啲貼文,唔係執法,係包裝成執法嘅禮貌請求。啲紀錄已經被 copy 咗。由公開列表移除唔會「反 copy」。
值得攞出嚟對照嘅係 2015 年美國 Office of Personnel Management 遭到入侵嗰單。當年中國官方背景嘅行動者盜取咗大約 2200 萬聯邦僱員嘅個人資料,連SF-86 背景調查表入面嘅全面個人經歷都有。十年過去,冇任何有意義嘅法律或外交後果;而隨住機器學習令交叉比對成本越嚟越平,嗰批數據嘅戰略價值只係複利升值。今次 Biobank 事件嘅性質係更嚴重,唔係更輕。基因資料唔會過期;當事人唔可以好似換密碼或換護照號碼咁改佢;而且呢啲資料唔止對目標本人有用,對佢哋嘅親屬同後代一樣有用,而嗰啲人從來冇同意過任何嘢。
右翼嘅睇法唔係為鷹而鷹,但有兩點要直講。第一,當初容許中國機構接觸敏感數據集嘅開放姿態,唔係意外——係 2010 年代嘅政策選擇,基於「科學合作會產生軟化自由化壓力」嘅理論。呢個理論已經被測試咗十年,反面證據一大堆。第二,對呢類洩露嘅回應,唔可以繼續係「聯合聲明 + 承諾檢討程序」。如果真係有執法框架,就要對源頭管轄區強加實際代價——外交、商業、名聲上嘅——如果冇,政府就唔好再扮有。
真正嘅數據主權最起碼要做到:最敏感嘅國家級數據集,喺「敵對資料外泄好可能發生」嘅假設下受到保護,並且預先準備好應對方案,包括分級存取、真正嘅審計,以及默認唔合作管轄區嘅商業夥伴入唔到。呢個制度變革,聽落似簡單,其實好難做,因為會切到大學、研究委員會同一堆建基於相反假設嘅商業合作。但唔做,我哋手上就係依家呢樣嘢——一個紙上權利嘅架構,主要功能係生產「關注聲明」。
跟住要留意
第一,政府會唔會對 Biobank 洩露事件採取任何具體嘅外交或商業後果,定係回應停留喺宣示層面。第二,Information Commissioner’s Office 嘅檢討,特別係有冇講明啲資料最初係經邊條路去到 Alibaba——源頭比下架更重要。第三,議會上有冇任何動作,要推一個獨立於 post-Brexit 通用架構嘅對華數據安全框架。第四,研究機構會自發收緊 access 做預備,定係等政府開口先做——答案會睇到呢個行業對呢個問題有幾認真。
—— J