历史教会我们一个道理,那就是,我们的民主没有那么强大
   多年来,巴西这个拉美最大的民主国家一直是数据治理领域的先行者。1995年,它成立了巴西互联网管理委员会(CGI.br),这是一个多方共同参与的机构,旨在帮助巴西制定互联网治理准则。2014年,在爱德华·斯诺登揭露了美国国安局对巴西等国家的监控,受此冲击,迪尔玛·罗塞夫政府出台了《公民网络框架》。万维网的发明者蒂姆·伯纳斯·李将这一规定誉为互联网的“人权法案”。四年后,巴西国会以欧盟的《通用数据保护条例》(GDPR)为典范,出台了《通用数据保护法》(LGPD)。
   不过,最近巴西转向了一条更为集权的道路。甚至早在疫情之前,巴西就开始建设收集数据和实施监控的广大网络。雅伊尔·博索纳罗总统签署了一项法令,迫使所有联邦机构共享手上大部分的巴西公民数据,包括健康记录和生理识别信息,把数据整合成一个巨大的主数据库——公民基础档案库(Cadastro Base do Cidadão)。这项法令没有经过辩论过程,也没有征求公众意见,让许多人大吃一惊。
   政府表示,它希望在消除信息互换障碍的时候,提升手上数据的质量和一致性。根据官方的口径,这样可以提升公共服务,减少选举舞弊,打击官僚作风。对于一个拥有2.1亿人口的国家,这种体系能让社会福利和税收优惠更快到位,让公共政策更有成效。不过,批评者警告说,在博索纳罗的极右翼政府领导下,数据的集中将被用来侵犯个人隐私和公民自由。而且,covid-19疫情似乎让这个国家更快滑向了监控国家。虽然博索纳罗自己曾经短暂感染,7月底巴西的死亡人数已经超过9万,可是,他一直对疫情的严重性轻描淡写。不过,这没有阻止他利用这场危机为更激进的数据掠夺做辩护。
集权的本性
   非政府组织“巴西数据隐私”(Data Privacy Brasil)的负责人拉斐尔·扎纳塔说,政府关于用数据提升公共服务的说辞,十分类似1970年代军事独裁政府为打造单一体系而辩护的手段。这个计划被称为“全国牧区生态网络”(Renape),因为缺乏透明度,以及威胁到自由和隐私,引起军方内部和参与建设的技术人员的批评,所以最终搁置了。
   技术与社会研究所(ITS Rio)所长,罗纳尔多·莱莫斯律师说,公民基础档案库的初衷可能是好的。实际上,疫情很快就说明,某种全国性的数字身份系统是必需的:4月底之前,以往联邦政府视而不见的4600万非正式劳动者都在网上进行注册,以获得经济的金融援助。
   不过,身为《公民网络框架》的编纂者之一,莱莫斯也表示,基础档案库的集权性质令人担忧。他一直倡导的是一种类似爱沙尼亚的模式,爱沙尼亚被广泛视为数字治理的典范。爱沙尼亚政府储存方方面面的公民数据,但没有哪个政府机构独揽所有数据。必须有民众的授权,一个机构才能获得另一个机构手上的数据,而且民众可以追踪查看数据的人。莱莫斯说:“10月的法令,让巴西反其道而行之。”
脆弱的保护/岌岌可危的保护/保护法危在旦夕/向保护法开战
   按照10月的法令,任何联邦机构都能启动对其他机构数据的索取和收集。《拦截》(The Intercept)6月披露的档案显示,按照该法令,巴西情报局(ABIN)向联邦数据处理机构(Serpro)索取了拥有驾驶证的7600万名巴西公民的记录。这样的例子意味着,公民的数据开始出现在众多新的数据库里,而他们浑然不知。
   这一法令获取数据的范围很广,既包括姓名、婚姻状况、职业等基本信息,也包括面部轮廓等生理识别数据,包括声音识别、虹膜识别、视网膜识别,包括指纹、掌纹,甚至人的步态。对于可以共享什么样的健康数据,并没有做出限制其中甚至包括了人的遗传序列。莱莫斯说,这项计划“利用基因学、人脸、指纹作为识别人员的形式,而人们不知道这是怎么发生的,这可太恐怖了”。
   游说团体Access Now的政策助理韦罗妮卡·阿罗约,把如此多的数据集中起来,会带来“巨大的安全风险”。一旦黑客入侵,或资料泄露,将导致公民身份被盗用、冒用,甚至更糟的情况。2016年,圣保罗市政府意外泄露了公共卫生系统36.5万病人的个人数据,包括部分医疗记录。2018年,由于对服务器进行错误的重命名,1200万民众(超过半数人口)的纳税人识别号及其他信息在网上暴露了几个星期。
   有一个中央数据管委会,对基础档案库进行监管。管委会由联邦政府的代表组成,会对数据的敏感性和一切争议进行决断。巴西互联网管委会则与此形成鲜明对比,它的成员包括政界、商界、学界、公民社会的人们。互联网管委会的顾问达尼洛·多内达律师说:“又没有公民,又没有技术共同体,又没有公民社会——这根本就不打算成为一个独立的委员会。”
   我们也不清楚,这个主数据库怎么和《通用数据保护法》兼容。两者存在明显的不一致之处,比如《通用数据保护法》认为生理识别数据是敏感数据,而新的法令放在了较弱保护的范围。多内达律师说,新的法令“根本忽视了对数据保护的立法,政府仍然不把它当回事儿”。
   实际上《通用数据保护法》还没有落实。它原定于8月生效,可是,博索纳罗和前总统米歇尔·特梅尔控制的国会一拖再拖。4月的时候,通过一项推迟令,政府暗中让法案延缓至2021年5月生效。
   covid-19疫情重创了各行各业,法案推迟也情有可原。可是,许多人怀疑,政府真正想要推迟的是,该法案对政治竞选的审查。“巴西数据隐私”的扎纳塔说,年底即将举行市政选举,选举法院可以根据新的法案,调查政治政党对数据的非法收集和使用。
   我们完全有理由担心这样的侵犯。根据《卫报》的分析,博索纳罗上台的2018年大选期间,WhatsApp成为散布虚假信息的平台,大部分信息都有利于博索纳罗。许多人认为,有了基础档案库,就可以开展更有针对性的宣传活动。扎纳塔说,充分的资料、疫情期间收集的数据,可以找出那些容易轻信和散布谣言的人,他们不经意间就为此做了宣传。日前,博索纳罗的一个儿子涉嫌组织散布谣言的违法项目,正在接受调查。
为监控辩护
   covid-19疫情更证明了总统试图把数据作为权掌权的工具。4月的时候,圣保罗州长实行了一项计划,利用电话数据来追踪人们遵循隔离要求的情况。博索纳罗的儿子爱德华多说这种做法是 “侵犯人权”,而且总统很快叫停了科技部的一项类似计划。可是,一星期之后,他毫不犹豫地签署了一项法令,要求各电信公司把2.26亿巴西民众的数据交给巴西国家地理统计局(IBGE)。批评者表示,这种对数据的攫取违反了宪法,并且规模太大,所以最高法院最终驳回这一法令。
   与许多国家一样,巴西日益利用科技跟踪本国公民。为了2014年世界杯和2016年奥运会安装的监控探头网络,活动结束后仍然保留下来。今年的狂欢节,众多警察利用面部识别软件在人群中搜寻罪犯。巴西国会慢慢地通过了一系列法案,实行和批准这些科技的大规模使用,比如运用于公共交通。去年,巴西警方借助面部识别技术辨认罪犯,逮捕了151名罪犯。其中有一名因谋杀罪受到通缉的男性,在狂欢节上还打扮成女性。去年12月,政府把面部识别探头安装到巴西与巴拉圭的国界附近,这是贩毒及其他有组织犯罪的重点区域。
   在巴西,犯罪是一个重大问题。巴西的谋杀案约为全球平均水平的五倍。博尔索纳罗上台的一个关键,就是他的强硬立场。可是,阿罗约警告人们,基础数据库和大规模的监控技术,集合起来是恐怖的:“这一系列企图会导致公民与国家的权力极不对等。” 多内达说,对犯罪的恐惧,容易让巴西人舍弃自己的数据隐私,来换取这种安全:“人们真的怕极了。”
   面部识别技术的缺陷,已经得到充分证实。尤其是,现有的体系大多由白人主体的国家开发,特别容易错误识别有色人种。“人权观察”(HRW)的研究员塞萨尔·穆尼奥斯说,这给巴西带来了特殊的难题,因为巴西一半以上的人口是黑人或棕色人群。这些人几乎有一半从事非正规的营生,约三分之一都生活在贫困线之下。穆尼奥斯说:“如果是一个请不到律师的黑人,因为面部识别受到逮捕,情况就很棘手了。”
   理论上说,现在制定的法律是可逆的。可是,一旦当局控制了监控技术和大批数据,我们就很难从头再来了。多内达说:“警方尝到了甜头,就不会轻易放手,除非这一技术失灵了。”
   相比于世界其他地方,巴西有大量非政府组织,都致力于数据隐私和数据权利。要发起集体诉讼相对容易些,所以施加公众压力也容易些。而且,就像这次疫情所证明的,最高法院还是能抗衡联邦政府的。6月初,卫生部停止发布全面的covid-19死亡数据(普遍认为卫生部试图掩盖迅速上升的死亡人数),最高法院就迫使它继续发布这一数据。
   莱莫斯相信,就像1990年新的《消费者保护法》颁布后人们开始行使自己新获得的权利,如今也会发生类似的模式转变,巴西能够发展出一种保护数据的文化。《通用数据保护法》何时生效?是不是该由某个可信的独立数据机构对数据进行备份?这都是尚待解决的问题。
   不过,许多观察家认为,军方可能会主导这一机构,因为军方占据了博索纳罗内阁22席中的一半。对于拉美国家,独裁统治并不是多遥远的记忆。电子前沿基金会(DEF)的国际权利负责人,秘鲁籍的卡蒂扎·罗德里格斯说:“历史教会我们一个道理,那就是,我们的民主没有那么强大。”
