13、谷歌和苹果暴露通知系统：数据控制与法律设计剖析

谷歌和苹果暴露通知系统：数据控制与法律设计剖析

1. 谷歌和苹果暴露通知系统概述

谷歌和苹果的暴露通知系统（EN）并非万能，也并非没有问题。该系统设计上保证了谷歌和苹果（Gapple）的控制，核心操作由操作系统执行，而非应用程序。这种对EN功能和代码的控制，使Gapple能够掌控其实施，这在数据保护法应用、民主和法治等方面都有重要影响。

EN旨在进行接近追踪，而非接触追踪。它通过通知确诊阳性个体的接触者，但不披露其身份，也不要求接触者自我识别，来防止身份识别。这可能是该协议在2020年4月底从“隐私保护接触追踪协议”更名为“暴露通知”的原因。

2. EN是否处理个人数据

关于伪随机标识符是否属于匿名或假名数据存在一些争议。不同参与者在讨论匿名化时，可能并非总是指相同的概念。可识别性与识别个体所付出努力的合理性有关，而有些人将缺乏直接、轻松识别个体的可能性视为匿名化，这种观点存在问题，因为它似乎无法为谷歌和苹果定义什么是合理的努力。

匿名化是指识别个体的可能性在实践中非常遥远，以至于数据保护法的法律保护被认为不必要或不成比例。但EN并非如此，操作系统生成、广播和收集密钥和RPIs，同时也存储个人数据，如谷歌或苹果账户中的数据。如果谷歌或苹果访问操作系统，理论上他们可以将临时暴露密钥和RPIs与账户数据进行交叉和组合，从而实现重新识别。因此，将EN处理的数据视为匿名化会剥夺个人受数据保护法的法律保护，所以伪随机标识符应被视为假名数据。

3. 谷歌和苹果：虚构的处理者，隐藏的控制者

Gapple在EN框架内的数据处理活动中扮演什么角色？他们声称自己是处理者，但实际情况并非如此简单。