谷歌苹果罕见联手,美国版“健康码”如何保护个人隐私?

文/王融 闫锦麟 编辑/谢丽容  

2020年04月24日 18:42  

本文4820字,约7分钟

两种方式孰优孰劣目前无法判断,但深入比较有助于彼此借鉴启发,在保护隐私的前提下,走好公共健康与社会经济生活复苏之间的平衡木

新冠肺炎疫情在全球的发展蔓延局势依然严峻,对感染者和密切接触者的追踪隔离,仍然是当前缓解疫情蔓延最为依赖的措施之一。在此背景下,近期,两大科技巨头谷歌与苹果罕见地宣布展开合作,将联合开发一个打通安卓和IOS系统推出一个美国版“健康码”计划,该计划基于蓝牙的接触者追踪工具,在保障用户隐私和安全性的基础上,对可能接触感染者的用户发出预警提示,帮助降低病毒传播速度。

实际上,蓝牙接触追踪并非两家公司首创,新加坡政府在3月就开发了Trace together蓝牙追踪应用。但作为全球两大主导的智能手机操作系统提供商,苹果和谷歌开发的蓝牙接触者追踪工具可触达全球30亿智能手机用户,规模之大,无出其右者。

该项目目前仍面临隐私保护、有效性等方面的质疑,但很多人对这次合作充满期待。国内媒体的解读也往往将其与国内的“健康码”相联系,将其喻为全球最大健康码项目。我们深度比较后,发现二者从运作理念、技术原理、覆盖范围、推进方式,效果考察等方面存在较大差异。

最大的不同是,苹果和谷歌联手开发的这个“蓝牙接触者追踪项目”虽然也依赖公共卫生管理部门,但仍然是一个强调“分散化”的,自下而上的技术方案,这与我国国内的“健康码”,以及韩国、新加坡等国家以政府为核心主导,依赖中心化数据库的技术路径有着显著不同。

我们无法作出孰优孰劣的简单判断,但对二者的深入比较,将有助于彼此借鉴启发,不断完善疫情防控技术手段,取得隐私保护,公共健康与社会经济生活有序复苏之间的平衡。

为什么是谷歌和苹果?

也正是考虑到其可能带来的深远影响,两家公司对其运作机制十分谨慎,对用户的隐私和数据安全作出了特别考虑。

简单说说该健康码工具的工作原理:用户打开后,智能手机会自动生成本地追踪密钥(Tracing Key)、当日跟踪密钥(Daily Tracing Key)、滚动接近标识符(Rolling Proximity Identifier)等层层加密、相互嵌套的密钥。这套密钥存储在用户的智能手机中,而且实时更新,当日跟踪密钥每24小时更新,滚动接近标识符每15分钟更新。

假设两个人处于蓝牙信号可连接的距离之内,智能手机会自动交换滚动接近标识符。

被确诊感染新冠肺炎的人,有一套特殊的确诊密钥。这套确诊密钥生成于一个只有公共卫生机构可访问的中央服务器,卫生机构应用程序会向过去14天与确诊者交换过滚动接近标识符的所有人(即与确诊者有过接触历史的人)发送这套特殊密钥。安装该应用程序的手机会定期下载这些密钥并在本地进行匹配。

也就是说,如果你和被确诊患者近距离接触过,就会和对方交换滚动接近标识符,也会收到通知,告诉你,你曾与感染者接触。

为什么要层层加密,并高频率更新密钥?核心是为了保护用户身份的保密性,并防止泄露用户的位置轨迹信息。当然,在极少数情形下,仍可能出现身份暴露的情况,但大规模实现身份识别的可能性已被降低很多。

为什么这套系统需要谷歌和苹果联袂开发呢?因为要大规模使用,Android手机和iPhone手机要解决兼容问题。在合作的第一阶段,谷歌和苹果将共同开发API,使安卓和iOS两个操作系统的互操作成为可能。此后,两家公司将通过操作系统的更新,将蓝牙追踪功能嵌入系统本身,鼓励更多人参与。

三大特点

根据谷歌和苹果发布的联合声明,只有公共卫生机构被允许访问API来构建应用程序,且仅有公共卫生机构有权限访问确诊密钥信息。

但是如果深究其运作机理可以发现,虽然这套“健康码”有公共卫生机构的参与,理念仍然是去中心化的。具体体现在以下几个方面。

其一,不需要建立用户中心化数据库,数据大部分存储在用户手机上。

苹果谷歌鼓励卫生服务部门在全球范围内构建以分散方式运行的接触者追踪应用程序,使得个人有机会知道是否接触过感染者,但卫生服务部门并不需要建立用来存储个人信息的中心化数据库。

技术运行仅在中央系统维护最小数据(确诊密钥信息),技术运行所涉及到的其他用户数据(蓝牙接触信息)都以加密方式存储在手机里,与确诊信息的匹配计算也将在手机上而不是中央服务器集中进行。

相比之下,我国推行的“健康码”,以及在韩国等国家实施的疫情管理技术措施则代表了一种中心化的数据管理思路。强有力的政府部门在其中发挥核心角色,统领汇合各方数据。以我国一体化政务服务平台“防疫健康码”为例,集中了卫生健康、工信、交通运输、海关、移民管理、民航、铁路方面的数据,数据类型广泛,规模庞大。

类似地,在韩国,政府机构根据2015年Mer传染病暴发后的立法授权,汇集了智能手机定位数据和信用卡记录等各类数据,追踪冠状病毒患者轨迹,并建立病毒传播链进行管理,以一种中心化,自上而下的方式运行。

其二,强调用户自愿选择加入。

在该项目的第一阶段,只有用户主动下载了由当地公共机构基于蓝牙追踪功能开发的应用程序,才能加入该项目;项目的第二阶段,出于提升项目准确性和扩大用户规模目的,苹果谷歌将通过操作系统的更新将蓝牙追踪功能嵌入系统本身。但苹果和谷歌都表示,系统更新时仍然会主动征询用户的同意,用户不同意加入追踪计划的,不妨碍用户正常更新使用手机。这意味着所有参与者都需要自主同意。苹果谷歌均表示并不支持政府强制推广。

其三,不收集用户身份、位置等个人信息。

在苹果谷歌合作的第二阶段,蓝牙接触者追踪工具将被内置到操作系统中。这种深入系统层面的功能一旦被滥用,将会对公众的隐私造成重大威胁。也正因为受到隐私保护团队的高度关注,苹果和谷歌在该合作项目中对于技术运作方式的安排也更加谨慎。

值得注意的是,这套应用收集的信息类型主要为蓝牙接触信息,并不涉及用户具体的位置信息。通过嵌套加密和动态变化后,也力在避免识别个人身份用户,确保数据安全,同时避免识别出个人和用户的位置。

我国推行的“健康码”面向用户收集的信息中,不仅信息类型广泛,且涉及大量个人身份信息,用户姓名,手机号码,身份证号码几乎是收集标配。在敏感信息类型方面,也普遍地通过采集人脸信息来实现身份验证。健康码的另一种类型“行程码”,也主要以处理用户具体的位置轨迹信息来实现功能。当然,目前我国的“健康码”涉及的用户隐私信息被严格控制,均不向公众开放。

优劣势突出

我国推行的“健康码”,通过微信、支付宝等平台入口覆盖了数亿人口,但其仍然也仅限于我国之内。若跳出国家视野,放眼全球疫情防控,则需要更加通用的技术方案。国家之间如果无法建立一致、高效的信息交流体系,抗疫成果就只能局限在一国之内。一旦开放边境,恢复正常的人员流动和贸易活动,“输入型”病例很可能导致疫情控制成果前功尽弃。

谷歌苹果提出的蓝牙追踪工具正在提供底层通用技术方面做出的努力。如果各国公共卫生机构选择加入和利用该工具,将有望实现跨国之间的疫情防控协同。目前包括美国、欧盟部分成员国、英国、澳大利亚、加拿大、新加坡等国都已经部署或正在考虑部署基于蓝牙的病毒传播追踪APP应用,这些国家可以依靠谷歌和苹果的这次合作,进一步完善各自的追踪应用,并增强各国之间的疫情预警协同。

4月16日,欧盟委员会发布了《关于在数据保护方面支持与COVID 19大流行作战的应用程序指南》,其中对基于蓝牙技术跟踪的做出了规范指引,这意味欧盟支持蓝牙追踪应用,只是强调需要遵循相应的规范 。

欧盟正在推进的“泛欧隐私保护接触追踪”计划(PEPP-PT)也旨在提供“多国共享交流机制”。即使有人从一个欧洲国家前往另一个国家,他们仍然可以接收或触发警报。 因此,欧盟对谷歌和苹果的合作表示欢迎,称其可以帮助“泛欧隐私保护接触追踪计划”缩短部署路径并解决操作系统的稳定性和设备校准问题。 而在疫情常态化背景下,蓝牙追踪应用也很可能同保持社交距离(social distance),推进普遍检测等手段一样,成为政府解除封锁措施,恢复社会秩序的重要支撑。

不过,受技术准确性,自愿参与用户人数以及核酸检测能力的影响,蓝牙接触者追踪工具的有效性还有待论证。

蓝牙技术可能不精确并且不同手机信号强度存在差异。蓝牙信号通常可以辐射约9米多,远大于通常认为的——不会造成新冠病毒感染的2米社交安全距离。

对于这一点,谷歌和苹果回应称,公共卫生部门可针对蓝牙接触跟踪的信号交换阈值进行微调,以报告更紧密的接触。但蓝牙不会检测到两个人间的直线距离虽然在2米之内,但两人处于不同的房间或者不同建筑中。因此,在公寓、办公楼等密集环境中,蓝牙技术的准确率可能大打折扣。

关于用户可以选择自愿参与的有效性问题,根据斯坦福大学接触者跟踪项目Covid-Watch的研究人员分析,只有大约50%至70%的人口使用安装接触者追踪工具,数字追踪才能发挥效果。

此外,准确的确诊感染信息是追踪工具有效运转的关键,但到目前为止,很多国家仍然缺乏有效的检测能力。根据Covid Tracking Project的数据,在美国,只有不到300万人接受了核酸检测,不到美国总人口的百分之一。

如果人们未经测试,则不会产生足够的预警信息,难以记录与他们接触的人。还有一个问题,并不是每个人都使用智能手机。在智能手机普及程度较高的美国,拥有智能手机的人口占比为81%。在发展中国家,这个比例仅为45%。

借鉴和启示

收集的信息越广泛,越敏感,对公民个人隐私的介入程度就越深,同样对数据安全来带来更多挑战。正因如此,在对抗疫情的技术防控手段中,改进信息收集范围和处理模式的空间还很大。

基于蓝牙接触信息而非收集个人的实时位置信息,是科技在尊重个人隐私和实现疫情预警功能二者之间寻找平衡的一种尝试,这种另辟蹊径的做法的效果还有待检视,但项目对隐私和数据安全的谨慎心态值得借鉴。

在欧洲,由17家机构和130多位科学家共同参与的“泛欧隐私保护接触追踪”计划(PEPP-PT)也正在考虑类似的蓝牙技术应用,其同样淡化了身份和地点信息,只关注特定两个个体间的距离和时间两个标尺。此外,该计划也采用了将敏感信息加密于用户本地的做法。

另一个值得借鉴的点是,蓝牙接触者追踪虽然可以依赖技术手段实现大部分自动化的数据处理,但整个系统的有效性以及安全性仍然离不开机构或人工的干预。

在最早将蓝牙技术用于感染者追踪的新加坡,编写TraceTogether应用程序的技术专家也认为,数字接触追踪技术不可能完全取代传统的人工接触追踪。中心化和非中心化的技术路径,也并不是非此即彼的,二者可以相互借鉴经验,并共同构成疫情防控的技术措施体系。在很多国家的疫情防控实践中,既可以看到中心化模式的技术措施,也可以看到去中心化的技术手段。

由政府部门发起的在中心化数据管理平台,如英国国民健康服务体系NHS的统一数据平台,以及我国的健康码统一政务服务平台,发挥了数据完整、准确的优势,既可以服务于个体,同时也能够也为决策提供实时数据支撑。

同时,由民间私营部门发起的蓝牙追踪技术,以去中心化的思路,从分散的末端入手,以用户自愿参与为原则,共同发挥数据对于疫情防控的价值,做到人人为我,我为人人。其中出于对用户隐私的尊重,对数据安全的考量而采取的相关措施,如最小化,加密,标识符动态变化等也完全可以被吸收中心化的技术路径中,探索出更优的疫情预警与防控方案。(作者王融为腾讯研究院资深专家,闫锦麟为腾讯研究院助理研究员;编辑:谢丽容)

【版权声明】本作品著作权归《财经》独家所有,授权深圳市腾讯计算机系统有限公司独家享有信息网络传播权,任何第三方未经授权,不得转载。