|
两种方式孰优孰劣目前无法判断,但深入比较有助于彼此借鉴启发,在保护隐私的前提下,走好公共健康与社会经济生活复苏之间的平衡木 文 | 王融 闫锦麟 新冠肺炎疫情在全球的发展蔓延局势依然严峻,对感染者和密切接触者的追踪隔离,仍然是当前缓解疫情蔓延最为依赖的措施之一。在此背景下,近期,两大科技巨头谷歌与苹果罕见地宣布展开合作,将联合开发一个打通安卓和IOS系统推出一个美国版“健康码”计划,该计划基于蓝牙的接触者追踪工具,在保障用户隐私和安全性的基础上,对可能接触感染者的用户发出预警提示,帮助降低病毒传播速度。 实际上,蓝牙接触追踪并非两家公司首创,新加坡政府在3月就开发了Trace together蓝牙追踪应用。但作为全球两大主导的智能手机操作系统提供商,苹果和谷歌开发的蓝牙接触者追踪工具可触达全球30亿智能手机用户,规模之大,无出其右者。 该项目目前仍面临隐私保护、有效性等方面的质疑,但很多人对这次合作充满期待。国内媒体的解读也往往将其与国内的“健康码”相联系,将其喻为全球最大健康码项目。我们深度比较后,发现二者从运作理念、技术原理、覆盖范围、推进方式,效果考察等方面存在较大差异。 最大的不同是,苹果和谷歌联手开发的这个“蓝牙接触者追踪项目”虽然也依赖公共卫生管理部门,但仍然是一个强调“分散化”的,自下而上的技术方案,这与我国国内的“健康码”,以及韩国、新加坡等国家以政府为核心主导,依赖中心化数据库的技术路径有着显著不同。 我们无法作出孰优孰劣的简单判断,但对二者的深入比较,将有助于彼此借鉴启发,不断完善疫情防控技术手段,取得隐私保护,公共健康与社会经济生活有序复苏之间的平衡。 为什么是谷歌和苹果? 也正是考虑到其可能带来的深远影响,两家公司对其运作机制十分谨慎,对用户的隐私和数据安全作出了特别考虑。 简单说说该健康码工具的工作原理:用户打开后,智能手机会自动生成本地追踪密钥(Tracing Key)、当日跟踪密钥(Daily Tracing Key)、滚动接近标识符(Rolling Proximity Identifier)等层层加密、相互嵌套的密钥。这套密钥存储在用户的智能手机中,而且实时更新,当日跟踪密钥每24小时更新,滚动接近标识符每15分钟更新。 假设两个人处于蓝牙信号可连接的距离之内,智能手机会自动交换滚动接近标识符。 被确诊感染新冠肺炎的人,有一套特殊的确诊密钥。这套确诊密钥生成于一个只有公共卫生机构可访问的中央服务器,卫生机构应用程序会向过去14天与确诊者交换过滚动接近标识符的所有人(即与确诊者有过接触历史的人)发送这套特殊密钥。安装该应用程序的手机会定期下载这些密钥并在本地进行匹配。 也就是说,如果你和被确诊患者近距离接触过,就会和对方交换滚动接近标识符,也会收到通知,告诉你,你曾与感染者接触。 为什么要层层加密,并高频率更新密钥?核心是为了保护用户身份的保密性,并防止泄露用户的位置轨迹信息。当然,在极少数情形下,仍可能出现身份暴露的情况,但大规模实现身份识别的可能性已被降低很多。 为什么这套系统需要谷歌和苹果联袂开发呢?因为要大规模使用,Android手机和iPhone手机要解决兼容问题。在合作的第一阶段,谷歌和苹果将共同开发API,使安卓和iOS两个操作系统的互操作成为可能。此后,两家公司将通过操作系统的更新,将蓝牙追踪功能嵌入系统本身,鼓励更多人参与。 三大特点 根据谷歌和苹果发布的联合声明,只有公共卫生机构被允许访问API来构建应用程序,且仅有公共卫生机构有权限访问确诊密钥信息。 但是如果深究其运作机理可以发现,虽然这套“健康码”有公共卫生机构的参与,理念仍然是去中心化的。具体体现在以下几个方面。 其一,不需要建立用户中心化数据库,数据大部分存储在用户手机上。 苹果谷歌鼓励卫生服务部门在全球范围内构建以分散方式运行的接触者追踪应用程序,使得个人有机会知道是否接触过感染者,但卫生服务部门并不需要建立用来存储个人信息的中心化数据库。 技术运行仅在中央系统维护最小数据(确诊密钥信息),技术运行所涉及到的其他用户数据(蓝牙接触信息)都以加密方式存储在手机里,与确诊信息的匹配计算也将在手机上而不是中央服务器集中进行。 相比之下,我国推行的“健康码”,以及在韩国等国家实施的疫情管理技术措施则代表了一种中心化的数据管理思路。强有力的政府部门在其中发挥核心角色,统领汇合各方数据。以我国一体化政务服务平台“防疫健康码”为例,集中了卫生健康、工信、交通运输、海关、移民管理、民航、铁路方面的数据,数据类型广泛,规模庞大。 类似地,在韩国,政府机构根据2015年Mer传染病暴发后的立法授权,汇集了智能手机定位数据和信用卡记录等各类数据,追踪冠状病毒患者轨迹,并建立病毒传播链进行管理,以一种中心化,自上而下的方式运行。 其二,强调用户自愿选择加入。 在该项目的第一阶段,只有用户主动下载了由当地公共机构基于蓝牙追踪功能开发的应用程序,才能加入该项目;项目的第二阶段,出于提升项目准确性和扩大用户规模目的,苹果谷歌将通过操作系统的更新将蓝牙追踪功能嵌入系统本身。但苹果和谷歌都表示,系统更新时仍然会主动征询用户的同意,用户不同意加入追踪计划的,不妨碍用户正常更新使用手机。这意味着所有参与者都需要自主同意。苹果谷歌均表示并不支持政府强制推广。 其三,不收集用户身份、位置等个人信息。 在苹果谷歌合作的第二阶段,蓝牙接触者追踪工具将被内置到操作系统中。这种深入系统层面的功能一旦被滥用,将会对公众的隐私造成重大威胁。也正因为受到隐私保护团队的高度关注,苹果和谷歌在该合作项目中对于技术运作方式的安排也更加谨慎。 值得注意的是,这套应用收集的信息类型主要为蓝牙接触信息,并不涉及用户具体的位置信息。通过嵌套加密和动态变化后,也力在避免识别个人身份用户,确保数据安全,同时避免识别出个人和用户的位置。 我国推行的“健康码”面向用户收集的信息中,不仅信息类型广泛,且涉及大量个人身份信息,用户姓名,手机号码,身份证号码几乎是收集标配。在敏感信息类型方面,也普遍地通过采集人脸信息来实现身份验证。健康码的另一种类型“行程码”,也主要以处理用户具体的位置轨迹信息来实现功能。当然,目前我国的“健康码”涉及的用户隐私信息被严格控制,均不向公众开放。 优劣势突出 |
