近日，美國蘋果公司和谷歌公司宣布，將聯(lián)手開發(fā)手機(jī)接觸追蹤（Contact Tracing）技術(shù)，用以預(yù)防新型冠狀病毒擴(kuò)散。該接觸追蹤技術(shù)是操作系統(tǒng)（operating system-level）層面的技術(shù)，類似應(yīng)用程序。如果開發(fā)完成，使用IOS系統(tǒng)的蘋果手機(jī)用戶和使用谷歌公司開發(fā)的Android系統(tǒng)手機(jī)用戶，可以從當(dāng)?shù)厣霞艿膽?yīng)用商店下載并使用。

新冠病毒爆發(fā)后，中國各地方先后推出“健康碼”，用于證明個(gè)人健康狀況，被廣泛用作出入通行憑證。國家政務(wù)服務(wù)平臺(tái)也推出了“防疫健康信息碼”，適用于全國并且可以和地方“健康碼”互相開放服務(wù)接口，實(shí)現(xiàn)信息互認(rèn)。

在媒體的報(bào)道中，有將美國版“接觸追蹤”技術(shù)類比為中國版“健康碼”。筆者認(rèn)為，二者有本質(zhì)區(qū)別，美國版“接觸追蹤”技術(shù)不需要借助二維碼來實(shí)現(xiàn)基本功能，二者為預(yù)防疫情擴(kuò)散的不同技術(shù)手段。

美國版“接觸追蹤”技術(shù)

和中國版“健康碼”技術(shù)架構(gòu)

如圖1所示，美國版“接觸追蹤”技術(shù)實(shí)現(xiàn)對(duì)疫情防控的技術(shù)架構(gòu)為：擁有手機(jī)的個(gè)人用戶如果在一定距離范圍內(nèi)發(fā)生過接觸，手機(jī)的藍(lán)牙設(shè)備將通過UUID技術(shù)（經(jīng)過Tracing Key和Daily Tracing Key加密）交換信息，實(shí)現(xiàn)手機(jī)之間的“對(duì)話”，“記住”和對(duì)方手機(jī)曾經(jīng)在一定距離范圍內(nèi)互相接觸過這一信息。

如果某手機(jī)用戶被確診感染，將從診所或者醫(yī)院得到“診斷碼”（Diagnosis Key），通過診斷碼將手機(jī)“記住”的和其他手機(jī)的“對(duì)話”信息主動(dòng)上傳至中心平臺(tái)。中心平臺(tái)通知和確診手機(jī)用戶有過接觸的其他手機(jī)用戶，如果其他手機(jī)用戶選擇接受信息這一功能。

蘋果公司和谷歌公司從技術(shù)層面合作開發(fā)注冊(cè)UUID的藍(lán)牙節(jié)能（Bluetooth Low Energy, BLE）技術(shù)，實(shí)現(xiàn)手機(jī)間“對(duì)話”，并通過開放接口API實(shí)現(xiàn)IOS和Android操作系統(tǒng)手機(jī)間信息互認(rèn)。

如圖2所示，中國版“健康碼”實(shí)現(xiàn)對(duì)疫情防控的技術(shù)架構(gòu)為：用戶通過移動(dòng)設(shè)備手機(jī)下載APP或者利用APP中的健康功能模塊，注冊(cè)成為用戶后在線申領(lǐng)，填寫系統(tǒng)要求的相關(guān)個(gè)人健康信息，然后上傳到防疫通行碼平臺(tái)并定時(shí)更新健康信息，平臺(tái)將生成二維碼。

“健康碼”的主要作用為出入憑證，用戶通過手機(jī)訪問防疫通行碼平臺(tái)，終端屏幕顯示防疫通行碼，證明健康狀況，有的二維碼根據(jù)健康狀況直觀的以“綠、黃、紅”三種顏色表示。防控檢測(cè)、或者管理人員還可以通過“掃一掃”功能掃描防疫通行碼，核驗(yàn)人員可以核驗(yàn)用戶填報(bào)信息真實(shí)性，調(diào)整后上報(bào)。

美國版“接觸追蹤”技術(shù)

和中國版“健康碼”相同之處

美國版“接觸追蹤”技術(shù)和中國版“健康碼”的目的均為防止疫情擴(kuò)散，疏離感染或者高危人群，警示和保護(hù)健康人群。為實(shí)現(xiàn)這一目的，均需收集和共享個(gè)人信息，尤其是健康醫(yī)療信息。其相同之處有：

1、收集共享健康醫(yī)療信息均需借助公共通信網(wǎng)絡(luò)或者互聯(lián)網(wǎng)，最終將信息上傳至中心平臺(tái)方可最終實(shí)現(xiàn)防疫目的，均有提供防疫信息供用戶選擇是否自我隔離的作用。美國版“接觸追蹤”技術(shù)在用戶確診后，將確診信息和手機(jī)“對(duì)話”信息上傳至中心平臺(tái)，平臺(tái)將確診信息通知其他用戶；中國版“健康碼”用戶將信息上傳至中心平臺(tái)。二者均需借助公網(wǎng)，藍(lán)牙通信距離短無法實(shí)現(xiàn)信息上傳中心平臺(tái)，且均需由中心平臺(tái)處理信息后通知有接觸史用戶或者進(jìn)行信息展示。

2、要實(shí)現(xiàn)二者功能，理論上均無需收集GPS精準(zhǔn)定位或者行蹤軌跡信息。美國版“接觸追蹤”技術(shù)使用藍(lán)牙BLE實(shí)現(xiàn)“手機(jī)”對(duì)話無需地理位置信息，而且有專門的Rolling Proximity Identifier，防止無線wifi探測(cè)到用戶地理位置；中國版“健康碼”用戶可以選擇是否共享地理位置信息（不同健康碼功能設(shè)計(jì)或者健康碼的不同功能可能有所不同）。

3、二者均采取“選擇加入”（opt in）模式，即用戶可以選擇使用或者不使用這一服務(wù)，也可以選擇是否對(duì)外提供個(gè)人健康醫(yī)療信息。美國版“接觸追蹤”技術(shù)下，用戶確診后，憑借Diagnosis Key選擇是否上傳手機(jī)中記錄的信息；中國版“健康碼”由用戶主動(dòng)填寫個(gè)人健康信息，盡管實(shí)踐中在用戶授權(quán)情形下，中心平臺(tái)可能還可以從其他渠道獲得并融合用戶信息，用于驗(yàn)證信息真實(shí)性或提供更多的個(gè)人健康信息。

美國版“接觸追蹤”技術(shù)

和中國版“健康碼”不同之處

個(gè)人敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。按照目前行業(yè)比較一致的實(shí)踐認(rèn)知，與疫情防控相關(guān)的個(gè)人敏感信息至少包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息（個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等）、行蹤軌跡、精準(zhǔn)定位信息、住宿信息、健康生理信息（個(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄和診療信息等）等。

從實(shí)現(xiàn)防疫功能角度，美國版“接觸追蹤”技術(shù)和中國版“健康碼”均需要采集和共享個(gè)人敏感信息；從個(gè)人信息保護(hù)角度，均涉及如何“合法、正當(dāng)、必要”地在用戶同意情況下，僅采集和共享必要的個(gè)人敏感信息，同時(shí)確保信息安全。圍繞這兩個(gè)出發(fā)點(diǎn)，美國版“接觸追蹤”技術(shù)和中國版“健康碼”不同之處如下：

1、美國版“接觸追蹤”技術(shù)和中國版“健康碼”最形象的不同在于：中國版“健康碼”需要手機(jī)生成二維碼，而美國版“接觸追蹤”技術(shù)根本就沒有“碼”。如圖1所示，美國版“接觸追蹤”技術(shù)依靠注冊(cè)于BLE藍(lán)牙的UUID實(shí)現(xiàn)手機(jī)“對(duì)話”（并不通過手機(jī)錄音方式記錄用戶的語音信息），如果某手機(jī)用戶確診，自愿上傳至中心平臺(tái)的個(gè)人健康醫(yī)療信息和手機(jī)“對(duì)話”經(jīng)過處理后被告知有接觸史的手機(jī)（用戶）。除非基于這一基本功能另行開發(fā)二維碼，該技術(shù)實(shí)現(xiàn)本身不需要二維碼。

2、收集個(gè)人敏感信息的數(shù)量不同。從目前公開的技術(shù)線路圖來看，美國版“接觸追蹤”技術(shù)全程僅收集確診感染用戶手機(jī)“對(duì)話”信息（如果用戶到訪過醫(yī)院但未確診感染，個(gè)人健康醫(yī)療信息和手機(jī)中存儲(chǔ)的手機(jī)間“對(duì)話”信息不會(huì)上傳至中心平臺(tái)；未到訪過醫(yī)院的用戶的個(gè)人信息不會(huì)上傳至中心平臺(tái)），不收集身份信息和GPS精準(zhǔn)定位信息；中國版“健康碼”除了收集確診感染信息之外，還收集身份信息及證件號(hào)碼用于注冊(cè)時(shí)實(shí)名認(rèn)證，需要用戶填報(bào)確診感染信息之外的健康信息等身體體征狀況信息，還可以綁定家屬等他人健康信息，可以提供出行旅行信息，實(shí)踐中有的需要人臉識(shí)別或者位置信息才可能使用所有功能。

3、收集個(gè)人敏感信息的方式不同。中國版“健康碼”主要通過用戶主動(dòng)上傳個(gè)人健康信息實(shí)現(xiàn)功能。美國版“接觸追蹤”技術(shù)一共涉及兩次個(gè)人信息收集：第一次為手機(jī)之間通過注冊(cè)于藍(lán)牙BLE的UUID，在Tracing Key加密保護(hù)條件下，互相通過機(jī)器語言收集彼此在一定范圍內(nèi)接觸過這一信息，該信息僅存儲(chǔ)于手機(jī)終端，為分布式邊緣存儲(chǔ)，此時(shí)并不上傳中心平臺(tái)；第二次為確診用戶通過從醫(yī)生得到的Diagnosis Key主動(dòng)上傳確診信息。一旦確診，兩次收集的信息都在用戶主動(dòng)選擇情況下，上傳中心平臺(tái)用以通知其他用戶。可以看出，美國版“接觸追蹤”主要以自動(dòng)化機(jī)器采集機(jī)器信息（盡管該機(jī)器信息可能也被歸于個(gè)人信息）為主，而非用戶主動(dòng)提供填寫提供個(gè)人信息。而且，被通知的手機(jī)用戶也不用知道被確診的用戶身份，僅需知道在什么時(shí)間和什么區(qū)域的位置范圍之內(nèi)曾經(jīng)接觸過確診患者。每一部手機(jī)中均互相記錄多部手機(jī)信息，還可以從中判斷所接觸的確診手機(jī)用戶數(shù)量。

不同“技術(shù)防疫”路徑下

個(gè)人敏感信息保護(hù)的考量

從上述介紹和分析可以看出：

1、理想狀態(tài)下，美國版“接觸追蹤”技術(shù)通過注冊(cè)于藍(lán)牙BLE的UUID實(shí)現(xiàn)手機(jī)間“對(duì)話”并將這一對(duì)話暫時(shí)保存在手機(jī)端（并不通過錄音記錄手機(jī)用戶日常語音信息）；如果某手機(jī)用戶確診，才在其同意的情形下通過醫(yī)生給予的Diagnosis Key，主動(dòng)將手機(jī)中記錄的在一定范圍內(nèi)接觸過其他手機(jī)（用戶）這一信息上傳至中心平臺(tái)，中心平臺(tái)用以通知其他手機(jī)用戶。整個(gè)過程中收集的個(gè)人信息數(shù)量非常有限，不包括非確診用戶信息，也不包括確診用戶確診信息和手機(jī)“對(duì)話”信息之外的信息，不包括用戶與親屬等人員關(guān)系信息等。最大的隱私擔(dān)憂手機(jī)的GPS地理位置信息被專門技術(shù)保護(hù)防止被實(shí)時(shí)收集。中心平臺(tái)通知有確診用戶接觸史的其他用戶仍然需要通過互聯(lián)網(wǎng)（而非藍(lán)牙）實(shí)現(xiàn)，有可能需要提供更多的個(gè)人信息才能接收通知。

2、由于通過手機(jī)“對(duì)話”手機(jī)，用戶處于被動(dòng)收集信息狀態(tài)，不主動(dòng)提供信息，主動(dòng)同意提供給中心平臺(tái)的確診信息和手機(jī)“對(duì)話”信息的準(zhǔn)確度基本不受人為干預(yù)，防止人為誤填。中國版“健康碼”需要用戶主動(dòng)提供防疫信息，還涉及核驗(yàn)人員對(duì)信息的核驗(yàn)，以及通過融合其他可信平臺(tái)已經(jīng)采集的個(gè)人信息進(jìn)行驗(yàn)證。

3、實(shí)際上，美國版“接觸追蹤”技術(shù)和中國版“健康碼”是兩種技術(shù)路徑，作用不同，并不互相排斥，甚至可以疊加使用。美國版“接觸追蹤”技術(shù)本身并不需要二維碼實(shí)現(xiàn)功能，其技術(shù)并非用作出入通行自證健康的憑證，即使被確診或者被告知和患者有過接觸，“接觸追蹤”技術(shù)并不能限制手機(jī)用戶出入任何場(chǎng)所，也不提供給任何第三方允許或者拒絕個(gè)人出入任何場(chǎng)所的手段可能性，依靠手機(jī)用戶自我選擇治療或者隔離。

參考資料：

1、Contact Tracing Bluetooth Specification

2、《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》

3、《個(gè)人信息安全規(guī)范》

4、《防疫通行碼參考架構(gòu)與技術(shù)指南》

5、《全國一體化政務(wù)服務(wù)平臺(tái) 防疫健康信息碼接口標(biāo)準(zhǔn)》

注：作者為律師，本文非法律意見。返回搜狐，查看更多