原標(biāo)題：谷歌蘋果罕見聯(lián)手，美國版“健康碼”如何保護(hù)個人隱私？ 來源：財經(jīng)

罕見聯(lián)手，美國版“健康碼”如何保護(hù)個人隱私？

新冠肺炎疫情在全球的發(fā)展蔓延局勢依然嚴(yán)峻，對感染者和密切接觸者的追蹤隔離，仍然是當(dāng)前緩解疫情蔓延最為依賴的措施之一。在此背景下，近期，兩大科技巨頭谷歌與蘋果罕見地宣布展開合作，將聯(lián)合開發(fā)一個打通安卓和IOS系統(tǒng)推出一個美國版“健康碼”計劃，該計劃基于藍(lán)牙的接觸者追蹤工具，在保障用戶隱私和安全性的基礎(chǔ)上，對可能接觸感染者的用戶發(fā)出預(yù)警提示，幫助降低病毒傳播速度。

實(shí)際上，藍(lán)牙接觸追蹤并非兩家公司首創(chuàng)，新加坡政府在3月就開發(fā)了Trace together藍(lán)牙追蹤應(yīng)用。但作為全球兩大主導(dǎo)的智能手機(jī)操作系統(tǒng)提供商，蘋果和谷歌開發(fā)的藍(lán)牙接觸者追蹤工具可觸達(dá)全球30億智能手機(jī)用戶，規(guī)模之大，無出其右者。

該項(xiàng)目目前仍面臨隱私保護(hù)、有效性等方面的質(zhì)疑，但很多人對這次合作充滿期待。國內(nèi)媒體的解讀也往往將其與國內(nèi)的“健康碼”相聯(lián)系，將其喻為全球最大健康碼項(xiàng)目。我們深度比較后，發(fā)現(xiàn)二者從運(yùn)作理念、技術(shù)原理、覆蓋范圍、推進(jìn)方式，效果考察等方面存在較大差異。

最大的不同是，蘋果和谷歌聯(lián)手開發(fā)的這個“藍(lán)牙接觸者追蹤項(xiàng)目”雖然也依賴公共衛(wèi)生管理部門，但仍然是一個強(qiáng)調(diào)“分散化”的，自下而上的技術(shù)方案，這與我國國內(nèi)的“健康碼”，以及韓國、新加坡等國家以政府為核心主導(dǎo)，依賴中心化數(shù)據(jù)庫的技術(shù)路徑有著顯著不同。

我們無法作出孰優(yōu)孰劣的簡單判斷，但對二者的深入比較，將有助于彼此借鑒啟發(fā)，不斷完善疫情防控技術(shù)手段，取得隱私保護(hù)，公共健康與社會經(jīng)濟(jì)生活有序復(fù)蘇之間的平衡。

為什么是谷歌和蘋果？

也正是考慮到其可能帶來的深遠(yuǎn)影響，兩家公司對其運(yùn)作機(jī)制十分謹(jǐn)慎，對用戶的隱私和數(shù)據(jù)安全作出了特別考慮。

簡單說說該健康碼工具的工作原理：用戶打開后，智能手機(jī)會自動生成本地追蹤密鑰（Tracing Key）、當(dāng)日跟蹤密鑰（Daily Tracing Key）、滾動接近標(biāo)識符（Rolling Proximity Identifier）等層層加密、相互嵌套的密鑰。這套密鑰存儲在用戶的智能手機(jī)中，而且實(shí)時更新，當(dāng)日跟蹤密鑰每24小時更新，滾動接近標(biāo)識符每15分鐘更新。

假設(shè)兩個人處于藍(lán)牙信號可連接的距離之內(nèi)，智能手機(jī)會自動交換滾動接近標(biāo)識符。

被確診感染新冠肺炎的人，有一套特殊的確診密鑰。這套確診密鑰生成于一個只有公共衛(wèi)生機(jī)構(gòu)可訪問的中央服務(wù)器，衛(wèi)生機(jī)構(gòu)應(yīng)用程序會向過去14天與確診者交換過滾動接近標(biāo)識符的所有人（即與確診者有過接觸歷史的人）發(fā)送這套特殊密鑰。安裝該應(yīng)用程序的手機(jī)會定期下載這些密鑰并在本地進(jìn)行匹配。

也就是說，如果你和被確診患者近距離接觸過，就會和對方交換滾動接近標(biāo)識符，也會收到通知，告訴你，你曾與感染者接觸。

為什么要層層加密，并高頻率更新密鑰？核心是為了保護(hù)用戶身份的保密性，并防止泄露用戶的位置軌跡信息。當(dāng)然，在極少數(shù)情形下，仍可能出現(xiàn)身份暴露的情況，但大規(guī)模實(shí)現(xiàn)身份識別的可能性已被降低很多。

為什么這套系統(tǒng)需要谷歌和蘋果聯(lián)袂開發(fā)呢？因?yàn)橐笠?guī)模使用，Android手機(jī)和iPhone手機(jī)要解決兼容問題。在合作的第一階段，谷歌和蘋果將共同開發(fā)API，使安卓和iOS兩個操作系統(tǒng)的互操作成為可能。此后，兩家公司將通過操作系統(tǒng)的更新，將藍(lán)牙追蹤功能嵌入系統(tǒng)本身，鼓勵更多人參與。

三大特點(diǎn)

根據(jù)谷歌和蘋果發(fā)布的聯(lián)合聲明，只有公共衛(wèi)生機(jī)構(gòu)被允許訪問API來構(gòu)建應(yīng)用程序，且僅有公共衛(wèi)生機(jī)構(gòu)有權(quán)限訪問確診密鑰信息。

但是如果深究其運(yùn)作機(jī)理可以發(fā)現(xiàn)，雖然這套“健康碼”有公共衛(wèi)生機(jī)構(gòu)的參與，理念仍然是去中心化的。具體體現(xiàn)在以下幾個方面。

其一，不需要建立用戶中心化數(shù)據(jù)庫，數(shù)據(jù)大部分存儲在用戶手機(jī)上。

蘋果谷歌鼓勵衛(wèi)生服務(wù)部門在全球范圍內(nèi)構(gòu)建以分散方式運(yùn)行的接觸者追蹤應(yīng)用程序，使得個人有機(jī)會知道是否接觸過感染者，但衛(wèi)生服務(wù)部門并不需要建立用來存儲個人信息的中心化數(shù)據(jù)庫。

技術(shù)運(yùn)行僅在中央系統(tǒng)維護(hù)最小數(shù)據(jù)（確診密鑰信息），技術(shù)運(yùn)行所涉及到的其他用戶數(shù)據(jù)（藍(lán)牙接觸信息）都以加密方式存儲在手機(jī)里，與確診信息的匹配計算也將在手機(jī)上而不是中央服務(wù)器集中進(jìn)行。

相比之下，我國推行的“健康碼”，以及在韓國等國家實(shí)施的疫情管理技術(shù)措施則代表了一種中心化的數(shù)據(jù)管理思路。強(qiáng)有力的政府部門在其中發(fā)揮核心角色，統(tǒng)領(lǐng)匯合各方數(shù)據(jù)。以我國一體化政務(wù)服務(wù)平臺“防疫健康碼”為例，集中了衛(wèi)生健康、工信、交通運(yùn)輸、海關(guān)、移民管理、民航、鐵路方面的數(shù)據(jù)，數(shù)據(jù)類型廣泛，規(guī)模龐大。

類似地，在韓國，政府機(jī)構(gòu)根據(jù)2015年Mer傳染病暴發(fā)后的立法授權(quán)，匯集了智能手機(jī)定位數(shù)據(jù)和信用卡記錄等各類數(shù)據(jù)，追蹤冠狀病毒患者軌跡，并建立病毒傳播鏈進(jìn)行管理，以一種中心化，自上而下的方式運(yùn)行。

其二，強(qiáng)調(diào)用戶自愿選擇加入。

在該項(xiàng)目的第一階段，只有用戶主動下載了由當(dāng)?shù)毓矙C(jī)構(gòu)基于藍(lán)牙追蹤功能開發(fā)的應(yīng)用程序，才能加入該項(xiàng)目；項(xiàng)目的第二階段，出于提升項(xiàng)目準(zhǔn)確性和擴(kuò)大用戶規(guī)模目的，蘋果谷歌將通過操作系統(tǒng)的更新將藍(lán)牙追蹤功能嵌入系統(tǒng)本身。但蘋果和谷歌都表示，系統(tǒng)更新時仍然會主動征詢用戶的同意，用戶不同意加入追蹤計劃的，不妨礙用戶正常更新使用手機(jī)。這意味著所有參與者都需要自主同意。蘋果谷歌均表示并不支持政府強(qiáng)制推廣。

其三，不收集用戶身份、位置等個人信息。

在蘋果谷歌合作的第二階段，藍(lán)牙接觸者追蹤工具將被內(nèi)置到操作系統(tǒng)中。這種深入系統(tǒng)層面的功能一旦被濫用，將會對公眾的隱私造成重大威脅。也正因?yàn)槭艿诫[私保護(hù)團(tuán)隊(duì)的高度關(guān)注，蘋果和谷歌在該合作項(xiàng)目中對于技術(shù)運(yùn)作方式的安排也更加謹(jǐn)慎。

值得注意的是，這套應(yīng)用收集的信息類型主要為藍(lán)牙接觸信息，并不涉及用戶具體的位置信息。通過嵌套加密和動態(tài)變化后，也力在避免識別個人身份用戶，確保數(shù)據(jù)安全，同時避免識別出個人和用戶的位置。

我國推行的“健康碼”面向用戶收集的信息中，不僅信息類型廣泛，且涉及大量個人身份信息，用戶姓名，手機(jī)號碼，身份證號碼幾乎是收集標(biāo)配。在敏感信息類型方面，也普遍地通過采集人臉信息來實(shí)現(xiàn)身份驗(yàn)證。健康碼的另一種類型“行程碼”，也主要以處理用戶具體的位置軌跡信息來實(shí)現(xiàn)功能。當(dāng)然，目前我國的“健康碼”涉及的用戶隱私信息被嚴(yán)格控制，均不向公眾開放。

優(yōu)劣勢突出

我國推行的“健康碼”，通過微信、支付寶等平臺入口覆蓋了數(shù)億人口，但其仍然也僅限于我國之內(nèi)。若跳出國家視野，放眼全球疫情防控，則需要更加通用的技術(shù)方案。國家之間如果無法建立一致、高效的信息交流體系，抗疫成果就只能局限在一國之內(nèi)。一旦開放邊境，恢復(fù)正常的人員流動和貿(mào)易活動，“輸入型”病例很可能導(dǎo)致疫情控制成果前功盡棄。

谷歌蘋果提出的藍(lán)牙追蹤工具正在提供底層通用技術(shù)方面做出的努力。如果各國公共衛(wèi)生機(jī)構(gòu)選擇加入和利用該工具，將有望實(shí)現(xiàn)跨國之間的疫情防控協(xié)同。目前包括美國、歐盟部分成員國、英國、澳大利亞、加拿大、新加坡等國都已經(jīng)部署或正在考慮部署基于藍(lán)牙的病毒傳播追蹤APP應(yīng)用，這些國家可以依靠谷歌和蘋果的這次合作，進(jìn)一步完善各自的追蹤應(yīng)用，并增強(qiáng)各國之間的疫情預(yù)警協(xié)同。

4月16日，歐盟委員會發(fā)布了《關(guān)于在數(shù)據(jù)保護(hù)方面支持與COVID 19大流行作戰(zhàn)的應(yīng)用程序指南》，其中對基于藍(lán)牙技術(shù)跟蹤的做出了規(guī)范指引，這意味歐盟支持藍(lán)牙追蹤應(yīng)用，只是強(qiáng)調(diào)需要遵循相應(yīng)的規(guī)范 。

歐盟正在推進(jìn)的“泛歐隱私保護(hù)接觸追蹤”計劃（PEPP-PT）也旨在提供“多國共享交流機(jī)制”。即使有人從一個歐洲國家前往另一個國家，他們?nèi)匀豢梢越邮栈蛴|發(fā)警報。 因此，歐盟對谷歌和蘋果的合作表示歡迎，稱其可以幫助“泛歐隱私保護(hù)接觸追蹤計劃”縮短部署路徑并解決操作系統(tǒng)的穩(wěn)定性和設(shè)備校準(zhǔn)問題。 而在疫情常態(tài)化背景下，藍(lán)牙追蹤應(yīng)用也很可能同保持社交距離（social distance），推進(jìn)普遍檢測等手段一樣，成為政府解除封鎖措施,恢復(fù)社會秩序的重要支撐。

不過，受技術(shù)準(zhǔn)確性，自愿參與用戶人數(shù)以及核酸檢測能力的影響，藍(lán)牙接觸者追蹤工具的有效性還有待論證。

藍(lán)牙技術(shù)可能不精確并且不同手機(jī)信號強(qiáng)度存在差異。藍(lán)牙信號通常可以輻射約9米多，遠(yuǎn)大于通常認(rèn)為的——不會造成新冠病毒感染的2米社交安全距離。

對于這一點(diǎn)，谷歌和蘋果回應(yīng)稱，公共衛(wèi)生部門可針對藍(lán)牙接觸跟蹤的信號交換閾值進(jìn)行微調(diào)，以報告更緊密的接觸。但藍(lán)牙不會檢測到兩個人間的直線距離雖然在2米之內(nèi)，但兩人處于不同的房間或者不同建筑中。因此，在公寓、辦公樓等密集環(huán)境中，藍(lán)牙技術(shù)的準(zhǔn)確率可能大打折扣。

關(guān)于用戶可以選擇自愿參與的有效性問題，根據(jù)斯坦福大學(xué)接觸者跟蹤項(xiàng)目Covid-Watch的研究人員分析，只有大約50％至70％的人口使用安裝接觸者追蹤工具，數(shù)字追蹤才能發(fā)揮效果。

此外，準(zhǔn)確的確診感染信息是追蹤工具有效運(yùn)轉(zhuǎn)的關(guān)鍵，但到目前為止，很多國家仍然缺乏有效的檢測能力。根據(jù)Covid Tracking Project的數(shù)據(jù)，在美國，只有不到300萬人接受了核酸檢測，不到美國總?cè)丝诘陌俜种弧?/p>

如果人們未經(jīng)測試，則不會產(chǎn)生足夠的預(yù)警信息，難以記錄與他們接觸的人。還有一個問題，并不是每個人都使用智能手機(jī)。在智能手機(jī)普及程度較高的美國，擁有智能手機(jī)的人口占比為81%。在發(fā)展中國家，這個比例僅為45%。

借鑒和啟示

收集的信息越廣泛，越敏感，對公民個人隱私的介入程度就越深，同樣對數(shù)據(jù)安全來帶來更多挑戰(zhàn)。正因如此，在對抗疫情的技術(shù)防控手段中，改進(jìn)信息收集范圍和處理模式的空間還很大。

基于藍(lán)牙接觸信息而非收集個人的實(shí)時位置信息，是科技在尊重個人隱私和實(shí)現(xiàn)疫情預(yù)警功能二者之間尋找平衡的一種嘗試，這種另辟蹊徑的做法的效果還有待檢視，但項(xiàng)目對隱私和數(shù)據(jù)安全的謹(jǐn)慎心態(tài)值得借鑒。

在歐洲，由17家機(jī)構(gòu)和130多位科學(xué)家共同參與的“泛歐隱私保護(hù)接觸追蹤”計劃（PEPP-PT）也正在考慮類似的藍(lán)牙技術(shù)應(yīng)用，其同樣淡化了身份和地點(diǎn)信息，只關(guān)注特定兩個個體間的距離和時間兩個標(biāo)尺。此外，該計劃也采用了將敏感信息加密于用戶本地的做法。

另一個值得借鑒的點(diǎn)是，藍(lán)牙接觸者追蹤雖然可以依賴技術(shù)手段實(shí)現(xiàn)大部分自動化的數(shù)據(jù)處理，但整個系統(tǒng)的有效性以及安全性仍然離不開機(jī)構(gòu)或人工的干預(yù)。

在最早將藍(lán)牙技術(shù)用于感染者追蹤的新加坡，編寫TraceTogether應(yīng)用程序的技術(shù)專家也認(rèn)為，數(shù)字接觸追蹤技術(shù)不可能完全取代傳統(tǒng)的人工接觸追蹤。中心化和非中心化的技術(shù)路徑，也并不是非此即彼的，二者可以相互借鑒經(jīng)驗(yàn)，并共同構(gòu)成疫情防控的技術(shù)措施體系。在很多國家的疫情防控實(shí)踐中，既可以看到中心化模式的技術(shù)措施，也可以看到去中心化的技術(shù)手段。

由政府部門發(fā)起的在中心化數(shù)據(jù)管理平臺，如英國國民健康服務(wù)體系NHS的統(tǒng)一數(shù)據(jù)平臺，以及我國的健康碼統(tǒng)一政務(wù)服務(wù)平臺，發(fā)揮了數(shù)據(jù)完整、準(zhǔn)確的優(yōu)勢，既可以服務(wù)于個體，同時也能夠也為決策提供實(shí)時數(shù)據(jù)支撐。

同時，由民間私營部門發(fā)起的藍(lán)牙追蹤技術(shù)，以去中心化的思路，從分散的末端入手，以用戶自愿參與為原則，共同發(fā)揮數(shù)據(jù)對于疫情防控的價值，做到人人為我，我為人人。其中出于對用戶隱私的尊重，對數(shù)據(jù)安全的考量而采取的相關(guān)措施，如最小化，加密，標(biāo)識符動態(tài)變化等也完全可以被吸收中心化的技術(shù)路徑中，探索出更優(yōu)的疫情預(yù)警與防控方案。

【版權(quán)聲明】本作品著作權(quán)歸《財經(jīng)》獨(dú)家所有，授權(quán)深圳市騰訊計算機(jī)系統(tǒng)有限公司獨(dú)家享有信息網(wǎng)絡(luò)傳播權(quán)，任何第三方未經(jīng)授權(quán)，不得轉(zhuǎn)載。

相關(guān)知識

美年健康隱私政策
BMJ：隨著移動健康app越來越普及，健康和隱私關(guān)系值得被關(guān)注！@MedSci
防疫健康碼國際版如何填報？常見問題解答來了！
個人健康醫(yī)療信息保護(hù)模式考察
罕見病不“罕見” │ 說說一婦嬰胎兒醫(yī)學(xué)科里的故事
我們究竟有沒有必要保留健康碼?
老年人健康保護(hù)措施.docx
隱私政策
蘋果自帶健康app不見了
蘋果手機(jī)健康步數(shù)與微信步數(shù)不一致

網(wǎng)址: 谷歌蘋果罕見聯(lián)手，美國版“健康碼”如何保護(hù)個人隱私？ http://www.u1s5d6.cn/newsview517977.html