原標題：谷歌蘋果罕見聯(lián)手，美國版“健康碼”如何保護個人隱私？ 來源：財經

罕見聯(lián)手，美國版“健康碼”如何保護個人隱私？

新冠肺炎疫情在全球的發(fā)展蔓延局勢依然嚴峻，對感染者和密切接觸者的追蹤隔離，仍然是當前緩解疫情蔓延最為依賴的措施之一。在此背景下，近期，兩大科技巨頭谷歌與蘋果罕見地宣布展開合作，將聯(lián)合開發(fā)一個打通安卓和IOS系統(tǒng)推出一個美國版“健康碼”計劃，該計劃基于藍牙的接觸者追蹤工具，在保障用戶隱私和安全性的基礎上，對可能接觸感染者的用戶發(fā)出預警提示，幫助降低病毒傳播速度。

實際上，藍牙接觸追蹤并非兩家公司首創(chuàng)，新加坡政府在3月就開發(fā)了Trace together藍牙追蹤應用。但作為全球兩大主導的智能手機操作系統(tǒng)提供商，蘋果和谷歌開發(fā)的藍牙接觸者追蹤工具可觸達全球30億智能手機用戶，規(guī)模之大，無出其右者。

該項目目前仍面臨隱私保護、有效性等方面的質疑，但很多人對這次合作充滿期待。國內媒體的解讀也往往將其與國內的“健康碼”相聯(lián)系，將其喻為全球最大健康碼項目。我們深度比較后，發(fā)現二者從運作理念、技術原理、覆蓋范圍、推進方式，效果考察等方面存在較大差異。

最大的不同是，蘋果和谷歌聯(lián)手開發(fā)的這個“藍牙接觸者追蹤項目”雖然也依賴公共衛(wèi)生管理部門，但仍然是一個強調“分散化”的，自下而上的技術方案，這與我國國內的“健康碼”，以及韓國、新加坡等國家以政府為核心主導，依賴中心化數據庫的技術路徑有著顯著不同。

我們無法作出孰優(yōu)孰劣的簡單判斷，但對二者的深入比較，將有助于彼此借鑒啟發(fā)，不斷完善疫情防控技術手段，取得隱私保護，公共健康與社會經濟生活有序復蘇之間的平衡。

為什么是谷歌和蘋果？

也正是考慮到其可能帶來的深遠影響，兩家公司對其運作機制十分謹慎，對用戶的隱私和數據安全作出了特別考慮。

簡單說說該健康碼工具的工作原理：用戶打開后，智能手機會自動生成本地追蹤密鑰（Tracing Key）、當日跟蹤密鑰（Daily Tracing Key）、滾動接近標識符（Rolling Proximity Identifier）等層層加密、相互嵌套的密鑰。這套密鑰存儲在用戶的智能手機中，而且實時更新，當日跟蹤密鑰每24小時更新，滾動接近標識符每15分鐘更新。

假設兩個人處于藍牙信號可連接的距離之內，智能手機會自動交換滾動接近標識符。

被確診感染新冠肺炎的人，有一套特殊的確診密鑰。這套確診密鑰生成于一個只有公共衛(wèi)生機構可訪問的中央服務器，衛(wèi)生機構應用程序會向過去14天與確診者交換過滾動接近標識符的所有人（即與確診者有過接觸歷史的人）發(fā)送這套特殊密鑰。安裝該應用程序的手機會定期下載這些密鑰并在本地進行匹配。

也就是說，如果你和被確診患者近距離接觸過，就會和對方交換滾動接近標識符，也會收到通知，告訴你，你曾與感染者接觸。

為什么要層層加密，并高頻率更新密鑰？核心是為了保護用戶身份的保密性，并防止泄露用戶的位置軌跡信息。當然，在極少數情形下，仍可能出現身份暴露的情況，但大規(guī)模實現身份識別的可能性已被降低很多。

為什么這套系統(tǒng)需要谷歌和蘋果聯(lián)袂開發(fā)呢？因為要大規(guī)模使用，Android手機和iPhone手機要解決兼容問題。在合作的第一階段，谷歌和蘋果將共同開發(fā)API，使安卓和iOS兩個操作系統(tǒng)的互操作成為可能。此后，兩家公司將通過操作系統(tǒng)的更新，將藍牙追蹤功能嵌入系統(tǒng)本身，鼓勵更多人參與。

三大特點

根據谷歌和蘋果發(fā)布的聯(lián)合聲明，只有公共衛(wèi)生機構被允許訪問API來構建應用程序，且僅有公共衛(wèi)生機構有權限訪問確診密鑰信息。

但是如果深究其運作機理可以發(fā)現，雖然這套“健康碼”有公共衛(wèi)生機構的參與，理念仍然是去中心化的。具體體現在以下幾個方面。

其一，不需要建立用戶中心化數據庫，數據大部分存儲在用戶手機上。

蘋果谷歌鼓勵衛(wèi)生服務部門在全球范圍內構建以分散方式運行的接觸者追蹤應用程序，使得個人有機會知道是否接觸過感染者，但衛(wèi)生服務部門并不需要建立用來存儲個人信息的中心化數據庫。

技術運行僅在中央系統(tǒng)維護最小數據（確診密鑰信息），技術運行所涉及到的其他用戶數據（藍牙接觸信息）都以加密方式存儲在手機里，與確診信息的匹配計算也將在手機上而不是中央服務器集中進行。

相比之下，我國推行的“健康碼”，以及在韓國等國家實施的疫情管理技術措施則代表了一種中心化的數據管理思路。強有力的政府部門在其中發(fā)揮核心角色，統(tǒng)領匯合各方數據。以我國一體化政務服務平臺“防疫健康碼”為例，集中了衛(wèi)生健康、工信、交通運輸、海關、移民管理、民航、鐵路方面的數據，數據類型廣泛，規(guī)模龐大。

類似地，在韓國，政府機構根據2015年Mer傳染病暴發(fā)后的立法授權，匯集了智能手機定位數據和信用卡記錄等各類數據，追蹤冠狀病毒患者軌跡，并建立病毒傳播鏈進行管理，以一種中心化，自上而下的方式運行。

其二，強調用戶自愿選擇加入。

在該項目的第一階段，只有用戶主動下載了由當地公共機構基于藍牙追蹤功能開發(fā)的應用程序，才能加入該項目；項目的第二階段，出于提升項目準確性和擴大用戶規(guī)模目的，蘋果谷歌將通過操作系統(tǒng)的更新將藍牙追蹤功能嵌入系統(tǒng)本身。但蘋果和谷歌都表示，系統(tǒng)更新時仍然會主動征詢用戶的同意，用戶不同意加入追蹤計劃的，不妨礙用戶正常更新使用手機。這意味著所有參與者都需要自主同意。蘋果谷歌均表示并不支持政府強制推廣。

其三，不收集用戶身份、位置等個人信息。

在蘋果谷歌合作的第二階段，藍牙接觸者追蹤工具將被內置到操作系統(tǒng)中。這種深入系統(tǒng)層面的功能一旦被濫用，將會對公眾的隱私造成重大威脅。也正因為受到隱私保護團隊的高度關注，蘋果和谷歌在該合作項目中對于技術運作方式的安排也更加謹慎。

值得注意的是，這套應用收集的信息類型主要為藍牙接觸信息，并不涉及用戶具體的位置信息。通過嵌套加密和動態(tài)變化后，也力在避免識別個人身份用戶，確保數據安全，同時避免識別出個人和用戶的位置。

我國推行的“健康碼”面向用戶收集的信息中，不僅信息類型廣泛，且涉及大量個人身份信息，用戶姓名，手機號碼，身份證號碼幾乎是收集標配。在敏感信息類型方面，也普遍地通過采集人臉信息來實現身份驗證。健康碼的另一種類型“行程碼”，也主要以處理用戶具體的位置軌跡信息來實現功能。當然，目前我國的“健康碼”涉及的用戶隱私信息被嚴格控制，均不向公眾開放。

優(yōu)劣勢突出

我國推行的“健康碼”，通過微信、支付寶等平臺入口覆蓋了數億人口，但其仍然也僅限于我國之內。若跳出國家視野，放眼全球疫情防控，則需要更加通用的技術方案。國家之間如果無法建立一致、高效的信息交流體系，抗疫成果就只能局限在一國之內。一旦開放邊境，恢復正常的人員流動和貿易活動，“輸入型”病例很可能導致疫情控制成果前功盡棄。

谷歌蘋果提出的藍牙追蹤工具正在提供底層通用技術方面做出的努力。如果各國公共衛(wèi)生機構選擇加入和利用該工具，將有望實現跨國之間的疫情防控協(xié)同。目前包括美國、歐盟部分成員國、英國、澳大利亞、加拿大、新加坡等國都已經部署或正在考慮部署基于藍牙的病毒傳播追蹤APP應用，這些國家可以依靠谷歌和蘋果的這次合作，進一步完善各自的追蹤應用，并增強各國之間的疫情預警協(xié)同。

4月16日，歐盟委員會發(fā)布了《關于在數據保護方面支持與COVID 19大流行作戰(zhàn)的應用程序指南》，其中對基于藍牙技術跟蹤的做出了規(guī)范指引，這意味歐盟支持藍牙追蹤應用，只是強調需要遵循相應的規(guī)范 。

歐盟正在推進的“泛歐隱私保護接觸追蹤”計劃（PEPP-PT）也旨在提供“多國共享交流機制”。即使有人從一個歐洲國家前往另一個國家，他們仍然可以接收或觸發(fā)警報。 因此，歐盟對谷歌和蘋果的合作表示歡迎，稱其可以幫助“泛歐隱私保護接觸追蹤計劃”縮短部署路徑并解決操作系統(tǒng)的穩(wěn)定性和設備校準問題。 而在疫情常態(tài)化背景下，藍牙追蹤應用也很可能同保持社交距離（social distance），推進普遍檢測等手段一樣，成為政府解除封鎖措施,恢復社會秩序的重要支撐。

不過，受技術準確性，自愿參與用戶人數以及核酸檢測能力的影響，藍牙接觸者追蹤工具的有效性還有待論證。

藍牙技術可能不精確并且不同手機信號強度存在差異。藍牙信號通常可以輻射約9米多，遠大于通常認為的——不會造成新冠病毒感染的2米社交安全距離。

對于這一點，谷歌和蘋果回應稱，公共衛(wèi)生部門可針對藍牙接觸跟蹤的信號交換閾值進行微調，以報告更緊密的接觸。但藍牙不會檢測到兩個人間的直線距離雖然在2米之內，但兩人處于不同的房間或者不同建筑中。因此，在公寓、辦公樓等密集環(huán)境中，藍牙技術的準確率可能大打折扣。

關于用戶可以選擇自愿參與的有效性問題，根據斯坦福大學接觸者跟蹤項目Covid-Watch的研究人員分析，只有大約50％至70％的人口使用安裝接觸者追蹤工具，數字追蹤才能發(fā)揮效果。

此外，準確的確診感染信息是追蹤工具有效運轉的關鍵，但到目前為止，很多國家仍然缺乏有效的檢測能力。根據Covid Tracking Project的數據，在美國，只有不到300萬人接受了核酸檢測，不到美國總人口的百分之一。

如果人們未經測試，則不會產生足夠的預警信息，難以記錄與他們接觸的人。還有一個問題，并不是每個人都使用智能手機。在智能手機普及程度較高的美國，擁有智能手機的人口占比為81%。在發(fā)展中國家，這個比例僅為45%。

借鑒和啟示

收集的信息越廣泛，越敏感，對公民個人隱私的介入程度就越深，同樣對數據安全來帶來更多挑戰(zhàn)。正因如此，在對抗疫情的技術防控手段中，改進信息收集范圍和處理模式的空間還很大。

基于藍牙接觸信息而非收集個人的實時位置信息，是科技在尊重個人隱私和實現疫情預警功能二者之間尋找平衡的一種嘗試，這種另辟蹊徑的做法的效果還有待檢視，但項目對隱私和數據安全的謹慎心態(tài)值得借鑒。

在歐洲，由17家機構和130多位科學家共同參與的“泛歐隱私保護接觸追蹤”計劃（PEPP-PT）也正在考慮類似的藍牙技術應用，其同樣淡化了身份和地點信息，只關注特定兩個個體間的距離和時間兩個標尺。此外，該計劃也采用了將敏感信息加密于用戶本地的做法。

另一個值得借鑒的點是，藍牙接觸者追蹤雖然可以依賴技術手段實現大部分自動化的數據處理，但整個系統(tǒng)的有效性以及安全性仍然離不開機構或人工的干預。

在最早將藍牙技術用于感染者追蹤的新加坡，編寫TraceTogether應用程序的技術專家也認為，數字接觸追蹤技術不可能完全取代傳統(tǒng)的人工接觸追蹤。中心化和非中心化的技術路徑，也并不是非此即彼的，二者可以相互借鑒經驗，并共同構成疫情防控的技術措施體系。在很多國家的疫情防控實踐中，既可以看到中心化模式的技術措施，也可以看到去中心化的技術手段。

由政府部門發(fā)起的在中心化數據管理平臺，如英國國民健康服務體系NHS的統(tǒng)一數據平臺，以及我國的健康碼統(tǒng)一政務服務平臺，發(fā)揮了數據完整、準確的優(yōu)勢，既可以服務于個體，同時也能夠也為決策提供實時數據支撐。

同時，由民間私營部門發(fā)起的藍牙追蹤技術，以去中心化的思路，從分散的末端入手，以用戶自愿參與為原則，共同發(fā)揮數據對于疫情防控的價值，做到人人為我，我為人人。其中出于對用戶隱私的尊重，對數據安全的考量而采取的相關措施，如最小化，加密，標識符動態(tài)變化等也完全可以被吸收中心化的技術路徑中，探索出更優(yōu)的疫情預警與防控方案。

【版權聲明】本作品著作權歸《財經》獨家所有，授權深圳市騰訊計算機系統(tǒng)有限公司獨家享有信息網絡傳播權，任何第三方未經授權，不得轉載。

相關知識

美年健康隱私政策
BMJ：隨著移動健康app越來越普及，健康和隱私關系值得被關注！@MedSci
防疫健康碼國際版如何填報？常見問題解答來了！
個人健康醫(yī)療信息保護模式考察
罕見病不“罕見” │ 說說一婦嬰胎兒醫(yī)學科里的故事
我們究竟有沒有必要保留健康碼?
老年人健康保護措施.docx
隱私政策
蘋果自帶健康app不見了
蘋果手機健康步數與微信步數不一致

網址: 谷歌蘋果罕見聯(lián)手，美國版“健康碼”如何保護個人隱私？ http://www.u1s5d6.cn/newsview517977.html