据美国约翰·霍普金斯大学发布的数据显示,截至美东时间4月16日0时,全球新冠肺炎确诊已超过200万人。
在汹涌的疫情面前,各国公共防疫部门都希望用科技手段,对追踪、切断传播链进行新的尝试。
新加坡政府已经推出了应用“TraceTogether”,法国政府也正在开发一款应用“StopCovid”,以色列甚至使用以前用于反恐的技术来防控疫情……最新的努力来自两大科技巨头——苹果和谷歌,他们罕见联手启动了一项基于蓝牙技术的接触追踪项目。
不同国家的密切接触者追踪神器各显神通,那么基于隐私保护和防疫效果等角度考虑,他们优劣何在?下面,隐私护卫队带大家一一盘点。
相比亚洲,欧美在位置信息使用上十分谨慎
在疫情较早爆发的亚洲,比如我国、新加坡、韩国等,都启动了基于位置信息的追踪来快速识别确诊病例的密切接触者,但具体措施有所不同。
3月,韩国开发了“新冠肺炎疫情智能管理系统”。据介绍,政府与3个通讯公司、22个信用卡公司合作,通过获取手机定位、信用卡消费记录信息等,确定患者位置。
韩国官员使用被感染者的手机位置数据来追溯其行踪,然后通过手机App和网站,将被感染者经过“匿名化”处理的位置历史公布于众。如果有居民通过App得知他们有可能接触了感染者,这些居民可立即接受检测。
同样使用手机位置数据的还有以色列政府,他们开发了一款名为“The Shield”的App来追踪密切接触者。值得注意的是,该技术最初是以色列安全机构用来打击恐怖主义的。
以色列推出的“The Shield”App,该技术原先用于反恐。
在征得同意后,以色列卫生部会将确诊患者的行踪信息上传至特定文件中。因为The Shield会全天收集用户手机的GPS和网络信息,用户可下载上述文件与自己的位置数据进行比对。如果该App发现用户与患者曾同时出现在同一地点,则会发送警告消息。
在新加坡,卫生部和科技部则推出了一个名为“TraceTogether”的App,手机通过蓝牙技术来记录用户近21天与哪些人接触过。
在使用时,用户需绑定手机号,打开蓝牙,此时该App会自动检测2--5米内的其他用户。如果接触时长超过30分钟,App会互相记录对方的信息。
一旦有感染者确认,政府就能通过这一手机App追踪可能与这位传染者接触过的所有人群。新加坡政府还可根据相关法规,要求患者分享TraceTogether中存储的数据,经过解密即可确定密切接触者的手机号。
新加坡“TraceToghther"App。
相比于亚洲国家,欧美国家在位置信息的处理与使用上更为谨慎。
在疫情早期,欧洲各国电信运营商,比如德国Deutsche Telekom、意大利Telecom Italia、瑞士Swisscom、英国O2、奥地利A1等,向政府提供了匿名的手机基站数据,帮助政府官员和流行病学家观察疫情趋势和疫情热点地区的人流出入。
在美国,疾病控制和预防中心(CDC)建立了一个名为“新冠疾病移动数据网络”(Covid-19 Mobility Data Network)的疫情防疫计划。通过收集和分析移动广告商提供的匿名化用户手机位置数据,预测并抑制新冠疫情在全国的传播。
因为各方对隐私问题的担忧,欧美各国一直没有在利用位置信息来追踪密切接触者上有所进展。直到4月1日,由德国牵头、欧洲8国130多名研究人员参与的“泛欧隐私保护接触追踪(PEPP-PT)”的项目对外宣布,与新加坡类似,一款基于低功耗蓝牙(BLE)技术追踪密切接触者的App将推出(查看此前报道)。
德国牵头推出“泛欧隐私保护接触追踪(PEPP-PT)”项目。
在此背景下,英国、法国都宣布将推出使用同样技术的App。近日,两大科技巨头苹果和谷歌也顺势推出了类似功能,即将开发一个打通IOS和安卓两大操作系统的手机底层框架,来对正在蔓延的冠状病毒进行接触者追踪(查看此前报道)。
基站、GPS、蓝牙,三种技术优劣何在?
韩国疾病管理本部流行病调查部门主任PARK Young-joon接受采访时表示,用传统的流调方式核查确诊患者的行踪路线,平均1个患者要耗时1天;而使用位置数据等分析,1个病例平均只需10分钟。以色列官员也表示,利用App可以在2000个接触对象中迅速找到5-6位密切接触者。
毋庸置疑,基于位置数据来识别密切接触者的方法效率很高。
纵观各国的具体方式,基本上使用了基于基站数据、GPS信号以及蓝牙信号等三种接触追踪技术。那么,在防疫效果、隐私保护等方面,各种技术优劣何在?
电信运营商向政府提供匿名的手机基站数据,主要是用来预测和监控疫情的总体趋势。北京尚隐科技有限公司发布的《隐私保护的接触追踪技术白皮书》(下称《白皮书》)中提到,根据基站位置的大数据解决方案,可相对准确的判断用户的流动性,但因精度不足,只能用来辅助判断密切接触者。
专家们表示,这种聚合式的位置数据通常不构成侵犯隐私的担忧,他们涉及的是大批人群而非具体个人行踪信息。
但在韩国、以色列等国追踪的是个人行踪,主要使用了GPS等精准位置数据。《白皮书》提出,这类大数据在一定程度上可较好的实现密切接触者的识别,但容易侵犯用户的隐私而被用户所排斥。
因为位置数据属于敏感信息,韩、以两国也采取了相应措施来抵消大众的担心。The Shield保证信息只存储在本地,以色列卫生部公开了软件代码,并且请网络安全公司对代码进行了安全审查。
韩国国土交通部城市经济科主任LEE Ik-jin此前称,疫情智能管理系统仅允许少数防疫部门官员登陆,只记录“那些可能引发超级传播”的患者信息;官方获取患者信息时,需提前向通讯、信用卡公司申请,以保障患者隐私。
但即使是考虑了隐私问题,亚洲国家的做法在欧美也是不可想象的。
根据最严格的《通用数据保护条例》(GDPR)的规定,应用程序应明确征求用户是否同意处理敏感个人数据,而使用敏感个人数据则受到广泛的限制。
以德国为例,3月上旬,德国卫生部在一份《防疫法》修订草案中提出,希望能够获得更详细的手机基站登录数据,用于“追踪确诊患者的密切接触者”。
但是,这一动议不仅仅遭到了反对党的批评,联邦政府内部也纷纷对卫生部发出了警告。司法部长朗布莱希特(Christine Lambrecht)指出,在没有征得手机用户同意的情况下,直接从运营商处获取基站登录信息是对公民权利的“严重侵犯”。
但随着疫情的急剧恶化,欧美各国也希望可以尽快切断感染源,于是他们选择了一种较为折中的方法——新加坡最先使用的蓝牙技术。苹果、谷歌的罕见联手,也印证了这一技术得到的普遍认可。
有网络安全专家告诉隐私护卫队,“和基于GPS的定位数据不同,蓝牙是基于更加精准的广播,只要用户的蓝牙打开时,就能自动搜索周围的设备,十几米内的设备都可以发现。
美国公民自由联盟(American Civil Liberties Union)曾在一份报告中表示,基站定位信息和GPS数据并没有精确到具体表明两人彼此有“密切接触”的程度。相比之下,由于蓝牙的有效通信距离通常只有十余米,因此只要两台手机之间建立起蓝牙连接并保持一定时间,就可以粗略地判定手机持有者之间有了“密切接触”。
此外,长期关注全球隐私保护现状的隐私国际(Privacy International)组织认为,蓝牙技术相比其他定位技术而言,对隐私的侵犯较小,因为它只会记录哪些设备彼此联系,而不是它们的实际位置。
蓝牙追踪技术,防疫与隐私平衡的最优方案?
4月10日,苹果和谷歌联合发布公告称,将运用低功耗蓝牙(BLE)技术帮助政府和公共卫生机构减缓疫情蔓延。为方便理解,谷歌在网站上发布了让人容易理解的漫画。
A与B首次见面,交谈了10分钟。在这个过程中,他们的手机交换、储存了彼此的匿名身份密钥。此后B不幸确诊感染新冠病毒,他把自己的诊断结果上传到了某公共卫生部门的App中。
经过B同意之后,他的手机将最近14天使用的身份密钥上传到云端。A继续她的生活,对她接触了确诊患者毫不知情。但她的手机却在固定时间持续下载着她所在地区确诊患者的匿名身份密钥,并和她手机储存的近期接触人密钥进行匹配——最终,与B的匿名密钥匹配上了。马上,A的手机会就收到警告,“你最近接触过的某人被确诊感染新冠病毒,点击查看更多信息。”
在整个过程中,两台手机是以随机的密钥进行匹配,不涉及用户身份信息,不涉及用户地理位置,也不访问用户联系人,对隐私侵入性很低。
但即使同样使用蓝牙技术,新加坡和欧美国家的做法也有不同。
北京尚隐科技有限公司发布的《隐私保护的接触追踪技术白皮书》指出,新加坡采用的是隐私保护较弱的中心化方案,而欧美采用的是隐私保护较强的去中心化方案。
对于中心化方案而言,用户需要上传本地接触历史记录,服务器将这些记录与后台数据库中的用户数据进行比对来确定接触者。
而对于去中心化方案来说,用户只需要上传自己的匿名密钥,服务器通过 App推送用户上传的密钥信息给其他所有用户;其他用户的 APP 将该密钥生成临时ID,并与本地接触数据库中存储的数据进行比对来确定接触者。
简言之,两者核心的差别在于,是否采用了集中式的后台数据库。显然,去中心化的方案更难对应到个人,也就更保护隐私。
那么,去中心化的蓝牙接触追踪技术会是既达到防疫效果又保护隐私的最优方案吗?对于类似App的使用前景,仍有专家持谨慎保留态度,最主要的原因在于应用程序的有效性,有效性取决于安装使用应用的人数。
据公开数据显示,在德国有三分之一的民众没有智能手机,在法国是四分之一。据《经济学人》报道,即使在官方持续大力宣传的新加坡,TraceTogether的下载率也只有不到20%。而据牛津大学大数据研究机构的一位研究员表示,一个国家有60%的人口都使用这款App才能达到预期效果。
再者,目前无论苹果、谷歌,还是法国、英国等都表示,安装是完全基于自愿的。
此外,不同于新加坡可以通过App找到密切接触者电话的“强硬”措施,实行去中心化方案的欧美卫生部门也仅仅掌握这名用户的匿名账号信息,除了向其手机推送信息,没有任何主动联系该用户的手段。很可能,一名用户收到了“警报”,也不一定会立刻联系卫生部门要求病毒检测、执行自我居家隔离。
文/南都个人信息保护研究中心研究员 李慧琪