原標(biāo)題：谷歌蘋果罕見聯(lián)手，美國版“健康碼”如何保護(hù)個(gè)人隱私？ 來源：財(cái)經(jīng)

罕見聯(lián)手，美國版“健康碼”如何保護(hù)個(gè)人隱私？

新冠肺炎疫情在全球的發(fā)展蔓延局勢(shì)依然嚴(yán)峻，對(duì)感染者和密切接觸者的追蹤隔離，仍然是當(dāng)前緩解疫情蔓延最為依賴的措施之一。在此背景下，近期，兩大科技巨頭谷歌與蘋果罕見地宣布展開合作，將聯(lián)合開發(fā)一個(gè)打通安卓和IOS系統(tǒng)推出一個(gè)美國版“健康碼”計(jì)劃，該計(jì)劃基于藍(lán)牙的接觸者追蹤工具，在保障用戶隱私和安全性的基礎(chǔ)上，對(duì)可能接觸感染者的用戶發(fā)出預(yù)警提示，幫助降低病毒傳播速度。

實(shí)際上，藍(lán)牙接觸追蹤并非兩家公司首創(chuàng)，新加坡政府在3月就開發(fā)了Trace together藍(lán)牙追蹤應(yīng)用。但作為全球兩大主導(dǎo)的智能手機(jī)操作系統(tǒng)提供商，蘋果和谷歌開發(fā)的藍(lán)牙接觸者追蹤工具可觸達(dá)全球30億智能手機(jī)用戶，規(guī)模之大，無出其右者。

該項(xiàng)目目前仍面臨隱私保護(hù)、有效性等方面的質(zhì)疑，但很多人對(duì)這次合作充滿期待。國內(nèi)媒體的解讀也往往將其與國內(nèi)的“健康碼”相聯(lián)系，將其喻為全球最大健康碼項(xiàng)目。我們深度比較后，發(fā)現(xiàn)二者從運(yùn)作理念、技術(shù)原理、覆蓋范圍、推進(jìn)方式，效果考察等方面存在較大差異。

最大的不同是，蘋果和谷歌聯(lián)手開發(fā)的這個(gè)“藍(lán)牙接觸者追蹤項(xiàng)目”雖然也依賴公共衛(wèi)生管理部門，但仍然是一個(gè)強(qiáng)調(diào)“分散化”的，自下而上的技術(shù)方案，這與我國國內(nèi)的“健康碼”，以及韓國、新加坡等國家以政府為核心主導(dǎo)，依賴中心化數(shù)據(jù)庫的技術(shù)路徑有著顯著不同。

我們無法作出孰優(yōu)孰劣的簡單判斷，但對(duì)二者的深入比較，將有助于彼此借鑒啟發(fā)，不斷完善疫情防控技術(shù)手段，取得隱私保護(hù)，公共健康與社會(huì)經(jīng)濟(jì)生活有序復(fù)蘇之間的平衡。

為什么是谷歌和蘋果？

也正是考慮到其可能帶來的深遠(yuǎn)影響，兩家公司對(duì)其運(yùn)作機(jī)制十分謹(jǐn)慎，對(duì)用戶的隱私和數(shù)據(jù)安全作出了特別考慮。

簡單說說該健康碼工具的工作原理：用戶打開后，智能手機(jī)會(huì)自動(dòng)生成本地追蹤密鑰（Tracing Key）、當(dāng)日跟蹤密鑰（Daily Tracing Key）、滾動(dòng)接近標(biāo)識(shí)符（Rolling Proximity Identifier）等層層加密、相互嵌套的密鑰。這套密鑰存儲(chǔ)在用戶的智能手機(jī)中，而且實(shí)時(shí)更新，當(dāng)日跟蹤密鑰每24小時(shí)更新，滾動(dòng)接近標(biāo)識(shí)符每15分鐘更新。

假設(shè)兩個(gè)人處于藍(lán)牙信號(hào)可連接的距離之內(nèi)，智能手機(jī)會(huì)自動(dòng)交換滾動(dòng)接近標(biāo)識(shí)符。

被確診感染新冠肺炎的人，有一套特殊的確診密鑰。這套確診密鑰生成于一個(gè)只有公共衛(wèi)生機(jī)構(gòu)可訪問的中央服務(wù)器，衛(wèi)生機(jī)構(gòu)應(yīng)用程序會(huì)向過去14天與確診者交換過滾動(dòng)接近標(biāo)識(shí)符的所有人（即與確診者有過接觸歷史的人）發(fā)送這套特殊密鑰。安裝該應(yīng)用程序的手機(jī)會(huì)定期下載這些密鑰并在本地進(jìn)行匹配。

也就是說，如果你和被確診患者近距離接觸過，就會(huì)和對(duì)方交換滾動(dòng)接近標(biāo)識(shí)符，也會(huì)收到通知，告訴你，你曾與感染者接觸。

為什么要層層加密，并高頻率更新密鑰？核心是為了保護(hù)用戶身份的保密性，并防止泄露用戶的位置軌跡信息。當(dāng)然，在極少數(shù)情形下，仍可能出現(xiàn)身份暴露的情況，但大規(guī)模實(shí)現(xiàn)身份識(shí)別的可能性已被降低很多。

為什么這套系統(tǒng)需要谷歌和蘋果聯(lián)袂開發(fā)呢？因?yàn)橐笠?guī)模使用，Android手機(jī)和iPhone手機(jī)要解決兼容問題。在合作的第一階段，谷歌和蘋果將共同開發(fā)API，使安卓和iOS兩個(gè)操作系統(tǒng)的互操作成為可能。此后，兩家公司將通過操作系統(tǒng)的更新，將藍(lán)牙追蹤功能嵌入系統(tǒng)本身，鼓勵(lì)更多人參與。

三大特點(diǎn)

根據(jù)谷歌和蘋果發(fā)布的聯(lián)合聲明，只有公共衛(wèi)生機(jī)構(gòu)被允許訪問API來構(gòu)建應(yīng)用程序，且僅有公共衛(wèi)生機(jī)構(gòu)有權(quán)限訪問確診密鑰信息。

但是如果深究其運(yùn)作機(jī)理可以發(fā)現(xiàn)，雖然這套“健康碼”有公共衛(wèi)生機(jī)構(gòu)的參與，理念仍然是去中心化的。具體體現(xiàn)在以下幾個(gè)方面。

其一，不需要建立用戶中心化數(shù)據(jù)庫，數(shù)據(jù)大部分存儲(chǔ)在用戶手機(jī)上。

蘋果谷歌鼓勵(lì)衛(wèi)生服務(wù)部門在全球范圍內(nèi)構(gòu)建以分散方式運(yùn)行的接觸者追蹤應(yīng)用程序，使得個(gè)人有機(jī)會(huì)知道是否接觸過感染者，但衛(wèi)生服務(wù)部門并不需要建立用來存儲(chǔ)個(gè)人信息的中心化數(shù)據(jù)庫。

技術(shù)運(yùn)行僅在中央系統(tǒng)維護(hù)最小數(shù)據(jù)（確診密鑰信息），技術(shù)運(yùn)行所涉及到的其他用戶數(shù)據(jù)（藍(lán)牙接觸信息）都以加密方式存儲(chǔ)在手機(jī)里，與確診信息的匹配計(jì)算也將在手機(jī)上而不是中央服務(wù)器集中進(jìn)行。

相比之下，我國推行的“健康碼”，以及在韓國等國家實(shí)施的疫情管理技術(shù)措施則代表了一種中心化的數(shù)據(jù)管理思路。強(qiáng)有力的政府部門在其中發(fā)揮核心角色，統(tǒng)領(lǐng)匯合各方數(shù)據(jù)。以我國一體化政務(wù)服務(wù)平臺(tái)“防疫健康碼”為例，集中了衛(wèi)生健康、工信、交通運(yùn)輸、海關(guān)、移民管理、民航、鐵路方面的數(shù)據(jù)，數(shù)據(jù)類型廣泛，規(guī)模龐大。

類似地，在韓國，政府機(jī)構(gòu)根據(jù)2015年Mer傳染病暴發(fā)后的立法授權(quán)，匯集了智能手機(jī)定位數(shù)據(jù)和信用卡記錄等各類數(shù)據(jù)，追蹤冠狀病毒患者軌跡，并建立病毒傳播鏈進(jìn)行管理，以一種中心化，自上而下的方式運(yùn)行。

其二，強(qiáng)調(diào)用戶自愿選擇加入。

在該項(xiàng)目的第一階段，只有用戶主動(dòng)下載了由當(dāng)?shù)毓矙C(jī)構(gòu)基于藍(lán)牙追蹤功能開發(fā)的應(yīng)用程序，才能加入該項(xiàng)目；項(xiàng)目的第二階段，出于提升項(xiàng)目準(zhǔn)確性和擴(kuò)大用戶規(guī)模目的，蘋果谷歌將通過操作系統(tǒng)的更新將藍(lán)牙追蹤功能嵌入系統(tǒng)本身。但蘋果和谷歌都表示，系統(tǒng)更新時(shí)仍然會(huì)主動(dòng)征詢用戶的同意，用戶不同意加入追蹤計(jì)劃的，不妨礙用戶正常更新使用手機(jī)。這意味著所有參與者都需要自主同意。蘋果谷歌均表示并不支持政府強(qiáng)制推廣。

其三，不收集用戶身份、位置等個(gè)人信息。

在蘋果谷歌合作的第二階段，藍(lán)牙接觸者追蹤工具將被內(nèi)置到操作系統(tǒng)中。這種深入系統(tǒng)層面的功能一旦被濫用，將會(huì)對(duì)公眾的隱私造成重大威脅。也正因?yàn)槭艿诫[私保護(hù)團(tuán)隊(duì)的高度關(guān)注，蘋果和谷歌在該合作項(xiàng)目中對(duì)于技術(shù)運(yùn)作方式的安排也更加謹(jǐn)慎。

值得注意的是，這套應(yīng)用收集的信息類型主要為藍(lán)牙接觸信息，并不涉及用戶具體的位置信息。通過嵌套加密和動(dòng)態(tài)變化后，也力在避免識(shí)別個(gè)人身份用戶，確保數(shù)據(jù)安全，同時(shí)避免識(shí)別出個(gè)人和用戶的位置。

我國推行的“健康碼”面向用戶收集的信息中，不僅信息類型廣泛，且涉及大量個(gè)人身份信息，用戶姓名，手機(jī)號(hào)碼，身份證號(hào)碼幾乎是收集標(biāo)配。在敏感信息類型方面，也普遍地通過采集人臉信息來實(shí)現(xiàn)身份驗(yàn)證。健康碼的另一種類型“行程碼”，也主要以處理用戶具體的位置軌跡信息來實(shí)現(xiàn)功能。當(dāng)然，目前我國的“健康碼”涉及的用戶隱私信息被嚴(yán)格控制，均不向公眾開放。

優(yōu)劣勢(shì)突出

我國推行的“健康碼”，通過微信、支付寶等平臺(tái)入口覆蓋了數(shù)億人口，但其仍然也僅限于我國之內(nèi)。若跳出國家視野，放眼全球疫情防控，則需要更加通用的技術(shù)方案。國家之間如果無法建立一致、高效的信息交流體系，抗疫成果就只能局限在一國之內(nèi)。一旦開放邊境，恢復(fù)正常的人員流動(dòng)和貿(mào)易活動(dòng)，“輸入型”病例很可能導(dǎo)致疫情控制成果前功盡棄。

谷歌蘋果提出的藍(lán)牙追蹤工具正在提供底層通用技術(shù)方面做出的努力。如果各國公共衛(wèi)生機(jī)構(gòu)選擇加入和利用該工具，將有望實(shí)現(xiàn)跨國之間的疫情防控協(xié)同。目前包括美國、歐盟部分成員國、英國、澳大利亞、加拿大、新加坡等國都已經(jīng)部署或正在考慮部署基于藍(lán)牙的病毒傳播追蹤APP應(yīng)用，這些國家可以依靠谷歌和蘋果的這次合作，進(jìn)一步完善各自的追蹤應(yīng)用，并增強(qiáng)各國之間的疫情預(yù)警協(xié)同。

4月16日，歐盟委員會(huì)發(fā)布了《關(guān)于在數(shù)據(jù)保護(hù)方面支持與COVID 19大流行作戰(zhàn)的應(yīng)用程序指南》，其中對(duì)基于藍(lán)牙技術(shù)跟蹤的做出了規(guī)范指引，這意味歐盟支持藍(lán)牙追蹤應(yīng)用，只是強(qiáng)調(diào)需要遵循相應(yīng)的規(guī)范 。

歐盟正在推進(jìn)的“泛歐隱私保護(hù)接觸追蹤”計(jì)劃（PEPP-PT）也旨在提供“多國共享交流機(jī)制”。即使有人從一個(gè)歐洲國家前往另一個(gè)國家，他們?nèi)匀豢梢越邮栈蛴|發(fā)警報(bào)。 因此，歐盟對(duì)谷歌和蘋果的合作表示歡迎，稱其可以幫助“泛歐隱私保護(hù)接觸追蹤計(jì)劃”縮短部署路徑并解決操作系統(tǒng)的穩(wěn)定性和設(shè)備校準(zhǔn)問題。 而在疫情常態(tài)化背景下，藍(lán)牙追蹤應(yīng)用也很可能同保持社交距離（social distance），推進(jìn)普遍檢測(cè)等手段一樣，成為政府解除封鎖措施,恢復(fù)社會(huì)秩序的重要支撐。

不過，受技術(shù)準(zhǔn)確性，自愿參與用戶人數(shù)以及核酸檢測(cè)能力的影響，藍(lán)牙接觸者追蹤工具的有效性還有待論證。

藍(lán)牙技術(shù)可能不精確并且不同手機(jī)信號(hào)強(qiáng)度存在差異。藍(lán)牙信號(hào)通?？梢暂椛浼s9米多，遠(yuǎn)大于通常認(rèn)為的——不會(huì)造成新冠病毒感染的2米社交安全距離。

對(duì)于這一點(diǎn)，谷歌和蘋果回應(yīng)稱，公共衛(wèi)生部門可針對(duì)藍(lán)牙接觸跟蹤的信號(hào)交換閾值進(jìn)行微調(diào)，以報(bào)告更緊密的接觸。但藍(lán)牙不會(huì)檢測(cè)到兩個(gè)人間的直線距離雖然在2米之內(nèi)，但兩人處于不同的房間或者不同建筑中。因此，在公寓、辦公樓等密集環(huán)境中，藍(lán)牙技術(shù)的準(zhǔn)確率可能大打折扣。

關(guān)于用戶可以選擇自愿參與的有效性問題，根據(jù)斯坦福大學(xué)接觸者跟蹤項(xiàng)目Covid-Watch的研究人員分析，只有大約50％至70％的人口使用安裝接觸者追蹤工具，數(shù)字追蹤才能發(fā)揮效果。

此外，準(zhǔn)確的確診感染信息是追蹤工具有效運(yùn)轉(zhuǎn)的關(guān)鍵，但到目前為止，很多國家仍然缺乏有效的檢測(cè)能力。根據(jù)Covid Tracking Project的數(shù)據(jù)，在美國，只有不到300萬人接受了核酸檢測(cè)，不到美國總?cè)丝诘陌俜种弧?/p>

如果人們未經(jīng)測(cè)試，則不會(huì)產(chǎn)生足夠的預(yù)警信息，難以記錄與他們接觸的人。還有一個(gè)問題，并不是每個(gè)人都使用智能手機(jī)。在智能手機(jī)普及程度較高的美國，擁有智能手機(jī)的人口占比為81%。在發(fā)展中國家，這個(gè)比例僅為45%。

借鑒和啟示

收集的信息越廣泛，越敏感，對(duì)公民個(gè)人隱私的介入程度就越深，同樣對(duì)數(shù)據(jù)安全來帶來更多挑戰(zhàn)。正因如此，在對(duì)抗疫情的技術(shù)防控手段中，改進(jìn)信息收集范圍和處理模式的空間還很大。

基于藍(lán)牙接觸信息而非收集個(gè)人的實(shí)時(shí)位置信息，是科技在尊重個(gè)人隱私和實(shí)現(xiàn)疫情預(yù)警功能二者之間尋找平衡的一種嘗試，這種另辟蹊徑的做法的效果還有待檢視，但項(xiàng)目對(duì)隱私和數(shù)據(jù)安全的謹(jǐn)慎心態(tài)值得借鑒。

在歐洲，由17家機(jī)構(gòu)和130多位科學(xué)家共同參與的“泛歐隱私保護(hù)接觸追蹤”計(jì)劃（PEPP-PT）也正在考慮類似的藍(lán)牙技術(shù)應(yīng)用，其同樣淡化了身份和地點(diǎn)信息，只關(guān)注特定兩個(gè)個(gè)體間的距離和時(shí)間兩個(gè)標(biāo)尺。此外，該計(jì)劃也采用了將敏感信息加密于用戶本地的做法。

另一個(gè)值得借鑒的點(diǎn)是，藍(lán)牙接觸者追蹤雖然可以依賴技術(shù)手段實(shí)現(xiàn)大部分自動(dòng)化的數(shù)據(jù)處理，但整個(gè)系統(tǒng)的有效性以及安全性仍然離不開機(jī)構(gòu)或人工的干預(yù)。

在最早將藍(lán)牙技術(shù)用于感染者追蹤的新加坡，編寫TraceTogether應(yīng)用程序的技術(shù)專家也認(rèn)為，數(shù)字接觸追蹤技術(shù)不可能完全取代傳統(tǒng)的人工接觸追蹤。中心化和非中心化的技術(shù)路徑，也并不是非此即彼的，二者可以相互借鑒經(jīng)驗(yàn)，并共同構(gòu)成疫情防控的技術(shù)措施體系。在很多國家的疫情防控實(shí)踐中，既可以看到中心化模式的技術(shù)措施，也可以看到去中心化的技術(shù)手段。

由政府部門發(fā)起的在中心化數(shù)據(jù)管理平臺(tái)，如英國國民健康服務(wù)體系NHS的統(tǒng)一數(shù)據(jù)平臺(tái)，以及我國的健康碼統(tǒng)一政務(wù)服務(wù)平臺(tái)，發(fā)揮了數(shù)據(jù)完整、準(zhǔn)確的優(yōu)勢(shì)，既可以服務(wù)于個(gè)體，同時(shí)也能夠也為決策提供實(shí)時(shí)數(shù)據(jù)支撐。

同時(shí)，由民間私營部門發(fā)起的藍(lán)牙追蹤技術(shù)，以去中心化的思路，從分散的末端入手，以用戶自愿參與為原則，共同發(fā)揮數(shù)據(jù)對(duì)于疫情防控的價(jià)值，做到人人為我，我為人人。其中出于對(duì)用戶隱私的尊重，對(duì)數(shù)據(jù)安全的考量而采取的相關(guān)措施，如最小化，加密，標(biāo)識(shí)符動(dòng)態(tài)變化等也完全可以被吸收中心化的技術(shù)路徑中，探索出更優(yōu)的疫情預(yù)警與防控方案。

【版權(quán)聲明】本作品著作權(quán)歸《財(cái)經(jīng)》獨(dú)家所有，授權(quán)深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司獨(dú)家享有信息網(wǎng)絡(luò)傳播權(quán)，任何第三方未經(jīng)授權(quán)，不得轉(zhuǎn)載。

相關(guān)知識(shí)

美年健康隱私政策
BMJ：隨著移動(dòng)健康app越來越普及，健康和隱私關(guān)系值得被關(guān)注！@MedSci
防疫健康碼國際版如何填報(bào)？常見問題解答來了！
個(gè)人健康醫(yī)療信息保護(hù)模式考察
罕見病不“罕見” │ 說說一婦嬰胎兒醫(yī)學(xué)科里的故事
我們究竟有沒有必要保留健康碼?
老年人健康保護(hù)措施.docx
隱私政策
蘋果自帶健康app不見了
蘋果手機(jī)健康步數(shù)與微信步數(shù)不一致

網(wǎng)址: 谷歌蘋果罕見聯(lián)手，美國版“健康碼”如何保護(hù)個(gè)人隱私？ http://m.u1s5d6.cn/newsview517977.html