作者 | 王  融   腾讯研究院资深专家

作者 | 闫锦麟 腾讯研究院助理研究员

 

引 言

新冠肺炎(COVID-19)疫情在全球发展蔓延依然严峻,对感染者和密切接触者的追踪隔离,仍然是当前缓解疫情蔓延最为依赖的措施之一。在此背景下,两大科技巨头苹果与谷歌罕见地宣布展开合作,联合开发基于蓝牙的接触者追踪工具,在保障用户隐私和数据安全的基础上,对接触感染者的用户发出预警提示,帮助降低病毒传播速度[①]。

实际上,蓝牙接触追踪并非两家公司首创,新加坡政府在3月就开发了Trace Together蓝牙追踪应用。但作为全球两大主导的智能手机操作系统提供商,苹果和谷歌开发的蓝牙接触者追踪工具可触达全球30亿智能手机用户,规模之大,无出右者。

为取得用户信任,鼓励公众参与,真正实现蓝牙追踪助力公共健康管理的目的,谷歌苹果强调了项目的“自愿”、“分散化”、“数据最小化”等隐私友好原则,但在方案公布后,各国对基于该系统是否应叠加“中心化”功能而产生了分歧,瑞士,爱沙尼亚、奥地利等赞同谷歌苹果的“去中心化”理念,推广由其牵头的泛欧蓝牙跟踪项目DP3T(Decentralised Privacy-Preserving Proximity Tracing),而英国、法国则从准确性和实用性方面,提出相反观点。德国的立场更是一度处于摇摆之中。

“中心化”与“去中心化”有着各自的优势和弊端,难以做出孰优孰劣的简单判断。但对两种路径的深入比较,将有助于彼此借鉴启发。一套良好的疫情管理技术体系既可以包含中心化部分,也可以吸收分散化方式,共同的目标是实现更加优化的公共健康管理,以最小的隐私代价帮助人们重新回归正常生活。

 

一、蓝牙接触者追踪工具基本原理——以蓝牙和加密技术为核心

正是考虑到其可能带来的深远影响,两家公司对其运作机制十分谨慎,对用户的隐私和数据安全作出了特别安排。从4月10合作计划公布以来,两家公司也根据外界的疑问和批评,不断做出完善修正。

在用户主动选择打开该工具的情形下,智能手机会自动生成本地追踪密钥(Tracing Key)、临时追踪密钥(Temporary Tracing Key)、滚动接近标识符(Rolling Proximity Identifier)等层层加密、相互嵌套的密钥。这些密钥存储在用户的智能手机中,并且实时更新(当日追踪密钥每24小时更新,滚动接近标识符每15分钟更新)。

当两个用户处于蓝牙信号可连接的距离之内(如9米之内),智能手机会自动交换并存储滚动接近标识符。如果有人确诊感染新冠肺炎并通知公共卫生机构,只有公共卫生机构可访问的中央服务器会生成该患者的确诊密钥,此后,卫生机构应用程序会向过去14天与确诊者交换过滚动接近标识符的所有人(即与确诊者有过接触历史的人)发送确诊密钥。安装该应用程序的手机会定期下载这些密钥并在用户手机本地进行匹配(请注意这里的手机本地存储与计算,这是欧洲国家后续对此产生立场分野的重要因素)。如果本地匹配成功,用户会收到通知,告知其曾经与感染者接触。[②]

之所以层层加密,并高频率更新密钥,核心是为了保护用户身份的保密性,并防止泄露用户的位置轨迹信息。当然,在少数情形下,仍可能出现身份暴露的情况(如特定用户的接触者非常有限,可以采取排除法来确定感染者),但实现大规模的用户身份识别在技术上将异常艰难。

除了对蓝牙信息进行高强度加密外,在谷歌苹果最新的项目更新中,进一步提出对蓝牙信号交换时生成的元数据一同加密。同时,为了降低公众对蓝牙跟踪项目的不必要恐慌,两公司也将该项目的名称由“接触跟踪(Contract Track)”替换为不那么敏感的“感染暴露通知(Exposure Notification)”[③]。

 

二、苹果谷歌“蓝牙接触追踪”工具运行依赖公共卫生机构的参与,但理念上更多是去中心化的

(一)强调用户自愿选择加入

两家公司均表示并不支持政府强制推广。在该项目的第一阶段,只有用户主动下载了由当地公共机构基于蓝牙追踪功能开发的应用程序,才能加入该项目;而在项目的第二阶段,出于提升项目准确性和扩大用户规模目的,两家公司将通过操作系统的更新把蓝牙追踪功能嵌入系统本身。但系统更新时仍然会主动征询用户的同意,用户不同意加入追踪计划的,不妨碍用户正常更新使用手机。这意味着所有参与者都需要自主同意。

从个人用户出发,其会在隐私和健康之间做出自我选择,也可能会出于社会责任感而加入该项目,有研究者已在欧盟国家开展了调查,有80%的受访者表示,如果该项目有足够详细的解释信息,会选择加入[④]。但是,我们也可以看到在新加坡,类似的Trace Together蓝牙追踪应用,只有六分之一人口下载使用[⑤]。

 

(二)不收集用户身份、位置等个人信息

在合作第二阶段,蓝牙接触者追踪工具将被内置到操作系统中,这意味着用户将不间断的广播和留存追踪密钥。这种深入系统层面的功能一旦被滥用,将会对公众的隐私和自由造成重大威胁。为此,苹果和谷歌在该合作项目中对于收集信息的范围也更加谨慎。

通“蓝牙接触追踪工具”的运行原理可以看到,其收集的信息类型主要为蓝牙接触信息,并不涉及用户具体的位置信息。嵌套加密和动态变化也旨在避免识别个人身份用户。

 

(三)不需要建立中心化的用户数据库,并在用户本地进行匹配计算

两家企业鼓励各国卫生服务部门构建以分散方式运行的接触者追踪应用程序,政府并不需要建立用户个人信息的中心化数据库。[⑥]除仅有卫生部门能够访问的中央系统维护最小数据(确诊密钥信息),技术运行所涉及到的其他用户数据(包括蓝牙接触信息和元数据)都以加密方式存储在用户手机本地,与确诊信息的匹配计算也将在手机上而不是中央服务器集中进行。[⑦]当然,围绕这一点,目前英国、法国已经提出了不同意见,为了实现更完整的公共健康管理目标,两国希望能够对这种严格的“去中心化”安排做出例外。

 

(四)受技术准确性,自愿参与用户人数以及核酸检测能力的影响,蓝牙接触者追踪工具的有效性还有待论证

应用蓝牙技术可能带来准确性问题。蓝牙信号通常可以辐射约9米多,远大于通常认为的——不会造成新冠病毒感染的2米社交安全距离。谷歌苹果回应称:公共卫生部门可设定蓝牙接触追踪的信号交换阈值(包括空间距离,信号强度,接触时长)进行微调,以报告更紧密的接触[⑧]。但其中可能仍存在一些准确性问题,需要技术完善,包括接触时长阈值限定在30分钟以内。更长的时间不会增加是否有接触的判断分析价值,却有可能危及隐私。

同时,根据斯坦福大学接触者跟踪项目Covid-Watch的研究人员分析,只有大约50%至70%的人口使用安装接触者追踪工具,数字追踪才能发挥效果。[⑨]此外,准确的确诊感染信息是追踪工具有效运转的关键,但到目前为止,很多国家仍然缺乏有效的检测能力,根据Covid Tracking Project的数据,在美国,只有不到600万人接受了核酸检测,占总人口数约1.8%。[⑩]如果人们未经测试,则不会产生足够的预警信息。最后,并不是每个人都使用智能手机。在智能手机普及程度较高的美国,拥有智能手机的人口占比为81%。[⑪]而在发展中国家,这个比例仅为45%。[⑫]

 

三、作为操作系统底层通用功能,蓝牙接触跟踪项目将可能在更大范围内实现疫情防控协同,但各国围绕“去中心化”程度产生了分歧

作为手机操作系统的一部分,蓝牙追踪可以提升各国疫情防控工具的通用性。如果各国公共卫生机构选择加入和利用该工具,将有望实现跨国之间的疫情防控协同。目前美国、欧盟、英国、澳大利亚、加拿大、新加坡等国家正在考虑或者已经部署了基于蓝牙的病毒传播追踪APP应用,这些国家可以依靠谷歌和苹果的这次合作,进一步完善各自的追踪应用,以使得预警信息能够打破国界限制,对未来进一步放松甚至开放边界提供底层技术支持。

然而,对于是否应坚守“分散化”技术原则,是否可以出于提升准确性和实用性的考虑,在该系统功能之上叠加部分“中心化”动能,各国明显产生了分歧。法国、英国倾向于“中心化”,瑞士,奥地利,爱沙尼亚则坚持“去中心化”,德国到目前为止仍处于摇摆状态。核心分歧在于除了患者确诊密钥之外,用户是否还需要向中央服务器上传接触密钥,并在中央服务器进行匹配计算。

法国[⑬]:法国第一个公开呼吁苹果和谷歌能够适度削弱隐私保护,从而允许政府部门能够采取部分“中心化管理措施”,法国数字部长塞德里克·奥(Cédric O)在接受彭博新闻社采访时说:“苹果谷歌对哪些数据能够发回给公共卫生部门做出了限制,我们正在要求苹果公司取消这些限制。”

英国[⑭]:英国国家卫生服务系统NHSX也选择“集中式模型”来实现疫情管理,卫生管理部门将获得蓝牙跟踪中包括确诊密钥在内的更为广泛的信息。NHS认为:集中式系统有助于帮助公共卫生部门增强对病毒传播的了解,从而采取更有针对性的措施。

德国[⑮]:德国一开始表达了同法国类似的看法,但随后立场迅速发生了变化,放弃了将个人数据集中存储于中央服务器的做法。德国将与瑞士,爱沙尼亚、奥地利一道,实施“分散化”方法。

然而,采取“中心化”思路的国家,并没有得到苹果谷歌的支持。对此,两家公司解释说,如果对一个国家给与了例外,那即意味撕开了滥用中心化数据库的口子。操作系统层面的蓝牙跟踪功能需要采取高度的隐私保护标准,而不是选择例外。这意味着选择“中心化”路径的国家需要开发自己的系统来支持蓝牙跟踪。

而对欧盟来说,无论是采取哪种路径,都应当在相应的数据保护规范之下。4月16日,欧盟委员会发布了《关于在数据保护方面支持与COVID 19大流行作战的应用程序指南》,其中对基于蓝牙的技术跟踪做出了规范指引,这意味欧盟支持蓝牙追踪应用,只是强调需要遵循相应的规范[⑯],包括不采集确定的位置信息,数据最小化,采取加密和匿名化措施等。

在疫情常态化的背景下,蓝牙追踪应用也很可能同保持社交距离(social distance),推广普遍检测等手段一样,成为政府解除封锁措施,恢复社会秩序的重要支撑。

 

四、蓝牙追踪项目的借鉴与启示

(一)不断反思和改进信息收集范围和处理模式

收集的信息越广泛、越敏感,对隐私的侵入程度也就越深,同样为数据安全来带来更多挑战。正因如此,在对抗疫情的技术防控手段中,应不断思考和改进具体实施方式。

收集基于蓝牙的接触信息而非收集个人的实时位置信息,是在个人隐私保护和实现疫情预警功能二者之间寻找平衡的一种尝试,这种另辟蹊径的做法的效果还有待检视,但项目对隐私和数据安全的谨慎心态仍然值得借鉴。蓝牙技术应用,淡化了身份和地点信息,只关注特定两个个体间的距离和时间两个标尺,且大部分用户信息仅加密存储于本地,以用户为中心,在实现对用户做出疫情预警这一目标的同时,也将更好的保护用户数据。

 

(二)紧密协调自动化技术与人工措施

蓝牙接触者追踪虽然可以依赖技术手段实现大部分自动化的数据处理,但整个系统的有效性以及安全性仍然离不开机构或人工措施。在最早将蓝牙技术用于感染者追踪的新加坡,编写Trace Together应用程序的技术专家也认同:数字接触追踪技术不可能完全取代传统的人工接触追踪。[⑰]由公共卫生部门实施的流行病学调查,即采取访谈调查等人工方式来对病毒传播轨迹进行还原,在疫情防控中仍将发挥极大作用。

 

(三)疫情技术体系可同时包含“中心化”与“去中心”两种路径

中心化和非中心化的技术路径,并不是非此即彼的关系,二者可以相互借鉴经验,并共同构成疫情防控的技术措施体系。在很多国家的疫情防控实践中,既可以看到中心化模式的技术措施,也可以看到去中心化的技术手段。

由政府部门发起的中心化数据管理平台,如英国国民健康服务体系NHS的统一数据平台,我国的健康码统一政务服务平台,发挥了数据完整、准确的优势,既可以服务于个体,同时也能够也为决策提供实时数据支撑。

同时,由私营部门发起的蓝牙追踪技术,以去中心化的思路,从分散的末端入手,以用户自愿参与为原则,共同发挥数据对于疫情防控的价值,做到人人为我,我为人人。其中出于对用户隐私的尊重,对数据安全的考量而采取的相关措施,如最小化、加密、标识符动态变化等也完全可以被吸收到中心化的技术路径中,从而不断完善疫情防控技术体系。

不论是“中心化”抑或是“去中心化”,其根本仍在于厘清公共卫生部门和私营部门的角色,遵循相应的数据保护框架,取得个人隐私保护与公共健康管理之间的平衡。

 

参考资料:

[①] See Apple and Google partner on COVID-19 contact tracing technology, 10 April 2020, available at: https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology/

[②] See Privacy-safe contact tracing using Bluetooth Low Energy, 10 April 2020, available at: https://blog.google/documents/57/Overview_of_COVID-19_Contact_Tracing_Using_BLE.pdf.

[③]https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.0.pdf

[④] See Coronavirus: NHS contact tracing app to target 80% of smartphone users, https://www.bbc.com/news/technology-52294896

[⑤] See :About 1 million people have downloaded TraceTogether app, but more need to do so for it to be effective: Lawrence Wong, available at: https://www.straitstimes.com/singapore/about-one-million-people-have-downloaded-the-tracetogether-app-but-more-need-to-do-so-for

[⑥] See Alex Hern, NHS in standoff with Apple and Google over coronavirus tracing, 16 April 2020, available at: https://www.theguardian.com/technology/2020/apr/16/nhs-in-standoff-with-apple-and-google-over-coronavirus-tracing.

[⑦] See Contact Tracing Bluetooth Specification, available at: https://blog.google/documents/58/Contact_Tracing_-_Bluetooth_Specification_v1.1_RYGZbKW.pdf.

[⑧] See Sidney Fussell and Will Knight, The Apple-Google Contact Tracing Plan Won’t Stop Covid Alone, 14 April 2020, available at: https://www.wired.com/story/apple-google-contact-tracing-wont-stop-covid-alone/.

[⑨] See Sidney Fussell and Will Knight, The Apple-Google Contact Tracing Plan Won’t Stop Covid Alone, 14 April 2020, available at: https://www.wired.com/story/apple-google-contact-tracing-wont-stop-covid-alone/.

[⑩] covid tracking project https://covidtracking.com/data

[⑪] See Pew Research Center, Mobile Fact Sheet, 12 June 2020, available at: https://www.pewresearch.org/internet/fact-sheet/mobile/.

[⑫] See Oberlo, How Many People Have Smartphones in 2020?, available at: https://www.oberlo.com/statistics/how-many-people-have-smartphones (last visited on 20 April 2020).

[⑬] https://www.theguardian.com/world/2020/apr/21/france-apple-google-privacy-contact-tracing-coronavirus

[⑭] https://www.bbc.com/news/technology-52441428

[⑮]https://www.reuters.com/article/us-health-coronavirus-europe-tech/germany-flips-on-smartphone-contact-tracing-backs-apple-and-google-idUSKCN22807J

[⑯] See https://ec.europa.eu/info/sites/info/files/5_en_act_part1_v3.pdf

[⑰]See Sidney Fussell and Will Knight, The Apple-Google Contact Tracing Plan Won’t Stop Covid Alone, 14 April 2020, available at: https://www.wired.com/story/apple-google-contact-tracing-wont-stop-covid-alone/.

 

本文首发于《财经》,后根据苹果谷歌蓝牙跟踪项目最新进展做了相应补充。