接触者追踪(Contact tracing)时代的隐私
最近国际上对“接触者追踪”(Contacttracing)隐私的问题,在学术界和工业界引起了广泛关注与讨论。
随着COVID-19大流行席卷全球,各国和地区都在采取紧急行动来应对这一危机。公共卫生监测,尤其是接触者追踪,已成为遏制病毒传播的关键步骤。
4月10日,谷歌和苹果通过罕见的合作宣布,他们将共同促进其移动平台中用于公共健康监控应用程序的接触者追踪。
根据世界卫生组织(WHO)的说法,接触者追踪包括监视“与感染病毒的人有密切接触的人”,从而帮助“接触者获得护理和治疗”,并可能防止“病毒的进一步传播”。牛津大学的卢卡•费雷蒂(LucaFerreti)在一项已发表的科学研究中指出,适当的接触者追踪可以“实现流行病控制”。
在当今世界的许多地方,接触者追踪是基于使用数字平台和技术而建立的技术主张。除了Google和Apple的努力外,韩国和新加坡还使用手机GPS信息来识别可能的感染。以色列正在使用最高机密的反恐手机位置数据库来跟踪感染情况。志愿者组织CovidWatch正在与斯坦福大学合作,以类似于Google和Apple的方式使用蓝牙接近度进行联系人跟踪。
数字化的接触者追踪允许实时跟踪已诊断的人员,并通过过去的联系人网络即时发送警报。希望是通过这种方式,社区可以主动控制病毒的传播。但是,许多隐私倡导者担心,此类联系人跟踪应用程序的大规模部署会带来明显的隐私风险。
加州大学伯克利分校的Oasis Labs首席执行官兼计算机科学教授DawnSong认为,尽管Google和Apple为了保护用户隐私而不会跟踪用户位置或收集其他识别信息,但这种方法“可以显示更多的用户信息”。
Google和Apple的接触者追踪技术在其基础上使用了蓝牙感应。新的设备功能首先作为一组应用程序编程接口发布,它为每部手机生成一个随机的每日跟踪密钥。手机从此密钥每隔15分钟获取一个“接近ID”并向其蓝牙范围内的所有设备广播。选择加入该服务的设备将保存所有与其联系的邻近ID。
至此,该系统已完全分布式和私有化-所有计算都保留在个人电话上,也就是说,直到个人测试为阳性为止。如果发生这种情况,并且如果该人选择了加入,则她在过去14天的设备的每日跟踪密钥将上传到服务器并发布。其他手机(包括Android和iOS)都可以下载密钥,并将其与本地保存的邻近ID匹配。如果存在匹配项,系统将警告您已被暴露。
由于用户可以确定哪个发布的ID与她手机上的日志匹配,Song说:“例如,这可以显示用户和已确认的COVID患者紧密接近的时间,从而使她有可能识别患者。”这称为链接攻击。
这种识别是不可取的,因为它可能会使确诊的患者遭受骚扰和仇恨犯罪,从而导致所谓的“警惕”问题。
Signal的创建者MoxieMarlinspike在一系列推文中指出,要使通知系统具有可扩展性,该系统很可能需要以“一种更具“目标性”的方式”交付已发布的密钥,这可能意味着位置数据的使用。”
目前尚不清楚Google和Apple如何计划阻止其他应用程序访问此设备框架信息,因为当确认诊断发生时,“邻近ID”会广播到其他设备,并且跟踪密钥会公开。
隐私权倡导者担心,将此跟踪基础结构构建到其堆栈中的应用程序可以将此数据与其他个人身份信息(PII)结合在一起,例如位置,身份和购买记录(例如,公共交通工具的票证),以进一步损害用户隐私。
剑桥大学安全工程学教授罗斯•安德森(RossAnderson)在最近的一份意见书中写道,尽管隐私要求完全分散的运营,但“公共卫生的压倒性力量”可能主张“集中式系统”,这可能会成为一种“集中式系统”。用户隐私风险。
Song认为,要执行有效的大规模接触者追踪,需要“一个统一而又去中心化的计算框架,该框架从头开始结合了内置的隐私保证。” Song和她的合作者提出了一种用于轻量级联系人跟踪的新加密协议,该协议利用了一个完整的分散式多方计算框架。Song指出,该协议仅允许用户了解“他或她是否已靠近被感染的人”,而不会泄漏诸如联系时间之类的信息。
与接触者追踪一起出现的另一个问题是数据碎片和吸收。在选择加入模式和仅在美国运行不少于50个联系人跟踪应用程序的世界中,采用率可能是一个真正的问题。费雷蒂(Ferreti)在他的模型中显示,只有60%或以上的人口参与同一系统,接触追踪才有效。摄取量低可能意味着数字化接触者追踪过于分散,因此无效。
DrumWave首席执行官兼思科前首席隐私官米歇尔•丹尼迪(MichelleDennedy)表示,在像Google和Apple提出的那样的系统中,选择加入偏见可能是一个真正的问题。
丹尼迪认为,当前的系统可能会导致富裕地区的报告过多,而这些地区的工作安全和保险没有风险,而在经济处于不利地位的社区中报告严重不足。“如果您唯一依赖的是自愿参与,则数据质量和偏见在收集过程中可能会面临挑战。”很明显,接触者追踪对于应对大规模流行病(例如COVID-19)至关重要,“但前提是我们能够找到减少数据碎片的方式,并让消费者放心,他们的数据将是安全的并保持机密, ”宋说。这意味着执行联系人跟踪的技术和应用必须结合隐私优先的设计原则。
尽管在诸如COVID-19之类的公共卫生危机中,人们迫切希望将有效的接触追踪技术推向市场,但丹尼迪表示,我们必须牢记三个基本的隐私设计原则:
1、数据最小化;
2、偏见计划;
3、明确的终止计划。
丹尼迪说:“当一切都说完之后,我们真的可以相信该系统将停止收集数据并消除所有相关信息吗?”没有清晰透明的终止计划,公共卫生监测与监督之间的界限很模糊。
(文章来源:格密链)
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。