ACM通信

隐私

数字接触追踪可能保护隐私，但不太可能阻止大流行

洛丽·费斯·克拉诺著
ACM通信，2020年11月，第63卷第11期，22-24页
10.1145 / 3423993
评论

很难想象还有比这更合适的话题了通信隐私栏中列出了与COVID-19应用程序相关的隐私问题。在世界各地发生反对种族主义和警察杀害黑人的抗议活动的背景下，我们对保护自己免受监视的必要性有了新的认识，同时也感到遏制致命病毒传播的紧迫性。虽然许多计算机科学家正在寻找保护隐私的技术来跟踪COVID-19暴露情况，但如果没有更广泛的COVID-19检测、以人为本的设计以及补充的法律和政策，隐私增强技术(pet)可能会被证明无效。

随着2019冠状病毒病大流行在2020年春季蔓延，研究人员和公共卫生官员寻求数字接触者追踪和接触通知工具，以协助人类接触者追踪。最初开发这些工具的努力集中在实用性上，但很快就遇到了关于隐私的问题。尽管共享数据以减少病毒传播具有强烈的公众利益，但人们担心这些数据可能被用于其他目的。事实上，随着抗议游行变得司空见惯，警方也在寻找煽动者，有传言称警方可能正在使用联系人追踪应用程序收集的数据。虽然我没有看到任何证据表明这种情况真的发生了，但这种担忧是合理的，可能会减缓应用的采用。在美国，有色人种在COVID-19中受到的打击格外严重，但他们在使用这些应用程序时可能也是最害怕的。

数字接触追踪和暴露通知可能是pet的理想应用。一个可以通知用户他们已经接触到COVID-19而不泄露位置或个人信息的应用程序可以同时保护公共健康和隐私。然而，单靠pet可能无法解决这个问题。

回到顶部

数字接触者追踪技术

在手机上运行联系人追踪和曝光通知应用程序，记录手机的位置或附近是否有其他手机。定位方法包括向集中服务器发送位置信息，以便识别最近与COVID-19检测呈阳性的用户同处一处的用户。或者，受感染用户的位置可以广播给其他用户，以便他们的应用程序可以检查共同位置。接近性方法不需要存储位置，而是记录与应用程序检测到的每个手机相关联的标识符，该标识符在一段时间内(例如，10分钟)处于附近。如果一个用户的检测结果呈阳性，他们的标识符就会被广播，应用程序可以检查受感染者的标识符是否在他们的接近日志中。接近性方法对隐私保护更好，因为它只确定两个用户彼此很近，而不是他们所处的所有位置。

世界各地的研究团队一直在为接触者追踪和暴露通知制定隐私保护协议。这包括私人自动联系追踪(PACT)^一个该团队由麻省理工学院的研究人员和欧洲分散隐私保护近距离追踪(DP-3T)联盟领导。^b

谷歌和苹果公司共同为Android和iOS平台开发了一个基于蓝牙的“暴露通知”API，公共卫生机构可以将其纳入接触追踪应用程序。它使用一种去中心化和隐私保护的方法，其中包括加密生成的旋转标识符，使其更加困难(但不是不可能)¹)以追踪一个标识符到一个人。

很多应用程序还没有内置曝光通知功能，不过使用该API的新应用程序预计将在2020年秋季发布。许多应用程序似乎都在使用自己的方法，隐私和安全问题很常见。例如，有人担心应用程序可能会通过安全漏洞泄露敏感信息。6月中旬发布的一份报告^3.评估了来自世界各地政府机构的基于手机的联系人追踪应用程序，发现大多数应用程序都容易被篡改，从而让攻击者能够访问敏感数据。

回到顶部

权衡

一些应用程序使用很好的技术方法来限制数据泄漏，但这样做可能会限制它们的效用。我可以想象一个应用程序通知我，在过去一周的某个时候，或者更准确地说，上周二，我接近了一个COVID-19检测呈阳性的人。我会有问题。我在他们身边多久了?我们在户外吗?他们咳嗽吗?我们有谁戴着面具吗?我们是面对面交谈还是静静地站在六英尺外?还是他们在坚固的墙的另一边?我可以想象自己感到沮丧，想和人类交谈，而不是收到应用程序的通知。

我可能会注意接触追踪应用程序发出的第一个阳性通知。我可能会进行COVID-19检测，可能会将自己隔离。但我应该远离家里的其他成员吗?他们也应该自我隔离吗?(我可能会问人类更多的问题。)在收到第一个通知后，我可能有了更多的经验，知道该做什么，但我可能很快就会开始忽略这些通知，认为它们是假阳性。由于美国大部分地区和许多其他国家缺乏广泛可用的COVID-19快速检测方法，这一问题更加严重。

有很多方法可以设计一个应用程序来回答我的许多问题，减轻一些担忧。这可能需要我们放弃一些隐私。也许应用程序应该同时存储位置信息和距离信息，这样它就可以通信暴露发生在哪里。也许被感染者可以批准向接收通知的人发送附加信息——比如他们是否在公共场合戴口罩。也许他们会同意与收到通知的朋友分享自己的名字。限制使用联系追踪信息的法律和政策可能会减少对隐私的担忧，并鼓励人们允许更多的数据被收集和共享。此外，人们可能愿意允许一个应用程序在某些地方收集更多的数据——我可能允许一个应用程序在杂货店或公园收集精确的位置信息，但不允许在医生办公室或抗议游行。然而，要构建一个支持这种控制的应用程序，而不需要用户花费大量的时间和精力来设置它，这可能是一个挑战。

另一个令人担忧的问题是，人们可能会谎报自己已被感染，以制造恶作剧，或让人们呆在家里，以便关闭学校，甚至破坏选举。解决这一问题的方法是要求公共卫生官员、医生或检测实验室在发送通知之前核实阳性检测报告，尽管这可能会降低便利性、隐私性或通知的及时性。

回到顶部

采用

去年春天在美国进行的一项研究发现，参与者普遍倾向于与公共卫生当局共享受感染用户的身份和位置的集中接触追踪方法，而不是不共享数据的分散的、更保护隐私的方法。大约一半的参与者表示愿意安装这种集中式应用程序，而约四分之一的参与者表示他们不太可能安装任何联系追踪应用程序。美国的其他调查也发现，约一半的智能手机用户表示可能会安装联系追踪应用程序。⁶这还没有考虑到那些没有智能手机的人，他们无法使用这些应用程序。在美国，一些风险最大的人群最不可能拥有智能手机。此外，这些应用目前的使用率似乎很低，即使在去年春天推出应用的国家也是如此。例如，据报道，今年5月，在冰岛，只有38%的人使用了联系追踪应用，在新加坡，这一比例为20%。然而，研究人员估计，这些应用程序要想发挥作用，至少需要60%的采用率。⁵即使在法国，StopCovid应用程序在6月被超过180万人激活，该应用程序也只通知了14人他们可能已经接触到病毒。¹

在卡内基梅隆大学(Carnegie Mellon University)，一组研究人员开发了一款名为NOVID的匿名接触追踪应用程序，它与其他应用程序不同的是，除了蓝牙，它还使用了超声波来提高准确性，并允许它向通知接收者提供他们与感染者的距离有多近的信息。它的一个特点是，即使没有报告感染，它也会告诉用户他们是否与其他NOVID用户接近。我住在卡内基梅隆(Carnegie Mellon)附近的一个社区，那里对NOVID的兴趣可能比其他地方更大。在我安装NOVID的四个月里，它检测到我只与另一个NOVID用户有过亲密接触，尽管我通过每天的户外运动和日常事务与许多人有过简短的接触。因此，NOVID对我还不是特别有用。

尽管公众接受速度缓慢，但私营公司和大学开始要求其员工和学生使用应用程序追踪联系人并报告症状。一些公司要求使用应用程序或可穿戴设备，当穿戴者离其他用户太近时，这些应用程序或可穿戴设备会立即提醒佩戴者。症状跟踪应用程序可以为用户提供简短的每日问卷，以报告任何与covid相关的症状。然而，所有这些方法都引起了人们的担忧。员工和学生想知道他们的信息被发送到哪里以及如何使用。康涅狄格大学进行了焦点小组调查，发现学生不太可能报告因与COVID-19无关的原因而频繁出现的头痛等症状，因为他们担心被迫隔离，错过考试或社交活动。^c

与应用程序相比，废水监测可能更能保护隐私(假设样本是在水离开大楼时采集的，而不是每次冲水时)，更容易部署，更能有效地在大学检测COVID，在被监测大楼中有人被感染时提供早期预警。今年8月，亚利桑那大学一所宿舍楼的废水中发现病毒后，所有住客都接受了检测。结果，两名无症状学生在进一步传播病毒之前被发现。⁷

回到顶部

挑战

虽然使用应用程序帮助控制致命病毒和保护隐私的努力值得称赞，但早期的努力看起来并不乐观，一些专家得出的结论是，接触追踪应用程序的风险可能超过其潜在的好处。^2，8在开发和部署高效可用的广泛应用程序方面仍然存在挑战。

技术人员一直专注于开发保护隐私的去中心化应用程序，但一种带有法律保护的、限制数据使用的中心化方法可能更有利于公众健康，也更容易为公众所理解和接受。这些应用程序试图解决的问题不仅仅是一个技术问题，仅靠数字技术不太可能解决问题。与许多隐私问题一样，解决方案应该包括政策和技术。⁹法律和组织政策必须确保不将敏感信息用于与公共卫生无关的目的;数字工具必须是可靠的、可理解的和可用的;公共卫生组织和快速COVID-19检测必须成为解决方案的一部分。

回到顶部

回到顶部

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2020 ACM, Inc.

---

没有发现记录