美国版“接触追踪”技术和中国版“健康码”个人敏感信息保护之异同
文/王源
近日,美国苹果公司和谷歌公司宣布,将联手开发手机接触追踪(Contact Tracing)技术,用以预防新型冠状病毒扩散。该接触追踪技术是操作系统(operating system-level)层面的技术,类似应用程序。如果开发完成,使用IOS系统的苹果手机用户和使用谷歌公司开发的Android系统手机用户,可以从当地上架的应用商店下载并使用。
新冠病毒爆发后,中国各地方先后推出“健康码”,用于证明个人健康状况,被广泛用作出入通行凭证。国家政务服务平台也推出了“防疫健康信息码”,适用于全国并且可以和地方“健康码”互相开放服务接口,实现信息互认。
在媒体的报道中,有将美国版“接触追踪”技术类比为中国版“健康码”。笔者认为,二者有本质区别,美国版“接触追踪”技术不需要借助二维码来实现基本功能,二者为预防疫情扩散的不同技术手段。
一、美国版“接触追踪”技术和中国版“健康码”技术架构
如图1所示,美国版“接触追踪”技术实现对疫情防控的技术架构为:拥有手机的个人用户如果在一定距离范围内发生过接触,手机的蓝牙设备将通过UUID技术(经过Tracing Key和Daily Tracing Key加密)交换信息,实现手机之间的“对话”,“记住”和对方手机曾经在一定距离范围内互相接触过这一信息。如果某手机用户被确诊感染,将从诊所或者医院得到“诊断码”(Diagnosis Key),通过诊断码将手机“记住”的和其他手机的“对话”信息主动上传至中心平台。中心平台通知和确诊手机用户有过接触的其他手机用户,如果其他手机用户选择接受信息这一功能。苹果公司和谷歌公司从技术层面合作开发注册UUID的蓝牙节能(Bluetooth Low Energy, BLE)技术,实现手机间“对话”,并通过开放接口API实现IOS和Android操作系统手机间信息互认。
如图2所示,中国版“健康码”实现对疫情防控的技术架构为:用户通过移动设备手机下载APP或者利用APP中的健康功能模块,注册成为用户后在线申领,填写系统要求的相关个人健康信息,然后上传到防疫通行码平台并定时更新健康信息,平台将生成二维码。“健康码”的主要作用为出入凭证,用户通过手机访问防疫通行码平台,终端屏幕显示防疫通行码,证明健康状况,有的二维码根据健康状况直观的以“绿、黄、红”三种颜色表示。防控检测、或者管理人员还可以通过“扫一扫”功能扫描防疫通行码,核验人员可以核验用户填报信息真实性,调整后上报。
二、美国版“接触追踪”技术和中国版“健康码”相同之处
美国版“接触追踪”技术和中国版“健康码”的目的均为防止疫情扩散,疏离感染或者高危人群,警示和保护健康人群。为实现这一目的,均需收集和共享个人信息,尤其是健康医疗信息。其相同之处有:
1、收集共享健康医疗信息均需借助公共通信网络或者互联网,最终将信息上传至中心平台方可最终实现防疫目的,均有提供防疫信息供用户选择是否自我隔离的作用。美国版“接触追踪”技术在用户确诊后,将确诊信息和手机“对话”信息上传至中心平台,平台将确诊信息通知其他用户;中国版“健康码”用户将信息上传至中心平台。二者均需借助公网,蓝牙通信距离短无法实现信息上传中心平台,且均需由中心平台处理信息后通知有接触史用户或者进行信息展示。
2、要实现二者功能,理论上均无需收集GPS精准定位或者行踪轨迹信息。美国版“接触追踪”技术使用蓝牙BLE实现“手机”对话无需地理位置信息,而且有专门的Rolling Proximity Identifier,防止无线wifi探测到用户地理位置;中国版“健康码”用户可以选择是否共享地理位置信息(不同健康码功能设计或者健康码的不同功能可能有所不同)。
3、二者均采取“选择加入”(opt in)模式,即用户可以选择使用或者不使用这一服务,也可以选择是否对外提供个人健康医疗信息。美国版“接触追踪”技术下,用户确诊后,凭借Diagnosis Key选择是否上传手机中记录的信息;中国版“健康码”由用户主动填写个人健康信息,尽管实践中在用户授权情形下,中心平台可能还可以从其他渠道获得并融合用户信息,用于验证信息真实性或提供更多的个人健康信息。
三、美国版“接触追踪”技术和中国版“健康码”不同之处
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。按照目前行业比较一致的实践认知,与疫情防控相关的个人敏感信息至少包括身份证件号码、个人生物识别信息(个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)、行踪轨迹、精准定位信息、住宿信息、健康生理信息(个人因生病医治等产生的相关记录和诊疗信息等)等。
从实现防疫功能角度,美国版“接触追踪”技术和中国版“健康码”均需要采集和共享个人敏感信息;从个人信息保护角度,均涉及如何“合法、正当、必要”地在用户同意情况下,仅采集和共享必要的个人敏感信息,同时确保信息安全。围绕这两个出发点,美国版“接触追踪”技术和中国版“健康码”不同之处如下:
1、美国版“接触追踪”技术和中国版“健康码”最形象的不同在于:中国版“健康码”需要手机生成二维码,而美国版“接触追踪”技术根本就没有“码”。如图1所示,美国版“接触追踪”技术依靠注册于BLE蓝牙的UUID实现手机“对话”(并不通过手机录音方式记录用户的语音信息),如果某手机用户确诊,自愿上传至中心平台的个人健康医疗信息和手机“对话”经过处理后被告知有接触史的手机(用户)。除非基于这一基本功能另行开发二维码,该技术实现本身不需要二维码。
2、收集个人敏感信息的数量不同。从目前公开的技术线路图来看,美国版“接触追踪”技术全程仅收集确诊感染用户手机“对话”信息(如果用户到访过医院但未确诊感染,个人健康医疗信息和手机中存储的手机间“对话”信息不会上传至中心平台;未到访过医院的用户的个人信息不会上传至中心平台),不收集身份信息和GPS精准定位信息;中国版“健康码”除了收集确诊感染信息之外,还收集身份信息及证件号码用于注册时实名认证,需要用户填报确诊感染信息之外的健康信息等身体体征状况信息,还可以绑定家属等他人健康信息,可以提供出行旅行信息,实践中有的需要人脸识别或者位置信息才可能使用所有功能。
3、收集个人敏感信息的方式不同。中国版“健康码”主要通过用户主动上传个人健康信息实现功能。美国版“接触追踪”技术一共涉及两次个人信息收集:第一次为手机之间通过注册于蓝牙BLE的UUID,在Tracing Key加密保护条件下,互相通过机器语言收集彼此在一定范围内接触过这一信息,该信息仅存储于手机终端,为分布式边缘存储,此时并不上传中心平台;第二次为确诊用户通过从医生得到的Diagnosis Key主动上传确诊信息。一旦确诊,两次收集的信息都在用户主动选择情况下,上传中心平台用以通知其他用户。可以看出,美国版“接触追踪”主要以自动化机器采集机器信息(尽管该机器信息可能也被归于个人信息)为主,而非用户主动提供填写提供个人信息。而且,被通知的手机用户也不用知道被确诊的用户身份,仅需知道在什么时间和什么区域的位置范围之内曾经接触过确诊患者。每一部手机中均互相记录多部手机信息,还可以从中判断所接触的确诊手机用户数量。
四、不同“技术防疫”路径下个人敏感信息保护的考量
从上述介绍和分析可以看出:
1、理想状态下,美国版“接触追踪”技术通过注册于蓝牙BLE的UUID实现手机间“对话”并将这一对话暂时保存在手机端(并不通过录音记录手机用户日常语音信息);如果某手机用户确诊,才在其同意的情形下通过医生给予的Diagnosis Key,主动将手机中记录的在一定范围内接触过其他手机(用户)这一信息上传至中心平台,中心平台用以通知其他手机用户。整个过程中收集的个人信息数量非常有限,不包括非确诊用户信息,也不包括确诊用户确诊信息和手机“对话”信息之外的信息,不包括用户与亲属等人员关系信息等。最大的隐私担忧手机的GPS地理位置信息被专门技术保护防止被实时收集。中心平台通知有确诊用户接触史的其他用户仍然需要通过互联网(而非蓝牙)实现,有可能需要提供更多的个人信息才能接收通知。
2、由于通过手机“对话”手机,用户处于被动收集信息状态,不主动提供信息,主动同意提供给中心平台的确诊信息和手机“对话”信息的准确度基本不受人为干预,防止人为误填。中国版“健康码”需要用户主动提供防疫信息,还涉及核验人员对信息的核验,以及通过融合其他可信平台已经采集的个人信息进行验证。
3、实际上,美国版“接触追踪”技术和中国版“健康码”是两种技术路径,作用不同,并不互相排斥,甚至可以叠加使用。美国版“接触追踪”技术本身并不需要二维码实现功能,其技术并非用作出入通行自证健康的凭证,即使被确诊或者被告知和患者有过接触,“接触追踪”技术并不能限制手机用户出入任何场所,也不提供给任何第三方允许或者拒绝个人出入任何场所的手段可能性,依靠手机用户自我选择治疗或者隔离。
参考资料:
1、Contact Tracing Bluetooth Specification
2、《关于做好个人信息保护利用大数据支撑联防联控工作的通知》
3、《个人信息安全规范》
4、《防疫通行码参考架构与技术指南》
5、《全国一体化政务服务平台 防疫健康信息码接口标准》
注:作者为律师,本文非法律意见。
声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。