安全研究月苹果、谷歌疫情防控“分布式接触追踪”系统分析与启示

 

苹果和谷歌的做法,对利用科技手段防疫的同时,保护个人信息安全有较好的借鉴意义,我们加以介绍并供研究参考。...

鹅非子为大家带来「腾讯安全战略研究月」推送的第一篇原创深度文章,作者为腾讯安全战略高级研究员孙海鸣、张颖

近日,全球新冠肺炎确诊人数已突破170万,第一时间找到确诊患者的密切接触者,仍是阻止疫情进一步蔓延的关键。并且由于存在无症状感染者,会导致人们不能确定自己是否接触过感染者。

为此,苹果和谷歌将联手,打通IOS和安卓手机系统,推出追踪确诊病患密切接触者的手机基础功能。

苹果和谷歌的做法,对利用科技手段防疫的同时,保护个人信息安全有较好的借鉴意义,我们加以介绍并供研究参考。
01
基本介绍


2020年4月10日,苹果和谷歌共同宣布,两家公司正在联手开发新冠病毒接触者追踪工具,将软件内置到智能手机中,以提醒最近接触过冠状病毒感染者的人。

该项目将分为两个阶段进行:

第一阶段:iOS和安卓两大操作系统会在5月中旬推出专用API,供卫生部门在专用App中使用相关的系统数据。只有用户在各自的应用商店下载这些专用App之后,才能参与接触者追踪。

第二阶段:几个月之后,跟踪功能将内嵌在两大操作系统中,从而保证iOS与安卓系统的手机都被覆盖。这是一个比提供API更进一步的解决方案,将允许更多个人基于自愿原则参与,可以与更多相关App和政府卫生部门进行互通。这意味着即便不下载相关的App也可使用该工具。据统计,目前iOS与安卓系统在全球共有约30亿用户,占据全球智能手机市场的99%。
02
系统运行逻辑
(一)基本原理
该工具采用的是低能耗(BLE)版本的蓝牙规范,理论上,BLE可在最远100米距离内实现连接。该技术在iOS和安卓系统上都适用,并不存在技术上的重大障碍。

谷歌、苹果两家公司准备使用短程蓝牙通信系统建立以“用户自愿”为基础的联系人跟踪网络。该网络并非基于用户的“位置信息”或其他“可识别信息”建立,而是通过手机自动随机生成的匿名密钥建立。确诊患者会向医院等机构上传匿名秘钥数据,从而使该系统得以向与确诊患者接触过的其他用户。
(二)举例说明
1、用户参与

爱丽丝和鲍勃都安装了适用于该技术的app,他们的手机每隔5分钟(5分钟为举例,实际中这是pseudo-random,即“伪随机”的,发送时间是不固定的)会向附近的设备发送随机密钥,同时也会接收附近设备发送的随机密钥并在手机中存储。

2、接触信息的交换和存储

爱丽丝和鲍勃首次见面,交谈了10分钟。在这个过程中,他们的手机交换、存储了彼此的在接触时间内发送的随机密钥。

3、确诊者自愿上传健康信息与密钥

此后鲍勃不幸确诊感染新冠病毒,他把自己的诊断结果上传到了某公共卫生部门的App中。经过鲍勃同意之后,他的手机将最近14天发送的密钥上传到云端。

4、用户接收的秘钥与确诊者的密钥匹配

爱丽丝对她接触了确诊患者毫不知情。但她的手机却在固定时间持续下载她所在地区确诊患者发送到云端的密钥,并和她手机储存的近期接收到的密钥进行匹配,最终匹配上了鲍勃的匿名密钥。

5、用户收到警告信息及防疫指导

最后,爱丽丝的手机收到警告,“你最近接触过确诊感染新冠病毒者。”并接收到如何进行就诊、居家隔离等下一步指导。
03
隐私保护措施:
随机密钥+非集中数据库+自愿
(一)通过蓝牙技术发送和接收密钥,不处理个人信息


苹果和谷歌强调,系统一般通过蓝牙发送和接收一个会定期更新一次的随机匿名密钥,而不是一个静态的身份信息——该系统不会收集个人位置数据,也不会将用户接触过的高危人群的具体姓名或身份等其它个人信息告知给用户。

从实操角度而言,整个“接触追踪”过程中仅仅产生随机密钥的交互。与感染者有接触的用户也仅仅是会在手机上接收到“你最近接触过确诊感染新冠病毒者”的警告信息,并不包含任何关于感染者的个人信息。如此一来,即可避免确诊患者被识别出来,从而保护个人隐私。
(二)分布式存储,无集中式数据库
该系统并不采用集中式数据库,不存在一份可供访问的中央主列表(包括哪些手机设备已经匹配等),且中央服务器仅维护共享密钥的数据库,而不维护这些密钥之间进行交互的相关信息。

用户接收到的附近设备发出的密钥存储在用户自己的手机里,且与感染者的密钥的匹配过程将在用户手机终端层面进行。
(三)自愿加入
无论是是否使用追踪app、用户被感染后是否上传感染信息及随机密钥等,该系统全部采用opt-in模式——即用户可以自愿选择是否加入这个系统,是否上传相关信息。
03
对配合疫情相关个人信息收集使用工作的启示
(1) 对待个人信息保护的审慎态度
苹果-谷歌此次的合作中,我们可以感受到此项目对于大规模处理公民个人数据行为的审慎态度,在其他国家拟通过匿名方式收集位置信息时,此项目仍然采用不触及公民可识别信息的随机密钥蓝牙传输技术,在保证防疫效果的情况下减少对公民隐私和个人信息的影响。

由此提示,我国企业在配合国内有权机关开展疫情数据收集、处理工作时,建议亦需坚持对个人信息予以保护。

首先,产品需详细草拟或修订用户协议和隐私政策,符合向用户告知并获取同意的基本要求,明确说明收集、使用个人信息的合法基础,对一般个人信息、个人敏感信息分别履行不同程度的告知义务,避免使隐私政策条款过于笼统、模糊;

其次,采取充分的组织管理、技术安全措施,明确安全责任,确保个人数据全生命周期合规。

再次,与政府或第三方机构合作时,应以授权文书、合作协议等方式,明确责任主体,划清双方乃至多方之间的安全责任边界。最后,针对自动化决策、重大风险操作,敏感个人信息处理(例如金融信息等)活动,应及时展开个人信息安全影响评估,满足可靠性原则(accountability)。
(2) 隐私设计:匿名化、分布式存储、同意机制等
1、蓝牙匿名密钥传输技术

苹果谷歌没有采取其他国家大数据防控的一般手段,即收集、存储与转让、共享公民的位置信息等个人敏感数据,而是采用蓝牙技术,通过随机密钥的发送、接受、存储、匹配来实现最终的追踪目,尽量避免对个人敏感信息进行处理。这种方式有利于减少公众的隐私担忧,并且在尽可能不触及公民个人数据的条件下,实现密切接触者追踪、匹配、告警和记录的功能。

根据两家公司已发布的公告,第二阶段将为所有的iOS和安卓系统的手机提供该技术的API,中国用户的手机也如此,此时,政府应该考虑是否能够在中国境内使用该技术。涉及到的问题主要有两个:一是苹果、谷歌属于外国公司,是否能够依赖他们提供的技术进行如此普遍的追踪;二是相比于目前其它同类健康码等项目,苹果谷歌的蓝牙追踪技术受到“自愿选择加入”这一技术逻辑的限制,实际效果如何,尚有待观察。

但不论如何,综合利用匿名化、去标识化、加密、校验、访问控制、强密码策略、避免明文形式编码等多种方式,强化技术安全措施。

2、分布式存储

苹果、谷歌公司不采用集中式的数据库,没有一份可访问的中央主列表(包括哪些手机已经匹配等等),中央服务器仅维护共享密钥的数据库,而不维护这些密钥之间的交互。用户接收到的附近设备的密钥存储在用户自己的手机终端里,且与感染者的密钥对比过程在用户手机终端进行。

其它同类的健康码采取的多是集中式数据库存储,并且个人数据需要上传给中心数据库,结合其他数据库,如铁路、公交系统等数据库进行分析,这可能导致信息的收集、存储、汇聚融合、第三方共享转让的链路过长,一方面需要向用户获取二次授权,另一方面存在更大的数据安全合规压力。

“他山之石可以攻玉”,苹果、谷歌公司所采取的“分布式存储”、“秘钥动态更新”、“终端侧加密计算”、“中央服务器只维护匿名化数据而不存储个人数据”等技术逻辑,仍然值得国内同类产品深入研究与借鉴。

3、知情同意机制

按照计划,苹果谷歌的追踪技术将采取opt-in模式,尊重用户的自主选择权,当然,这导致了人们对这个技术最终效果的质疑。而我司在配合各地有权机关进行疫情数据收集、处理的过程中,针对位置信息、健康信息、身份证号码等个人敏感信息的收集、处理行为,亦应利用隐私协议、弹窗、公告等工具,明确向用户告知收集、处理个人信息的目的、类型、方式等,并明确说明用户所具有的权利以及实现权利的方式。

4、数据最小化原则

苹果谷歌的蓝牙追踪技术只依靠确诊者自愿上传健康信息,理论上并不需要收集其他用户的个人信息,相对而言,实现了数据最小化原则。

而在其它同类产品配合信息采集期间,需用户真实申报包括姓名、性别、手机号、身份证号、详细地址、活动轨迹、健康信息、接触史等信息。除了用户申报的信息之外,健康码系统还接入了民航、铁路、公路、ETC自驾数据以及公交车等交通数据,电信运营商数据、银行金融机构支付数据等。

这些数据的使用,通过大数据实时比对、更新并作出综合研判,可以对用户申报的信息进行交叉验证,准确掌握公民的行动轨迹,精准识别高危人群。须进一步研判上述类型数据收集、使用是否与疫情防控的目的相关,是否与确诊者、疑似患者、密切接触人群强相关——即是否符合最小化原则。
(三)数据二次利用合规
目前来看,亚洲国家对疫情处理较欧美国家更为高效。韩国已经渡过最艰难的时期,新加坡等其他亚洲国家也在很大程度上控制了疫情,这其中部分得益于早期实施的监控类技术应用,但在疫情结束之后也仍需反思和重新评估相关应用的合规性,在隐私和“公共健康”之间重新确立平衡点,防止紧急措施的“常态化”。

例如,2月份国内某款健康码产品介绍,“健康码”正式关联杭州电子社保卡和健康卡,通过“我的健康”,可以直接实现挂号、取号、就诊、取药、电子发票等医院就诊和医保支付应用。这不得不引起人们对该健康码在疫情结束后可能“常态化”使用的担忧。

在健康危机消退之后,应确保相关数据的删除、销毁符合最小必要原则;确保个人信息主体有充分渠道行使其访问、删除、更正、撤回、注销等主体权利能够得以顺利实现;确保在数据导出、或数据使用目的、方式发生变化时,及时利用隐私协议变更、弹窗提醒、公告发布等形式告知用户,并实现二次授权同意。
附录 美国疫情期间健康信息收集法律依据(向下滑动查看更多)

(一)美国的《健康保险流通与责任法案》(HIPAA)的一般披露规则:

1、个人健康信息披露的一般原则:书面同意

根据HIPAA的隐私规则,适用主体只能在以下两种情况中使用或披露受保护的个人信息:(1)个人信息主体或其授权的代表以书面的形式授权此类个人信息的使用或披露;或(2)根据HIPAA隐私规则允许或要求使用或披露。

而对于需要书面授权才能使用或披露的受保护信息,书面授权有严格的形式规范,要求必须使用通俗易懂的语言,明确包含要披露或使用的信息、披露和接收信息的人员、授权到期日、撤销权以及其他数据的具体信息。

2、书面同意的例外情形

隐私规则规定了在特定情况下可不经过信息主体的书面授权同意,使用或披露受保护信息的情形:

(1)向个人信息主体本人披露受保护信息;

(2)适用主体出于治疗、费用支付以及运营医疗服务的目的使用或披露受保护信息。其中运营医疗服务的目的包括进行医疗服务质量分析、提升医疗服务等目的;

(3)在事先告知个人信息主体,适用主体可在口头通知个人信息主体并获得其口头同意后,使用或披露其受保护信息。此类情形适用于向神职人员或通过病人姓名询问的来访者披露中病人的信息以及向病人的家属、朋友或其他指定人士通知与病人病情或医疗费用支付相关的信息。

(4)不可避免的使用或披露。例如医院的访问者无意间听到了医护人员之间有关病患个人情况的交谈;

(5)出于公共利益的目的,例如法律法规要求披露相关信息,或基于疾病防治的目的在公共健康监管部门要求的前提下进行披露。

(6)出于研究的目的收集有限的数据集,该数据集包含特定的个人受保护信息。

3、最小必要

HIPAA隐私规则最重要的原则之一即为最小必要原则,该原则要求适用主体在使用、披露或请求获得受保护信息时,必须做出合理努力,将受保护的健康信息量限制在合乎目的的最小必要范围内。

(二)疫情期间的隐私保护要求

随着新型冠状病毒肺炎在美国的蔓延,美国卫生和公共服务部门于最近发布了有关确保HIPAA隐私规则适用主体在疫情中遵循HIPAA隐私规则有关信息使用与披露的公告,其中重要要点总结如下:

适用主体可在未经患者授权的情况下--

(1)披露对于治疗该患者或其他患者必要的受保护信息。

(2)出于公共健康的目的,向公共健康监管部门披露患者信息,或者在政府部门的指引下向外国政府机构披露信息,或向有感染风险的人披露受保护信息。

(3)适用主体可在未经患者书面授权的情况下,在获取患者口头允许或者能够合理推断其不反对的情形下,向患者的家属、朋友或者患者指定的人披露与病情相关的受保护信息。在患者无法表达意向的情况下,可在判定信息披露是基于患者的最佳利益的前提下披露受保护信息。

(4)基于阻止严重的或即将发生的威胁公共或个人健康、安全的事件,披露受保护信息。

(5)在未经患者或其指定人员书面授权的情况下,适用主体不得向媒体或公众报告可识别患者个人身份的信息或与患者治疗相关的信息。若患者并未反对或限制其受保护信息的披露,医疗机构可基于请求,在HIPAA隐私规则允许的范围内,适当披露患者的受保护信息。

(6)使用与披露受保护信息应遵循最小必要原则。

(7)即使在紧急情况中也必须采取合理的安全措施保护受保护信息,防止不被允许的信息使用和披露。

参考资料:

1.https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/?subId3=xid:fr1586564949990ede

2. 谷歌苹果合作白皮书

https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf

3.https://www.theverge.com/2020/4/10/21216484/google-apple-coronavirus-contract-tracing-bluetooth-location-tracking-data-app

4. 谷歌苹果合作白皮书

https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf

5. 45 C. F. R.§164.502

6. 45 C. F. R§164.532

7. 45 C. F. R.§164.502

8. 45 C. F. R.§164.514(d)

9. 美国卫生和公共服务部门有关在疫情中遵循HIPAA隐私规则的公告

https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf

10. 美国卫生和公共服务部门有关在疫情中遵循HIPAA隐私规则的公告https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf

11. 胡晓萌、文贤庆、孙保学:健康码的隐私政策还有哪些改进空间?载微信公众号“界面时评”https://m.jiemian.com/article/4120372.html

12. http://www.cac.gov.cn/2020-02/09/c_1582791585580220.htm

13. http://www.cac.gov.cn/2020-03/05/c_1584952813418365.htm

14. http://www.cac.gov.cn/2020-03/13/c_1585639125228327.htm

15. 胡晓萌、文贤庆、孙保学:健康码的隐私政策还有哪些改进空间?载微信公众号“界面时评”https://m.jiemian.com/article/4120372.html

16. 王融、闫锦麟:“隐私”与“公共健康”的决策平衡 ——疫情下各国个人信息保护的10个共识、差异与挑战,载微信公众号“腾讯研究院”

https://mp.weixin.qq.com/s/-jpDUpBpqqR1BFmWgdVfxg

17. 胡晓萌、文贤庆、孙保学:健康码的隐私政策还有哪些改进空间?载微信公众号“界面时评”https://m.jiemian.com/article/4120372.html

18. 消除健康码的隐私风险,才能让中国科技抗疫成为范本,载微信公众号“HC3i中新数医”https://mp.weixin.qq.com/s/3-_yftI0KCyo6cDxBFVsNg
 鹅师傅宠粉福利进行时 
在「腾讯安全战略研究月」期间(5月6-29日),只要您在活动期间发布的推文下留言(包括本篇哦),并获得最多累积精选留言,即可成为「腾讯安全战略之星


    关注 腾讯网络安全与犯罪研究基地


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册