智东西(公众号:zhidxcom)
编 | 董温淑
智东西4月30日消息,就在今天,苹果和谷歌公司联手推出的“暴露通知”系统上线测试,测试周期为几个星期。这个系统通过蓝牙判断手机用户之间的距离,可以警示无意间接触了COVID-19病毒的用户。
苹果和谷歌的联手自4月10日官宣后就备受关注,在全球新冠肺炎感染人数已经超过300万人规模的时候,这套“暴露通知”系统有巨大意义,但要按两家公司设想的模式来运行,仍有在很多方面面临困难,这也让它在最初公布的节点(4月28号)跳票了。同时,由于各方对隐私问题的担忧,这一方案也备受质疑。
根据中国的抗疫经验,追踪密切接触者是有效发现、隔离四类人员(感染者、疑似感染者、无法明确排除的发热患者、密切接触者)的重要前提之一,对于阻止疫情扩散意义重大。因此,多国政府、各类组织纷纷推出病毒接触者追踪方案。
根据谷歌、苹果4月10日声明,这个系统不会获取用户位置信息,而且使用方法十分简单。如果某位用户不幸确诊,只需在系统中报备,与其有过接触的其他用户就会收到通知。
从官宣至今整整20天过去,经历过与各国的艰难协商、技术攻关,这个系统从“接触者追踪(Contact Tracing)”更名为“暴露通知(Exposure Notification)”。终于定于今天投入测试:苹果发布了iOS 13.5 beta版,谷歌向部分测试用户提供了内置新功能的Google Play更新包。另外,苹果、谷歌表示将在周五给出更多技术细节。
两家公司表示,如果测试顺利进行,将在5月中旬发布第一代系统、6月份推出第二代系统。
这一系统能否达到两家公司宣传的抗疫目的?系统背后的技术原理是什么?隐私风险性究竟如何?有哪些用户可以使用这项功能?智东西对这些问题进行了深度挖掘。
根据发布在苹果官网上的技术规范,暴露通知系统采用的是一种蓝牙低功耗技术(Bluetooth Low Energy)。使用时,用户设备通过用蓝牙进行连接,互相交换信息、记录接触对象和接触时间。
设备交换信息的过程
技术规范链接:
每台设备被分配到一个16比特的0*FD6F通用唯一识别码(UUID)。16位UUID基于两种数据生成:16比特的滚动近距离标识符和4比特的关联加密元数据。
设备在发送出UUID 同时,用滚动近距离标识符(Rolling Proximity Identifier)标记接收到的代码。约每15分钟,滚动近距离标识符会更新一次,以记录收到UUID的时间。
这个系统还需要得到相关政府部门、医疗机构的支持。苹果和谷歌提供API接口,公共卫生部门自行研发App。
另外,感染者需要得到医疗机构的确认。如果某位用户经医疗机构确诊为新冠肺炎患者,就可以在系统中报备病情。系统会将确诊患者的UUID码发出,其他设备将其与收到UUID码的历史记录进行比对,判断用户与确诊者是否有过接触。
二、识别码经过加密,黑客认不出
在整个流程中,UUID码是匹配用户身份的唯一凭据,为了防止黑客通过UUID码倒推回用户身份,苹果和谷歌公司对滚动近距离标识符和元数据进行了加密。
滚动近距离标识符(RPI,Rolling Proximity Identifier)又称蓝牙伪随机标识符(Bluetooth Pseuddorandom Identifier),源自滚动近距离标识符密钥(RPI Key)。滚动近距离标识符密钥中包含着接触时间信息:临时暴露密钥(Temporary Exposure Key)和离散时间信号。
首先,滚动近距离标识符的更新频率与蓝牙信号地址的变化频率相同,这样可以防止连接性(link-ability)追踪和无线(wireless)追踪。
其次,临时暴露密钥(Temporary Exposure Key)的更新频率被设置为144,密钥有效期为24小时。每个密钥都由加密随机数字生成器独立生成。
另外,根据协议,时间用unix时间戳方式表示,以10分钟间隔进行离散化处理。
与用户身份标识无关的加密元数据与滚动近距离标识符关联。只有在用户确诊并主动报备病情后,元数据才会解密。
除了技术层面,两家公司也在政策上做了规定:
1、通过此系统收集的信息都会留在用户设备上,不会上传至公共部门或科技公司的中央数据库;
2、用户有权选择不启用这一功能,只要不更新系统或更新后关闭这一功能就可以;
3、承诺疫情结束后会禁用这一系统。
尽管“暴露通知”系统使用的BLE技术有耗电低、匹配精准、隐私风险低等优势,但它也存在一些问题留待解决。
首先是技术问题。
1、蓝牙连接范围可能不满足社会隔离有效距离的要求
理论上来说,BLE技术的连接范围可以达到100米以上,但实际上这还要取决于硬件的情况。另外,蓝牙信号也很容易被墙壁阻隔。以依靠蓝牙连接的AirPods和iPhone为例,其有效配对范围约为8m,而社会隔离的有效距离一般为18m。
2、蓝牙追踪系统无法更精确地判断用户之间的接触情况
例如,在确诊用户和其他用户分处两个邻近房间的情况下,其他用户没有感染风险,但系统无法辨别。
其次,苹果和谷歌还需要回应多方对隐私风险、合法性的担忧。
4月13日晚,特朗普在白宫新闻发布会上评价蓝牙追踪项目,称“与其说这是一个机械问题,倒不如说是一个宪法问题。”他表示会就此在接下来四个星期里开展广泛讨论。
4月15日,美国参议员理查德·布鲁门萨尔(Richard Blumenthal)在一份声明中表示:“谷歌和苹果要做许多工作去说服公众,让他们相信追踪接触者的技术不会对他们的隐私产生威胁。”
另外,从公众使用习惯角度来说,并非所有人都会随身携带手机,也不是所有手机都会开启蓝牙功能。
综合来说,谷歌、苹果推出的蓝牙接触追踪方案需要在以下几方面形成闭环:科技公司的技术设想、从追踪技术到隐私保护技术的实现、医疗部门推出App、用户更新系统并开启相应设置、用户随身携带手机、系统运作良好、新冠病毒感染者自觉上报等。
第一代系统刚刚上线测试,用户的接受程度、系统运行效果都还未知。目前,“暴露通知”系统仅能作为传统人工排查手段的补充,而非替代。
结语:第二代系统正在研发,将不再需要App
目前,各国对“暴露通知”系统的态度不一。
4月初,多家媒体曾报道“暴露通知”系统在法国、英国落地受阻,原因是这两国政府希望这一系统能在后台运行、并把用户数据储存到中央数据库,而苹果、谷歌坚持将数据留在用户设备上。一位法国官员甚至认为:“欧盟国家完全被谷歌和苹果挟持。”
除非协商一致,否则“暴露通知”系统将无法覆盖这几个国家的用户。
另一面,德国于4月26日宣布接受苹果、谷歌的隐私协议,将引入“暴露通知”系统帮助抗疫。
在第一代系统上线测试的同时,谷歌和苹果也在推进第二代系统的研发。据称两家公司计划将第二代系统直接内置到iOS和Android系统中,这样用户在不安装医疗卫生部门App的情况下就可以使用“暴露通知”功能。
智东西将持续关注这一项目进展。
