美科技巨頭擬推“健康碼”：和中國版區別在哪？

劃重點

1蘋果和穀歌聯手開發的美國版“健康碼”，強調“分散化”、自下而上；中國、韓國和新加坡等國家以政府為核心主導，依賴中心數據庫。

2初期，穀歌和蘋果將共同開發 API，使安卓和 iOS 兩個操作係統的互操作成為可能。此後，
兩家公司將通過操作係統的更新，將藍牙追蹤功能嵌入係統本身，鼓勵更多人參與。

3藍牙技術可能不精確，但信號通常可以輻射約 9 米多，遠大於通常認為的——不會造成新冠病毒感染的 2 米社交安全距離。

4我國推行的“健康碼”，通過微信、支付寶等平台入口覆蓋了數億人口，但其仍然也僅限於我國之內。如果要實現全球疫情防控，需要更加通用的技術方案。

5國家之間如果無法建立一致、高效的信息交流體係，抗疫成果就隻能局限在一國之內。一旦開放邊境，恢複正常的人員流動和貿易活動，“輸入型”病例很可能導致疫情控製成果前功盡棄。

6數字接觸追蹤技術不可能完全取代傳統的人工接觸追蹤。

新冠肺炎疫情在全球的發展蔓延局勢依然嚴峻，對感染者和密切接觸者的追蹤隔離，仍然是當前緩解疫情蔓延最為依賴的措施之一。在此背景下，近期，兩大科技巨頭穀歌與蘋果罕見地宣布展開合作，將聯合開發一個打通安卓和IOS係統推出一個美國版“健康碼”計劃，該計劃基於藍牙的接觸者追蹤工具，在保障用戶隱私和安全性的基礎上，對可能接觸感染者的用戶發出預警提示，幫助降低病毒傳播速度。

實際上，藍牙接觸追蹤並非兩家公司首創，新加坡政府在3月就開發了Trace
together藍牙追蹤應用。但作為全球兩大主導的智能手機操作係統提供商，蘋果和穀歌開發的藍牙接觸者追蹤工具可觸達全球30億智能手機用戶，規模之大，無出其右者。

該項目目前仍麵臨隱私保護、有效性等方麵的質疑，但很多人對這次合作充滿期待。國內媒體的解讀也往往將其與國內的“健康碼”相聯係，將其喻為全球最大健康碼項目。我們深度比較後，發現二者從運作理念、技術原理、覆蓋範圍、推進方式，效果考察等方麵存在較大差異。

最大的不同是，蘋果和穀歌聯手開發的這個“藍牙接觸者追蹤項目”雖然也依賴公共衛生管理部門，但仍然是一個強調“分散化”的，自下而上的技術方案，這與我國國內的“健康碼”，以及韓國、新加坡等國家以政府為核心主導，依賴中心化數據庫的技術路徑有著顯著不同。

我們無法作出孰優孰劣的簡單判斷，但對二者的深入比較，將有助於彼此借鑒啟發，不斷完善疫情防控技術手段，取得隱私保護，公共健康與社會經濟生活有序複蘇之間的平衡。

為什麽是穀歌和蘋果？

也正是考慮到其可能帶來的深遠影響，兩家公司對其運作機製十分謹慎，對用戶的隱私和數據安全作出了特別考慮。

簡單說說該健康碼工具的工作原理：用戶打開後，智能手機會自動生成本地追蹤密鑰（Tracing Key）、當日跟蹤密鑰（Daily
Tracing Key）、滾動接近標識符（Rolling Proximity
Identifier）等層層加密、相互嵌套的密鑰。這套密鑰存儲在用戶的智能手機中，而且實時更新，當日跟蹤密鑰每24小時更新，滾動接近標識符每15分鍾更新。

假設兩個人處於藍牙信號可連接的距離之內，智能手機會自動交換滾動接近標識符。

被確診感染新冠肺炎的人，有一套特殊的確診密鑰。這套確診密鑰生成於一個隻有公共衛生機構可訪問的中央服務器，衛生機構應用程序會向過去14天與確診者交換過滾動接近標識符的所有人（即與確診者有過接觸曆史的人）發送這套特殊密鑰。安裝該應用程序的手機會定期下載這些密鑰並在本地進行匹配。

也就是說，如果你和被確診患者近距離接觸過，就會和對方交換滾動接近標識符，也會收到通知，告訴你，你曾與感染者接觸。

為什麽要層層加密，並高頻率更新密鑰？核心是為了保護用戶身份的保密性，並防止泄露用戶的位置軌跡信息。當然，在極少數情形下，仍可能出現身份暴露的情況，但大規模實現身份識別的可能性已被降低很多。

為什麽這套係統需要穀歌和蘋果聯袂開發呢？因為要大規模使用，Android手機和iPhone手機要解決兼容問題。在合作的第一階段，穀歌和蘋果將共同開發API，使安卓和iOS兩個操作係統的互操作成為可能。此後，兩家公司將通過操作係統的更新，將藍牙追蹤功能嵌入係統本身，鼓勵更多人參與。

三大特點

根據穀歌和蘋果發布的聯合聲明，隻有公共衛生機構被允許訪問API來構建應用程序，且僅有公共衛生機構有權限訪問確診密鑰信息。

但是如果深究其運作機理可以發現，雖然這套“健康碼”有公共衛生機構的參與，理念仍然是去中心化的。具體體現在以下幾個方麵。

其一，不需要建立用戶中心化數據庫，數據大部分存儲在用戶手機上。

蘋果穀歌鼓勵衛生服務部門在全球範圍內構建以分散方式運行的接觸者追蹤應用程序，使得個人有機會知道是否接觸過感染者，但衛生服務部門並不需要建立用來存儲個人信息的中心化數據庫。

技術運行僅在中央係統維護最小數據（確診密鑰信息），技術運行所涉及到的其他用戶數據（藍牙接觸信息）都以加密方式存儲在手機裏，與確診信息的匹配計算也將在手機上而不是中央服務器集中進行。

相比之下，我國推行的“健康碼”，以及在韓國等國家實施的疫情管理技術措施則代表了一種中心化的數據管理思路。強有力的政府部門在其中發揮核心角色，統領匯合各方數據。以我國一體化政務服務平台“防疫健康碼”為例，集中了衛生健康、工信、交通運輸、海關、移民管理、民航、鐵路方麵的數據，數據類型廣泛，規模龐大。

類似地，在韓國，政府機構根據2015年Mer傳染病暴發後的立法授權，匯集了智能手機定位數據和信用卡記錄等各類數據，追蹤冠狀病毒患者軌跡，並建立病毒傳播鏈進行管理，以一種中心化，自上而下的方式運行。

其二，強調用戶自願選擇加入。

在該項目的第一階段，隻有用戶主動下載了由當地公共機構基於藍牙追蹤功能開發的應用程序，才能加入該項目；項目的第二階段，出於提升項目準確性和擴大用戶規模目的，蘋果穀歌將通過操作係統的更新將藍牙追蹤功能嵌入係統本身。但蘋果和穀歌都表示，係統更新時仍然會主動征詢用戶的同意，用戶不同意加入追蹤計劃的，不妨礙用戶正常更新使用手機。這意味著所有參與者都需要自主同意。蘋果穀歌均表示並不支持政府強製推廣。

其三，不收集用戶身份、位置等個人信息。

在蘋果穀歌合作的第二階段，藍牙接觸者追蹤工具將被內置到操作係統中。這種深入係統層麵的功能一旦被濫用，將會對公眾的隱私造成重大威脅。也正因為受到隱私保護團隊的高度關注，蘋果和穀歌在該合作項目中對於技術運作方式的安排也更加謹慎。

值得注意的是，這套應用收集的信息類型主要為藍牙接觸信息，並不涉及用戶具體的位置信息。通過嵌套加密和動態變化後，也力在避免識別個人身份用戶，確保數據安全，同時避免識別出個人和用戶的位置。

我國推行的“健康碼”麵向用戶收集的信息中，不僅信息類型廣泛，且涉及大量個人身份信息，用戶姓名，手機號碼，身份證號碼幾乎是收集標配。在敏感信息類型方麵，也普遍地通過采集人臉信息來實現身份驗證。健康碼的另一種類型“行程碼”，也主要以處理用戶具體的位置軌跡信息來實現功能。當然，目前我國的“健康碼”涉及的用戶隱私信息被嚴格控製，均不向公眾開放。

優劣勢突出

我國推行的“健康碼”，通過微信、支付寶等平台入口覆蓋了數億人口，但其仍然也僅限於我國之內。若跳出國家視野，放眼全球疫情防控，則需要更加通用的技術方案。國家之間如果無法建立一致、高效的信息交流體係，抗疫成果就隻能局限在一國之內。一旦開放邊境，恢複正常的人員流動和貿易活動，“輸入型”病例很可能導致疫情控製成果前功盡棄。

穀歌蘋果提出的藍牙追蹤工具正在提供底層通用技術方麵做出的努力。如果各國公共衛生機構選擇加入和利用該工具，將有望實現跨國之間的疫情防控協同。目前包括美國、歐盟部分成員國、英國、澳大利亞、加拿大、新加坡等國都已經部署或正在考慮部署基於藍牙的病毒傳播追蹤APP應用，這些國家可以依靠穀歌和蘋果的這次合作，進一步完善各自的追蹤應用，並增強各國之間的疫情預警協同。

4月16日，歐盟委員會發布了《關於在數據保護方麵支持與COVID
19大流行作戰的應用程序指南》，其中對基於藍牙技術跟蹤的做出了規範指引，這意味歐盟支持藍牙追蹤應用，隻是強調需要遵循相應的規範。

歐盟正在推進的“泛歐隱私保護接觸追蹤”計劃（PEPP-PT）也旨在提供“多國共享交流機製”。即使有人從一個歐洲國家前往另一個國家，他們仍然可以接收或觸發警報。
因此，歐盟對穀歌和蘋果的合作表示歡迎，稱其可以幫助“泛歐隱私保護接觸追蹤計劃”縮短部署路徑並解決操作係統的穩定性和設備校準問題。

而在疫情常態化背景下，藍牙追蹤應用也很可能同保持社交距離（social
distance），推進普遍檢測等手段一樣，成為政府解除封鎖措施,恢複社會秩序的重要支撐。

不過，受技術準確性，自願參與用戶人數以及核酸檢測能力的影響，藍牙接觸者追蹤工具的有效性還有待論證。

藍牙技術可能不精確並且不同手機信號強度存在差異。藍牙信號通常可以輻射約9米多，遠大於通常認為的——不會造成新冠病毒感染的2米社交安全距離。

對於這一點，穀歌和蘋果回應稱，公共衛生部門可針對藍牙接觸跟蹤的信號交換閾值進行微調，以報告更緊密的接觸。但藍牙不會檢測到兩個人間的直線距離雖然在2米之內，但兩人處於不同的房間或者不同建築中。因此，在公寓、辦公樓等密集環境中，藍牙技術的準確率可能大打折扣。

關於用戶可以選擇自願參與的有效性問題，根據斯坦福大學接觸者跟蹤項目Covid-Watch的研究人員分析，隻有大約50％至70％的人口使用安裝接觸者追蹤工具，數字追蹤才能發揮效果。

此外，準確的確診感染信息是追蹤工具有效運轉的關鍵，但到目前為止，很多國家仍然缺乏有效的檢測能力。根據Covid Tracking
Project的數據，在美國，隻有不到300萬人接受了核酸檢測，不到美國總人口的百分之一。

如果人們未經測試，則不會產生足夠的預警信息，難以記錄與他們接觸的人。還有一個問題，並不是每個人都使用智能手機。在智能手機普及程度較高的美國，擁有智能手機的人口占比為81%。在發展中國家，這個比例僅為45%。

借鑒和啟示

收集的信息越廣泛，越敏感，對公民個人隱私的介入程度就越深，同樣對數據安全來帶來更多挑戰。正因如此，在對抗疫情的技術防控手段中，改進信息收集範圍和處理模式的空間還很大。

基於藍牙接觸信息而非收集個人的實時位置信息，是科技在尊重個人隱私和實現疫情預警功能二者之間尋找平衡的一種嚐試，這種另辟蹊徑的做法的效果還有待檢視，但項目對隱私和數據安全的謹慎心態值得借鑒。

在歐洲，由17家機構和130多位科學家共同參與的“泛歐隱私保護接觸追蹤”計劃（PEPP-PT）也正在考慮類似的藍牙技術應用，其同樣淡化了身份和地點信息，隻關注特定兩個個體間的距離和時間兩個標尺。此外，該計劃也采用了將敏感信息加密於用戶本地的做法。

另一個值得借鑒的點是，藍牙接觸者追蹤雖然可以依賴技術手段實現大部分自動化的數據處理，但整個係統的有效性以及安全性仍然離不開機構或人工的幹預。

在最早將藍牙技術用於感染者追蹤的新加坡，編寫TraceTogether應用程序的技術專家也認為，數字接觸追蹤技術不可能完全取代傳統的人工接觸追蹤。中心化和非中心化的技術路徑，也並不是非此即彼的，二者可以相互借鑒經驗，並共同構成疫情防控的技術措施體係。在很多國家的疫情防控實踐中，既可以看到中心化模式的技術措施，也可以看到去中心化的技術手段。

由政府部門發起的在中心化數據管理平台，如英國國民健康服務體係NHS的統一數據平台，以及我國的健康碼統一政務服務平台，發揮了數據完整、準確的優勢，既可以服務於個體，同時也能夠也為決策提供實時數據支撐。

同時，由民間私營部門發起的藍牙追蹤技術，以去中心化的思路，從分散的末端入手，以用戶自願參與為原則，共同發揮數據對於疫情防控的價值，做到人人為我，我為人人。其中出於對用戶隱私的尊重，對數據安全的考量而采取的相關措施，如最小化，加密，標識符動態變化等也完全可以被吸收中心化的技術路徑中，探索出更優的疫情預警與防控方案。

華客網：美科技巨頭擬推“健康碼”：和中國版區別在哪？