接觸者追踪可能是遏制 Covid-19 大流行並恢復某種形式正常狀態的最佳選擇。接觸者追踪對於識別和隔離可能接觸過該病毒的個人非常有效。全球各地的政府衛生機構和私人應用程序開發商已推出接觸者追踪應用程序,將流程數字化,希望提高應對 Covid-19 危機的效率。
它們如何工作?
接觸者追踪應用程序的工作原理是利用藍牙功能或者定位服務(例如 GPS),有時兩者都在用戶的設備上,以確定與運行相同應用程序的其他手機的距離。例如,在中國,二維碼基本上可以在人們可能去的任何地方進行掃描,並用於跟踪他們的活動。一些應用程序還直接依賴來自電信提供商的位置數據,但藍牙是侵入性最小的。
這然後記錄接近數據由運行該應用程序的每台設備在持續一段時間內彼此處於一定半徑內。如果用戶最終 Covid-19 檢測呈陽性,他們可以讓他們的應用知道。任何在過去幾天內與受感染用戶的手機有過接觸記錄的用戶都會收到一條警報,通知他們曾與感染了 Covid-19 的人有過近距離接觸,並會建議用戶進行自我隔離,以限制病毒的進一步傳播。
這些應用程序可以敦促那些可能接觸過該病毒的人將自己與他人隔離,從而在對抗 Covid-19 的傳播方面發揮著至關重要的作用。
缺點是,接觸者追踪應用程序可能會帶來相當大的隱私問題。這意味著政府和應用程序開發商不要忽視保護用戶隱私,也不要陷入可能構成監視的行為,這一點很重要。
有人擔心,接觸者追踪應用程序可能會開創政府擴大監控做法的先例,這種做法遠遠超出了當前危機的範圍和時間表。這就是為什麼這些措施雖然現在很重要,但本質上應該是臨時的,並將數據收集限制為僅用於應用程序功能的明確目的所必需的數據。
在部署涉及敏感個人數據處理的技術解決方案時,隱私至關重要。我們調查了六十多種不同的接觸者追踪應用程序,以確定它們是否適當地保護了用戶的隱私。有些具有很強的隱私保護,有些則具有較弱的隱私保護,但大多數處於中間位置。
我們創建了一個表格,並為每個人分配了一個“隱私分數”(滿分為 10 分)。請滾動查看更多信息。
| 國家 | 應用程式 | 隱私得分 | 它是如何運作的 | 強制的 | 已發布 | 收集的數據 | 誰訪問數據 | 數據存儲在哪裡 | 隱私框架 |
|---|---|---|---|---|---|---|---|---|---|
| 巴西 | 冠狀病毒 - SUS(官方國家應用程序) | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生部 | 用戶設備(可以提交) | 蘋果谷歌 |
| 保加利亞 | 病毒安全 | 1 | 全球定位系統 | 不 | 是的 | 聯繫方式、位置、人口統計信息、健康信息 | 衛生官員 | 集中式服務器 | 不 |
| 加拿大 | 新冠肺炎警報(國家官方應用程序) | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | 蘋果/谷歌框架 |
| 中國 | 支付寶健康碼 | 0 | 二維碼/用戶報告的位置信息 | 是的 | 是的 | 聯繫方式、位置、醫療信息、人口統計信息、旅行信息 | 政府、執法部門 | 集中式服務器 | 不 |
| 哥倫比亞 | 科隆應用程序 | 1 | 自報數據、位置數據 | 不 | 是的 | 聯繫方式、位置、醫療信息、人口統計信息、旅行信息 | 衛生官員 | 集中式服務器 | 不 |
| 賽普勒斯 | 冠狀病毒追踪器 | 0 | 全球定位系統 | 不 | 是的 | 位置、聯繫方式、人口統計信息、健康信息 | 信息與通信技術卓越研究中心 | 用戶設備(可以提交) | 不 |
| 捷克共和國 | 埃魯什卡 | 5 | 藍牙 | 不 | 是的 | 聯繫方式 | 衛生官員 | 用戶設備(可以提交) | 不 |
| 愛沙尼亞 | 軍隊 | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | DP-3T/蘋果和谷歌 |
| 歐盟 | 嚴重特殊傳染性肺炎警戒 | 6 | 藍牙 | 不 | 不 | 沒有任何 | 相關官方機構 | 用戶設備(可以提交) | 不 |
| 芬蘭 | 電暈閃光 | 6 | 藍牙 | 不 | 是的 | 電話號碼、匿名 ID | 社會保險機構 | 用戶設備(可以提交) | 蘋果/谷歌 |
| 法國 | StopCovid(更名為 TousAntiCovid)(官方國家應用程序) | 4 | 藍牙 | 不 | 是的 | 用戶 ID、人口統計信息 | 第三方託管提供商 | 集中式服務器 | 羅伯特協議 |
| 喬治亞州 | 阻止 Covid/NOVID20 | 2 | 藍牙/GPS位置數據 | 不 | 是的 | 聯繫方式、位置、設備信息 | 相關官方機構 | 用戶設備(可以提交) | 不 |
| 德國 | 這 | 9 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備 | TCN |
| 迦納 | GH COVID-19 追踪器應用程序 | 0 | 藍牙/GPS定位服務/自報告數據 | 不 | 是的 | 聯繫方式、位置、人口統計信息 | 政府 | 集中式服務器 | 不 |
| 直布羅陀 | 擊敗Covid 直布羅陀 | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | 蘋果/谷歌框架 |
| 匈牙利 | 病毒雷達 | 4 | 藍牙 | 不 | 是的 | 聯繫方式 | 公共衛生官員 | 集中式服務器 | 不 |
| 冰島 | 剃須C-19 | 2 | 位置數據 | 不 | 是的 | 聯繫方式、地點 | 相關官方機構 | 用戶設備(可以提交) | 不 |
| 印度 | 阿羅吉亞·塞圖 | 0 | 藍牙/GPS定位追踪 | 不 | 是的 | 聯繫方式、位置、人口統計、旅行信息 | 政府 | 集中式服務器 | 不 |
| 印度尼西亞 | 護理林杜吉 | 3 | 藍牙 | 不 | 是的 | 聯繫方式、設備信息 | 相關官方機構 | 集中式服務器 | 不 |
| 愛爾蘭 | 新冠肺炎追踪應用 | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | 蘋果/谷歌 |
| 以色列 | 哈馬根 | 2 | GPS定位追踪 | 不 | 是的 | 地點 | 衛生官員 | 用戶設備(可以提交) | 不 |
| 義大利 | Immuni(國家官方應用程序) | 7 | 藍牙 | 不 | 是的 | 人口統計信息、IP 地址 | 衛生官員 | 用戶設備(可以提交) | 蘋果/谷歌 |
| 日本 | 聯繫確認應用程序(COCOA)(官方國家應用程序) | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | 蘋果/谷歌 |
| 球衣 | 澤西島新冠警報 | 藍牙 | 不 | 未知 | 未知 | 蘋果/谷歌框架 | |||
| 約旦 | 安縵 | 2 | GPS/藍牙 | 不 | 是的 | 地點 | 衛生官員 | 用戶設備(可以提交) | 不 |
| 科威特 | 什洛尼克 | 0 | 全球定位系統 | 不 | 是的 | 地點、身份證號碼 | 衛生官員、中央信息局、電信提供商 | 集中式服務器 | 不 |
| 拉脫維亞 | 阻止新冠病毒 | 7 | 藍牙 | 不 | 是的 | 聯繫方式 | 衛生官員 | 用戶設備 | 蘋果/谷歌框架 |
| 馬來西亞 | 我的踪跡 | 5 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生部 | 集中式服務器 | 不 |
| 摩洛哥 | 特拉科羅納 | 1 | 未知 | 不 | 是的 | 未公開 | 相關官方機構 | 未公開 | 不 |
| 荷蘭 | 科羅娜梅爾德 | 6 | 藍牙 | 不 | 不 | 沒有任何 | 目前未知 | 用戶設備 | DP-3T |
| 紐西蘭 | 新西蘭新冠追踪器 | 1 | QR 圖碼 | 不 | 是的 | 聯繫方式、人口統計信息 | 新西蘭衛生部 | 集中式服務器 | 不 |
| 北馬其頓 | 停止電暈! | 4 | 藍牙 | 不 | 是的 | 聯繫方式 | 衛生官員 | 集中式服務器 | 不 |
| 北愛爾蘭 | NI 停止新冠病毒 | 5 | 藍牙 | 不 | 是的 | 年齡、完整郵政編碼、健康信息 | 北愛爾蘭健康與社會關懷 (HSCNI)、英格蘭公共衛生、大學、審計師、研究組織 | 用戶設備(可以提交) | 蘋果/谷歌框架 |
| 挪威 | Smittestopp 因隱私問題而暫停 (170) | 1 | 藍牙/GPS定位服務 | 不 | 是的 | 聯繫方式、地點 | 衛生官員 | 集中式服務器 | 不 |
| 秘魯 | 秘魯EnTus馬諾斯 | 0 | 全球定位系統 | 不 | 是的 | GPS 位置數據 | 秘魯政府 | 集中式服務器 | 不 |
| 菲律賓 | 微踪 | 1 | GPS定位服務 | 是的 | 是的 | 聯繫方式 | 衛生官員 | 集中式服務器 | 不 |
| 波蘭 | ProteGO 安全 | 2 | 藍牙 | 不 | 是的 | 聯繫方式、人口統計、醫療信息 | 衛生官員、相關官方機構、私營公司 | 集中式服務器 | 不 |
| 葡萄牙 | StayAway Covid(全國官方應用程序) | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | DP-3T |
| 卡達 | 埃赫特拉茲 | 0 | GPS/藍牙 | 是的 | 是的 | 地點、身份證號碼、健康信息、聯繫方式 | 內政部衛生官員 | 集中式服務器 | 不 |
| 俄羅斯 | ??????? ???? ?????????? | 0 | GPS/二維碼 | 是的 | 是的 | 聯繫方式、位置、旅行信息、人口統計信息 | 執法機關 | 集中式服務器 | 不 |
| 沙烏地阿拉伯 | 塔博德 | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生部 | 用戶設備(可以提交) | 蘋果/谷歌 |
| 新加坡 | 一起追踪 | 4 | 藍牙 | 不 | 是的 | 聯繫方式,“身份信息” | 衛生官員、執法機構 | 集中式服務器 | 藍跡 |
| 斯洛伐克 | 保持健康 | 0 | GPS定位服務 | 不 | 是的 | 聯繫方式、位置、醫療信息 | 私營公司、政府、 | 集中式服務器 | 不 |
| 南非 | 新冠病毒識別 | 0 | QR 圖碼 | 不 | 是的 | 聯繫方式、醫療信息、生物特徵信息、人口統計信息 | 私營公司、第三方實體(包括營銷商/廣告商)、衛生官員 | 集中式服務器 | 不 |
| 韓國 | Corona 100m(官方國家應用程序) | 0 | 定位服務 | 不 | 是的 | 地點、聯繫方式 | 私營公司 | 集中式服務器 | 不 |
| 西班牙 | 雷達新冠病毒(國家官方應用程序) | 8 | 藍牙 | 不 | 是的 | 無(匿名 ID) | 衛生官員 | 用戶設備(可以提交) | DP-3T |
| 瑞士 | SwissCovid-App | 10 | 藍牙 | 不 | 是的 | 沒有任何 | 僅限用戶 | 用戶設備 | DP-3T/蘋果和谷歌項目 |
| 泰國 | 莫爾查納 | 1 | 藍牙/GPS | 不 | 是的 | 聯繫方式、地點 | 衛生官員 | 集中式服務器 | 不 |
| 突尼西亞 | E7米 | 4 | 藍牙 | 不 | 是的 | 聯繫方式 | 衛生官員 | 集中式服務器 | 不 |
| 火雞 | 科羅華納 | 0 | 藍牙/GPS定位服務/電信定位數據 | 不 | 不 | 未公開 | 未公開 | 未公開 | 不 |
| 阿聯酋 | 阿爾霍森 | 4 | 藍牙 | 不 | 是的 | 國民身份證號碼、聯繫方式 | 衛生官員 | 用戶設備(可以提交) | 不 |
| 英國 | NHS 應用程序(官方國家應用程序) | 4 | 藍牙/二維碼 | 不 | 是的 | 郵政編碼 地區、場館簽到數據 | 衛生官員 | 用戶設備(可以提交) | 蘋果/谷歌 |
| 烏拉圭 | 冠狀病毒UY | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 公共衛生部 | 用戶設備(可以提交) | 蘋果/谷歌 |
| 美國 | 諾維德 | 8 | 藍牙 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | TCN |
| 越南 | 藍色區域 | 6 | 藍牙低功耗 | 不 | 是的 | 沒有任何 | 衛生官員 | 用戶設備(可以提交) | 不 |
| 阿根廷 | 協同追踪 | 2 | 全球定位系統 | 不 | 是的 | 位置、醫療信息、旅行信息 | 衛生官員 | 用戶設備(可以提交) | 不 |
| 澳大利亞 | COVIDSafe(官方國家應用程序) | 7 | 藍牙 | 不 | 是的 | 聯繫方式、人口統計信息 | 衛生官員 | 用戶設備(可以提交) | 藍跡 |
| 奧地利 | 停止電暈 | 7 | 藍牙 | 不 | 是的 | 聯繫方式 | 相關官方機構 | 用戶設備(可以提交) | DP-3T |
| 巴林 | 當心 | 0 | GPS位置數據 | 不 | 是的 | 位置、身份證號碼、聯繫信息、人口統計信息、健康信息、旅行信息 | 衛生官員、相關官方機構、第三方實體 | 集中式服務器 | 不 |
| 孟加拉國 | 電暈示踪劑 BD | 0 | 藍牙、GPS定位服務 | 不 | 是的 | 電話號碼、國民身份證號碼、唯一用戶 ID | 信息和通信技術司衛生官員 | 集中式服務器 | 不 |
| 比利時 | B型圍欄 | 8 | 藍牙 | 不 | 不 | 沒有任何 | 相關官方機構 | 用戶設備(可以提交) | DP-3T |
上述所有數據都經過倫理研究並充分引用。如果您想探索數據,可以更好地了解每個國家/地區的應用程序的具體工作原理,或探索引文。
為了給每個應用程序分配隱私分數,我們提出了五個不同的問題,根據它們保護用戶隱私的方式對每個問題進行評分(滿分 2 分)。然後,我們將總數相加,並根據接觸者追踪應用程序對用戶隱私的處理方式對其進行評分。最高分 10 分意味著該應用程序的隱私保護無可挑剔,而 0 分意味著該應用程序的用戶沒有任何隱私。
這個分數是怎麼算的?
2– 嚴格使用藍牙來確定設備之間的接近度的應用程序。
0– 依賴任何形式的位置跟踪的應用程序。這是因為,當藍牙是可行的替代方案時,使用特定位置數據對於接觸者追踪應用程序的功能來說是不必要的侵入。
收集哪些個人數據?
我們列表中最注重隱私的聯繫人追踪應用程序根本不收集任何個人數據,而是使用匿名、隨機生成、輪換的標識符來確定哪些設備彼此密切接觸。除此之外的任何數據收集都不是實現可行的數字化接觸者追踪解決方案所必需的。
這個分數是怎麼算的?
2– 不收集任何個人用戶數據的應用程序。
1– 適用於收集最少數據(例如 UUID)的任何應用程序。
0– 對於收集位置數據或其他敏感數據(例如姓名、電子郵件地址、實際地址、性別、年齡或健康數據)的任何應用程序。如果未公開數據收集信息,則應用程序默認為 0。
誰可以訪問該數據?
能夠訪問數據的人與數據相關至關重要,畢竟位置和醫療數據是高度敏感的信息。
通常,對於政府簽約的接觸者追踪應用程序,某種政府機構能夠訪問收集的數據。其他應用程序被證明在毫無充分理由的情況下與第三方(包括營銷人員)共享數據。
這個分數是怎麼算的?
2– 僅當用戶能夠訪問我們分配的數據時,評分為 2。
1– 當數據是由衛生當局嚴格收集並得到用戶明確同意時。
0 –如果數據與第三方共享,任何國家的政府都可以訪問,或者信息未明確披露。
數據存儲在哪裡?
這些應用程序收集的數據有兩種存儲方式:集中式或分散式。集中式數據模型意味著從應用程序收集的數據存儲在集中式服務器上,而分散式意味著收集的所有數據都存儲在用戶的設備上。
因此,去中心化的方法使您的數據更安全、更私密。
這個分數是怎麼算的?
2– 使用分散式系統,數據存儲在用戶的設備上。
1– 僅當用戶病毒檢測呈陽性且經用戶明確同意時,才會將數據發送至中央衛生當局服務器。
0– 默認情況下,或者開發者或當局不披露信息時,任何將收集的用戶數據存儲在集中服務器上的應用程序。
隱私框架?
隱私保護框架致力於通過分散的接觸者追踪方法來保護用戶隱私,並將數據收集限制為匿名標識符,這對於維護適當的用戶隱私至關重要。許多人沒有使用這個框架,但在考慮用戶隱私時,那些使用這個框架的人顯然遠遠領先於其他框架。
這個分數是怎麼算的?
2– 將隱私保護框架應用於應用程序開發的應用程序。
1– 任何採用 PEPP-PT 的應用程序。這是由於圍繞 PEPP-PT 方法存在爭議,而且各機構因其集中方法和普遍缺乏透明度而越來越多地退出該項目。
0– 任何不採用任何隱私保護框架的應用程序。
比較最好的和最差的
我們發現了一些在保護用戶隱私方面表現出色的應用程序,得分為 8 分,其中一款得分為 9 分。只有一款得分為 10 分(瑞士的 SwissCovid-App)。這款瑞士應用程序使用藍牙工作,收集零個人數據,僅限用戶訪問數據,絕不允許任何數據隨時離開用戶的設備,並採用蘋果和谷歌開發的隱私保護接觸者追踪框架。換句話說,用戶在使用該應用程序時應該感到安全,因為他們知道自己的隱私會受到尊重。
不出所料,我們發現不少 Covid-19 接觸者追踪應用程序在保護用戶隱私方面作用甚微,總體得分為 0,總共 14 個。這些應用程序在巴林、孟加拉國、中國、塞浦路斯、加納、印度、科威特、秘魯、卡塔爾、俄羅斯、斯洛伐克、南非、韓國和土耳其使用。
所有 0 級應用程序都使用 GPS 定位服務,收集廣泛且不必要的敏感個人身份數據,允許第三方或其他可疑的方式訪問該數據,將數據存儲在集中式服務器上,並且不使用任何隱私保護框架來進行聯繫人追踪。
這些應用程序的功能相當多一切都錯了當涉及到保護用戶隱私時,其濫用的可能性確實超出了當前危機的範圍。用戶在使用這些應用程序時應該非常小心。
結論
正如我們所見,接觸者追踪本質上永遠不能被認為是 100% 匿名或完全私密的,但數字接觸者追踪方法可以盡可能保護用戶隱私。
我們在對 Covid-19 接觸者追踪應用程序的調查過程中收集的數據顯示,有一些開發商和政府正在努力保護用戶隱私。但許多人卻沒有。這可能為長期濫用用戶數據或持續政府監視行為開創先例,即使在大流行結束後也是如此。
非常時期需要非常舉措。然而,我們必須確保這些措施是臨時性的、範圍有限的、自願的,並且政府不會利用危機作為對其公民進行監視或以其他方式利用或侵犯他們的隱私的機會。