联系人追踪应用很难做到既有效又私密

今年6月,随着冠状病毒席卷美国，百乐满整经机每天花几个小时帮助她的大学计划9月重新开学。比默是亚利桑那大学公共卫生副教授，他正在帮助测试一款移动应用程序，如果用户遇到确诊患者，该应用程序会通知用户新型冠状病毒肺炎病人。

许多这样的"联系人追踪”应用程序最近他们的试验失败了，许多开发人员欣然承认，这项技术尚未证明它可以减缓病毒的传播。但这一警告并没有阻止国家政府和地方社区使用这些应用程序。

“现在，在亚利桑那州，我们正处于全面流行阶段，”比默在6月说，当时新病例数还远未达到峰值。“即使是手动接触追踪在这里也非常有限，我们现在需要任何我们可以得到的工具来遏制我们的流行病。”

传统上，追踪者会让新诊断的患者列出他们最近相处过的人，然后让这些人提供他们自己的联系人。这样的跑腿工作帮助控制了其他传染病的爆发，比如美国的梅毒埃博拉病毒在西非。然而，虽然这些方法可以扑灭流行病的第一个火花或最后的余烬，但在野火阶段，当病例数量呈指数级增长时，它们就不起作用了。

这就是把工作自动化的原因。数字接触追踪还可以通过挖掘病人去过哪里、和谁在一起的相关信息，唤起模糊的记忆。一些技术可以更进一步，自动提醒那些与患者密切接触的人，因此可能需要进行检测或隔离。在COVID-19大流行期间，快速通报尤为重要，因为无症状者似乎能够传播病毒。

自动警报可能听起来很棒，但“现实世界的用例有限”，“证明其有效性的证据有限”约瑟夫·阿里约翰霍普金斯大学伯曼生物伦理研究所全球项目副主任，也是该书的合著者用于大流行应对的数字接触者追踪，出版于5月。仓促部署未经验证的技术，会有错误识别实际上从未发生过的曝光时刻的风险，即假阳性，以及错过确实发生过的时刻或假阴性。

一些政府已经接受了这些应用程序;其他人也在纠结于这个决定。例如，英国最初花费了数百万美元开发应用程序该系统将收集数据并将其发送到由国家卫生服务系统运行的中央数据存储系统。但隐私倡导者对该系统提出了担忧，政府在6月宣布将会这样做放弃这种努力并转向一个基于科技巨头苹果和谷歌技术的不那么集中的替代方案。

英国的优柔寡断表明，战略的选择是如何围绕着隐私的权衡进行的。一些国家把一切都押在效率上，而对隐私却毫无顾虑。

处于大流行中心的中国城市武汉压制了病毒，放松了封锁，然后在5月出现了小幅反弹。公共卫生部门全力以赴:他们对整个人群进行测试并开始追踪每个人的行踪。潜在的客户只有通过测量体温并交换手机上显示的个人条形码和商店自己的识别条形码，才能进入商店。然后，他们在离开时必须重复交换。这样，如果商店里有人的检测结果呈阳性，当局就能找到在同一时间出现在同一地点的人，对这些人进行检测，并在必要时对他们进行隔离。

它工作。截至7月中旬，武汉报道连续50天没有记录新的病毒病例。但如此巨大的努力并不总是一种选择。在世界上许多地方，大多数人只有在信任体制的情况下才愿意参与。

这在美国可能尤其具有挑战性，因为早期的应用程序是由加利福尼亚州等州推出的犹他州和北达科他州没能流行起来。更尴尬的是，一个独立安全分析发现北达科他州的这款应用违反了自己的隐私政策，与Foursquare公司共享了位置数据。

在安全软件公司Avira对美国人进行的一项在线调查中，71%的受访者表示他们不打算使用COVID接触追踪应用程序。受访者称隐私是他们的主要担忧。与此形成鲜明对比的是，32%的人表示他们会相信谷歌和苹果的应用程序能保护他们的数据安全和隐私，但只有14%的人表示他们会相信政府的应用程序。

一个光辉的例子最有效的数字接触追踪系统是韩国建立的集中式系统这些应用程序仔细检查了患者的活动，确定了与患者有过接触的人，并使用应用程序监控被隔离的人。到目前为止，韩国已经做到了成功包含在不关闭国界或实施地方封锁的情况下应对COVID-19疫情。

韩国政府的系统允许接触追踪者访问多个信息源，包括监控摄像头的视频，移动基站数据以及信用卡交易数据Uichin李他是大田韩国科学技术院(KAIST)工业与系统工程副教授。“这个系统帮助他们快速识别热点和密切接触者，”李说。

但韩国的系统也公开分享患者的接触追踪数据，包括pseudonymized人口统计信息、感染信息和旅行日志。正如Lee和他的同事在杂志中概述的那样，这种方法引起了严重的隐私问题公共卫生前沿．仅凭旅行日志就能让观察人员推断出患者的生活和工作地点。

相比之下，欧洲和美国的公共卫生部门则不愿公开分享此类患者数据。还有一种中间选择:一个人的手机可能会存储识别人物或位置的数据，是否与公共卫生官员分享这些信息可能由手机所有者决定。

还有一种激进的想法是根本不存储这些数据。这就是谷歌/Apple曝光通知(GAEN)系统。由于这两家科技巨头分别拥有Android和iOS智能手机标准，GAEN系统使独立开发者能够开发出可以在这两种标准上运行的应用程序。该系统会记录距离较近的手机之间的蓝牙传输，并在限定的时间内将这些数据以匿名信标的形式存储在每部手机上。如果一名手机用户的新冠病毒检测呈阳性，并在基于GAEN构建的移动应用程序中进入阳性状态，系统将提醒在潜在感染时间段内曾近距离接触过的其他手机用户。

为了保护用户隐私，该系统在执行所有这些操作时从未记录此类遭遇的确切位置。它还将每次接触报告的暴露时间限制在5分钟以内，最多可能总共为30分钟。这一限制使得用户更难猜测自己的辐射来源。

GAEN系统还吸引了那些对以公共卫生为名加强监测持谨慎态度的人。德国、意大利和瑞士已经部署了基于GAEN的曝光通知应用程序，其他国家可能也会效仿。在美国，维吉尼亚州是第一个引进的。

“如果你在收集蓝牙数据的同时收集身份信息，这可能会导致新的监控形式，”他说蒂娜白，创始人非营利组织的执行董事COVID看和一个博士候选人斯坦福以人为本人工智能研究所网上亚博Ayabo2016．“这正是我们不想看到的。”COVID Watch正在与亚利桑那大学合作开发一款基于GAEN系统的以隐私为中心的应用程序。在初步测试中，两部手机分别放置在不同的室内位置，在教室、食堂和Cat Tran学生穿梭车中进行了更真实的校园场景测试，随后将于8月中旬在全校范围内推出。

这里有一个大问题:将蓝牙从原来的通信功能中重新利用会带来严重的技术困难。都柏林三一学院(Trinity College Dublin)的研究人员发现，当手机处于反光金属表面时，蓝牙在接近检测这一关键任务上表现不佳。在一个在通勤巴士上做实验在美国，一款基于GAEN系统的瑞士COVID-19应用程序未能触发暴露通知，即使两部手机之间的距离在2米(6英尺多一点)内持续了15分钟。

“看似平淡无奇的公共交通实际上是联系人追踪应用程序的核心用例之一，但它也是一个糟糕的无线电环境，”他说道格拉斯·利思他是三一学院计算机科学和统计学教授。“我们所有的测量都表明，它可能在公共汽车和火车上不起作用。”

另一个问题是，数千款安卓手机的天线配置各不相同。利斯解释说，工程师必须校准软件，以弥补信号强度的任何损失。尽管蓝牙信号的“啁啾声”只需要很少的电量，但仅仅是监听这种啁啾声就需要打开手机的主处理器，这就会很快耗尽电池电量，除非应用程序被限制在很短的监听时间内。

除了基于蓝牙的应用面临的技术挑战之外，所有的联系人追踪应用都面临着同样的普遍问题:除非有一定比例的人安装了某个应用，否则它就无法正常工作。除非人们相信应用程序背后的公共健康策略，并且相信他们可以从中获得个人优势，否则他们是不会选择使用的。实现这一销售一直很艰难。在遏制新冠病毒方面取得了一些最好成绩的德国，只有41%有一半的人表示愿意下载所谓的冠状病毒警告应用程序。

一些研究人员指出牛津大学的研究它模拟了冠状病毒在一个100万人口的模拟城市中的传播;研究发现，要阻止大流行并让各国不被封锁，需要60%的采用率(尽管研究表明，较低的采用率仍可能是有帮助的)。

这两家科技巨头为iOS和安卓设备部署了无需应用程序的曝光通知快捷功能，使其更容易被广泛采用。如果用户选择加入，手机就会开始监听附近其他手机的蓝牙信标。之后，如果存储的蓝牙信标被证明与确诊为COVID-19阳性的人匹配，系统将提示用户下载暴露通知应用程序以获取更多信息。

蓝牙则不是这是唯一的出路。的COVID安全路径由非营利组织领导的项目PathCheck基金会它一直在开发并推出一款使用GPS定位数据的移动应用程序。GPS提供了比蓝牙更多的位置数据，以换取更少的用户隐私。但安全路径也打算建立一个基于蓝牙的GAEN系统版本。“对于我们想要使用的技术，我们基本上是不可知论者，”他说辛格的阿布他是麻省理工学院媒体实验室机器学习专业的博士候选人，也是安全路径组织的成员。

“后端实际发生了什么不那么重要，更重要的是沟通和感知，”他说凯尔陶尔康他是安全路径(Safe Paths)技术团队成员，曾任PayPal云技术高级总监。他说，关键的部分是“呼吁我们的社区成员首先获得信任。”

成功的最佳途径可能来自充分的准备。韩国应对禽流感爆发的经验中东呼吸综合征2015年的MERS疫情促使政府更新了国家法律，并为有效的接触者追踪系统奠定了官僚主义和技术基础。由此产生的公私伙伴关系使人类接触追踪者能够收集疑似或确诊病例在国内旅行历史的数字数据10分钟．

“像韩国这样的国家，可能是因为他们在五年前经历过其他病毒，真的有了一个良好的开端，他们没有浪费时间，”他说Marc Zissman他是麻省理工学院林肯实验室网络安全和信息科学部的副主任。实验室是在那些在协议(私人自动联系人追踪)项目，该项目正在测试GAEN基于蓝牙的应用程序性能。

Zissman说，在大流行期间开发数字接触追踪就像建造一架飞机并同时飞行，同时还要衡量一切工作的好坏。“在一个完美的世界里，像这样的东西需要几年时间才能实现，”他说。“没有时间，所以人们正在尽他们所能，利用他们所拥有的数据和时间，做出最好的工程判断。”

本文发表在2020年10月的印刷版上，题为“联系人追踪应用程序的困境”。

编者按:这篇文章最初是说韩国的系统利用手机的GPS数据;事实上，它使用移动基站数据。