数据存储两模式各取所长 公共安全和隐私安全并
当前,新冠肺炎疫情在全球依旧呈蔓延态势,对感染者与密切接触者进行追踪隔离,是防控疫情最为有效的措施之一。在此背景下,全球科技公司也加大力度投入到这场抗疫战斗中,苹果与谷歌联合开发了基于蓝牙的一款追踪工具,可用来对疑似接触过感染者的用户发出预警提示。据外媒报道,日前,该技术工具已交付使用。
然而,针对蓝牙追踪工具所采集信息的存储方式,国外出现了不同的声音,一种声音认为应采取“去中心化”存储——记录在用户个人设备中,另一种声音认为应进行“中心化”存储——放在中央服务器上。
这种蓝牙追踪工具是怎样发挥作用的?两种存储模式的争议点在哪里?用户的隐私和数据安全风险对比如何?就此,科技日报记者采访了有关专家。
无需定位 凭接触信息记录实现追踪
使用蓝牙追踪工具后,一般来说,当两个用户处于蓝牙传输范围之内,智能手机会自动交换并且互相存储“滚动接近标识符”。“这个‘滚动接近标识符’可以理解为用户个人的唯一识别信息。公共卫生机构能够从中解密出用户的所有接触信息,从而达到密切追踪的目的。”灾备技术国家工程实验室副主任、北京邮电大学网络空间安全专业负责人辛阳解释说,一旦出现被确诊感染新冠肺炎的人,公共卫生机构会向14天内所有与该患者交换过“滚动接近标识符”的人,发送一套特殊确诊秘钥,告知其与感染者有过接触。
据此可以看出,蓝牙追踪工具收集的信息类型主要为用户接触信息,并不涉及具体的定位。该工具还设置了嵌套加密和动态变化功能来加强用户的个人隐私的安全性。
不过,蓝牙追踪工具的有效性还有待论证。“蓝牙技术首先可能会带来准确性问题。蓝牙信号通常可以辐射约9米左右,远大于通常认为的不会造成新冠病毒感染的2米社交安全距离。”复旦大学大数据试验场研究院、上海市数据科学重点实验室副研究员张帆认为,即使公共卫生部门通过设定包括空间距离、信号强度、接触时长等信号交换阈值进行微调,一些准确性问题仍然需要近一步地技术完善。
同时,根据有关专家测算,在一定范围内,需要有大约50%至70%的人同时安装使用蓝牙追踪工具,数字追踪才能发挥效果。在智能手机普及程度较高的美国,拥有智能手机的人口占比为81%,而在发展中国家,这个比例仅为45%。
各有利弊 数据存储方式引发分歧
作为全球两大智能手机操作系统提供商,苹果公司和谷歌开发的蓝牙追踪工具,可作用于全球近30亿智能手机用户。为鼓励公众参与,谷歌和苹果公司强调了该项目的“自愿”“分散化”“数据最小化”等隐私友好原则。
张帆指出,作为手机操作系统底层通用功能,蓝牙追踪工具能够在更大范围内实现疫情防控协同,如果各国公共卫生机构选择加入和利用该工具,将有望实现跨国疫情防控协同。
那么,此次引起热议的“中心化”与“去中心化”存储究竟是什么?
“‘中心化’存储是一种传统的存储方式,是把数据集中存储在某个服务商的中心服务器上,如大型数据中心机房、云存储网络等。而‘去中心化’存储是把数据分散到用户手中,具有不可篡改、可溯源等特性,是一种分布式数据体系。”厦门理工学院计算机科学与技术系主任洪朝群教授解释说。
目前,苹果公司和谷歌联合开发的技术并不支持数据的集中存储,所使用的存储环境是每个用户的手机内存。“与‘中心化’存储相比,‘去中心化’存储的优势在于不需要特定的存储介质,可以降低成本。数据被分成小块存储,即使泄露一部分,也不会暴露整体,安全性更有保障。”辛阳说,另外,该方案激励用户贡献出自己的闲置资源,理论上可拥有极大的存储空间。
但辛阳也指出,由于是分块存储,处理完整数据时,需要对所有数据块下载完成后进行重组,因此信息处理的最终速度取决于速度最慢的存储端的网速。
“中心化”存储由于把所有的业务单元部署到了同一个中心节点上,数据的存储和控制处理可完全交给主机来完成,独立的设备控制可展现出很强的处理能力。另外,这种存储方式无需面对网络分区导致连接受阻等问题,因此很容易实现高一致性和高可靠性。但同时,“中心化”存储也具有造价昂贵、故障排除难度大、建设周期长等难以解决的弊端。
利用蓝牙追踪工具帮助疫情防控的方案公布后,各国对基于该系统是否应叠加“中心化”功能而产生了分歧。瑞士、奥地利等国赞同谷歌、苹果的“去中心化”理念;法国、英国则倾向于“中心化”;德国一开始表达倾向“中心化”意见,但随后转而支持苹果和谷歌的技术方案。不过,倾向于“中心化”思路的国家,并没有得到来自苹果与谷歌的技术支持,这就意味着这些国家需要开发自己的存储系统来使用蓝牙追踪。
辛阳认为,从用户角度来说,“中心化”和“去中心化”两种模式的争议点则主要在两方面,首先是使用“去中心化”存储需要占用用户设备的软硬件资源,在个人设备性能欠缺的情况下,可能会影响用户正常使用;另一方面,“中心化”存储不可避免地会将用户信息进行集中统一管理,近年来频发的黑客攻击导致大规模数据泄露事件,也加剧了用户对于隐私安全的担忧。
取长补短 疫情技术体系可两方案并存
“‘中心化’与‘去中心化’两种存储方式有着各自的优势和弊端,并不是非此即彼的关系,二者可以相互借鉴经验,共同构成疫情防控的技术措施体系,实现更加优化的公共健康管理,以最小的隐私代价帮助人们重新回归正常生活。”张帆说。
在很多国家的疫情防控实践中,既可以看到“中心化”模式的技术措施,也可以看到“去中心化”的技术手段。张帆指出,由政府部门发起的“中心化”数据管理平台,如我国的健康码统一政务服务平台,集中了卫生健康、工信、交通运输、海关、移民管理、民航、铁路方面的数据,发挥了数据完整、准确的优势,既可以服务于个体,同时也能够为决策提供实时数据支撑。
同时,张帆认为,私营部门“去中心化”模式中,为保护用户数据安全而采取的相关措施如层层加密、标识符动态变化等,也可以被借鉴到“中心化”的技术路径中,有助于不断完善疫情防控技术体系。
“目前平衡这两个方案,普遍采取的是自愿原则,用户可以选择是否将‘去中心化’后的数据存放在自己的设备中,如果愿意,政府部门或方案推行者会给予一定的奖励措施。”辛阳说,例如爱沙尼亚政府推行的“数字身份证”计划,就是通过赋予公民免费乘坐公交车的权利而成功地覆盖到近98%的人口。但同时,辛阳强调,这些数据应被最大限度进行加密存储处理,并且限定只能由特定的机构使用。
洪朝群认为,此类数据采集应在卫生管理部门的统一规范和规划下进行,并向民众公布细节。数据存储不管是集中还是分布,都应得到监管,用于疫情防控而不是用于商业。(记者 谢开飞 通讯员 徐丽麟)