更新於 2021/05/27閱讀時間約 4 分鐘

台灣社交距離App

#科技防疫。#台灣社交距離app #數位接觸者追蹤應用程式
§ 編輯部
從新冠疫情全球大爆發到現在,不少國家開始採用數位接觸者追蹤工具(digital contact tracing app, DCT app),也積極討論如何使其成為有效且透明的防疫工具。昨天「整合筆記」提到謹慎使用數位科技的原則,才有機會使其成為有效的防疫基礎設施。
(一)台灣社交距離App的原理與技術上的限制
今天我們介紹台大圖資系鄭瑋與資工系蕭旭君兩位老師的文章,透過他們對於近日指揮中心推廣的台灣社交距離app的資安評估與有效使用前提,來進一步了解這款app。
「社交距離APP的原理和資安?」之專家意見
「台灣社交距離APP」由台灣人工智慧實驗室開發,與行政院及衛生福利部疾病管制署合作。目的是希望讓使用者即時掌握與確診者接觸情形,降低疫情傳播。已可在iOS和Android版本的手機上下載。 參考資料: 衛生福利部疾病管制署(2021)。〈臺灣社交距離App〉。 科技新報(2021)。〈社區感染來了!快載「台灣社交距離」APP,小心確診者在身邊〉。 台灣人工智慧實驗室(Taiwan AI Labs)(2021)。〈Taiwan Social Distancing APP〉。 台灣人工智慧實驗室(Taiwan AI Labs)(2021)。〈台灣社交距離 App注意事項及各資保護說明〉。 國人最清楚的接觸史追蹤方式就是每日記者會所說的「疫調工作」,然而一旦有社區感染的疑慮,或是確診者數量增加時,則可能會造成人力上的負擔;藉此,「接觸史追蹤手機應用軟體(後簡稱為接觸史追蹤App)」的出現--顯示科技應用結合疫情調查體系。最近我國政府所推廣的「台灣社交距離 App 」正是一款接觸史追蹤App,接觸史追蹤App在去年於世界各國政府紛紛出現,請參見MIT 的Technical review持續整理報導 [1]。 「台灣社交距離 App」軟體是基於 Apple 與 Google 此兩大公司聯手推出的「暴露通知」 (原文為Exposure Notification) 功能 [2]。將Apple 與 Google 的手機內建此功能,再由各個國家的官方衛生單位申請,即可啟用。 兩大公司所推出的暴露通知功能,以及其他類似的通訊協定,皆是利用藍牙訊息廣播的特性,以保障使用者的隱私。 根據他們的技術文件[3],大部分利用藍牙技術的接觸史追蹤 App 運作原理如下: 接觸史追蹤App透過藍牙通訊,週期性地廣播隨機 ID (例如每分鐘傳 5 次,這裡只是舉例,真實情況以各App為準)。 接觸史追蹤 App 記錄其接收到的隨機 ID 。因藍牙的傳輸距離有限(傳統藍芽設備在無障礙的環境下約可達 100 公尺),有收到別人的廣播 ID即代表雙方在附近,因此還可以根據藍牙的訊號強度估計雙方距離。 隨機產生的ID會「週期性更換」(如:每幾分鐘更換一次)。週期性更換的設計很重要,它讓使用者的行蹤不會長期被追蹤。 確診者可自己決定是否上傳過去 14 天內曾廣播過的隨機 ID。這邊須注意的是,確診者必須在輸入衛生單位的驗證碼後,才能上傳。此種驗證碼機制是為避免使用者誤發自己是確診者。 此類接觸史追蹤 App 會定期下載確診者的隨機 ID,並與使用者的ID比對。若比對結果有配對成功,表示使用者過去曾經與確診者接觸。這邊要強調的是,系統沒有即時警示「有無接觸」的功能,而是設計為過去14天的「回溯配對」功能 。 這樣的系統 (利用藍牙技術的接觸史追蹤 App) 能透過藍牙訊號強度估計兩支手機之間的距離,進而判斷兩支手機的主人是否有「接觸」(亦即在近距離待了一定時間)。 借鑑國際間已開發的接觸史追蹤App模式操作,民眾可以不用太擔心洩漏個人足跡、定位,或是個人資料的資安風險。目前世界各國政府衛生單位開發以藍牙為基礎的接觸史追蹤App,大致上可分為「中心化」和「去中心化」兩類。中心化的特性是,政府能收集所有使用者的隨機ID,進而協助比對和公佈;如:新加坡政府開發的 BlueTrace協定[4]。相比之下,去中心化的特性則是政府不會知道所有使用者的資訊,而是取決於確診者自主上傳隨機ID,以及使用者根據App下載的隨機ID比對,自行判定有無接觸,再自行通知政府或醫護 ;如:我國利用Apple/Google Exposure Notification協定所開發的「台灣社交距離App」。 至於隨機 ID是否有可能暴露身份或行蹤給其他路人?事實上ID會隨機產生且定期更換(如每幾分鐘更換一次),因此很難透過 ID 所傳達的資訊連結回特定使用者,且也不容易追蹤特定使用者的行蹤,再加上隨機 ID 能透露的資訊亦相當有限。此外,App軟體 中只會儲存自己廣播過的隨機 ID,以及收到別人的隨機 ID,並不儲存其他資料。 App 的使用者須正確安裝啟用,並確實將藍牙訊號打開。因為此App機制是由藍牙技術交換隨機 ID,若沒有安裝成功,抑或是沒有打開藍牙,將會沒有辦法傳送和接收隨機 ID。 正確啟用的人數需達一定規模。此機制仰賴手機發送和接收隨機 ID,進行事後回溯比對時,若愈多人正確啟用則愈能反應真實接觸狀況。近期研究分析了英國的 NHS COVID-19 App 相關數據,指出其使用率為英國全體國民的 28% ,且有助防疫 ...
「社交距離app」採用藍芽通訊技術,週期性地廣播隨機ID,讓近距離接觸者的手機會彼此交換ID,由於這些資訊只留存在個別手機,被認為是採用隱私侵害較少的分散式資訊處理(但請注意實聯制QR code的原理則是中央集中式,這裡暫不討論,只集中討論DCT app )。確診者必須輸入衛生單位提供的驗證碼後(避免非確診者的使用者誤發ID),然後可自主決定是否要上傳過去14天的隨機ID。所有儲存在使用者app中的隨機ID,會在14天後自動清除。因此,兩位專家認為社交距離app的設計本身,符合國際資安的要求。
兩位作者指出了一些重點,是目前指揮中心與研發者較少強調的面向,也就是,要使社交距離app成為「有效」的防疫工具,還需考慮技術面與行為面,包括:正確安裝、藍芽訊號強度與環境障礙、使用人數規模、避免群聚造成藍芽訊號的干擾(使用該款app實驗而得的發現)。他們指出這些app的限制,除了得以提供研發團隊參考以改善外,也特別提醒國人不要因為安裝就產生錯誤的安全感,還是必須保持實體的社交距離與避免群聚。
(二)讓數位接觸追蹤App有效且值得信任的要件
國外DCT app研究顯示,當民眾感知疫情嚴重、感染風險增加時,就越有意願使用相關app。台灣現在應該就是處在這樣的階段。但風險感知不是讓app成為有效防疫工具的唯一要件。民眾也必須知道安裝app對於政府防疫、即時保護自己健康是有效的,才會持續使用或加入。
  • 資料治理:個資的收集、儲存、近用、保護
  • 資通業巨擘的角色:特別是Google與Apple在app技術發展中的角色
  • 科學嚴謹度:app研發過程的透明度(開放原始碼)與前測過程、政府與政治人物如何向公眾溝通該款app(鼓勵使用vs說明哪些個資在防疫中是需要的?該款app會如何使用這些個資?)
  • 志願制:由民眾自行決定是否下載使用
  • 運作效用:DCT app技術上的限制,社會方面包括下載者的使用方式與信任
  • app在防疫中的角色:輔助效用
由這些面向來看,近日指揮中心對於社交距離app的說明,在資料治理、資通業合作、科學嚴謹度、志願制、app的角色等面向皆略有所著墨。但還是有可以繼續了解追問的部分,例如:
  • 政府在軟體設計時,有沒有調整修正Google和Apple既有軟體設定?
  • 社交距離App安裝後顯示的《注意事項及個資保護說明》,提到「蒐集、處理及利用您的個資,包括但不限於藍芽識別碼」,指的是那方面的資料?
  • 社交距離App又提到「本服務保留無需事前通知隨時修改資訊內容權力」的文字是否欠缺資料治理明確化?
這些若能得到研發者或政府進一步的說明,將更有助於提升民眾對此軟體的信任與支持。
在運作效用的面向,目前已知在一週之內就下載100萬次。建議各界對這個面向的關注,可以從下載人數更新,朝向如何改善技術限制、民眾使用經驗、是否實務上有助接觸者追蹤管理等面向,進行研究、說明與報導。
擴展我們對防疫App的關注理解,才能在呈現與記錄DCT app本土經驗之際,也同時優/深化台灣的防疫科技治理。整合筆記之後會再討論更為複雜的實聯制QR Code相關議題。
分享至
成為作者繼續創作的動力吧!
© 2024 vocus All rights reserved.