一雲
一雲

香港資安新創聯合創辦人兼總軟件架構師,前蘋果電腦高級工程師,關注科技與人的關係。推特 @edwincheese

安心出行:數碼監控殺到埋身?

第四波疫情仍然僵持不下。近日,政府高官在不同場合提到,會視乎疫情發展強制安裝「安心出行」,看似希望在下一波疫情來臨之前,為強制進行「安心出行」鋪墊好輿論,預備用數碼監控來遏止疫情蔓延,取代封城,以免再度打擊經濟。政府官員再三強調,「安心出行」的行蹤資訊只儲存在市民手機上,叫市民放低私隱考慮,甚至研究透過藍牙自動記錄行蹤。可是事實上,是否如官員聲稱,資料不會上載到政府儲存就沒有私隱問題?還是數碼監控已經殺到埋身?

(圖:光榮飲食Facebook)

「接觸追蹤」手機應用的不同技術

人類面對迅速蔓延的全球化疫情的經驗本來就不多,很多抗疫措施根本沒有先例,簡單如應否全民戴口罩也沒有一致定論。這情況下,嘗試運用智能電話等現代科技去控制疫情,本來是無可厚非的。很多國家都針對疫情開發不同的手機應用,而類似「接觸追蹤」的應用最令人期待。

「接觸追蹤」程式有不同技術,有些使用藍牙(Bluetooth),也有些使用GPS定位,但無論那種技術,它們的目的也是一樣,就是記錄使用者接觸過什麼人,只要當中有人後來確診,系統就可以通知用戶,以求儘快找出潛在感染者。牛津大學的一份研究報告估算,若果有60%的人口願意使用「接觸追蹤」手機應用,就可能在不用實拖嚴厲「封城」措施下控制疫情。不過始終這類技術的效果是未經實證。

總括來說,這些技術可以分為兩大類:

蘋果與Google暴露通知API (Google Apple Exposure Notification API,簡稱 GAEN)是蘋果與Google聯合開發的高私隱度暴露通知系統。它利用藍牙低功耗(Bluetooth Low Energy)發送加密的匿名隨機編碼,鄰近電話可以接收和記錄這些隨機編碼。日後若果用戶確診並且在應用程式內報告,與確診者於潛伏期內在其附近逗留超過十至十五分鐘的其他用戶,就會收到系統發出的暴露風險提示。這個方法不會記錄位置資訊,不單止Google和蘋果不會得知使用者行蹤,手機上也不會儲存,能提供最大的私隱保障。不過這技術易也有限制,受環境干擾,藍牙未必能準確測量兩個人的距離。蘋果與Google免費開放這個功能給各地官方機構使用,也提供了樣板應用程式的源代碼,要整合到各地的官方應用輕而易舉,已經獲英國、美國、德國、日本、俄羅斯等22個國家選用。

蘋果與Google暴露通知API

接觸追蹤(Contact Tracing)程式利用QR Code、GPS或藍牙定位技術記錄個人行蹤,儲存使用者到過的地方和時間。若果用戶和確診者在相同時間到過同一地點,系統就能通知用戶,政府衛生部門亦可取得程式記錄的行蹤去協助進行傳統的接觸追蹤去找出潛在接觸者。程式可以設計成將日誌資料儲存在使用者的手機上,減少對私隱的損害,但始終程式詳細記錄了個人行蹤,難免會有洩漏的風險,而且確診者會被要求上載潛伏期內的行蹤資料到中央資料庫,令確診者需要付出更大私隱代價。

「安心出行」屬於後者。

明顯地,使用GAEN的應用程式對個人私隱有更好保障,而且全自動化,對使用者來說更為方便。不過接觸追蹤程式也有好處,它能夠幫助衛生部門進行傳統的接觸追蹤,找出沒有使用這個程式的接觸者。所以,有些地方的應用集合了兩種模式,例如英國的NHS COVID-19 app同時使用GAEN和QR code「打卡」。

為什麼「安心出行」不使用GAEN?

在「安心出行」初推出時,我和一些業界朋友感到奇怪,為什麼它不使用GAEN呢?

英國早在上半年時亦曾試過自行開發應用程式,利用藍牙追蹤接觸者並將匿名化的數據儲存在中央系統。(概念上類似GAEN,與「安心出行」的方法不同。)那時候GAEN才剛發佈,還未夠成熟。計劃當時已經有不少評論批評英國方法的私隱度不足,而且有技術問題,例如蘋果出於耗電和私隱考慮,限制背景運行的程式使用藍牙發送信號。在花了數百萬英鎊開發之後,英國政府最後還是放棄原計劃,推出使用GAEN的程式。

而現在GAEN已在多國推出,技術上十分成熟。即使政府希望市民用QR code記錄行蹤以便利人手的接觸追蹤,也可以像英國般同時使用兩種模式。整合GAEN沒有太大成本,而且讓市民有多一個私隱度更高的選擇。

英國NHS COVID-19 app

筆者並不想用「陰謀論」的方式去猜度,但早前創科局局長薛永恆接受傳媒訪問,提及當局正研究透過藍牙定位技術自動記錄行蹤,就為不使用GAEN得供一個可能的解讀。

蘋果和Google在一開始開發GAEN時已經意識到,要發揮這個系統的功效,必須要大多數市民願意使用,而很多人都抗拒政府監控個人行蹤,所以GAEN必須提供最大的私隱保障。因此,除了使用密碼學等技術手段去避免洩露私隱,蘋果和Google亦對使用GAEN的程式訂立嚴格的私隱要求,例如程式會被禁止使用GPS或藍牙定位功能,以避免追蹤用戶的嫌疑,而且程式只可以用於對抗肺炎疫情單一目的。換句話說,使用GAEN的話,技術上就不能用藍牙技術自動記錄行蹤,而程式的功能也會受蘋果和Google限制。

若果「安心出行」早已預備加入自動記錄行蹤的功能,再加上官員吹風會強制安裝,這難免讓人擔心「安心出行」只是一個更大型的數碼監控計劃的突破點。

私隱並不是單純的技術問題

當然,政府官員一再解釋,就算會透過藍牙自動記錄行蹤,行蹤資訊都只儲存在市民手機上,不會上載到政府資料庫,不會有私隱問題。

這是對私隱權的很大誤解。

在日常生活,我們很多時都願意向第三者透露十分私人的事情,例如家庭醫生或者臨床心理學家,而不會認為個人私隱被侵犯。這是因為我們了解到提供這些資料的目的,而且是達成這個目的的必要資訊,而對方受專業操守等規範,令我們相信他們不會向他人披露。

侵犯私隱與否,並不是單純的技術問題,它涉及到複雜的社會情境和信任關係。會否傳送資料到政府只是其中一點,但並不是這樣就足夠。

而且,筆者不認為政府有認真看待市民對「安心出行」的私隱憂慮。有關私隱權的兩個最基本原則,「安心出行」無一達到。(歐盟的《一般資料保護規範》General Data Protection Regulation的七項原則更全面,不過既然連最低要求也達不到,無謂談標準更高的 GDPR)。

強制使用必侵犯個人私隱

第一點是consent(允許),任何形式的個人資料收集,都應該先得到使用者明確允許,而且這個允許最好是持續進行,並不是點選過一次「我接受使用條款」,就代表可以為所欲為。原本「安心出行」使用QR code「打卡」,使用者自願拿出手機掃描,必須使用者持續同意收集資料才能進行,這個方法問題不大。可是,如果改用藍牙定位技術,市民不用拿手機出來,就會在不知情下被記錄行蹤,這樣問題就大得多。更何況,如果日後強制使用「安心出行」,這就更加沒有任何consent可言。

資料是否儲存在用戶手機上其實分別不大,因為今年二月政府根據《預防及控制疾病條例》的緊急立法早就埋下伏筆,第599D章《預防及控制疾病(披露資料)規例》列明,政府可要求某人提供手上有關「處理公共衞生緊急事態」或「識別和追蹤可能已經蒙受染上疾病的危險的人」的資料。公眾看到599G的選擇性執法,不斷被濫用在與防疫無關的情況,要說政府日後可以用599D強制任何人交出「安心出行」裡的行蹤資訊,相信不難想像。

任何強制使用或強制交出資料,必然嚴重侵犯個人私隱。

599G不斷被濫用在與防疫無關的情況(圖:立場新聞)

私隱政策含糊不清、公眾無法了解程式運作

第二點是notice(知會),知會須要以準確、詳細、具體和易懂的方式告知用戶收集的個人資料的種類、用途以及保障。

我們看一看「安心出行」的私隱政策,裡面只有寥寥數句的粗略概括,稱收集個人資料「作感染風險通知、協助政府應對2019冠狀病毒病蔓延的工作及相關的用途」,就連政府一直強調,資料只儲存在市民手機上,也沒有寫出來。比較其他國家的類似應用程式,它們的私隱政策會清晰例明程式的每一項用途,不會以一句「相關用途」概括,更會詳細說明會用什麼方法保障個人資料。雖然白紙黑字的私隱政策,在「新香港」也可以隨時被單方面更改,而且即使政府觸犯私隱條例也沒有後果(或者訓斥),可是,現在連基本的聲明也沒有,政府憑什麼說服市民,「安心出行」明天不會推出軟件更新把所有行蹤資料上載到中央資料庫?

況且,即使在私隱政策寫了出來,也未必足夠令人安心,因為程式的運作不一定會符合私隱政策的描述。有些國家為了增加市民的信任,會把系統的源代碼公開,讓公眾和專家能夠審視程式的運作和安全性,例如加拿大的COVID Alert。就算沒有開放源代碼,也會容許對程式進行「反向工程」審核程式。「安心出行」不僅並非開源,它的使用條款清楚寫明禁止「進行反編譯,反向工程」。在「新香港」下,違反合約條文,也可能被控欺詐,而且隨時不準保釋,若有資訊安全專家希望用反向工程去審查「安心出行」的安全性,他大概要做好坐監的準備。

警惕以「抗疫」為名的數碼監控

「安心出行」推出一個多月只有四十萬下載(還不知當中有多少人在使用),在這個失敗政權,市民自然因為無法信任而拒絕使用。主事官員不但未有反省,或者設法增加市民信任,更歸咎市民不配合政府的抗疫措施,甚至不理民意,準備霸王硬上弓強制市民安裝使用。鄰近地區一向以大數據監控、人臉辨析、社會信用評級聞名,我們需要時刻警惕政權以「抗疫」或者「安全」為名,迫使我們慢慢習慣數碼監控,不要讓「安心出行」漸變為「香港社會信用評級」,這是每個有尊嚴的公民應有態度。

Medium

CC BY-NC-ND 2.0 版权声明

喜欢我的文章吗?
别忘了给点支持与赞赏,让我知道创作的路上有你陪伴。

加载中…
加载中…

发布评论