在一次大胆而雄心勃勃的合作中，苹果和谷歌正在开发一个智能手机平台，该平台试图大规模追踪新型冠状病毒的传播，同时保留选择加入的iOS和Android用户的隐私。

跨平台系统将使用内置于低功耗蓝牙传输中的邻近功能来跟踪参与电话用户的物理联系。如果用户以后对COVID-19（由冠状病毒引起的疾病）测试呈阳性，则可以选择将结果输入到卫生部门批准的应用中。然后，该应用程序将与最近进入她六英尺左右的所有其他参与电话的用户联系。

谷歌和苹果分别在这里和这里描述的该系统将一种技术方法应用于所谓的联系追踪，即弄清感染者最近与之接触的每个人的做法。牛津大学研究人员小组最近发表的一项研究表明，新型冠状病毒具有极强的感染力，无法通过传统方法进行接触者追踪。研究人员提议使用智能手机，因为它们几乎无处不在，不依赖被感染者的错误记忆，并且可以跟踪其他参与用户的几乎无限数量的联系人。

减轻最坏的情况

但是，尽管基于移动的联系人跟踪可能更有效，但它也对个人隐私构成了严重威胁，因为它为跟踪可能有数百万人甚至数十亿人的活动和社交互动的中央数据库打开了大门。苹果和谷歌正在开发的平台采用了一种创新的加密方案，旨在使联系人跟踪能够按比例进行，而不会对选择加入该系统的人的隐私构成风险。

隐私权倡导者（至少有一个明显的例外）主要是对该系统进行了合格的批准，他说，尽管该方案消除了一些最直接的威胁，但仍可能受到滥用。

“值得称赞的是，苹果和谷歌已经宣布了一种似乎可以减轻最严重的隐私和集中化风险的方法，但是仍有改进的空间，”美国公民自由联盟的监视和网络安全顾问詹妮弗·格兰尼克（Jennifer Granick）在一份声明中写道。“我们将继续保持警惕，以确保任何联系追踪应用程序都保持自愿和分散化，并且仅用于公共卫生目的且仅在大流行期间使用。”

与传统的联系人跟踪不同，电话平台不会收集姓名，位置或其他标识信息。相反，当两个或两个以上选择加入系统的用户进行物理联系时，他们的电话将使用BLE交换匿名标识符信标。标识符（在技术术语中称为滚动接近标识符）大约每15分钟更改一次，以防止无线跟踪设备。

当用户移动并与他人接近时，他们的手机将继续交换这些匿名标识符。定期地，用户的设备还将下载对COVID-19测试为阳性且在同一本地区域的任何人的广播信标标识符。

如果有人向系统报告她的测试结果为阳性，那么她的电话将联系中央服务器并上传14天的标识符。未感染的用户将下载每​​日跟踪密钥，并且由于生成每个滚动接近标识符的方式，最终用户电话可以从每天的每日跟踪密钥中重新创建按时间索引的索引。以下两张幻灯片有助于从更高层次说明系统的工作方式。

苹果和谷歌提供其他保证，包括：

• 需要明确的用户同意
• 不收集个人身份信息或用户位置数据
• 与您联系过的人员清单永远不会离开您的手机
• 测试结果为正面的人不会被其他用户（Google或Apple）识别
• 仅由公共卫生机构用于COVID-19大流行管理的联系人跟踪
• 拥有Android手机还是iPhone都没关系-两者都可以使用

工作原理（理论上）

ACLU的密码学专家和高级技术研究员Jon Callas告诉我，该方案类似于抽奖券的工作方式，一方获得纸质机票的一半，另一方获得另一半，并且-从理论上讲至少-没有人是更明智的。当两个电话用户物理接近时，他们的BLE发射器交换票证。卡拉斯说，一种类似的COVID-19跟踪方案，即泛欧洲隐私保护邻近跟踪，似乎以相同的方式工作。

他说：“我会列出所有门票的清单。” “如果爱丽丝测试呈阳性，她将释放她的入场券；如果我有匹配的入场券，我知道我与一个积极的人接触过。” 卡拉斯继续警告说，苹果-谷歌平台和泛欧洲隐私保护邻近追踪流程的歧义性都存在滥用的可能性，因为目前尚不清楚哪些参与者可以使用哪些门票。

他说：“如果爱丽丝释放她发送的票和她收到的票，那她就在附近的人郊游。”

卡拉斯说，他参与了称为PACT的第三种跟踪方案的开发，该方案是“ 私人自动联系跟踪”的缩写。相比之下，他说，它可以保证各方只能释放已发送的票。

求与众不同

黑客和开发人员Moxie Marlinspike都破坏了高级加密方案并构建了它们，是所提出的对该方案的最直言不讳的批评者之一。在一个Twitter线程中，他分析了API和加密技术的交互方式，他对该计划提出了严重怀疑。

他在一条推文中写道：“因此，最明显的警告是，这是’私人的’（或者至少不比BTLE糟糕），直到测试阳性为止。” “到那时，您上一个时期的所有BTLE mac地址[BLE MAC地址]都可以链接了。为什么它们要更改为开头？因为跟踪已经是一个问题。”