Компании и правительства по всему миру разрабатывают и применяют огромное количество систем и приложений для борьбы с COVID-19. Многие сходятся во мнении о пользе основанных на работе Bluetooth приложений по отслеживанию контактов, т. е. приложений для уведомления о нахождении в контакте с заражённым лицом. Но даже в этой модели существует несколько подходов, и были выдвинуты десятки предложений.

Одним из критериев, по которому можно разделить все приложения, является уровень доверия, оказываемый ими центральным властям. В «централизованных» моделях особая ответственность за обработку и распространение пользовательских данных лежит на одной структуре – органе здравоохранения, правительстве или компании. Эта структура имеет привилегированный доступ к информации, чего нет у обычных пользователей и их устройств. В «децентрализованных» моделях, с другой стороны, система не полагается на центральную власть со специальными правами доступа. Децентрализованное приложение может делиться данными с определенным сервером, но эти данные могут видеть все, не только организация или структура, управляющая сервером.

Как централизованная, так и децентрализованная модели могут нанести урон гарантиям приватности. Однако централизованные модели основаны на предположении, что «доверенная» власть будет иметь доступ к огромному количеству чувствительных данных и не злоупотребит этим. Как мы видели ранее и наблюдаем сейчас, это доверие зачастую не оправдывается при встрече с реальностью. При осторожно сконструированных децентрализованных моделях вероятность нанесения ущерба гражданским свободам намного меньше. Ниже мы более подробно рассмотрим обе модели и разберём их преимущества и недостатки.

Централизованные модели

Существует много приложений по отслеживанию контактов, которые можно считать «централизованными», но в целом это означает, что единственная «доверенная» власть знает то, чего не знают обычные пользователи. Централизованные приложения завоевали любовь многих правительств и государственных учреждений здравоохранения. Центральный сервер обычно хранит личную информацию от имени пользователей и принимает решения о том, кто мог быть подвергнут риску заражения. Центральный сервер обычно может узнавать, какие устройства были в контакте с устройствами зараженных людей, и может связать эти устройства с личностями в реальном мире.

Например, европейская PEPP-PT предлагает использовать приложение NTK. Центральный сервер NTK генерирует частный ключ для каждого устройства, но хранит ключи у себя. Этот личный ключ используется для генерирования набора временных ID для каждого пользователя. Пользователи получают свои временные ключи с сервера и обмениваются ими с другими пользователями. Если кто-то получает положительный результат теста на COVID-19, то приложение передает набор временных идентификаторов людей, с которыми зараженный находился в контакте (включая большое количество метаданных). Власти соотносят эти ID с личными ключами других людей в базе данных, затем решают, стоит ли напрямую контактировать с этими пользователями. Система создана для защиты пользователей от ассоциирования временных ID с реальными личностями, в то же время позволяя центральному серверу делать именно это.

Некоторые приложения, например ROBERT от Inria борются с трудностями в попытках сокрытия реальных личностей пользователей от центральных баз данных и предлагают систему псевдонимов. Это похвально, но недостаточно, так как, предприняв небольшие усилия, псевдонимы-идентификаторы можно зачастую связать с реальными людьми. Многие другие централизованные приложения, включая NTK, не делают и этого. Сингапурское приложение TraceTogether и австралийская разработка COVIDSafe даже требуют от пользователей предоставить правительству свои номера телефонов, чтобы представители системы здравоохранения могли напрямую связаться с ними. Централизованные модели могут собирать не просто контактные данные, некоторые приложения требуют от пользователей выгрузки времени и места контактов.

Децентрализованные модели

В системах отслеживания контактов с «децентрализованным» подходом роль центральной власти сведена к минимуму. Под флагом «децентрализованных» приложений существует множество предложений. Объединяет их то, что все они не доверяют какому-либо центральному субъекту информацию, не доступную для остальных. Хотя и эти системы таят риски для приватности, в продуманных разработках риски сведены к минимуму.

EFF рекомендует приложения для отслеживания контактов со следующими характеристиками:

1. Целью приложения должно быть уведомление о контакте с зараженными. То есть это автоматическое уведомление о том, что пользователю грозит заражение, так как он находился в непосредственной близости к заражённому лицу. Уведомление должно сопровождаться советом о том, как пользователь может получить медицинскую помощь. Целью приложения не может быть автоматическое уведомление правительства или других структур о состоянии здоровья или личных контактах людей.
2. Временные идентификаторы пользователей должны генерироваться и храниться на их собственных устройствах. Временные идентификаторы могут быть переданы устройствам пользователей, с которыми они вступали в контакт, но никто не должен иметь доступ к базе данных для картирования набора идентификаторов определенного человека.
3. Если пользователь узнаёт о заражении, подтверждённом врачом или органом системы здравоохранения, решение о выкладывании информации на общий сервер должно быть абсолютной прерогативой пользователя.
4. Если пользователь сообщает о том, что болен, система должна передать с его устройства на общий сервер минимум информации, необходимой для того, чтобы другие пользователи узнали о повышенном для них риске заражения. Это может быть либо набор временных идентификаторов, которые транслировало устройство, либо набор идентификаторов, с которыми устройство находилось в непосредственной близости, но никак ни оба варианта.
5. Ни одна структура не должна знать личности людей, которые могут быть потенциально заражены вследствие контакта с инфицированным лицом. Это значит, что общий сервер не может отправлять предупреждения находящимся в группе риска пользователям, но пользовательские приложения должны запрашивать данные с центрального сервера, не обнаруживая при этом свой статус, и использовать эти данные для принятия решения о том, есть ли необходимость в уведомлении пользователя. Например, в системе, где заражённые пользователи сообщают свои временные идентификаторы общему серверу, приложения других пользователей должны постоянно обращаться к серверу за получением полного набора временных идентификаторов всех заражённых пользователей. Затем они сравнивают их со всеми временными идентификаторами, хранящимися в приложении ввиду имевшего место контакта с их пользователями. 
6. Временные идентификаторы не должны быть сопоставимы с реальными людьми или друг с другом. Никто, получающий множество временных идентификаторов, не должен иметь возможность определить, исходят ли они от одного и того же лица.

Децентрализованные модели не должны быть полностью децентрализованы. Например, открытые данные о том, какие временные идентификаторы соответствуют устройствам людей, признавших себя заражёнными, могут храниться в центральной базе данных, доступной для всех. Для этого необязательно использование технологии блокчейн. Более того, многие модели требуют от пользователей предоставления официального документа, подтверждающего их статус больного COVID-19. Этот вид «централизации» необходим для предотвращения троллинга, в результате которого система может быть наводнена фейковыми сообщениями о позитивно тестированных.

Программный интерфейс отслеживающих приложений Apple и Google является примером (практически) децентрализованной системы. Ключи генерируются на устройствах пользователей, и находящиеся рядом телефоны обмениваются временными идентификаторами. Если пользователь диагностирован заражённым, он может выгрузить свои личные ключи (которые теперь будут называться «диагностированные ключи») в базу данных с открытым доступом. При этом не имеет значения, кто управляет базой данных: органы здравоохранения или сеть «компьютер-компьютер» (peer-to-peer). До тех пор, пока любой имеет к ней доступ, система отслеживания контактов работает эффективно.

Каково соотношение?

У каждой модели есть свои преимущества и недостатки. Однако, в основном, централизованные системы выгодны для правительств и таят в себе риски для пользователей.

Централизованные модели предоставляют больше данных для любой структуры, которая назначила себя контролирующим органом и, по сути, может использовать эти данные далеко не только для отслеживания контактов. У контролёра есть доступ к детальным логам всех, с кем вступали в контакт заражённые лица, и он может спокойно использовать эти логи для создания детальных социальных схем, раскрывающих взаимодействия людей. Это весьма привлекательно для некоторых органов здравоохранения, желающих использовать полученные при помощи этих инструментов данные для проведения эпидемиологических исследований или измерения влияния проводимых мер. Но личные данные, собранные для одной цели, не могут использоваться для других (не важно, насколько праведных) целей без специального согласия субъектов данных. Некоторые децентрализованные приложения, в частности DP-3T, содержат опцию включения пользователем возможности отправки определенных данных для эпидемиологических исследований. Дли минимизации рисков данные, получаемые подобным образом, могут быть обезличены и обобщены.

Более важно, что собираемая отслеживающими приложениями информация — это данные не просто о COVID, а о реальных взаимодействиях между людьми. База данных с информацией о взаимодействиях людей может быть очень ценной для правоохранительных органов и служб разведки. Правительства могут использовать её для слежки за тем, кто общается с диссидентами, а работодатели – для слежки за тем, кто взаимодействует с организаторами профсоюзов. Также она может стать привлекательной целью для хакеров. А история показывает, что правительства, к сожалению, обычно не лучшие управляющие для личных данных.

Централизация означает, что власти могут использовать контактные данные, чтобы напрямую связаться с людьми. Сторонники этой модели утверждают, что уведомления от официальных органов системы здравоохранения будут более эффективны, нежели уведомления от приложений. Но это заявление основано лишь на предположениях. Конечно, большее число людей, скорее всего, решит в пользу децентрализованной системы, тем более что вмешательство централизованных системы в частную жизнь слишком велико.

Но даже при идеальной децентрализованной модели существует определенный неизбежный риск разоблачения инфицированных: если кто-то сообщает о факте заболевания, то все, с кем он был в контакте (любой с сигнальным маячком Bluetooth) может теоретически узнать об этом. Потому что список временных идентификаторов зараженных выкладывается в открытый доступ. Любой пользователь с Bluetooth устройством может записать время и место встречи с определенным временным идентификатором, и если этот идентификатор обозначен заражённым, то можно выяснить, где и когда его видели. В некоторых случаях этой информации может быть достаточно для определения лица, которому принадлежит данный временный идентификатор.

Некоторые централизованные модели, в частности ROBERT, заявляют об устранении этого риска.  В случае с ROBERT пользователи выгружают на центральный сервер список идентификаторов, с которыми они имели взаимодействие. Если пользователь был в контакте с инфицированным лицом, власти сообщат ему об этом, но не скажут, где и когда произошёл контакт. Это похоже на принцип работы традиционного отслеживания контактов, при котором работники сферы здравоохранения опрашивают заражённых людей и затем напрямую связываются с теми, с кем они были в контакте. На самом деле модель ROBERT создает некоторые сложности для выяснения личности заразившегося, но не делает его невозможным.

Автоматическими системами легко манипулировать. Если кто-то включает Bluetooth только будучи рядом с определённым лицом, он сразу же узнает, если это лицо заразится. Если у злоумышленника есть несколько устройств, он может нацелить эту атаку на нескольких человек. Злоумышленники с более мощными техническими ресурсами могут эффективно использовать систему. Невозможно полностью решить проблему разоблачения заразившихся, и пользователи должны это понимать, прежде чем решат делиться своим статусом здоровья с каким-либо приложением по отслеживанию контактов. Тем временем легко избежать рисков для приватности, связанных с предоставлением какой-либо центральной власти привилегированного доступа к своим данным.

Заключение

EFF настороженно относится к приложениям по отслеживанию контактов. Неясно, насколько они могут помочь. В лучшем случае они будут дополнением для таких испытанных методов борьбы с эпидемией как повсеместное тестирование и традиционное отслеживание контактов. Мы не должны полностью полагаться на технологические решения. И даже с наиболее удачно разработанными приложениями в наши дни всегда существует риск злоупотребления личной информацией о том, с кем мы находились в контакте.

Одно остаётся ясным: правительства и органы здравоохранения не должны использовать централизованные модели для автоматического уведомления о повышенном риске заражения. Централизованные системы вряд ли более эффективны, чем децентрализованные альтернативы. Они будут создавать огромные новые базы данных, документирующих человеческое поведение. Базы данных, безопасность которых будет сложно обеспечить, а ещё сложнее уничтожить после окончания кризиса.