意大利Covid联系人追踪应用现在是开源开发的
免疫是意大利政府的暴露通知解决方案,由新冠肺炎紧急情况特别专员(部长会议主席)与卫生部和技术创新与数字化部合作实现。它只使用位于国家边界内的公共基础设施。它由上市公司Sogei S.p.A.独家管理。源代码是通过弯曲勺子S.p.A.为部长会议主席开发的,它是根据GNU Affero通用公共许可证版本3发布的。
Immuni是一款以iOS和Android智能手机应用为核心的技术解决方案。它通过尽早通知有携带病毒风险的用户-即使他们没有症状-来帮助我们抗击新冠肺炎疫情。然后,这些用户可以将自己隔离,以避免感染他人,并寻求医疗建议。
Immuni的设计和开发基于六个主要原则:实用性、可访问性、准确性、隐私性、可扩展性和透明度。
它的特点是一个利用蓝牙低能耗的暴露通知系统:当两个用户足够接近对方足够长的时间时,他们的设备会在本地存储器中记录对方的滚动接近标识符。滚动接近标识符由临时曝光密钥生成,并且每小时更改多次。临时曝光密钥是随机生成的,每天更改一次。
当用户检测出导致新冠肺炎的SARS-CoV2呈阳性时,他们可以选择将他们最近的临时暴露密钥上传到服务器。此操作只能在医疗保健操作员验证后才能进行。
该应用程序定期下载新的临时曝光密钥,并使用它们来派生受感染用户最近过去的滚动接近标识符。然后,它将标识符与存储在设备内存中的标识符进行匹配,并在发生危险暴露时通知用户。
该系统不使用任何地理位置数据,包括GPS数据。因此,这款应用程序无法知道与潜在传染性用户的联系发生在哪里,也无法知道涉案人员的身份。
为了实现其接触者追踪功能,Immuni利用Apple和Google Exposure Notification框架。这使得Immuni比其他情况下更可靠。
除了临时曝光密钥,Immuni应用程序还向服务器发送一些分析数据。这些信息包括流行病学和业务信息,发送的目的是为了帮助国家医疗服务机构(Servizio Sanitario Nazionale)向用户提供有效的援助。
在重视用户隐私的同时,免疫系统也在不断发展,并采取了一系列措施来保护用户的隐私。例如,该应用程序不收集会泄露用户身份的个人数据,如用户的姓名、年龄、地址、电子邮件或电话号码。
全世界团结在一起,决心阻止新冠肺炎病毒的传播,这种疾病是由SARS-CoV2引起的。这场大流行正在威胁人们的健康,并在全球范围内严重破坏经济。
许多专家一致认为,在未来,新的大流行是一种明显的可能性。有些人可能会变得比我们目前正在战斗的人更危险。
在这种具有挑战性的背景下,技术创新的贡献可能是决定性的。免疫是意大利政府部署和采取的一系列工具和举措之一,以帮助减缓疾病的传播,并加速恢复日常生活。
本文档提供了对Immuni的高级描述-最好先阅读它。更详细的信息可在以下文档中找到:
我们已经在GNU Affero通用公共许可证版本3下开放了Immuni的软件。最后,渗透测试正在进行中,我们将分享结果报告。
这款应用程序旨在尽早通知有携带病毒风险的用户-即使他们没有症状。
然后,这些用户可以将自己隔离,以避免感染他人。这最大限度地减少了病毒的传播,同时加快了大多数人恢复正常生活的速度。
通过及早通知,他们还可以寻求医疗建议,降低严重健康后果的风险。
免疫系统旨在解决当前的危机,但其背后的愿景是正在开发的工具,使我们所有人在应对未来可能出现的类似威胁方面都做好了更好的准备。
实用程序。该应用程序需要是有用的,以实现项目的愿景和目标,如上所述。这里的关键是能够尽可能高比例地通知处于严重风险中的人,并在切实可行的情况下尽早这样做。这是最重要的原则。
无障碍。为了公平和促进最广泛的采用,Immuni应该可以让尽可能多的人使用。这一原则影响所有方面的决策,包括在用户体验、设计、本地化和技术方面。
精确度。Immuni的目标是只通知那些有很大风险感染病毒的用户。这一点很重要,因为收到疾病潜在传播的通知会带来心理上的损失,也因为太高的误报率会导致用户对这款应用失去信任-并停止使用它。此外,应用程序越准确,国家医疗服务机构(Servizio Sanitario Nazionale)就能更有效地照顾用户,确保首先照顾风险较高的用户。
隐私。免疫必须保护用户隐私,同时保持有效。赢得和维护用户信任至关重要--如果做不到这一点,就会降低广泛采用的可能性。
可扩展性。免疫需要在全国范围内广泛采用。这要求该系统在技术上具有良好的伸缩性,并且它给国家医疗服务机构带来的操作负担是可管理的。
透明度。每个人都应该能够访问描述Immuni所有部分的文档,以及最重要的设计决策背后的基本原理。此外,该应用程序将是开源的。这使得用户可以验证该应用程序是否按照文档所述工作,并允许专家社区帮助改进该应用程序。
Immuni是一款以Android和iOS智能手机应用为核心的技术解决方案。
它的特色是一个暴露通知系统,以帮助在早期阶段向可能呈SARS-CoV-2阳性的用户发出警报。这个系统跟踪免疫系统用户之间的联系,即使他们是完全陌生的人。当一名用户的SARS-CoV-2检测呈阳性时,该应用程序会使用该系统通知其他高危用户。该系统基于蓝牙低能耗,不使用任何地理位置数据,包括GPS数据。因此,虽然这款应用程序知道与受感染用户的接触发生了,持续了多长时间,并可以估计两个用户之间的距离,但它无法知道接触发生在哪里,也不能知道涉案人员的身份。
然后,这款应用程序会向有风险的用户推荐该怎么做。建议可以包括自我隔离(这有助于将疾病的传播降至最低)和联系他们的全科医生(以便使用者能够得到最适当的护理,并减少发生严重并发症的可能性)。
如上所述,Immuni的暴露通知系统利用蓝牙低能耗。与基于位置跟踪的解决方案相比,这具有一些优势:
该系统更加准确。在许多情况下,地理定位的精确度在几十米左右。同时,蓝牙低能量信号允许捕获发生在用户半径几米内的接触。这些都是与SARS-CoV-2传播有关的接触病例。
电池的使用效率更高。蓝牙低能耗在能源效率方面表现出色。这一点很重要,因为预计应用程序的卸载率将与电池消耗相关,这是合理的。
不需要地理位置数据。多亏了蓝牙的低能耗,可以在不跟踪用户位置的情况下跟踪联系人。这可能会导致这款应用程序更受公众欢迎,并可能促进更广泛的采用,增加Immuni的效用。
为了实现其接触追踪功能,Immuni利用了Apple和Google Exposure Notification框架(参见Apple文档和Google文档)。这使得Immuni能够克服某些技术限制,因此比其他方式更可靠。
下面,提供该系统的高级简化描述。有关更多详细信息,请阅读Immuni文档的其余部分。
在设备(DEVICE_A)上安装和设置后,该应用程序会生成一个临时曝光密钥。此密钥是随机生成的,每天都会更改。该应用程序还开始传输蓝牙低能量信号。该信号包含滚动接近标识符(ID_A1,为简单起见,在本例中假定为固定)。这是从当前临时曝光密钥生成的。当运行该应用程序的另一个设备(DEVICE_B)接收到此信号时,它会在其内存中本地记录ID_A1。同时,Device_A记录Device_B的标识符(ID_B1,在本例中也假设为固定)。
如果Device_A的用户后来根据国家医疗服务定义的协议检测出SARS-CoV-2呈阳性,他们可以选择将临时暴露密钥上传到Immuni服务器,免疫应用程序可以从该临时暴露密钥中导出Device_A最近广播的滚动邻近标识符(包括ID_A1)。(=。Device_B定期根据其本地标识符列表检查上载到服务器的新密钥。ID_A1将匹配。该应用程序通知Device_B的用户他们可能面临风险,并提供下一步操作的建议(例如,隔离他们自己并呼叫他们的全科医生)。
在实践中,在确定Device_B的用户是否有风险时,仅发现他们位于Device_A的用户附近是不够的。免疫系统根据暴露时间和两种设备之间的距离来评估这种风险。这是根据Device_B接收到的蓝牙低能量信号的衰减来估计的。暴露的时间越长,接触的距离越近,发生病毒传播的风险就越高。接触只持续几分钟,并且发生在几米远的地方,通常被认为是低风险的。随着更多关于SARS-CoV-2的信息可用,风险模型可能会随着时间的推移而演变。
应该注意的是,距离的估计容易出错。事实上,蓝牙低能量信号的衰减取决于诸如两个设备彼此相对的方向以及介于其间的障碍物(包括人体)等因素。虽然利用这些信息可能有助于提高Immuni对传染风险的评估的准确性,但错误的评估会在一定程度上发生。
应用程序广播的滚动接近标识符是由随机临时曝光密钥生成的,不包含任何关于设备的信息,更不用说用户了。此外,它还在滚动,这意味着它每小时更换多次,进一步保护了Immuni用户的隐私。
为了确保只有SARS-CoV-2实际检测呈阳性的用户才能将他们的密钥上传到服务器,上传过程只能在经过认证的医疗运营商的合作下执行。操作员要求用户提供应用程序生成的代码,并将其输入到后台工具中。只有当应用程序用来验证数据的代码与医疗保健操作员在系统中输入的代码相对应时,上传才能成功。
除了临时暴露密钥之外,还会将一些附加信息发送到服务器并进行分析,以确保系统正常运行:
这些数据对于国家医疗服务系统的有效管理非常重要,包括最大限度地提高暴露通知的有效性,并为用户提供最佳的医疗援助。
如果在地方一级进行,流行病学和业务信息带来的优化可能是最有效的。意大利各个地区的医疗保健政策、资源和能力各不相同。此外,疫情可能在不同的地点处于不同的阶段。因此,在将这些数据发送到服务器时,APP会附加用户在入网过程中提供的户籍省份。
Immuni收集的唯一流行病学数据与用户与受感染用户的接触有关。数据包括:
用于估计曝光期间两个用户设备之间的距离的信号衰减信息。
关于受感染用户在暴露发生时的传染性程度的信息,基于症状出现的日期(如果有的话)(该信息可以附加到受感染用户在卫生操作员的协助下上传的每个临时暴露密钥)。
该应用程序可以仅在上传临时暴露密钥时向服务器发送流行病学信息。当卫生保健操作员向用户传达他们对SARS-CoV-2检测的阳性时,前14天的任何可用的流行病学信息也将被上传。数据上传需要由用户发起,并由医疗保健操作员批准。
为了保护用户的隐私,上传的有关他们接触潜在传染性用户的数据有一定的限制。例如,暴露的持续时间以5分钟为增量,在任何给定的一天内与受感染用户的所有接触之和以30分钟为上限。此外,Immuni无法确定在不同日期发生的接触可能涉及同一受感染用户。该应用程序还定期执行虚拟上传,以降低有人通过流量分析获取用户敏感信息的风险。
收集这些数据有助于国家医疗服务中心优化该应用程序的风险模型。通过了解流行病学信息(例如,用户暴露的持续时间)与用户最终SARS-CoV-2检测呈阳性之间的关系,有可能改进APP的风险模型,从而提高其准确性,从而提高暴露通知系统的有效性。请注意,风险评估总是在用户的设备上进行,而最新的模型可以从服务器获取。
除了上述内容之外,还可以收集和上载一些关于设备活动和暴露通知的数据。这些数据包括:
在上次暴露检测之后(即,在应用程序从服务器下载了新的临时暴露密钥并检测到用户是否接触过SARS-CoV-2阳性用户之后)是否通知了用户危险暴露。
上载可以在曝光检测完成之后进行。操作信息会自动上载。
为了保护用户隐私,在不利用用户标识符或设备标识符的情况下上载数据,并且不需要用户以任何方式进行认证(例如,不需要电话号码或电子邮件验证)。此外,流量分析受到虚拟上传的阻碍。
多亏了这些数据,才有可能估计这款应用在全国范围内的采用率,而不仅仅是通过下载量来衡量-这在很大程度上是一个毫无意义的衡量标准-而是通过实际工作正常的设备来衡量。这一信息非常有用,因为我们知道免疫的效用在很大程度上取决于它在人群中的吸收情况。在这些数据的支持下,国家医疗服务机构可以在一些对最大化暴露通知的有效性和提供最佳患者护理至关重要的领域做出更好的决定。这些领域包括产品开发、工程和通信。
这些数据还将有助于优化资源配置。通过通知高危用户,这款应用程序将增加与国家医疗保健服务的互动量。因此,估计系统将通知的用户数量可能有助于国家医疗保健服务相应地有效地分配其资源。
在非常关注用户隐私的同时,Immuni已经并将继续进行设计和开发。我们必须尽我们所能来保护这是一项基本权利。我们还认为,出色的隐私保护对于让这款应用程序被最多的人接受,从而最大限度地发挥Immuni的效用至关重要。
下面,我们提供了Immuni保护用户隐私的一些措施的列表:
这款应用程序不会收集任何会泄露用户身份的个人数据。例如,它不收集用户的姓名、出生日期、地址、电子邮件或电话号码。
该应用程序不收集任何地理位置数据,包括GPS数据。不会以任何形状或形式跟踪用户的移动。
应用程序广播的滚动接近标识符是由随机临时曝光密钥生成的,不包含任何关于设备的信息,更不用说用户了。此外,它每小时变化多次。
上传的有关用户接触潜在传染性用户的流行病学信息具有一定的局限性。例如,暴露的持续时间以5分钟为增量,在任何给定的一天内与受感染用户的所有接触之和以30分钟为上限。此外,Immuni无法确定在不同日期发生的接触可能涉及同一受感染用户。
上载操作信息不需要利用用户标识符或设备标识符,也不需要用户以任何方式进行身份验证(包括验证电话号码或电子邮件)。
该应用程序定期执行虚拟上传,以降低有人通过流量分析获取用户敏感信息的风险。
所有数据,无论是存储在设备上还是存储在服务器上,都会在不再需要时删除,并且在任何情况下都不会晚于2020年12月31日。
卫生部将担任数据控制员。这些数据将仅用于遏制新冠肺炎疫情或用于科学研究。
这些数据将存储在位于意大利的服务器上,并由公共控制的实体管理。
虚拟交通。我们希望最大限度地减少攻击者通过分析网络流量可能获得的信息。我们正在完成虚拟上传的开发。
分析完整性。我们正在努力收集必要的操作信息,同时最大限度地保护用户隐私。然而,在不要求用户认证(例如,通过验证电话号码或电子邮件地址)并且不使用任何用户标识符或设备标识符的情况下执行这样的收集使得更难防止攻击者通过虚假上传来污染数据。我们设计了一个很有前途的解决方案,我们希望它能在很大一部分设备上发挥作用。文档和开发工作正在进行中。
