Som en del av deras ansträngningar att bromsa utbrottet av coronaviruset, regeringar, forskningsinstitutioner och industri utvecklar appar för kontaktspårning för att registrera interaktioner mellan människor. Apparna varnar användare om en av personerna som de har registrerats vara i kontakt med senare diagnostiseras med covid-19 så att de kan vidta lämpliga åtgärder som självisolering.

Sådana appar kan visa sig vara användbara för att undvika långsiktiga instängningsåtgärder. Men de samlar in känslig information som platsdata, Bluetooth-aktiverad närhetsinformation, och om individer är smittade.

Nu, en ny vitbok av Imperial College Londons Dr Yves-Alexandre de Montjoye har beskrivit åtta frågor som bör ställas för att förstå hur integritetsskyddande en app är.

Dr. de Montjoye, från Imperials dataavdelning, sa:"Vi måste göra allt vi kan för att bromsa utbrottet. Kontaktspårning kräver hantering av mycket känslig data i stor skala, och solida och beprövade tekniker finns för att hjälpa oss att göra det samtidigt som vi skyddar vår grundläggande rätt till integritet. Vi har inte råd att inte använda dem.

"Våra frågor är avsedda för regeringar och medborgare att hjälpa till med att utvärdera apparnas integritet. De kan också användas för apputvecklare när de planerar och utvärderar sitt arbete."

Frågorna utvecklades av ett team inklusive Imperial Ph.D. studenter Florimond Houssiau, Andrea Gadotti, och ENS Lyons Florent Guepin.

Frågorna

1. Hur begränsar du personlig data som samlas in av apputvecklarna?

Dr. de Montjoye (YDM):"Storskalig insamling av personuppgifter kan snabbt leda till massövervakning. Vi bör fråga hur mycket data appen samlar in – som hela sjukdomsbanan och det verkliga sociala nätverket av infekterade användare."

2. Hur skyddar du anonymiteten för varje användare?

YDM:"Särskilda åtgärder bör vidtas för att begränsa risken att användare kan omidentifieras av apputvecklare, andra användare, eller externa parter. Eftersom platsspår är unika, de kan lätt kopplas tillbaka till en person."

3. Avslöjar appen för sina utvecklare identiteten på användare som är i riskzonen?

YDM:"Målet med kontaktspårning är att varna människor som är i riskzonen, så det finns inget behov av apputvecklare att veta vilka dessa människor är."

4. Kan appen användas av användare för att ta reda på vem som är infekterad eller i riskzonen, även i deras umgängeskrets?

YDM:"Personliga hälsouppgifter är mycket känsliga. Digital kontaktspårning bör varna de som är i riskzonen utan att avslöja vem som kan ha smittat dem."

5. Tillåter appen användare att lära sig någon personlig information om andra användare?

YDM:"Att ha tillgång till små mängder information kan hjälpa användare att identifiera vem som är infekterad, så appar bör inte avslöja information om en användares plats eller sociala nätverk till andra användare."

6. Kan externa parter utnyttja appen för att spåra användare eller ta reda på vem som är infekterad?

YDM:"Appar bör överväga risken för externa motståndare, inklusive väl resurser. Externa enheter kan installera Bluetooth-spårare för att täcka en stad, eller installera skadlig kod på telefoner, och registrera identifierarna som de observerar på specifika platser. Detta kan undvikas genom att regelbundet ändra och återanonymisera identifierare som platsdata."

7. Inför ni ytterligare åtgärder för att skydda personuppgifterna för infekterade användare och användare i riskzonen?

YDM:"Appdesignen kan kräva att man avslöjar mer personlig information om användare som är infekterade eller exponerade, men det är ofta de människor som är mer sårbara och i riskzonen. Det är viktigt att överväga vilka ytterligare åtgärder som kan vidtas för att skydda deras information."

8. Hur kan användare verifiera att systemet gör vad det säger?

YDM:"Storskalig kontaktspårning är en alltför känslig fråga för att lita på blindt förtroende. Tekniska åtgärder bör användas för att garantera offentlig granskning av appens funktion. Transparens i systemet (appkod, protokoll, vad som sänds, etc) är grundläggande för att garantera integritet. Detta kräver att appen är öppen källkod och att appversioner som distribueras i mobilappbutiker är verifierbara, gör det möjligt för utvecklare att bekräfta att de kör allmänheten, revisionsbar kod."

Sekretess en "viktig komponent" framöver

Appar för kontaktspårning utvecklas runt om i världen och några är redan tillgängliga. Om de visar sig vara användbara, regeringar, hälsomyndigheter, och användarna måste utvärdera de olika tillvägagångssätten och besluta om de ska tillämpa dem. Integritet, säger forskarna, är en avgörande komponent i detta beslut.

Medförfattare Florimond Houssiau, också från Imperials Department of Computing, sa:"Dessa frågor är avsedda att vara en startpunkt för en informerad konversation om integritet i kontaktspårningsappar."

Frågorna täcker inte alla potentiella sårbarheter i kontaktspårningsprotokoll, som säkerhetsfrågor. Medförfattaren Andrea Gadotti sa:"Våra frågor fokuserar på integritet, men säkerhetssidan är lika viktig. Detta betyder, till exempel, kryptera apparna, utvärdera hur mobil skadlig programvara kan påverka appens beteende, och bedöma motståndskraften hos apputvecklarens servrar mot intrång."