Ang European Contact Tracing Consortium ay Nahaharap sa Daloy ng mga Depekto Dahil sa Mga Alalahanin sa Sentralisasyon

Ang mga mananaliksik sa Europa ay nagtataas ng mga alarma sa direksyon ng pagsubaybay sa pakikipag-ugnay sa EU sa gitna ng mga alalahanin na ang mga bansa tulad ng France at Germany ay maaaring pumili ng isang sentralisadong sistema na naglalagay sa panganib ng personal Privacy .

Ang pangkat ng mga akademya, organisasyon at kumpanyang tumutulong sa pagbuo ng pinagbabatayan Technology para sa ilang bansa sa EU, na kilala bilang European Privacy-Preserving Proximity Tracing (PEPP-PT) consortium, ay humarap sa isang alon ng kritisismo noong weekend mula sa mga mananaliksik.

Mga prestihiyosong unibersidad sa pananaliksik tulad ng ETH Zurich, ang Swiss Federal Institute of Technology Lausanne (EPFL) at KU Leuven, bukod sa iba pa – na bumuo ng Decentralized Privacy-Preserving Proximity Tracing (DP3T) inisyatiba – hinila mula sa consortium dahil sa tinatawag nilang kakulangan ng transparency at pangako sa pag-aalok ng isang desentralisadong solusyon sa pagsubaybay sa contact.

Tingnan din ang: Inalis ang Desentralisadong Protokol Mula sa Website ng Pagsubaybay sa Contact ng EU nang Walang Paunawa

"Umalis kami dahil T kami maaaring maging bahagi ng isang organisasyon na hindi malinaw sa kung paano ginagawa ang mga desisyon, sa kanilang disenyo at sa kanilang code," si Carmela Troncoso, isang tenure track na Assistant Professor sa Swiss Federal Institute of Technology Lausanne at na tumulong sa mga negosasyon sa paligid ng DP3T panukala sa loob ng consortium, sinabi sa CoinDesk sa isang direktang mensahe.

Ang contact tracing ay ang proseso kung saan sinusubaybayan ng mga awtoridad sa kalusugan ang pagkalat ng mga virus, pagtukoy kung sino ang nakipag-ugnayan sa mga nahawaang indibidwal at samakatuwid ay dapat ma-quarantine. Isinasagawa ng mga bansa ang prosesong ito sa pamamagitan ng pagsubaybay sa lokasyon ng mga cell phone, pagkilala sa mukha, digital health pass na naghihigpit sa paggalaw at Bluetooth proximity tracing.

Inihayag ng Google at Apple isang plano upang i-update ang kanilang mga mobile operating system upang payagan ang pagsubaybay sa Bluetooth. Ang proyektong iyon ay binatikos sa mga batayan ng Privacy para sa pag-iwan sa maraming tao na T ang tamang uri ng mga smartphone at para sa pagiging hindi magagawa sa kawalan ng malawakang pagsubok. Ang kakulangan sa pagsusuri ay makakahadlang sa anumang paraan ng pagsubaybay sa pakikipag-ugnay dahil mahirap sabihin kung sino ang talagang may sakit, dahil maraming mga carrier ng COVID-19 ay walang sintomas. Sa puntong iyon, mas kaunting contact tracing at puro tracing.

Hindi kami tumutuon sa desentralisasyon dahil lang sa prinsipyo, sa tingin namin ay mas mainam na magkaroon ng app na ito na nagpapanatili ng Privacy . Talagang kailangan nating makumbinsi ang pangkalahatang publiko.

Ang PEPP-PT ay tinawag upang mag-alok ng mga panukalang may kinalaman sa privacy na umaayon sa bagong instituto na General Data Protection Regulation (GDPR), na nagsisiguro ng higit na Privacy at proteksyon ng data para sa mga mamamayan ng EU kaysa sa kasalukuyang ipinapatupad sa US

Ang mga pag-alis ay dumating pagkatapos alisin ng PEPP-PT ang anumang pagbanggit sa panukalang desentralisadong protocol DP3T mula sa website nito noong Huwebes, na nag-uudyok ng kalituhan at pagkadismaya sa gitna ng pangkat ng DP3T, na hindi sinabihan nang una.

Bilang tugon sa isang Request para sa komento, sinabi ng PEPP-PT na ito ay masamang komunikasyon sa bahagi nito at lubos nitong ikinalulungkot ang anumang pagkakasala.

Sa isang email na ipinadala noong Biyernes ng gabi kay Hans-Christian Boos, ONE sa mga pinuno ng PEPP-PT, si Kenneth Paterson, na isang propesor sa Applied Cryptography Group sa ETH Zurich Computer Science Department at nagtatrabaho sa DP3T, ay humiling na "alisin niya ang lahat ng pagbanggit ng ETH Zurich at ang logo ng ETH Zurich mula sa lahat ng iba pang mga materyales na nauugnay sa website ng PEPP at PEPP."

Tingnan din ang: Para sa Pagsubaybay sa Pakikipag-ugnayan sa Trabaho, Kailangang Magtiwala ang mga Amerikano sa Google at Apple

Sa parehong email, sinabi ni Paterson na ang mga layunin ng ETH Zurich ay tila mas nakaayon sa inisyatiba ng DP3T.

"Ang pagkakasunud-sunod ng mga Events ngayon ay nagpabagal sa aking kumpiyansa sa PEPP-PT. Nangako ang PEPP-PT na maglalabas ng mga dokumento ngayon. Naglabas sila ng ONE, sa loob ng limang minuto. Ito ay lumampas sa isang biro at naging komedya," sinabi ni Paterson sa CoinDesk sa isang email noong Biyernes ng gabi.

Tinutukoy ni Paterson ang isang maikling PDF na na-upload saglit sa GitHub ng PEPP-PT ngunit inalis pagkatapos.

Maraming mga cryptographer na nagsuri sa PDF ang nagsabing T sila makapagkomento sa Privacy o mga proteksyon sa seguridad dahil napakalabo ng dokumento, na inihalintulad ito ng ONE sa unang draft ng sanaysay ng freshman sa kolehiyo na isinulat ilang sandali bago ang deadline.

Kinabukasan, naglabas ang PEPP-PT ng isang buong talaan ng mga dokumento at isang mas detalyadong bersyon ng protocol nito.

"Ang mga bansa at ang kanilang mga developer ng app ay dapat na pumili ng isang opsyon na pinakaangkop sa kanilang mga pangangailangan sa pamamahala ng pandemya. Ang lahat ng mga modelo na inaalok o pinag-uusapan ng PEPP-PT ay nagpapatupad ng Privacy ," sabi ng isang opisyal ng relasyon sa publiko ng PEPP-PT nang tanungin ng CoinDesk kung ang isang alternatibo sa desentralisadong pamamaraan ay napagpasyahan.

Ang desentralisadong diskarte ay nangangahulugan na ang isang ahensya ng gobyerno ay T maaaring abusuhin ang tiwala na iyon kahit na gusto nito.

Sinabi ng opisyal na ang sistema ng PEPP-PT ay may maraming bahagi at ang mga bansa ay magkakaroon ng mga desentralisado at sentralisadong modelo ng paglilipat ng data para sa kanilang mga developer ng app na mapagpipilian.

Matagal nang sinabi ng mga kritiko na maaaring abusuhin ang isang sentralisadong diskarte, kahit na maraming bansa ang nagsabing plano nilang bumuo ng mga app sa PEPP-PT na protocol.

"Marami na tayong gobyernong nakikipag-ugnayan," sinabi ng Boos ng PEPP-PT sa mga mamamahayag noong Biyernes, ayon sa TechCrunch. "Ang ilang mga pamahalaan ay pampublikong nagdedeklara na ang kanilang mga lokal na aplikasyon ay itatayo sa ibabaw ng mga prinsipyo ng PEPP-PT at gayundin ang iba't ibang mga protocol na ibinibigay sa loob ng inisyatiba na ito."

Sa Bluetooth contact tracing, ang mga device na magkalapit sa isa't isa ay nagbabahagi ng mga pseudonymized ID. Ang pagkakaiba sa pagitan ng isang sentralisado at desentralisadong diskarte ay katumbas ng kung saan naka-imbak ang data na iyon – sa pinagkakatiwalaang server ng isang pamahalaan o organisasyong pangkalusugan ng estado o lokal sa device ng isang tao, na ang isang server ay naghahatid lamang ng impormasyon kapag kinakailangan.

Sa isang sentralisadong sitwasyon, inaasahang magtiwala ang mga user na hindi aabuso ng anumang estado o ahensya ng seguridad ang impormasyong nakaimbak sa isang server. Para sa mga tagapagtaguyod ng Privacy , ang mga batas tulad ng GDPR ay hindi sapat para sa isang sensitibong pambansang sistema. Gusto nila ng Privacy sa pamamagitan ng disenyo. Ang isang desentralisadong diskarte ay nangangahulugan na ang isang ahensya ng gobyerno ay T maaaring abusuhin ang tiwala na iyon kahit na gusto nito dahil walang sentralisadong imbakan ng data.

Tingnan din ang: Pinagtatalunan ng Europe ang Pagsubaybay sa Pakikipag-ugnayan sa COVID-19 na Nirerespeto ang Privacy

"Gumagawa ang server ng mga pseudonym sa yugto ng pag-setup, ipinapadala ang mga ito sa kliyente sa pamamagitan ng seguridad ng transport layer, at permanenteng iniimbak ang mga ito sa server sa isang relational database na naka-link sa impormasyon ng user," sabi ng isang cryptographer, si Nadim Kobeissi, na nagpapatakbo ng inilapat na cryptography consultancy firm na Symbolic Software, pagkatapos suriin ang dokumentasyon ng protocol ng PEPP-PT.

"Paano iyon maaaring mapangalagaan ang Privacy ? Ibig kong sabihin, bakit ka pa mag-abala sa pagbuo ng isang hanay ng mga hakbang sa paligid kung iyon ang iyong sisimulan? Bakit magsisimula sa napakaraming kapansanan?"

Ang INRIA, ang French national research institute para sa digital sciences at isang founding member ng PEPP-PT, ay nagtatrabaho sa isang sentralisadong diskarte, na inilathala nito sa GitHub sa katapusan ng linggo. Ipinapangatuwiran nito na ang sentralisado kumpara sa desentralisadong debate ay "nakapanlilinlang" at ang isang "ganap na desentralisado" na diskarte ay hindi makatotohanan para sa pagsubaybay sa malapit.

Ang mga tagapagtaguyod ng isang sentralisadong diskarte ay nagsasabi na ang Privacy ay maaaring protektahan sa ilalim ng naturang modelo, at ang data na iyon ay maaaring mas mahusay na masuri at humantong sa mas mahusay na mga modelo ng epidemiological.

Ngunit Lunes ng umaga, isang grupo ng mahigit 300 akademya mula sa mahigit 25 bansa naglathala ng magkasanib na pahayag nagrerekomenda ng mga desentralisadong diskarte na pinagtibay pagdating sa mga aplikasyon sa pagsubaybay sa pakikipag-ugnayan.

Sinabi ni James Larus, Dean ng School of Computer and Communications Science sa Swiss Federal Institute of Technology Lausanne, na tumulong sa pagbuo ng pahayag, na malinaw na tinutukoy nito ang panukala ng PEPP-PT at ang bahagyang variant na inisyu ng INRIA (ROBERT), "na parehong mga sentralisadong panukala na nangangailangan ng mataas na antas ng tiwala sa sentralisadong server, na may malinaw na potensyal para sa muling pagsubaybay sa misyon."

Ang mga naturang system ay maaaring “makaharang sa pagtitiwala at pagtanggap ng naturang aplikasyon ng lipunan sa pangkalahatan” at sa gayon ay makapinsala sa bisa ng anumang COVID-19 app, na nakadepende sa kung gaano karaming tao ang gumagamit nito.

“Kailangang maniwala ang mga tao na hindi nila mawawala ang kanilang Privacy,” sabi ni Larus. "Boluntaryong gamitin ang mga app na ito. Hindi kami tumutuon sa desentralisasyon dahil lang sa prinsipyo, iniisip namin na mas mainam na magkaroon ng app na ito na nagpapanatili ng privacy. Talagang kailangan naming makumbinsi ang pangkalahatang publiko."