對COVID-19疫苗的開發和推出持樂觀態度刺激了有效記錄和認證已接種疫苗者的努力。這激發了關於如何建立「疫苗接種護照」的新討論,該護照將允許疫苗接種者能夠在各國之間旅行、返回工作崗位、上學、參加活動或與被認為脆弱的人一起工作。
與疫苗開發一樣,解決方案之進化速度之快令人印象深刻。但具體涉及哪些問題?推出過程會是什麼樣子?
疫苗接種護照至少需要包含有關個體的資料、其接種疫苗的型別以及個體接種疫苗的日期。例如,在邊境管制方面,移民當局將需要足夠的資訊來回答各種問題。是她說的那個人?疫苗供應商是否獲得我國的認證和認可?疫苗描述的是我們認識的那種嗎?當此人在此時,它會停止使用嗎?我如何知道這些資訊是否有效且不具欺詐性?
除了所有這些複雜性之外,關於疫苗誘導免疫之永續性、疫苗在變體中的有效性或其有效性之持續時間亦存在揮之不去的不確定性。由於COVID-19是全球危機,成功的解決方案需要融入每個國家已有的現有系統—移民、建築物入口、身份證機制。
此外,成功的解決方案需要在技術上智慧且恰當:當智慧型手機電池壞掉時,或者當邊界入口點完全是手動或未連線至中央資料庫時,高技術解決方案的效用有限。
從歷史中吸取教訓:晶片護照的崛起
我們歷史上最接近的例子是晶片護照的出現—智慧型護照攜帶含有生物特徵資料(如照片或指紋)的晶片,在機器可讀晶片上加密,讓移民官員(或自動登機門)更輕鬆地驗證檔案並認證攜帶檔案的個人。大多數國家現在都有一個國際民航組織(ICAO)的標準,但要發展到實現這些標準花了50年的時間。
部分挑戰涉及安全問題,這並非易事。這包括將資訊保密、確保資訊沒有被篡改、確認其來源、確保護照中的晶片和讀取器可以相互驗證,以及保留建立連線所需的公開金鑰和私密金鑰的完整性。
可靠的資料亦令人擔憂所採用的非接觸式技術容易被竊取(由此資料可能被另一裝置讀取然後被利用或複製)甚至被遠端捕獲。2005年,包括美國在內的一些國家已經推出生物辨識護照,但仍然存在這些擔憂。
然後是決定資料本身應存放於何處的問題。政府本身會保留護照資料,但誰會儲存公開金鑰基礎架構(PKI)資料(用於存取個人私密資料的私密金鑰和公開金鑰)?另一個問題是,監督機構(在此例中為國際民航組織,一個聯合國組織)是否有權對在其成員國主權國家範圍內發生的事項實施法規、程序和標準。
有些人擔心個別國家的目標是否與整個集團的目標一致。在ICAO的案例中,問題在於一個國家的機構代表(例如負責開發晶片和生物辨識資料技術標準的ICAO工作組)是否擁有自己的商業或國家利益。
與此同時,國際民航組織技術工作組在評估競爭性技術和跟上快速技術創新方面遇到了困難。在1994年至1997年期間,該小組根本沒有舉行會議,而當它在1998年舉行會議時,該小組的技術重點仍然是條形碼。在1999年和2000年,生物辨識技術不是一個主要議程專案;2001年沒有舉行會議。
與此同時,個別國家(如美國)繼續推行其本身之議程。例如,在2001年世界貿易中心遭受攻擊後,美國政府以國際民航組織自己的工作為由,大力推動機器可讀的生物辨識護照,並威脅如果各國不整合這項技術,就將其從免簽證名單中刪除。於2016年,持該等簽證的旅客最終須使用該等護照[1]。
所有這些挑戰導致推出緩慢。到2011年,聯合國只有不到一半的成員國發行了這些護照[2]。對於那些夢想著一根手指就能實施疫苗接種護照的人來說,這次旅程是一個警示。
展望未來:標準與合作之需求
如果使用疫苗接種護照,所有這些問題不太可能浮出水面。迫切需要解決方案顯然正集中於決策者、遭受COVID-19大流行之苦的行業以及技術解決方案提供者的思想。但這種緊迫性本身可能會造成障礙,產生一系列缺乏可互動運作性的倡議。
隱私權仍然是一個持續的挑戰。由於生物辨識移民管制的廣泛採用,隱私權倡導者對誰可以存取這些資料、這些資料是否被用來進行辨別、以及這些資料是否被用於其他目的,例如犯罪管制,表示關切。他們還提出了關於誰擁有該資料以及個人是否有權檢視她的資料並在必要時更正資料等棘手問題。
這些經驗教訓已經很好地汲取:幾乎所有建立疫苗接種護照的主要舉措都強調個人需要控制和擁有自己的健康和身份證明,並允許檢視和掌握這些資料的使用方式。
不過,ePassport個案中的一些經驗教訓並不適用於疫苗接種護照。一個不同之處在於,疫苗接種護照最終可能同時具有實體和數位形式,同時也可以完全以數位形式操作,無論是親自在應用程式中還是線上。紙本版本(例如電腦列印輸出或卡片)對於不攜帶手機的人來說是必要的,但容易遺失、暴露敏感資料或被更改或偽造。因此,它必須包含一些允許線上驗證的元素,最有可能是透過QR卡,並且讓使用者能夠在需要時列印出另一份副本。
因此,我們專注於開發標準,如果不完全由ePassport等機構監管,那麼至少可以互動操作。為了解決這個問題,由微軟創立的名為ID2020的基金會,Accenture是一個名為Gavi的疫苗推廣組織和Rockefeller基金會,最近起草了「健康通行證原則」。此計畫得到主要護照計畫中大部分主要參與者的認可,希望有助於建立可互動操作的數位健康通行證系統的藍圖。
我們亟需此類努力。由於如此之多的人投入時間和資源尋找公平的解決方案來解決問題,確保他們一起工作可能是最大的挑戰。人們廣泛同意,開放式標準應在可能的情況下使用,並且可擴展到足夠COVID-19及其後繼者帶給我們任何地方。
但隨著開放標準的出現,問題就來了:哪些標準?COVID-19認證計畫(CCI)是由Linux Foundation Public Health (LFPH)主持的開放全球社群,主張使用在開發網路標準的主要機構全球資訊網協會(W3C)內建立的認證技術標準。但這本身才剛剛成立一年,可能要花時間被廣泛採用或理解。
正如Good Health Pass Collaborative所言:「有一點是明確的:在市場競爭中,單一解決方案不太可能普遍實施,甚至整個旅遊業也不太可能普遍實施。」事實上,單一解決方案可能並不理想:政府可能對航空公司或活動場地有不同要求。但這也可能導致碎片化,從而損害數位健康通行證系統的健康和經濟效益。
還有其他既不是技術性的也不是組織性的問題,而是需要努力解決的問題,例如社會凝聚力和倫理。如果政府認為疫苗被證明有效,他們是否允許持有疫苗護照的人立即開始使用疫苗,或者等到每個想要(或必須擁有)疫苗的人都擁有疫苗為止?是否因為允許某些人移動而不允許其他人移動而侵犯自由?
解決這些問題對於新興疫苗接種護照生態系統的成功至關重要。雖然許多組織都在努力合作應對挑戰,但對於是否能及時成功應對目前的流行病,仍然存在疑問。
參考文獻
[1] 「現在前往美國旅行需要生物特徵護照」, Cayman Compass.
[2] 「晶片護照普及到全球一半」,SecureIDNews
