V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
oIMOo
V2EX  ›  问与答

关于健康码的疑问

  •  
  •   oIMOo · 2021-08-02 16:38:01 +08:00 · 859 次点击
    这是一个创建于 1205 天前的主题,其中的信息可能已经有所发展或是发生改变。
    • 在目前国.家有政务平台(个人版)的前提下,为什么二维码基于第三方商业应用发放?

    我承认目前几乎人人都有微信或支付宝,但毕竟这是一个商业平台。举个例子来说,一个国.家可以请私人安保团队,但是如果全部依靠私人安保,而没有本身的军队,这不太正常吧。

    个人理解中,比较正常的思路是:接种疫苗或进行 PCR 检测后,数据和医保 /身份证挂钩,数据上传到相关政务平台,然后提供对应类型的二维码。可以是 PDF 以供打印, 也可以是其他形式. (方便老人携带)

    • 为什么二维码要做成动态的?

    既然电子化,正常的思路难道不应该是用户出示凭证,另一方进行验证么?类似于电影票。做成静态的,没有智能手机的用户和不想用微 /支的人也可以轻松提供二维码。 如果是”方便用肉眼检查“这种理由,我个人无法接受……

    • 为什么有多种二维码?

    据我所知目前有行程码和健康码,为什么不实现同一二维码下,标识不同类型呢?(前提是有政.府提供,而不是商业公司。)

    • 各省二维码是否互通?

    互通并不是说 A 省有 B 省的数据,而是说 B 省能否查验 A 省的二维码真实有效? 我个人没有搜到国.家级的 API,都是微信或者支付宝的相关 API……

    • 目前谁可以检查二维码有效性?

    排除使用肉眼检测法后,谁还能检查。或者说,除了使用肉眼,有什么办法检测?


    我目前不在国内,但是无论微博时间线,还是微信朋友圈都经常有相关的消息,结合目前所在地为欧洲国家,所以有了以上疑问。

    • 目前欧洲的疫苗通行证有三种类型:疫苗接种(两针)、康复(一针)、PCR 检测。
    • 每个国家仅储存本国国民信息,但是可以查验别国的通行证二维码。
    • 查验二维码有效性的 app 所有人可下载安装,方便所有需要的人查验(如餐馆)。
    • 二维码在检测或接种后,数据上传到相关平台(政务平台、社保平台等),可以下载、打印,部分国家还有相关 app,二维码为静态二维码。
    • 相关 API 由欧盟统一提供,各国可根据政策进行修改(如疫苗接种后二维码变绿时间),但修改不影响别国的检测(如本国规则当日变绿,其他需要等 14 天的依然 14 天后才绿)。
    • 检测不保存信息,二维码虽包含个人信息,但仅保存在个人手中。个人信息用于验证二维码后,与身份证件进行对比。

    请大家仅从技术角度讨论,不议政。感谢。

    第 1 条附言  ·  2021-08-02 17:50:42 +08:00
    我知道分歧在哪里了 —— 检测手段。
    如果是肉眼检测,那的确需要在客户端做各种防伪。
    然而我觉得肉眼检测并不是正确的方案,一切的状态(行程、接触)等应该脱敏放在服务器端。
    所以这点暂时应该是无法调和的,一个方案已经实行了这么久,在疫情稳定前更换模式,也不现实……

    另外一点关于商业平台。
    我暂时没有找到数据存储的说明, 理论上支付宝和微信的数据应该是一样的(他们不会各自保存自己的一套吧?也不可能两家商业公司之间互相同步更新数据吧?),所以肯定有一个中央储存的地方。
    基于这个猜想,一套公开 API 还是可行的,希望可以早日脱离这两个平台。
    33 条回复    2021-08-04 15:23:36 +08:00
    Tianao
        1
    Tianao  
       2021-08-02 16:42:08 +08:00
    我相信动态二维码的设计用法不是这样的。要我说是下面的人把经念歪了,上面的又骑虎难下。
    oIMOo
        2
    oIMOo  
    OP
       2021-08-02 16:44:51 +08:00
    @Tianao 动态二维码在我的理解,就是为了防止截图。然而我并没有懂,为什么不能截图……
    截图后修改成绿的,和伪造一个小程序,难度确实不是一个量级,但肉眼检测这件事不合理啊。明明难度应该基于密钥,而不是小程序难为造……
    Daylight1993
        3
    Daylight1993  
       2021-08-02 16:48:15 +08:00
    就是因为人人手机都有微信支付宝,所以你得行程更容易大数据,不带手机,做成静态的出门带张纸怎么通过大数据判断这个人去过哪里呢?动态码就是防止作弊,中国人多,肉眼检测是最为直观快捷的。
    Daylight1993
        4
    Daylight1993  
       2021-08-02 16:49:37 +08:00
    @oIMOo 截图你得码就不是实时码了啊,假如有人码红了,依旧使用之前的绿码怎么办、
    Tianao
        5
    Tianao  
       2021-08-02 16:50:02 +08:00
    @oIMOo #2 动态二维码主要是为了在有需要的时候变色啊。
    hiplon
        6
    hiplon  
       2021-08-02 16:51:11 +08:00
    广东这边可以这样理解:政务数据局是甲方,数字广东(腾讯+三家运营商)是乙方,就是外包的意思。不了解其他省份。
    tankren
        7
    tankren  
       2021-08-02 16:56:36 +08:00
    大聪明
    A555
        8
    A555  
       2021-08-02 16:56:46 +08:00
    @oIMOo #2 考虑到效率吧.动态验证码肉眼检测的效率比扫码请求服务器数据更快
    有些有条件,要求更严格的地方也有扫二维码的,比如医院
    xingshu1990
        9
    xingshu1990  
       2021-08-02 16:58:25 +08:00
    健康码为什么要第三方商业应用分发——减少用户的抵触心态。多数人使用支付宝、微信,手机里默认已经下载这两个 APP,而且这两个 APP 的公司,又有专业的人去维护。既然都有人帮忙做了,何必自己揽一个自己都不知道能不能做的好的活。

    二维码为什么要做成动态的——以现阶段举例,本身 A 市是一个安全的闭环,比如你是在危险的 B 市,你准备要去 A 市,静态的二维码,会显示你几天前或者几个月前的安全状态,这就失去了二维码的换色状态作用了。
    A555
        10
    A555  
       2021-08-02 16:58:32 +08:00
    还有一个,静态二维码的话,本人不知道是否有风险.可以提醒本人及时采取措施
    wunonglin
        11
    wunonglin  
       2021-08-02 16:59:15 +08:00
    曾经小区门卫还推荐保存在相册,方便下次直接看。

    为此事还在 v2 炒过一次,大家都说防君子不防小人。然后我就不说话了
    Vegetable
        12
    Vegetable  
       2021-08-02 17:02:05 +08:00   ❤️ 1
    二维码形式的健康码是不太成功的设计,这个老生常谈了。
    二维码作为机器识读的形式,却用来人眼识别,这本来就不可能合理。至于走到这一步的原因就很难一概而论了。
    3dwelcome
        13
    3dwelcome  
       2021-08-02 17:03:20 +08:00
    静态二维码(类似电影票),鉴别真伪需要检测人员随时扫码联网查询,你也说了官方并没提供这个 API,也不打算提供。

    那就只能做成动态二维码了。

    托管机房数据流量,API 查询接口,这些都不是免费的。都是需要搭建的成本。你也可以说,百度云为什么限速 100k,技术上明明可以做到 10000k 每秒,答案嘛大家都懂的。
    Dkngit
        14
    Dkngit  
       2021-08-02 17:11:10 +08:00
    @xingshu1990
    @A555
    静态动态的问题,“静态二维码的话,本人不知道是否有风险”
    --- 楼主已经说了,每个人手里拿着的是一个人唯一编号的静态二维码,通过特定的 API 可以查询这个编号对应的状态。用户也可以拿着适配了这个 API 接口的程序去查询自己的状态,某些没有手机的不会用手机的,也可以找别人,或者特定场所的人帮忙查询。

    第三方商业应用分发
    --- 楼主也说了,数据由中央机构统一收集,但是会分发状态给所有人。这个状态的查询,Z*F 可以做,第三方商业公司也可以做。
    lagoon
        15
    lagoon  
       2021-08-02 17:15:53 +08:00
    “为什么二维码基于第三方商业应用发放”
    推广要花很大力气,教怎么用也要花大力气,特别是众多老一辈。微信支付宝是现成的。
    话说隐私在大陆本来就不太重视。



    “为什么二维码要做成动态的”
    二维码不动态,怎么变更黄码红码呢?绿码截图再不变?
    比如有不少城市,就通过把码变色的方式,迫使居民去做核酸检测。否则用不了公共交通,进不了各种大楼商场。



    “为什么有多种二维码”
    你用我的?还是我用你的?凭什么我用你的?
    利益纷争,而且各地水平也不太相同。
    比如今天粤康码提示国家政务服务相关接口崩了。



    “各省二维码是否互通”
    据我所知,会统一上传国家。
    可以理解为互通。
    比如今天,粤康码就显示,国家政务的相关接口崩了。导致数据无法上传。



    “目前谁可以检查二维码有效性?”
    暂时没见过检测有效性的,扫健康码的。不清楚。


    我觉得真的有些事是国情不同。
    国人还是比较顺从的,对于疫苗、核酸、隐私,抗拒性也不大。
    所以二维码哪怕充满可伪造的漏洞,大体影响不大。
    而且国内调查起来也很方便,比如要是搞个假二维码发出去(有人弄过),一是很容易被逮到,二是逮到之后可以让你尝尝社会主义铁拳。风险回报完全不等。



    每个省虽然有各自的二维码,但基本互联互通(比如行程数据,估计都是能拿到的),所以欧盟中的各国和欧盟配合的做法,我们不太需要。
    A555
        16
    A555  
       2021-08-02 17:25:06 +08:00
    @Dkngit #14 如果可以静态二维码,多少人不会再去主动查询自己的状态了呢
    lagoon
        17
    lagoon  
       2021-08-02 17:26:25 +08:00
    又看了看,楼主说的静态,应该是要建立在扫的基础上。

    大陆现在是不用扫,直接做成了动态。
    方便用户发现,一天打开好几次,自然知道。

    另外好奇,欧盟扫,不慢吗?
    比如早上办公楼、地铁口,一群人,肉眼看的速度,和扫的速度,天壤之别。


    我觉得根本区别在于,欧洲如果不扫,那么伪造的太多。
    以什么罪判呢?给多少处罚呢?

    中国比较顺从,威吓效果很大(你敢伪造你就等着铁拳吧),伪造风险较少。
    oIMOo
        18
    oIMOo  
    OP
       2021-08-02 17:29:03 +08:00
    关于第三方商业公司 @hiplon @xingshu1990

    技术方面肯定是有人要做,我个人觉得正常思路是国.家提供统一的标准甚至接口,部分权限和规则可以下放给各省(参考欧盟和其中各国的关系)。无论微信还是支付宝,他们只应该是个媒介,任何调用相关 API 的都可以出示二维码。现在只能出示这俩(不讨论通信运营商的行程二维码),是我觉得不合理的地方。

    这就像我觉得微信只是聊天的,其它功能我觉得是累赘;同理支付宝就是付钱的,搞社交也是累赘。所以把我的个人信息强制与其绑定,我也觉得不合理。

    关于动态二维码和肉眼检测 @Daylight1993 @Tianao @A555 @xingshu1990 @3dwelcome

    看了大家的评论,我发现这其实基本上是一个问题。
    如果建立在”肉眼检测“的基础上,且是因为“人多”和“成本”,我可以勉强说服自己。不过想想二维码在我国已经使用了这么久,大家其实对“使用设备验证”(而不是肉眼)已经有了习惯,增加相关的配套设施,基本上不是困难 (前提还是有统一的 api )。

    如果不建立在肉眼检测的基础上,我比较好奇目前是如何实现的追踪?
    比如说一例阳性去过某餐厅,后坐车前往某地居住。这种都是由企业来提供的数据,无论是国企还是私企。事后追踪,和码本身没什么关系,所以这种情况是一样的。
    说说实时的显示状态:
    欧盟的码是单色的,用检测 app 才会显示颜色。那么同理,检测的时候,如果本人阳性,直接在服务器端标注。
    其他密接依然由相关的商业公司提供,同样在服务器端标注,甚至数据可以一定程度上脱敏,好像也没什么区别。
    oIMOo
        19
    oIMOo  
    OP
       2021-08-02 17:37:53 +08:00
    @A555 @lagoon
    我好像没有主动检测自己码的动机,如果我检测结果阳性,自然有检测机构通知我;如果我是密接,相关部门也会联系我(欧洲做的不行,但是我相信国内这点无限趋近 0 失误)。

    关于欧洲这边的扫码:据我的了解,部分国家的要求是饭店和商场检查(没什么商家执行)。地铁火车什么的,因为 ID 是随机查,所以也没有什么检查的规则。只有航班是强制检查的,而且是登机口检查,再加上人少,所以基本不会拥堵。
    这边的阳性一般都是通过免费测试、付费测试和有症状看病发现的。
    回归正题:既然是防止伪造,防卫机制建立在“技术屏障”,而不是“困难问题 hardness assumption”,这是我觉得不可理解的……
    Dkngit
        20
    Dkngit  
       2021-08-02 17:50:59 +08:00
    @oIMOo “关于第三方商业公司”
    我仔细思考了下,在国内这个环境下,微信和支付宝其实就是国家的。
    并不是裁判和球员的关系,是主子和奴才的关系
    oIMOo
        21
    oIMOo  
    OP
       2021-08-02 17:53:37 +08:00
    @Dkngit 虽然话是这么说,但是参考蚂蚁金融和滴滴事件,完全依靠商业平台还是有风险的。
    像我主题里说的,如果有个 API,用户可以选择微信、支付宝,社保平台、还是第三方网页来展示,这个好像才是正常思路。
    Dkngit
        22
    Dkngit  
       2021-08-02 17:55:31 +08:00
    @oIMOo 我自身是赞同你的所有想法,但....国情在此
    Daylight1993
        23
    Daylight1993  
       2021-08-02 19:05:29 +08:00
    @oIMOo 支付宝微信确实只是媒介啊,各种地方自己的 app 也能展示健康码的。健康码的对接的就是各个地方 zf 后台,然后各个 zf 对接到国家统一平台。
    Daylight1993
        24
    Daylight1993  
       2021-08-02 19:09:24 +08:00
    你以为健康码的用户数据是在支付宝微信啊,是在 zf 啊。支付宝微信因为有实名所以在你需要展示二维码时候 zf 就不需要鉴权你本人是谁了。
    Daylight1993
        25
    Daylight1993  
       2021-08-02 19:11:41 +08:00
    就是因为他们都是通过 zf 的接口调用你的码,所以不管你在支付宝还是在微信还是在各个地方 zf app 所展示的都是一样的。不然以支付宝微信的尿性,数据肯定不互通,这样你就可能出现两个码了。
    BigBunny
        26
    BigBunny  
       2021-08-02 19:57:12 +08:00
    苏州去年有民警在各个商圈,超市之类的强制推行苏城码 APP 代替支付宝 /微信里的健康码。然后也是各种被在便民论坛吐槽:有支付宝 /微信了还要装新的 APP
    mazyi
        27
    mazyi  
       2021-08-02 20:45:14 +08:00 via iPhone
    钱!
    icelake
        28
    icelake  
       2021-08-02 21:38:49 +08:00
    难道你们都没有刷过健康码?
    我们本地三甲医院入口就需要刷“苏康码”,并且闸机屏幕上会显示个人姓名以及状态,红和黄是不开闸并报警的。
    Cipool
        29
    Cipool  
       2021-08-02 22:55:53 +08:00 via Android
    oIMOo
        30
    oIMOo  
    OP
       2021-08-03 01:25:59 +08:00
    @Daylight1993 但是有接口却只给支付宝和微信用,是为了避免安全漏洞么。否则的话,目前没看到任何第三方的 app 出现…… 当然可能是我没找到……


    @Cipool 这个链接我打开之后(关闭了 AdBlocker ),一直是努力加载中…


    @icelake 看到大家的评论,感觉肉眼检查还是大多数的…… 如果所有需要检查的地方都这么做,我觉得还挺好的。如果能把这个鉴定能力下放给所有人,那就是我想象的状态。
    Kinnice
        31
    Kinnice  
       2021-08-03 16:22:14 +08:00
    @oIMOo 地方大部分都有自己的本地 APP 可以展示和查询健康码,但是不常用。
    Daylight1993
        32
    Daylight1993  
       2021-08-03 17:38:43 +08:00
    @oIMOo 各个地方的政务 app 都可以展示的。比如浙江的“浙里办”,只是用的人少而已,不放心,你可以选择 zf 的 app 展示你的二维码。欧盟做的东西没看出有什么好啊,防疫这么失败,使用率这么低。
    oIMOo
        33
    oIMOo  
    OP
       2021-08-04 15:23:36 +08:00
    @Daylight1993 欧盟这个主要是为了国家之间旅行方便(三种类型见主楼)。
    至于某些国家(如法国)将其列入进入餐馆、影院等必要条件之一,不过目前太多人反对,所以要看后续。
    至于发现一起阳性之后的溯源,因为隐私问题,除非患者主动告知,不然别想……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1087 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:15 · PVG 03:15 · LAX 11:15 · JFK 14:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.