In the fight against Covid-19, many governments and businesses are in the process of evaluating, trialling and even implementing so-called immunity passports. Also known as antibody or health certificates, there is a clear demand for any technology that could allow people to return to work and other crowded places without placing others at risk. One of the major criticisms of such systems is that they could be misused to unfairly discriminate against those without immunity, allowing the formation of an `immuno-privileged' class of people. In this work we are motivated to explore an alternative technical solution that is non-discriminatory by design. In particular we propose health tokens -- randomised health certificates which, using methods from differential privacy, allow individual test results to be randomised whilst still allowing useful aggregate risk estimates to be calculated. We show that health tokens could mitigate immunity-based discrimination whilst still presenting a viable mechanism for estimating the collective transmission risk posed by small groups of users. We evaluate the viability of our approach in the context of identity-free and identity-binding use cases and then consider a number of possible attacks. Our experimental results show that for groups of size 500 or more, the error associated with our method can be as low as 0.03 on average and thus the aggregated results can be useful in a number of identity-free contexts. Finally, we present the results of our open-source prototype which demonstrates the practicality of our solution.

中文翻译：

---

用于估计 COVID-19 风险的差异化私人健康令牌

在与 Covid-19 的斗争中，许多政府和企业正在评估、试验甚至实施所谓的免疫护照。也称为抗体或健康证明，显然需要任何可以让人们重返工作岗位和其他拥挤场所而不会给他人带来危险的技术。对此类系统的主要批评之一是，它们可能被滥用来不公平地歧视没有免疫力的人，从而形成“免疫特权”阶层。在这项工作中，我们有动力探索一种在设计上无歧视的替代技术解决方案。我们特别提出了健康令牌——随机的健康证书，它使用差异隐私的方法，允许将单个测试结果随机化，同时仍然允许计算有用的总体风险估计。我们表明，健康代币可以减轻基于免疫的歧视，同时仍然提供一种可行的机制来估计小群体用户带来的集体传播风险。我们在无身份和身份绑定用例的背景下评估我们的方法的可行性，然后考虑一些可能的攻击。我们的实验结果表明，对于大小为 500 或更多的组，与我们的方法相关的错误平均可以低至 0.03，因此聚合结果在许多无身份的上下文中是有用的。最后，我们展示了我们的开源原型的结果，它展示了我们解决方案的实用性。我们表明，健康代币可以减轻基于免疫的歧视，同时仍然提供一种可行的机制来估计小群体用户带来的集体传播风险。我们在无身份和身份绑定用例的背景下评估我们的方法的可行性，然后考虑一些可能的攻击。我们的实验结果表明，对于大小为 500 或更多的组，与我们的方法相关的错误平均可以低至 0.03，因此聚合结果在许多无身份的上下文中是有用的。最后，我们展示了我们的开源原型的结果，它展示了我们解决方案的实用性。我们表明，健康代币可以减轻基于免疫的歧视，同时仍然提供一种可行的机制来估计小群体用户带来的集体传播风险。我们在无身份和身份绑定用例的背景下评估我们的方法的可行性，然后考虑一些可能的攻击。我们的实验结果表明，对于大小为 500 或更多的组，与我们的方法相关的错误平均可以低至 0.03，因此聚合结果在许多无身份的上下文中是有用的。最后，我们展示了我们的开源原型的结果，它展示了我们解决方案的实用性。我们的实验结果表明，对于大小为 500 或更多的组，与我们的方法相关的错误平均可以低至 0.03，因此聚合结果在许多无身份的上下文中是有用的。最后，我们展示了我们的开源原型的结果，它展示了我们解决方案的实用性。我们的实验结果表明，对于大小为 500 或更多的组，与我们的方法相关的错误平均可以低至 0.03，因此聚合结果在许多无身份的上下文中是有用的。最后，我们展示了我们的开源原型的结果，它展示了我们解决方案的实用性。