技術(shù)
導(dǎo)讀:互聯(lián)產(chǎn)品生活在硬件和軟件之間的灰色地帶。人們正在向私人公司授予訪問(wèn)自己的臉、指紋甚至掌紋的權(quán)限,以作為向計(jì)算機(jī)驗(yàn)證自己的一種方式。
今年在 ACM WiSec 安全活動(dòng)中,討論普通人如何評(píng)估物聯(lián)網(wǎng)中的風(fēng)險(xiǎn)以及人們采取了哪些措施來(lái)保護(hù)自己。筆者思考物聯(lián)網(wǎng)在聯(lián)合和高度分布式計(jì)算的世界中帶來(lái)的挑戰(zhàn),以及監(jiān)管機(jī)構(gòu)可能需要在哪里介入,以下是其中的7個(gè)想法:
1. 消費(fèi)者權(quán)利損害來(lái)源于偽裝成硬件的軟件:互聯(lián)產(chǎn)品生活在硬件和軟件之間的灰色地帶。當(dāng)公司拔掉基于云的服務(wù)的插頭時(shí),這會(huì)給消費(fèi)者帶來(lái)很多沖突和不確定性,從而使物理設(shè)備變得無(wú)用?;蛘弋?dāng)公司改變他們的軟件條款和條件時(shí),改變?cè)O(shè)備的運(yùn)行方式。最近的一個(gè)例子是 Peloton 改變了其跑步機(jī)產(chǎn)品上的軟件,以防止消費(fèi)者在沒(méi)有付費(fèi)訂閱的情況下使用它。
這種與封裝在硬件外殼中的軟件相關(guān)的權(quán)利缺乏明確性是“維修權(quán)”規(guī)定出現(xiàn)的原因,也是當(dāng)公司提取數(shù)字內(nèi)容時(shí)消費(fèi)者提起訴訟的原因。這種混淆主要傷害了消費(fèi)者,因此隨著購(gòu)買(mǎi)非聯(lián)網(wǎng)產(chǎn)品變得更加困難,國(guó)家需要制定基本的所有權(quán)規(guī)則以保護(hù)消費(fèi)者。
2. 重新思考數(shù)字時(shí)代的第四修正案:在美國(guó),第四修正案保護(hù)公民的“人身、房屋、文件和財(cái)產(chǎn)安全,免受無(wú)理搜查和扣押”的權(quán)利。新技術(shù)和工具意味著人們需要圍繞執(zhí)法部門(mén)如何從公共和私人設(shè)備訪問(wèn)數(shù)據(jù)以及何時(shí)需要逮捕令制定明確的規(guī)則。
行業(yè)還應(yīng)該為發(fā)現(xiàn)自己被卷入調(diào)查的公民提供更多幫助。在某些情況下,他們可能會(huì)收到的唯一通知是:手機(jī)位置數(shù)據(jù)或其他一些有關(guān)自身的數(shù)據(jù)已在搜查令或傳票中被清除,這是來(lái)自放棄該信息的技術(shù)提供商的電子郵件。從那時(shí)起,這個(gè)人就有責(zé)任弄清楚為什么他們的信息成為目標(biāo)以及他們應(yīng)該做什么。
3. 懲罰泄露數(shù)據(jù)的私人實(shí)體/要求快速披露:這與公民自由關(guān)系不大,而更多地與數(shù)據(jù)泄露可能給消費(fèi)者帶來(lái)的巨大傷害有關(guān)。 公司應(yīng)該因不安全的做法而受到處罰,例如在測(cè)試中使用生產(chǎn)數(shù)據(jù)、將未加密的個(gè)人數(shù)據(jù)留在未鎖定的云實(shí)例中等等。 當(dāng)數(shù)據(jù)泄露是由糟糕的安全實(shí)踐造成的時(shí),公司是疏忽大意的,應(yīng)該為此付出代價(jià)。 在披露方面,人們?cè)皆缰浪麄兊臄?shù)據(jù)或密碼已被泄露,他們就能越早修復(fù)它。 目前,政府正在討論一項(xiàng)規(guī)則,強(qiáng)制公司在 24 小時(shí)內(nèi)告訴公眾他們已被違反。
4. 在現(xiàn)有政府機(jī)構(gòu)中建立審計(jì)權(quán)以測(cè)試結(jié)果:這一原則是為了解決人工智能中存在偏見(jiàn)或缺乏透明度的說(shuō)法。如今在人們生活的許多方面使用人工智能作為工具,從決定誰(shuí)獲得保釋到使用面部識(shí)別進(jìn)行逮捕。筆者認(rèn)為每個(gè)政府機(jī)構(gòu)都需要制定審計(jì)協(xié)議,以展示人工智能如何做出決策,并為毫無(wú)疑問(wèn)會(huì)出現(xiàn)的偏見(jiàn)提供理由。沒(méi)有無(wú)偏算法之類(lèi)的東西。所有算法都旨在使某些數(shù)據(jù)優(yōu)先于其他數(shù)據(jù)以實(shí)現(xiàn)結(jié)果。審計(jì)委員會(huì)需要能夠評(píng)估這些結(jié)果,看看它們是否符合當(dāng)前的政策目標(biāo)。
5. 提供 GDPR 風(fēng)格的規(guī)則來(lái)幫助消費(fèi)者控制數(shù)據(jù):目前仍然沒(méi)有很好的法律來(lái)幫助消費(fèi)者控制數(shù)據(jù)的使用方式。加利福尼亞州有《加利福尼亞州消費(fèi)者隱私法》,這是一個(gè)開(kāi)始,但人們需要一項(xiàng)法律來(lái)幫助消費(fèi)者選擇共享他們的數(shù)據(jù),有機(jī)會(huì)評(píng)估提供商擁有的關(guān)于他們的數(shù)據(jù),并迫使提供商更正或根據(jù)需要?jiǎng)h除該數(shù)據(jù)。還應(yīng)該制定法律,規(guī)定可以使用哪些數(shù)據(jù)以及公司如何根據(jù)數(shù)據(jù)歧視消費(fèi)者。
6. 確保數(shù)據(jù)可以被更正/刪除兒童數(shù)據(jù):想想所有被錯(cuò)誤列入政府禁飛名單的窮人。隨著使用人工智能和數(shù)據(jù),計(jì)算機(jī)可以對(duì)人做出決策,公司共享不正確數(shù)據(jù)的風(fēng)險(xiǎn)會(huì)擴(kuò)大。還認(rèn)為孩子們應(yīng)該有機(jī)會(huì)在他們 18 歲時(shí)消除他們的數(shù)據(jù),然而,這說(shuō)起來(lái)難做,因?yàn)槟莻€(gè)討厭的數(shù)字所有權(quán)問(wèn)題。如果孩子想從網(wǎng)上刪除她的所有照片,她就必須讓筆者轉(zhuǎn)儲(chǔ)在谷歌云中的她的照片,或者尋找在 Facebook 上分享她照片的朋友。在這種情況下,誰(shuí)的權(quán)利最重要?
筆者認(rèn)為谷歌關(guān)于兒童的最新政策決定,從谷歌圖片搜索中刪除了 18 歲以下兒童的圖片,這是一個(gè)好的開(kāi)始。具有諷刺意味的是,這是一家私營(yíng)公司,因?yàn)槠渌麌?guó)家/地區(qū)制定了新法規(guī),因此對(duì)互聯(lián)網(wǎng)上的兒童問(wèn)題采取了行動(dòng)。讓孩子們有機(jī)會(huì)成為孩子,而不會(huì)讓它困擾他們的余生,這一點(diǎn)很重要,尤其是考慮到他們的照片越來(lái)越多地在私人和公共場(chǎng)合被相機(jī)捕捉到。
7.重新思考當(dāng)前的身份形式并創(chuàng)建身份層次:這是一個(gè)艱難的問(wèn)題。 人們正在向私人公司授予訪問(wèn)自己的臉、指紋甚至掌紋的權(quán)限,以作為向計(jì)算機(jī)驗(yàn)證自己的一種方式。但是這些形式的 ID 可能會(huì)被盜,并可能被濫用。 例如,也沒(méi)有明確指示消費(fèi)者何時(shí)使用好的密碼以及何時(shí)使用指紋??紤]到誤用的可能性和對(duì)潛在傷害的混淆,政府應(yīng)該教育并可能實(shí)施一些規(guī)則來(lái)解決何時(shí)密碼足夠以及何時(shí)應(yīng)該要求進(jìn)行虹膜掃描。 它還應(yīng)該制定關(guān)于公司如何存儲(chǔ)這些標(biāo)識(shí)符中最敏感的規(guī)則,以迫使收集這些信息的人將其視為重要的。