导读:互联产品生活在硬件和软件之间的灰色地带。人们正在向私人公司授予访问自己的脸、指纹甚至掌纹的权限,以作为向计算机验证自己的一种方式。
今年在 ACM WiSec 安全活动中,讨论普通人如何评估物联网中的风险以及人们采取了哪些措施来保护自己。笔者思考物联网在联合和高度分布式计算的世界中带来的挑战,以及监管机构可能需要在哪里介入,以下是其中的7个想法:
1. 消费者权利损害来源于伪装成硬件的软件:互联产品生活在硬件和软件之间的灰色地带。当公司拔掉基于云的服务的插头时,这会给消费者带来很多冲突和不确定性,从而使物理设备变得无用。或者当公司改变他们的软件条款和条件时,改变设备的运行方式。最近的一个例子是 Peloton 改变了其跑步机产品上的软件,以防止消费者在没有付费订阅的情况下使用它。
这种与封装在硬件外壳中的软件相关的权利缺乏明确性是“维修权”规定出现的原因,也是当公司提取数字内容时消费者提起诉讼的原因。这种混淆主要伤害了消费者,因此随着购买非联网产品变得更加困难,国家需要制定基本的所有权规则以保护消费者。
2. 重新思考数字时代的第四修正案:在美国,第四修正案保护公民的“人身、房屋、文件和财产安全,免受无理搜查和扣押”的权利。新技术和工具意味着人们需要围绕执法部门如何从公共和私人设备访问数据以及何时需要逮捕令制定明确的规则。
行业还应该为发现自己被卷入调查的公民提供更多帮助。在某些情况下,他们可能会收到的唯一通知是:手机位置数据或其他一些有关自身的数据已在搜查令或传票中被清除,这是来自放弃该信息的技术提供商的电子邮件。从那时起,这个人就有责任弄清楚为什么他们的信息成为目标以及他们应该做什么。
3. 惩罚泄露数据的私人实体/要求快速披露:这与公民自由关系不大,而更多地与数据泄露可能给消费者带来的巨大伤害有关。 公司应该因不安全的做法而受到处罚,例如在测试中使用生产数据、将未加密的个人数据留在未锁定的云实例中等等。 当数据泄露是由糟糕的安全实践造成的时,公司是疏忽大意的,应该为此付出代价。 在披露方面,人们越早知道他们的数据或密码已被泄露,他们就能越早修复它。 目前,政府正在讨论一项规则,强制公司在 24 小时内告诉公众他们已被违反。
4. 在现有政府机构中建立审计权以测试结果:这一原则是为了解决人工智能中存在偏见或缺乏透明度的说法。如今在人们生活的许多方面使用人工智能作为工具,从决定谁获得保释到使用面部识别进行逮捕。笔者认为每个政府机构都需要制定审计协议,以展示人工智能如何做出决策,并为毫无疑问会出现的偏见提供理由。没有无偏算法之类的东西。所有算法都旨在使某些数据优先于其他数据以实现结果。审计委员会需要能够评估这些结果,看看它们是否符合当前的政策目标。
5. 提供 GDPR 风格的规则来帮助消费者控制数据:目前仍然没有很好的法律来帮助消费者控制数据的使用方式。加利福尼亚州有《加利福尼亚州消费者隐私法》,这是一个开始,但人们需要一项法律来帮助消费者选择共享他们的数据,有机会评估提供商拥有的关于他们的数据,并迫使提供商更正或根据需要删除该数据。还应该制定法律,规定可以使用哪些数据以及公司如何根据数据歧视消费者。
6. 确保数据可以被更正/删除儿童数据:想想所有被错误列入政府禁飞名单的穷人。随着使用人工智能和数据,计算机可以对人做出决策,公司共享不正确数据的风险会扩大。还认为孩子们应该有机会在他们 18 岁时消除他们的数据,然而,这说起来难做,因为那个讨厌的数字所有权问题。如果孩子想从网上删除她的所有照片,她就必须让笔者转储在谷歌云中的她的照片,或者寻找在 Facebook 上分享她照片的朋友。在这种情况下,谁的权利最重要?
笔者认为谷歌关于儿童的最新政策决定,从谷歌图片搜索中删除了 18 岁以下儿童的图片,这是一个好的开始。具有讽刺意味的是,这是一家私营公司,因为其他国家/地区制定了新法规,因此对互联网上的儿童问题采取了行动。让孩子们有机会成为孩子,而不会让它困扰他们的余生,这一点很重要,尤其是考虑到他们的照片越来越多地在私人和公共场合被相机捕捉到。
7.重新思考当前的身份形式并创建身份层次:这是一个艰难的问题。 人们正在向私人公司授予访问自己的脸、指纹甚至掌纹的权限,以作为向计算机验证自己的一种方式。但是这些形式的 ID 可能会被盗,并可能被滥用。 例如,也没有明确指示消费者何时使用好的密码以及何时使用指纹。考虑到误用的可能性和对潜在伤害的混淆,政府应该教育并可能实施一些规则来解决何时密码足够以及何时应该要求进行虹膜扫描。 它还应该制定关于公司如何存储这些标识符中最敏感的规则,以迫使收集这些信息的人将其视为重要的。