今年在 ACM WiSec 安全活動中,討論普通人如何評估物聯(lián)網(wǎng)中的風險以及人們采取了哪些措施來保護自己���。筆者思考物聯(lián)網(wǎng)在聯(lián)合和高度分布式計算的世界中帶來的挑戰(zhàn)�����,以及監(jiān)管機構(gòu)可能需要在哪里介入,以下是其中的7個想法:
1. 消費者權(quán)利損害來源于偽裝成硬件的軟件:互聯(lián)產(chǎn)品生活在硬件和軟件之間的灰色地帶����。當公司拔掉基于云的服務(wù)的插頭時,這會給消費者帶來很多沖突和不確定性�����,從而使物理設(shè)備變得無用���?���;蛘弋敼靖淖兯麄兊能浖l款和條件時,改變設(shè)備的運行方式�����。最近的一個例子是 Peloton 改變了其跑步機產(chǎn)品上的軟件����,以防止消費者在沒有付費訂閱的情況下使用它。
這種與封裝在硬件外殼中的軟件相關(guān)的權(quán)利缺乏明確性是“維修權(quán)”規(guī)定出現(xiàn)的原因���,也是當公司提取數(shù)字內(nèi)容時消費者提起訴訟的原因�。這種混淆主要傷害了消費者�����,因此隨著購買非聯(lián)網(wǎng)產(chǎn)品變得更加困難��,國家需要制定基本的所有權(quán)規(guī)則以保護消費者�����。
2. 重新思考數(shù)字時代的第四修正案:在美國,第四修正案保護公民的“人身�、房屋、文件和財產(chǎn)安全�����,免受無理搜查和扣押”的權(quán)利�。新技術(shù)和工具意味著人們需要圍繞執(zhí)法部門如何從公共和私人設(shè)備訪問數(shù)據(jù)以及何時需要逮捕令制定明確的規(guī)則。
行業(yè)還應(yīng)該為發(fā)現(xiàn)自己被卷入調(diào)查的公民提供更多幫助����。在某些情況下,他們可能會收到的唯一通知是:手機位置數(shù)據(jù)或其他一些有關(guān)自身的數(shù)據(jù)已在搜查令或傳票中被清除�����,這是來自放棄該信息的技術(shù)提供商的電子郵件����。從那時起�����,這個人就有責任弄清楚為什么他們的信息成為目標以及他們應(yīng)該做什么�����。
3. 懲罰泄露數(shù)據(jù)的私人實體/要求快速披露:這與公民自由關(guān)系不大,而更多地與數(shù)據(jù)泄露可能給消費者帶來的巨大傷害有關(guān)�����。 公司應(yīng)該因不安全的做法而受到處罰�����,例如在測試中使用生產(chǎn)數(shù)據(jù)�、將未加密的個人數(shù)據(jù)留在未鎖定的云實例中等等。 當數(shù)據(jù)泄露是由糟糕的安全實踐造成的時�,公司是疏忽大意的,應(yīng)該為此付出代價����。 在披露方面,人們越早知道他們的數(shù)據(jù)或密碼已被泄露�,他們就能越早修復(fù)它。 目前��,政府正在討論一項規(guī)則�,強制公司在 24 小時內(nèi)告訴公眾他們已被違反。
4. 在現(xiàn)有政府機構(gòu)中建立審計權(quán)以測試結(jié)果:這一原則是為了解決人工智能中存在偏見或缺乏透明度的說法���。如今在人們生活的許多方面使用人工智能作為工具���,從決定誰獲得保釋到使用面部識別進行逮捕��。筆者認為每個政府機構(gòu)都需要制定審計協(xié)議��,以展示人工智能如何做出決策�����,并為毫無疑問會出現(xiàn)的偏見提供理由���。沒有無偏算法之類的東西。所有算法都旨在使某些數(shù)據(jù)優(yōu)先于其他數(shù)據(jù)以實現(xiàn)結(jié)果���。審計委員會需要能夠評估這些結(jié)果���,看看它們是否符合當前的政策目標。
5. 提供 GDPR 風格的規(guī)則來幫助消費者控制數(shù)據(jù):目前仍然沒有很好的法律來幫助消費者控制數(shù)據(jù)的使用方式�����。加利福尼亞州有《加利福尼亞州消費者隱私法》�����,這是一個開始�,但人們需要一項法律來幫助消費者選擇共享他們的數(shù)據(jù),有機會評估提供商擁有的關(guān)于他們的數(shù)據(jù)�����,并迫使提供商更正或根據(jù)需要刪除該數(shù)據(jù)��。還應(yīng)該制定法律�,規(guī)定可以使用哪些數(shù)據(jù)以及公司如何根據(jù)數(shù)據(jù)歧視消費者。
6. 確保數(shù)據(jù)可以被更正/刪除兒童數(shù)據(jù):想想所有被錯誤列入政府禁飛名單的窮人���。隨著使用人工智能和數(shù)據(jù)����,計算機可以對人做出決策����,公司共享不正確數(shù)據(jù)的風險會擴大。還認為孩子們應(yīng)該有機會在他們 18 歲時消除他們的數(shù)據(jù)����,然而��,這說起來難做����,因為那個討厭的數(shù)字所有權(quán)問題���。如果孩子想從網(wǎng)上刪除她的所有照片�,她就必須讓筆者轉(zhuǎn)儲在谷歌云中的她的照片�,或者尋找在 Facebook 上分享她照片的朋友。在這種情況下���,誰的權(quán)利最重要?
筆者認為谷歌關(guān)于兒童的最新政策決定���,從谷歌圖片搜索中刪除了 18 歲以下兒童的圖片,這是一個好的開始��。具有諷刺意味的是�����,這是一家私營公司���,因為其他國家/地區(qū)制定了新法規(guī)��,因此對互聯(lián)網(wǎng)上的兒童問題采取了行動�����。讓孩子們有機會成為孩子�����,而不會讓它困擾他們的余生�����,這一點很重要��,尤其是考慮到他們的照片越來越多地在私人和公共場合被相機捕捉到�����。
7.重新思考當前的身份形式并創(chuàng)建身份層次:這是一個艱難的問題�����。 人們正在向私人公司授予訪問自己的臉�、指紋甚至掌紋的權(quán)限�,以作為向計算機驗證自己的一種方式����。但是這些形式的 ID 可能會被盜�����,并可能被濫用���。 例如����,也沒有明確指示消費者何時使用好的密碼以及何時使用指紋��?���?紤]到誤用的可能性和對潛在傷害的混淆,政府應(yīng)該教育并可能實施一些規(guī)則來解決何時密碼足夠以及何時應(yīng)該要求進行虹膜掃描�����。 它還應(yīng)該制定關(guān)于公司如何存儲這些標識符中最敏感的規(guī)則����,以迫使收集這些信息的人將其視為重要的�。
