随着亚马逊、Facebook和Google等科技巨头持续收集、存储并出售全球数百万人的个人数据,并由此成为泄露隐私的代名词,各种围绕着监控经济和数字隐私权的话题日益引发热烈讨论。
但是,隐私问题并不只是数字服务和软件供应商才关心的问题,物联网(IoT)设备和任何连网设备的OEM设计人员也需要了解如何恰当地收集、存储、共用和使用数据,以保护个人信息。这些连网设备和子系统的应用遍及医疗、消费电子和汽车等多种产业。如今,人工智能(AI)和机器学习也加入这一战局,从而将隐私问题提升至一个全新层面。
从国家层面来看,美国还没有任何隐私相关法规,不过,加州已经开始推动制定州级的严格法律。那么,为什么工程师和设计人员要关心这件事呢?因为我们置身全球经济环境中,欧盟(EU)《通用数据保护条例》(GDPR)也要求进入欧盟的产品必须具备隐私保护设计(privacy by design)和默认隐私保护(privacy by default),尽管这并不是新的概念,但OEM必须遵守才能将终端产品和数字服务销往EU。此外,中国和俄罗斯等国家虽然更关注国家安全,但也采取了类似措施来保护其公民的数据。
GDPR致力于统一整个欧洲的数据隐私法,以保护所有欧盟公民的数据隐私。这意味着企业处理数据隐私的方式将有很大变化,尤其是对涉足互联网更多的美国公司而言。以前,收集、存储和销售数据是这些公司的唯一收入来源,他们无需考虑隐私问题,但现在,随着整个社会对于数据隐私问题的日益关注,个人权利与数字企业权利之间的矛盾日益加剧。
这就像试图让情况恢复原状,却发现为时已晚。此时,美国电子元件行业协会(ECIA)、电气电子工程师学会(IEEE)和国家标准与技术研究院(NIST)等监管机构和业界组织的介入,将有助于推动这一进程。
ECIA首席运营官兼法律顾问Robin Gray认为,隐私应该成为设计人员工具箱的组成部分。“在GDPR发布之前,曾有一项欧盟法规更严格地要求隐私保护设计;GDPR则进一步开启了实现默认隐私保护之门。他们意识到,如今网络中许多系统为恶意的隐私侵犯敞开了大门。
“欧洲已经开始实施隐私保护设计了。尽管它目前并未真的广为人知或是有效实践,但它确实推动了GDPR的发展,进而为其提供了一定的法律依据。IoT就是一个很好的例子,尤其是在早期,根本没有考虑隐私保护设计,也没人认为这可能是个威胁。而现在,GDPR在经过长期的努力后,已经让全球都意识到保护数据隐私的重要性。”
“保护隐私最好的方法就是实现隐私保护设计。在任何需要处理个人数据的时候,一开始就应进行此类设计,这是产品不可或缺的一部分。”
隐私保护设计和默认隐私保护
“隐私保护设计是指在产品开发的每一步,当需要处理个人数据时,始终考虑如何保护数据和隐私。”咨询公司Judith M. Myerson所有人Judith Myerson解释说,“它将隐私和数据完整性列为初始设计阶段的优先事项,并贯穿新产品和服务的整个开发生命周期。”
Deloitte认为,隐私保护设计有七个核心原则,如图所示。
图:隐私保护设计的七个核心原则。
“默认隐私保护是指产品或服务一旦向公众发布,就默认提供最严格的隐私保护设置,而无需终端用户进行任何手动操作。”Myerson说,“这还意味着,使用者为启用某项产品功能而提供的任何数据或信息,都应该在保证产品或服务正常运行的情况下仅保留最短时间。”
“在产品实现之后才解决隐私保护问题,会对终端用户造成负面影响。”她补充说,“如果发生数据泄露或是消费者投诉,则无论开发人员/设计人员是在欧洲或只是拥有欧洲客户,都必须向欧洲监管机构提供隐私保护设计的相关文档。”
Myerson说,设计人员需要考虑的关键因素包括:
· 需要收集哪些个人数据?
· 如何使数据收集量最小?
· 数据保存政策是什么?
· 与欧洲客户签订的合约和协议中有哪些隐私法规?
· 如何指导终端用户了解GDPR?
· 如何将机器学习应用于数据隐私保护?
· 数据应保留多长时间?
· 隐私问题如何记录在案?
· 如何保护电子表格中的隐私数据?
“一个简单的规则就是,如果有一个开关按钮的话,隐私保护设计会先将其设为关闭状态,而让个人可以选择是否将其打开。”MEECO创始人兼首席执行官Katryna Dow表示——她同时也是个人数据与隐私委员会(Personal Data and Privacy Committee)和IEEE自主与智能系统全球伦理倡议的联合主席,以及P7006(个人数据人工智能代理标准)主席。此外,她还是IEEE标准协会和MIT媒体实验室联手组建的全球扩展智能理事会(CXI)的创始成员。
IEEE认为,P7006标准的建立是希望让政府和业界了解,当有一天人工智能系统能够自行管理并共享个人信息时,预先正确设计系统的数据保护机制可以减轻可能遭遇的道德问题。
“我们目前的范例是,所有隐私都是开启的。“Dow表示,“你不会轻易发现它是开启的,通常也不会意识到它是开启的;你不知道如何关闭它,也不知道自己有权关闭它;而如果你尝试关闭它,系统的设计会让你犯难,而让你最终放弃。”
“隐私保护设计要做的就是让设计者意识到,人们可能希望关闭而不是开启隐私,他们更希望不要被跟踪,同时选择开启的操作应该是简单而无缝的。”
Dow将数字世界的隐私问题与美国的狂野西部进行比较——在一段时期那里是没有规则的,但随着社会的发展,人们开始收敛行为。“简单地说,隐私保护设计就是社会开始收敛行为,开始为个人最大利益而行动并从设计的角度对他们提供理想保护的一种途径。“
美国 vs. 欧盟
Dow说,隐私保护设计之所以对设计者如此重要,原因在于欧美文化之间存在很大差异。“在欧洲,隐私被视为需要捍卫的人权。”
“我们越来越多地为每一个数字任务创造出数字孪生(digital twin),一个是实物本身,另一个是数字本身。”Dow解释说。这将对隐私和人权产生长期影响,欧盟对此表示了担忧,但又无法确保跟踪数字孪生的方式合适。
“在美国,关于人权或隐私的观点常常受到言论自由或知情权的一些修正条例弱化。”Dow继续说,“这些问题还没有得到很好的调和,以至于可以同时做到言论自由和隐私自主。”
“例如在加州,我们开始看到人们不必在二者之间进行选择了。他们已经决定通过制定法规来提升隐私权。他们也试图禁止在公共场所进行人脸识别。在美国所面临的挑战之一就是,不同的州最终可能针对信息收集与处理,制定各自需要遵守的隐私法规,这会使得事情变得极为复杂。”
“隐私保护设计恰好可以解决这个问题。如果在设计数字服务时就将其作为一种道德规范而纳入考虑,那么应该就会符合GDPR规范。而且由于法规在不断变化更新,我们可以得到更好的保护。如果美国公司向欧洲或世界其它地区提供跨国服务,即使它们是美国公司,也会发现自己有责任遵从隐私保护设计原则。”
“我们最终需要的是一个全国的标准,而不是每个州各自拥有一个标准,否则就会阻碍互联网贸易。”ECIA的Gray说,“在美国,人们争论的焦点在于谁拥有隐私数据——是收集这些信息的公司(无论是否有权利这样做),还是个人自己。”
“美国互联网在未经个人许可的情况下收集和出售数据,并由此发展起来,许多企业和数字经济体都建立在此基础之上。因此,如何解决隐私保护和商业之间的矛盾,将会是一场有趣的对话。”Gray表示。
隐私与安全
设计人员需要了解的美国及全球主要隐私和安全法规包括SOX、NIST、ISO和GDPR,Myerson表示。她同时指出,在企业审查其现有的安全措施和信息安全架构方面,GDPR给予的指导很有限。
“根据欧洲数据保护法,个人数据是指可以用来识别个人身份的任何信息,”Myerson说,“其中包括姓名、地址、电子邮件地址、IP地址、银行帐号或其他个人信息、医疗信息、照片、社交网络帖子等任何可以用来识别个人身份的数据。为了避免收集不必要的数据,应该对所有合同和协议进行审查,以确定哪些是必需的个人数据。
“隐私保护设计应该成为早期设计过程/产品开发周期的一部分,并且贯穿开发周期的每一步。”她表示,“在实施和部署产品后再解决隐私需求,将会对终端用户和开发人员造成负面影响。相较于在早期步骤中纳入考虑,到了后期步骤中才解决问题需要付出更高的成本。”
Myerson建议设计人员在设计过程的早期阶段,考虑以下隐私保护相关问题:
· 数据如何存储
· 如何确保数据安全
· 数据应保留多长时间(请注意,GDPR第5©条款中并未提到数据保留的期限,而SOX则对此作出了规定)
· 组织的数据访问策略是什么
· 哪些收集的数据需要加以清除
· 不同的隐私法律或法规对数据要求有什么不同
· 电子表格中数据的隐私问题是什么
· 当设计人员位于欧洲或欧洲之外时,文档策略是什么,应如何记录隐私问题
Myerson建议开发人员和工程师阅读NIST有关安全控制的文章,以便为GDPR做好准备。该文建议阅读的出版物如下:
· NISTIR 8062 “An Introduction to Privacy Engineering and Risk Management in Federal Systems”
· FIPS PUB 200 “Minimum Security Requirements for Federal Information and Information Systems”
· Framework for Improving Critical Infrastructure Cybersecurity
· NIST 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations”
她说,上述第一篇文章有助于隐私保护设计和默认隐私保护的执行,可用于非联邦信息系统。后面两篇提供了评估信息安全架构的通用结构。第三篇涉及美国第13636号行政命令(Executive Order 13636),要求架构中包含有效方法,当关键基础设施组织在联邦和非联邦信息组织中进行网络安全活动时,可以保护个人隐私和公民自由。最后一篇文章则侧重于实现安全目标的具体解决方案。
她还建议工程师阅读NIST出版物参考文献中包含的ISO标准,以及SOX的应用方式,尽管其目标读者并不是工程师。工程师们还应该了解如何将各种隐私法规(美国和全球)应用于大数据(big data)的机器学习应用。
NIST就“Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)”白皮书草案征求了意见,它提议向每个软件开发生命周期(SDLC)实现增加一组核心的高级安全软件开发实践。
IEEE在开发的P7000系列标准包括13个标准,重点关注智能和自主技术的道德开发、流程以及管理。其中许多都涉及隐私,如IEEE P7002,即IEEE有关数据隐私流程的标准项目,规定了如何对收集个人数据的系统或软件管理隐私问题。IEEE表示,该标准为设计人员提供了方法,让他们可以利用隐私影响评估(PIA)来识别和衡量其系统中的隐私控制。
数据隐私的影响涉及软件、固件和硬件。 “一想到Nest或Alexa设备,或其它任何类似的连网家庭系统,就知道这些都是硬件。”Dow表示,“对于操作系统如何工作,以及软件如何运行和收集数据来说,隐私保护设计与硬件设计同样重要。
“与此同时,如何使硬件或IoT设备尽可能安全的安全设计(security by design)也在兴起,而隐私保护设计则旨在确保将IoT设备设置成在一定程度上让数据传输的风险降低。”
Dow表示,人们越来越担心仅关注软件和服务是否足够。“起初,隐私保护设计的重点在于软件和数字服务。但是IEEE通过其P7000系列以及全球扩展智能理事会和MIT共同完成的一些工作逐渐显示,隐私保护设计可能需要成为硬件级和芯片级的设计原则。”
IEEE的一系列举措引领了这一风向,他们不断探索隐私和控制应该从哪里开始,以及其在设计流程中应嵌入的深度。
这项工作极具挑战性和颠覆性,尤其是当前世界不同地区采用不同法规,而数据和隐私问题又如此之多。Dow表示,“尝试形成一种能够在全球范围内实施的统一方法极具挑战性。”
“IEEE对过去20到30年的技术开发、软件服务和数字手机中的许多实践提出了质疑,他们认为,技术上的可行并不意味着道德的正确。这一道德争辩的部分关注点是,事情发展得太快,从而产生了意想不到的后果;也许现在是时候开始反省,事情是否符合道德要求,是否应该继续下去。”
关于在供应链和设计链中隐私保护设计需要应用多深,还有许多工作要做。
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.sosokankan.com/article/1448853.html