ACM通信
实践
四十亿小兄弟?:隐私、手机和无处不在的数据收集
摄影:Leposava Beljac
他们打电话,上网,全世界有近四十亿人。它们内置的麦克风、摄像头和位置感知功能可以收集图像、声音和GPS数据。除了聊天和发短信,这些功能可以让手机变得无处不在,成为量化个人模式和习惯的常见工具。它们也可以成为数千人记录一个社区的平台,收集证据以立案,或研究流动与健康。这些数据可以帮助你了解你每天的碳足迹、暴露在空气污染中、锻炼习惯以及与家人和朋友互动的频率。
然而,与此同时,这些数据也透露了你经常去的地方、习惯和日常生活的很多信息。一旦这些数据被捕获,熟人、朋友或当局可能会强迫您披露这些数据。也许更糟的是,它可能会在您不知情或未经允许的情况下被收集或重用。在极端情况下,手机可能成为历史上最广泛的嵌入式监控工具。想象一下,带着一个位置感知的漏洞,再加上相机、加速计和蓝牙,你走到哪里都是跌跌撞撞。你的手机可以记录你的来来去去,推断出你一天中的活动,记录下你在街上遇到的人或与你交谈的人。由政府部署或由雇主强迫,40亿“小兄弟”可能在监视你。
从事传感数据的手机是用于自我和社区研究、强制还是监视的工具,取决于谁收集数据,如何处理数据,以及用户得到了何种隐私保护。随着这些新形式的数据开始通过手机网络流动,应用程序开发人员将成为保护由永远在线、永远在线的手机收集的敏感数据的第一道防线。
我需要指出的是,我并不是前线的开发者之一。我从事科学技术研究(STS),这是一门对人、技术和数据相互作用和影响的方式感兴趣的社会科学。一个与我一起工作的开发人员可能会说STS是告诉他们应该做什么,我必须承认,这是本文的目标。我担心手机作为传感器的后果,对于程序员和社会科学家应该如何做才能使这种数据收集工作不陷入强制、监视和控制,我有一些看法。
参与式感知
利用手机为个人或社会项目收集数据的研究被称为移动传感、城市传感或参与式传感。2,3.,4参与式感知旨在使(并鼓励)任何人能够收集和调查以前不可见的数据。它试图通过强调个人在感知过程中的参与来避免监视或强制感知。旨在实现参与式感知的应用程序包括非常个性化和自我反思,以及旨在改善个人健康或社区体验的可共享数据。本文考察了加州大学洛杉矶分校(UCLA)嵌入式网络传感中心(CENS)的三个应用,以说明各种可能性,并建议数据收集和共享关注的问题。
个人环境影响报告.PEIR的参加者(http://peir.cens.ucla.edu/)每天都带着手机,计算他们的碳足迹和暴露在空气污染中的程度,这两个问题在烟雾弥漫的洛杉矶都是大问题。通过引用GPS和手机信号塔,手机每隔几秒就上传参与者的位置。基于这些时间-位置轨迹,PEIR系统可以推断参与者在一天中的活动(例如,步行、骑自行车、驾驶或乘坐公共汽车)。该系统结合南加州地区的空气质量和天气数据,绘制出位置、时间和活动情况的地图,以估计个人的碳足迹和颗粒物暴露情况。全天感知参与者的位置,可以更准确地了解人们所面临的环境危害,以及它们所造成的危害。为了参与,个人需要记录并提交一个连续的位置追踪。
Biketastic.这个项目(http://biketastic.com)的设计初衷是为了改善洛杉矶的自行车通勤,这座城市对骑车者的不友好是出了名的。骑自行车的人在上下班途中携带有gps功能的手机,它会自动将骑行路线上传到公共网站上。这款手机还使用加速计记录路面的粗糙度,并采集音频样本来分析沿途的噪音量。参与者登录后,可以结合现有数据查看自己的路线,包括空气质量、时间敏感的交通状况、交通事故等。他们还可以使用该系统与其他乘客分享他们的路线信息。通过将现有的当地条件与骑行者提供的数据相结合,Biketastic将使该地区的骑行者能够以最小的交通事故概率规划路线;拥有最好的空气质量;或者根据个人喜好,如路面质量或与公共交通的联系。虽然Biketastic通过公共地图共享位置数据,但个人使用的是匿名用户名。
AndWellness。AndWellness是一种旨在鼓励行为改变的个人监测工具,目前正在开发中。它帮助客户独立工作,或在教练的指导下记录下他们偏离健康饮食或锻炼计划的地点和时间。在最初一周的记录中,AndWellness提示用户全天输入个人评估。这些评估会询问用户最后一次进食的时间,以及他们是否按照计划进食。经过一周的跟踪和数据分析,用户可以看到他们可能偏离计划的地方和时间,并计划干预措施,以应对不必要的变化。AndWellness网站不仅收集位置信息,还收集有关饮食和习惯的敏感数据。个人可能会选择与支持小组、教练、治疗师、医生、家人或朋友分享这些数据。
将参与式感知从移动电话网络带来的可能性变为协调的现实充满了挑战。这些挑战包括重新利用手机的伦理问题,现在手机已经被用作通信工具,用于数据收集和共享。个人如何决定何时、何地以及如何参与?对于他们想要记录和分享的内容,他们有多少发言权?
参与式感知中的隐私
隐私——理解、选择和控制你与谁分享哪些个人信息,以及分享多长时间的能力——是参与式感知的一个巨大挑战。隐私决策有许多组成部分,包括身份(谁在请求数据?)、粒度(数据透露了关于我的多少信息?)和时间(数据将保留多长时间?)7,10,11位置痕迹可以记录和量化习惯、惯例和个人联系。你的位置可能会透露你孩子的学校,你经常去看治疗师或医生,以及你上班迟到或早退的时间。这些痕迹很容易挖掘,一旦共享就很难或不可能收回。
共享这种细粒度的、揭示性的数字数据可能会带来许多风险或负面后果。一些安全威胁,如小偷或跟踪者,是显而易见的。其他的社会后果可能不那么明显,但可能更有可能。想想你有多频繁地用一个善意的谎言来拒绝社交活动,或者对你的位置和活动保密来给朋友一个惊喜。就像Facebook命运多舛的Beacon服务一样,参与式感知可能会打破我们所期待的社交边界。如果对您有权力的人(您的雇主,政府)收集或访问您的位置数据,该怎么办?不难想象,这对合法但被污名化的活动会产生令人不寒而栗的影响。如果你知道别人能看到你的位置,你还会去参加政治抗议,或者去看整形医生吗?通过传票可获取的位置数据的大型数据库,也可能成为从轻微民事纠纷到混乱的离婚案件的一切证据。
也许最重要的是,隐私是你的身份和自我表现的重要组成部分。决定向谁透露什么是决定你是谁的一部分。我可能想记录下自己在何时何地容易暴饮暴食,但除了我的医生,我觉得没有任何理由与任何人分享这些信息。同样的,我可能会在周末参加一个政治数据收集项目,但这并不意味着我的父母需要知道。尊重公共和私人之间的许多层次,并给予人们就这些层次进行协商的能力,是尊重个人隐私不可或缺的部分。
在美国和欧洲,公平的信息实践是保护个人数据隐私的一个标准。《公平信息实践守则》最初于20世纪70年代制定,概述了数据管理原则,以帮助组织保护个人数据。12,13这些守则仍然被认为是保护隐私的黄金标准。14但是,这些为公司或政府而不是许多分布式数据收集者设计的原则已经不够了。参与式感知过程中收集的数据比传统的个人数据(姓名、社会安全号码等)更细粒度。它揭示了更多关于个人习惯和日常生活的信息。此外,数据不再仅仅由大型组织或政府通过既定的数据实践来收集。个人或社区团体可能创建参与式传感应用程序,并开始收集个人数据。15
允许参与隐私
这就是开发者的责任所在。开发人员如何帮助发起参与式感知项目的个人或小团体实施适当的数据保护标准?要用如此细粒度和个性化的数据创建可行的标准,系统必须积极地让个人参与他们自己的隐私决策。在cns,我们称之为参与式隐私规则,即系统可以帮助用户根据上下文(谁在提问,被要求什么,等等)来协商披露决定。我们需要建立系统来提高用户理解和管理他们隐私的能力。
构建这样的系统是一项尚未解决的重大挑战。6作为迎接这一挑战的第一步,我们提出了三个新的原则,供开发人员在构建移动数据收集应用程序时考虑和应用。这些原则是有目的的广泛的,因为“可接受的”数据实践可能因应用程序而异(一个医疗项目在严格保护下可能比社区文档项目收集更多的个人数据)。这些原则是帮助开发者适应参与式传感应用的隐私保护的思考工具。
参与者地位.参与式隐私监管的目标是让参与者尽可能多地控制自己的位置数据。GPS轨迹或由地理标记媒体产生的二次轨迹应该属于个人。参与者应该能够做出和撤销与第三方应用程序共享数据子集的决定。这样的框架下,参与者不仅是数据收集的主体,而且扮演调查者的角色(当他们收集数据参与自我分析应用程序时)或合作调查者(当他们将数据贡献给更大的研究计划时)。因此,他们应该输入如何收集、处理、存储和丢弃数据。
隐私是你的身份和自我表现的重要组成部分。决定向谁透露什么是决定你是谁的一部分。
开发人员可以通过定制访问控制和数据管理工具,使参与者能够拥有和管理他们的数据,供各个参与者使用。收集传感数据的用户将需要安全的存储和直观的接口来管理访问和共享。例如,cns的研究人员正在开发一个个人数据库(PDV),为个人的传感数据提供私人和健壮的存储。PDV提供认证和访问控制等服务,允许参与者不仅在一个地方收集所有传感数据,而且还指定其社交网络中的哪些个人和群体可以看到哪些数据集。斯坦福大学的研究实验室也在开发类似的工具8美国电话电报公司(AT&T),1与谷歌Health等商业应用程序没有什么不同5和微软的HealthVault。9
随着开发人员构建数据管理工具,将个人数据控制权交还给个人,他们将需要考虑用户在隐私和共享决策方面需要哪些控制。在非常基本的层面上,共享决策应该考虑身份(谁在问?)、时间(只在上午9点到下午5点之间发送数据)、位置(只在我在校园里发送数据)和数据类型(只共享带有地理标签的照片)。开发人员需要考虑的更高级的技术包括基于活动(只共享驾驶路线)或例程(不共享异常路线)的访问控制。
应用程序开发人员可以通过限制参与者在保险库外共享的原始数据量来进一步保护参与者优先级。当隐私受到威胁时,数据并不总是越多越好。例如,Biketastic的参与者可以在PDV上全天候收集他们的位置数据,但共享数据与Biketastic只在他们经常骑自行车上下班的日子和时间。Biketastic不需要知道参与者在工作时间在哪里,他们什么时候吃午饭,或者他们晚上通常是怎么度过的。收集最小数据的另一个例子是请求已处理的数据,而不是原始数据。开发人员可以构建像PEIR这样的应用程序,只请求推断的活动数据(开车、走路和室内花费的时间)和邮政编码,而不是颗粒状的位置数据。PEIR不需要知道参与者在哪个街道上,只需要知道他们在从事什么产生碳的活动。通过收集服务所需的最小数量的信息,应用程序开发人员可以帮助参与者保持对其原始数据的控制。
数据易读性.参与式感知系统可以帮助参与者以个人能够理解的方式,通过可视化粒度丰富的数据来理解和决定他们的数据。改善数据可读性的方法包括使用地图、图表、图标、图片或比例尺等工具的可视化。数据的易读性还包括显示哪些用户访问了他们的数据以及访问的频率,以及向参与者显示他们的数据的去向和访问时间。系统特性应该增加参与者对复杂风险的理解,并帮助他们对数据捕获、共享和保留做出更好的决策。
开发人员应该对易读性意味着什么有创意。例如,应用程序的用户界面不仅可以帮助用户设置数据共享策略,还可以帮助用户查看策略的结果。想象一下,一个Facebook弹出窗口问道:“你真的想和你父亲分享专辑《Party Pics》吗?”为数据库或传感应用程序开发功能,说明谁可以看到什么数据,将帮助用户更好地理解数据共享的后果。
另一种方法是显示所收集数据的多种解释。例如,AndWellness界面使用地图和时间表来帮助用户得出他们的饮食习惯在何时何地偏离了计划的结论。开发人员也可以尝试使用自然语言,帮助将数字数据或复杂算法转换成更容易理解的东西。自然语言可以从数据点进行推断(例如,这条自行车路线中间有几个小山,大部分都很容易,而最后有一个很难的小山);或者纯文本描述可以解释计算和处理是如何工作的(例如,在PEIR中单击一条路线会将参与者带到一个“旅行日志”,其中有系统如何计算该路线的影响和暴露程度的分步分解。
参与式感知为粒状和无处不在的全新数据收集形式打开了大门。这种数据收集的风险并不总是不言而喻的。
纵向订婚.最后,在参与式感知中,开发者需要将时间作为影响隐私的一个因素。当你开始乘坐公共交通工具上班时,你可能不再使用碳足迹计算器,但在收到一个令人惊讶的诊断后,你却参加了一个新的健康项目。随着时间的推移,个人习惯和惯例会发生变化,从而将收集到的数据存入个人数据库。
因为时间是如此关键的因素,应用程序接口应该鼓励参与者从收集点通过分析、长期保留或删除的数据。系统应该能够持续参与,允许参与者随着环境的变化而改变他们的数据实践。让个人对他们的数据做出决定的关键是拒绝把数据放在一个黑匣子里。相反,分析、从数据中学习和对数据进行持续的选择成为感知的目标。
对于开发者如何鼓励长期用户粘性,我们提供了几点建议。要求用户定期检入保险库或应用程序的策略可以提醒用户在需求变化时更新共享首选项。数据仓库可以提醒用户每次添加新联系人或应用程序时更新他们的共享首选项。构建自适应过滤器还可以使参与者随着偏好的改变而改变他们的数据共享。这种过滤器可以从用户的行为中学习,以响应隐私偏好。例如,保险库可以学会永远不要共享某条路线,或者可以学会在共享晚上9点以后记录的任何路线之前向用户进行检查
TraceAudit是另一个帮助用户随时间联系数据的方法。TraceAudit基于Internet跟踪路由的思想,并依赖于仔细的日志记录过程。允许用户访问日志的接口可以让他们跟踪应用程序如何使用他们的数据,数据在哪里被共享,以及谁有访问它的权限。例如,PEIR中数据使用的TraceAudit可以向参与者显示他们的原始位置轨迹如何成为影响和暴露的计算,以及在此过程中数据是如何共享的。一个日志可以向用户显示,他们的PDV在工作日的早上7点到晚上8点之间发送了PEIR原始数据PEIR根据这些原始数据执行活动分类,并向加州空气资源委员会发送活动摘要和发生活动的邮政编码。PEIR回收PM2.5(细颗粒物)污染暴露和CO2排放值与这些活动和邮政编码相对应。然后,PEIR为用户保存并显示这些总计算结果。TraceAudit提供了透明度和问责性,帮助个人查看PEIR如何使用和共享他们的数据。
挑战超越技术
关注参与者优先性、纵向参与和数据易读性的系统设计将帮助用户在参与式感知中做出数据共享决策,保护用户隐私。然而,技术决策不足以确保感知参与者的隐私。还必须通过支持社会结构来加强参与隐私决策。
参与式感知为粒状和无处不在的全新数据收集形式打开了大门。这种数据收集的风险并不总是不言而喻的。即使我们为人们提供管理数据的选项,他们也可能不理解这样做的好处。数据素养必须随着时间的推移通过许多途径获得。关于参与性感知的公开讨论和辩论对于教育参与者了解感知数据的风险和可能性至关重要。讨论论坛和博客扮演着重要的角色,传统媒体甚至社区团体也是如此。
此外,参与式感知的参与者需要了解,一旦他们的数据离开个人保险库并被第三方应用程序使用,他们的数据会发生什么变化。参与式感知数据的多样化和丰富的应用有助于实现参与式感知的潜在有用性,但也会使参与者难以理解哪些应用是可信的,并遵守可接受的数据实践。参与者需要知道他们签约的目的是什么,而晦涩难懂、印刷精美的eula(最终用户许可协议)并不是答案。
用户应该知道应用程序将保留他们的数据多长时间,以及它是否会将数据传递给其他方。一个自愿的标签系统,就像食品上的“公平贸易”标签一样,可以帮助消费者区分哪些应用程序遵守最低限度的负责任的数据实践。这可能包括记录数据的使用和保留审计跟踪,以及在指定的时间段后丢弃位置数据。这些措施可有助于增加参与性感测应用的透明度。
最后,加强对未共享的保险库数据的法律保护可以鼓励参与参与性感知。正在进行的工作是调查个人感知数据的法律特权的可能性。这种特权可以由法律赋予,并以律师-当事人或医生-病人特权为模型。
结论
虽然律师和社会科学家致力于结构性的改变,以确保参与式感知中的隐私,但许多最初的和至关重要的隐私保护步骤将取决于应用程序开发人员。通过创新,把参与者放在首位,我们可以创建尊重个人控制敏感数据需求的系统。我们还可以增强人们理解这些细粒度数据的能力,并让参与者在长期内对这些数据做出决定。通过对这些原则的关注,开发人员将有助于确保40亿小兄弟不会监视我们。相反,参与性感知可以有一个安全的、自愿的、参与的未来。
致谢
非常感谢合作者杰弗里·伯克、黛博拉·埃斯特林和马克·汉森,他们的想法和贡献塑造了这个材料。
本文基于美国国家科学基金项目(0832873)的研究成果。
相关文章
在queue.acm.org
感觉无处不在(视频)
黛博拉·埃斯特林
http://queue.acm.org/detail_video.cfm?id=1554569
《与科里·多克托罗和哈尔·斯特恩的对话
http://queue.acm.org/detail.cfm?id=1242497
用KV登录
Kode恶性
http://queue.acm.org/detail.cfm?id=1142039
参考文献
1.Cáceres, R., Cox, L., Lim, H., Shakimov, A., Varshavsky, A.虚拟个人服务器作为移动设备的隐私保护代理。在第一届ACM SIGCOMM移动手持设备网络、系统和应用研讨会论文集(西班牙巴塞罗那,2009)。
2.库夫,D.,汉森,M.,康,J.城市感知:走出困境。Commun。ACM 51, 3(2008年3月),2433。
3.跨文化行为推断:用电话作为文化透镜。IEEE智能系统23(2008), 6264。
4.Eisenman, s.b., Lane, n.d., Miluzzo, E, Peterson, r.a., Ahn, g.s., Campbell, A.T.都市感知项目:大规模以人为中心的感知。ACM Sensys世界传感器网络研讨会论文集(博尔德有限公司,2006年)。
5.谷歌健康;https://www.google.com/health.
6.iachlo, G., Hong, J. 2007。人机交互中的终端用户隐私。人机交互的基础与趋势(2007), 1137。
7.网络交易中的隐私问题。斯坦福法律评论50(1998), 11931294。
8.Lam, M.构建没有“老大哥”的社交网络未来;http://suif.stanford.edu/%7Elam/lampomi-ws09.pdf.
9.微软HealthVault;http://www.healthvault.com/.
10.作为上下文完整性的隐私。华盛顿法律评论79(2004), 119158。
11.Palen, L., Dourish, P.为网络世界打开“隐私”。在2003年SIGCHI会议论文集(Ft. Lauderdale, FL), 129136。
12.资讯社会中的个人私隐:保障私隐研究委员会的报告.1977;http://epic.org/privacy/ppsc1977report/.
13.美国卫生、教育和福利部。档案、电脑与公民权利。麻省理工学院出版社,剑桥,马萨诸塞州,1973年。
14.Waldo, J., Lin H. S, Millett, L. I。在数字时代参与隐私和信息技术.美国国家科学院出版社,华盛顿特区,2007年。
脚注
一个。http://en.wikipedia.org/wiki/Science_and_technology_studies
DOI: http://doi.acm.org/10.1145/1592761.1592778
©2009 acm 0001-0782/09/1100 $10.00
允许制作本作品的全部或部分的数字或硬拷贝用于个人或课堂使用,但前提是该拷贝不是为了盈利或商业利益而制作或分发,并且该拷贝在第一页上带有本通知和完整引用。以其他方式复制、重新发布、在服务器上发布或重新分发到列表,需要事先获得特定的许可和/或付费。
数字图书馆是由计算机协会出版的。版权所有©2009 ACM有限公司
评论
丹尼斯·杜布
凯蒂在确定一系列机制和实践方面做得很好,这些机制和实践绝对值得消费者进一步关注。我希望看到移动设备功能的全面公开,以及合理有效的配置界面,允许移动设备的所有者根据自己的选择选择是否使用这些功能。在我看来,最糟糕的情况是,一个带有参与式传感技术的移动设备被第三方使用,而所有者/用户却不知道这种行为。一个伟大的文章。
显示1评论