ACM通信
隐私
隐私工程超级英雄
信贷:在上面
你的公司希望提供没有烦人的弹出窗口的cookie选择吗?您是否希望以聚合形式共享敏感数据,而不冒隐私被侵犯的风险?您是否希望监控数据流,以确保个人信息不会出现在意想不到的地方?如果个人信息泄露了,现在你需要收拾烂摊子怎么办?你想在一个混乱、容易出错的大系统中这样做吗?你要给谁打电话?隐私工程师怎么样?
隐私行业由律师主导——他们当然扮演着至关重要的角色——但隐私工程师往往是出问题时真正的超级英雄,对防止隐私灾难至关重要。隐私工程已经成为一门不断发展的学科,专注于寻找实用的、通常是技术性的隐私保护解决方案。组织雇佣隐私工程师来开发隐私保护产品和服务,构建工具来促进和监控整个组织的隐私遵从性,并检测和补救隐私问题。隐私工程师可能扮演一个整体角色,或专注于特定领域,如前端、后端、用户体验、产品管理或法律合规。1
我们中的一位(Lea Kissner)是一名隐私工程从业者,曾在四家公司领导过隐私工程团队;我们中的一位(Lorrie Cranor)在学术界工作了近20年,现在共同指导一个培训隐私工程师的学术项目。一个在几年前的一次晚餐上,Kissner抱怨说,没有一个地方让隐私工程从业者讨论他们的问题和解决方案,并了解可以应用到他们工作中的研究。克拉诺指出,隐私研究人员也将受益于了解更多从业者面临的实际问题,并通过一个论坛直接与从业者分享他们的研究结果。当我们吃完晚饭时,我们有了一个新会议的基本计划。
隐私工程实践与尊重
我们在2019年启动了隐私工程实践与尊重(PEPR)会议,b汇集了来自学术界、工业界、公民社会和政府的隐私工程师,分享他们的专业知识。来自工业界的隐私工程师已经讨论了数据删除在大规模系统中可能以真正奇怪的方式失败的方式,而学术研究人员已经展示了用户研究结果,提供了为什么用户似乎不理解许多隐私相关的图标的见解。PEPR将我们聚集在一起,讨论与隐私相关的想法,以及它们在实践中如何工作(和失败)。由于传统的学术论文格式侧重于传达研究结果,而不是实践经验,而且我们希望听到的许多从业者并不是撰写学术论文的专家,PEPR要求潜在的演讲者提交演讲大纲而不是论文。自2020年以来,所有PEPR谈话都被记录下来,并在会议结束后免费提供。c
PEPR 2021完全是远程的,但可能是有史以来最大的(虚拟)隐私工程师聚会,有超过500人参加了会谈和讨论。PEPR专注于构建令人尊敬的产品和系统,而不是破坏它们。环顾四周,很容易看到事物被破坏的方式。人们很容易屈服于虚无主义。但我们想要建设我们想要生活的世界,除非我们把它们建设得更好,否则系统不会变得更好。所以当我们对破坏和建造都感兴趣的时候,我们倾向于建造。
隐私工程的关注点与整个隐私领域的关注点有本质上的不同。
出于同样的原因,我们不仅关注隐私,还关注尊重。根据维基百科,“尊重是对被认为重要的人或事,或受到高度尊重或尊重的人或事表现出的一种积极的感觉或行为;它也是通过表现出关心、关心或考虑他人的需求或感受来尊重他人的过程。”
建立相互尊重的系统需要考虑隐私之外的概念,包括安全、信任、安全、算法公平等等。我们必须走出我们的学科藩篱,在更广泛的背景下考虑我们的工作。
例如,考虑过滤掉不想要的电子邮件的问题。如果从隐私的角度来看,第一个问题往往是它是否应该被默认设置,以及为多个用户的收件箱内容建立模型是否合理。但这也是一个安全问题:一些不受欢迎的电子邮件消息是直接的安全威胁,如网络钓鱼或包含恶意软件的消息。如果不扫描大量的电子邮件来了解快速变化的威胁情况,就不可能有效地识别这些威胁。然而,基于每个人的个人电子邮件建立模型可能会有问题。对于使用特定方言的人来说,这些模型是公平的还是不公平的?
隐私工程的关注点与整个隐私领域的关注点有本质上的不同。许多组织对隐私感兴趣,因为他们希望遵守GDPR、CCPA等法律,以及一大堆即将生效的法规。虽然我们当然希望系统的建立和运行符合适用的法律,但这应该是建立尊重隐私的产品和系统的第一个副作用。合规必然是被动的。它对过去的失败作出反应。如果你在做新的事情,那么你很可能会遇到新的失败模式——遵从法规是不够的。首先,当事情变得非常糟糕时,没有人会在乎文书工作。但这些法律也在变化;如果您已经围绕遵从性检查表构建了系统,那么就不太可能顺利地将规则的更改与用户面临的威胁模型的更改合并在一起。主动隐私工程考虑变化的世界如何影响您的战略方向,以帮助塑造您的产品和系统,以更好地支持您的用户和受系统影响的人员。
隐私工程专业
处理隐私工程需要许多技能——以下是这个年轻领域发展起来的一些主要专长和角色。
分析/咨询。这些人会查看你的产品/系统(或者更好的是,你必须构建一个系统的计划),提出问题,在失败发生之前发现它们,并帮助你以一种稳健的方式设计以避免这些失败。例如,有人开发了一个新功能,分析师会问这样的问题:“用户如何删除这个信息,它真的被删除了吗?”以及“如果我们把这个漂亮的加密货币放在那里,我们就可以完全避免收集这些信息。”这会导致虐待吗?”隐私分析/咨询人员拥有类似于安全审查人员的技能,但他们通常更强调各种各样的人如何彼此交互以及如何与你的产品交互。他们很可能会审核代码。
隐私的产品。这是您构建用户可以看到的隐私技术的地方,例如帐户删除页面、允许用户查看和控制他们的数据的界面,等等。当隐私支持成为主要产品的一部分而不是一个独立的工具时,这通常是最好的。
虽然我们对破坏和建造都感兴趣,但我们倾向于建造。
数学和理论。需要匿名化?需要分析所有数据集是否存在某种特殊的可接合性风险?需要弄清楚当您删除特定类型的数据时会发生什么?这会打破你的虐待模式吗?数学。
基础设施。如果你有基础设施,你可能需要隐私基础设施。例如,当您想要删除数据时,您需要一个系统来启动它,然后监视它。您需要访问控制,可能还需要处理cookie。构建基础设施的隐私工程师拥有构建基础设施的软件工程技能以及隐私知识。
工具和仪表板。您可能有一个数据删除或访问系统,但您如何帮助组织中的人员了解其中的情况或获得访问权限?工具!工具和仪表板对于高效、准确地分析和检查系统也非常有用。良好的补救工具是组织中的其他成员的一面镜子,告诉他们正在做什么,确切地说他们可以做些什么来做得更好,以及期望他们做得更好多少。
用户体验(UX)。尊重隐私的产品和侵犯隐私的产品之间的区别有时是用户体验的问题。收集哪些信息以及如何使用这些信息是否具有透明度,用户是否能够轻松理解和实现隐私选择?很多隐私工程UX关注于与隐私相关的功能支持(设置、仪表板、对话框、图标等)的设计和测试。此外,还需要隐私工程师参与撰写清晰准确的隐私通知——理想情况下,这不是只留给律师的工作!隐私用户体验研究使用定性和定量的方法来研究人们以及他们如何与产品互动。
隐私政策。这并不总是由隐私工程师来完成的,但我们强烈建议使用具有隐私工程技能的人。要写出有抱负的政策或不符合现有制度的政策是很容易的。这两种情况都不好。Kissner编写和管理了大范围(谷歌)和小范围(Humu)的隐私政策。
隐私的过程。流程设计是完成工作的关键。一个深度整合的过程,协调所有相关人员的动机,是让隐私成为一条“光明之路”的关键,对组织的其他成员来说,这是一条顺畅而高效的道路。如果你让公司的其他人都变得暴躁,你就不会得到好的结果。
事件和漏洞响应。在真实的系统中,事情会出错。会有bug、流程失败和你以前从未想过的新问题。事件应对人员使用冷静的头脑、出色的沟通技巧和关于隐私问题如何出错的知识来帮助人们找出问题出在哪里,如何修复它,然后如何防止这类故障再次发生。
当然,隐私工程师不是在真空中工作,他们必须与律师、政策制定者、软件开发人员和许多其他人合作。有了这些角色和专长,各种不同技能的隐私工程师有很多机会来帮助组织将隐私构建到他们的产品和服务中,并在出现问题时帮助解决问题。
数字图书馆是由计算机协会出版的。版权所有©2021 ACM, Inc。
没有发现记录