ACM通信
的观点
云计算隐私问题迫在眉睫
信贷:加里尼尔
云计算意味着将数据委托给“云中的”远程服务器上由外部方管理的信息系统。Webmail和在线文档(如谷歌Docs)就是众所周知的例子。云计算引发了隐私和机密性问题,因为服务提供商必须访问所有数据,并可能意外或故意披露这些数据或将其用于未经授权的目的。
基于云计算的会议管理系统就是学术研究社区中这些问题的一个例子。这是一个有趣的例子,因为它小而具体,使它更容易探索隐私问题的确切性质和思考解决方案。本专栏描述了这个问题,强调了一些可能的不良后果,并指出了解决这个问题的方向。
会议管理系统
大多数学术会议都是使用软件管理的,该软件允许程序委员会(PC)成员通过网络浏览论文、发表评论和讨论。其中一种安排是,会议主席下载并托管适当的服务器软件,如HotCRP或iChair。使用这类软件的好处大家都很熟悉:
- 向政委会成员分发文件是自动进行的,并可顾及他们的喜好和利益冲突;
- 系统组织评审和讨论的收集和分发,可以根据分数对论文进行排序,并发送提醒邮件,以及接收或拒绝邮件通知;而且
- 它还可以生成一系列其他报告,例如子审稿人列表、验收统计数据和会议程序。
HotCRP和iChair需要会议主席下载和安装软件,并托管Web服务器。其他系统,如EasyChair和EDAS,都是根据云计算模型工作的:会议主席不需要安装和托管服务器,只需要在“云中”创建会议帐户。除了上述优点外,该模式还有额外的便利:
- 管理服务器的全部工作(包括备份和安全)都由其他人来完成,从而获得规模经济;
- 作者和PC会员的账户已经存在了,并且不需要在每个会议的基础上进行管理;
- 数据可以无限存储,审阅者不必保存自己审阅的副本;而且
- 该系统可以根据过去的合作历史提示可能的同事,从而帮助完成PC会员邀请表单和论文提交表单等表单。
基于这些原因,EasyChair和EDAS对学术界做出了巨大的贡献。根据EasyChair的网页,它在2010年举办了3300多个会议。由于它对多会议和多轨道会议进行了优化,因此它被授权用于参加联邦逻辑会议(FLoC)的会议和研讨会,FLoC是一个吸引了大约1000篇论文提交的大型多会议。
数据隐私问题
意外的或故意的泄露基于云计算的会议管理系统(如EDAS和EasyChair)产生了隐私问题,因为系统管理员是关于数千名研究人员提交和审查行为的大量数据的保管者,这些数据在多个会议上聚集在一起。这些数据可能会被有意或无意地披露,从而带来不受欢迎的后果。
- 评论者的匿名性可能会受到损害,以及PC讨论的机密性。
- 接受成功的记录可以被识别,对于单个研究人员和小组,在一段时间内;而且
- 研究人员的综合审查资料(公平/不公平,彻底/缺乏,苛刻/缺乏洞察力,及时/迟到,等等)可以被披露。
这些数据可能会被招聘或晋升委员会、资助和奖励委员会滥用,更普遍的情况是被研究人员选择合作者和伙伴滥用。数据的存在使系统管理员很容易受到贿赂、胁迫和/或破解企图的攻击。如果管理者也是研究人员,这些数据可能会让他们陷入利益冲突的境地。
一般来说,数据隐私问题是众所周知的,但云计算放大了这个问题。会议数据就是我们后院的一个例子。当会议组织者必须从头开始安装软件时,仍然存在违反机密性的风险,但数据只是关于一个会议。云计算解决方案允许在几十年内通过数千个会议聚合数据,如果数据落入坏人之手,就会产生巨大的滥用机会。
接受成功的记录可以被识别,对于单个研究人员和小组,在一段时间内。
有益的数据挖掘。除了这里描述的对会议审查数据的滥用之外,还有一些可能被认为是有益的用途。这些数据可以用来帮助检测或防止欺诈或其他不受欢迎的行为,例如,通过识别:
- 研究人员系统性地不公平地接受对方的论文,竞争对手系统性地拒绝对方的论文,或者审稿人拒绝了一篇论文,然后又将一篇具有类似想法的论文提交给另一个会议;而且
- 个别研究人员不可取的投稿模式和行为(例如平行或连续提交同一篇论文;承兑后重复提款;以及在提交版本和最终版本之间反复出现的内容更改)。
这些数据还可以用来理解和改进会议的管理方式。例如,ACM可以使用这些数据来构建其会议的质量指标,使其能够分析提交论文的作者类型,有多少“新鲜血液”进入社区,以及在不同版本的会议中如何变化。这可以帮助确定哪些会议正在成为主导,或者其他已经过时的会议。
关于允许谁挖掘数据以及为了什么目的进行挖掘的决定是很困难的。应以透明和协商一致的方式决定政策,而不应完全交给实际的数据保管者。
的方式前进
政策和立法。显而易见的第一步是明确界定数据使用方式的明确政策。例如,一个简单的政策可能是,在一个会议的管理期间收集的数据只应用于该特定会议的管理。遵守这一政策意味着在会议结束后删除数据,而Easychair没有这样做(我不知道EDAS是否这样做)。其他政策可能允许更广泛地使用这些数据。不同的学术团体之间的辩论可以预期产生共识,即在一个学科中哪些实践是允许的,哪些是不允许的。例如,一些社区可能会欢迎根据以前审查过的提交进行剽窃检测,而另一些社区可能会认为这对他们的主题无用,或根本没有必要。
自2002年成立至今,EasyChair似乎没有任何隐私政策,也没有任何关于其存储数据的目的和可能用途的声明。它的主页上没有任何隐私政策的链接,搜索“隐私政策”(或类似的术语)限制在域名“easychair.org”上也不会得到任何结果。我被告知,新用户在首次注册Easychair时,会收到一份隐私声明。我没有创建一个新帐户来测试这个;无论如何,隐私声明不是从任何地方链接的,也不是以后通过搜索可以找到的。EDAS确实有一个容易访问的隐私政策,该政策(虽然不是无懈可打的)似乎符合“仅用于本次会议”的原则。
另一个方向是尝试为数据保管人寻找替代性的保管人,这些数据保管人本身不是积极参与会议的研究人员。ACM或IEEE可能被认为是合适的,尽管它们有助于决定出版物和工作人员和研究员的任命。也可以考虑使用谷歌这样的专业数据保管人。可能很难找到一个理想的托管人,特别是如果考虑到成本因素。
在大多数国家,都有管理个人数据保护的立法。在英国,《数据保护法》以八项原则为基础,其中包括个人数据仅为特定目的而获取,且不以与该目的不相容的方式处理;以及数据保存时间不得超过该目的所需时间的原则。EasyChair位于英国,但缺乏可访问的目的声明或注册证据,这意味着我无法确定它是否符合立法。欧盟的《数据保护指令》也体现了类似的原则;个人资料只能为特定目的而处理,而不得以与该等目的不相容的方式进一步处理。
处理云中的加密数据。政策是第一步,但仅靠政策还不足以防止云服务提供商滥用委托给他们的数据。目前的研究旨在开发能够保证用户遵守商定的政策的技术。以下对研究方向的描述并不全面。
加密系统已经取得了进展,用户可以上传加密数据,服务提供商可以对加密数据进行计算和搜索,而不需要解密。虽然这种加密在原则上是可行的,但目前的技术在计算和带宽方面都非常昂贵,而且几乎没有实用的迹象。但研究仍在进行中,而且一直都有进展。
基于硬件的安全措施,如可信平台模块和英特尔的可信执行技术,旨在让远程用户相信提交给平台的数据是根据商定的策略处理的。这些技术可以在一般的云计算,特别是会议管理软件中提供隐私保障。然而,在开发一个可用的系统之前,还需要进行大量的研究。
某些云计算应用程序可能主要是存储应用程序,可能不需要在服务器端执行大量处理。在这种情况下,在将数据发送到云之前对其进行加密可能是可行的。它需要以一种实用和有效的方式在用户之间管理和共享密钥,并且需要在浏览器插件中完成必要的计算。这种安排是否适用于会议管理软件,值得研究。
结论
与我讨论过这些问题的许多人都认为,数据保管员(以及PC主席和PC成员)的职业荣誉足以防范我所描述的威胁。事实上,专业人士对道德行为的坚持是确保各种保密的必要条件。在实践中,系统管理员能够阅读所有组织的电子邮件,医务人员可以浏览名人的健康记录;我们相信同事的荣誉感能确保这些坏事不会发生。但我的观点是,我们仍然应该尽量减少对人们良好行为意识的依赖。我们正处于数字时代的开端,我们目前接受的许多解决方案从长远来看都不会被认为足够。
关于基于云计算的会议管理系统的问题在许多其他领域中得到了复制,遍及工业和学术界的所有部门。在一般情况下,服务器上的数据积累问题是很难解决的。这里考虑的特定实例很有趣,因为它可能小到可以解决,而且它也在学术团体的控制范围内,根据我们采用的解决方案,它将直接受益于苦难。
脚注
非常感谢通信评审员提供有趣且有建设性的评论。我还从与伯明翰大学以及更广泛的学术研究界的许多同事的讨论中受益。感谢EDAS管理员Henning Schulzrinne的评论和澄清。这一观点的草案被发送给了易趣椅的管理员安德烈·沃龙科夫,但他没有回应。
DOI: http://doi.acm.org/10.1145/1866739.1866751
数字图书馆是由计算机协会出版的。版权所有©2011 ACM股份有限公司
评论
安德烈亚斯•泽勒
对于EasyChair,我编写了一些说明,说明PC椅子如何限制对过去提交和评论的关闭访问。如果PC椅子能在过去的会议上这样做就太好了:
http://andreas-zeller.blogspot.de/2015/03/if-you-ran-easychair-conference-in-past.html
安德烈亚斯•泽勒
显示1评论