ACM通信

计算伦理

研究人员应该使用来自安全漏洞的数据吗?

大卫·m·道格拉斯
ACM通信，2019年12月，第62卷第12期，22-24页
10.1145 / 3368091
评论

不幸的是，安全漏洞和内部数据库、客户记录和用户信息的公开暴露现在经常发生。这些数据泄露给计算机研究人员带来了道德困境。这样的数据集在描述实际行为和事件方面具有潜在的价值，而这些行为和事件是对外部观察者隐藏起来的。然而，研究人员必须面对这样一个事实:这些数据是通过不道德的方式获得的:企业机密被打破了，数据中描述的那些人的隐私受到了损害。

在很多情况下，法律和专业规范都禁止使用不道德获取的信息。在法律上，对于非法获取的证据在刑事案件中使用有排除规则。《商业保密法》禁止企业使用从竞争对手那里获得的机密信息。美国科学研究条例中的“共同规则”和世界医学协会的《赫尔辛基宣言》要求人体研究对象在知情同意的情况下参与研究。^8，9

---

有各种各样的不道德获得的数据可能会引起计算研究人员的兴趣。

---

尽管如此，在一些研究领域，研究人员是否应该使用他人不道德获得的数据仍然存在争议。医学研究人员一直在争论是否要使用二战期间纳粹医生对集中营囚犯和战俘进行的致命和不人道的实验结果。⁶研究人员会认真考虑使用这种极其不道德的方式获得的数据，这表明使用不道德获得的数据的困境并不像最初看起来那么简单。尽管如此，支持和反对在研究中使用这些数据的争论可以指导计算研究人员使用数据泄露暴露的数据。

回到顶部

研究中不道德获得的数据

计算机研究人员通常不关心使用通过对人类受试者施加身体或心理伤害而获得的数据。然而，计算和互联网研究可能有造成伤害的潜力:数据分析和计算研究可能被用于侵犯隐私和泄露个人信息，这些信息可能被用来对他们不利。与医学研究不同，大数据分析的适当使用和适当的数据来源还没有很好地建立起来。⁴丹尼尔·r·托马斯(Daniel R. Thomas)和他的同事在对已发表的使用不道德获取的数据的研究进行审查时发现，有关使用这些数据的伦理问题的讨论并不一致。⁸尽管ACM道德准则将“避免伤害”列为一般原则，¹使用这些数据可能带来的危害并不总是很清楚。

有各种各样的不道德获得的数据可能会引起计算研究人员的兴趣。安全漏洞导致的数据集可能是密码转储、内部留言板数据库、财务和个人数据或机密信息。⁷这类信息可能是由举报人发布到互联网上的，可能是外部人员故意渗透到安全网络的结果，也可能是安全措施薄弱造成的意外泄露。

我们应该区分由研究人员自己不道德地获得的数据，和由第三方不道德地获得和发布的数据。第一个例子很直接:研究人员应该始终拒绝使用不道德的方法。如果对收集数据的方法有顾虑，应该咨询机构审查委员会(IRBs)和研究伦理委员会。法律对隐私的保护也限制了研究人员可以收集的信息和他们使用的方法。但是，如果第三方使用不道德的(可能是非法的)方法收集数据，然后公开发布，那么就不那么直接了。考虑一下告密者发布机密文件，揭露政府、公司或机构的不当行为。虽然举报人发布这些文件可能是非法的，但如果这些文件具有重要的研究价值和公共利益，研究人员是否应该忽视它们的内容还不清楚。全面禁止使用不道德获得的数据可能会阻止对社会有益的研究的发生。因此，支持和反对使用不道德获得的数据的论点应该针对每个个案加以考虑。

回到顶部

证明使用公开数据的合理性

使用安全漏洞暴露的数据最直接的理由是，利用这些数据给社会带来的潜在好处超过了获取这些数据所造成的危害。因此，研究人员必须提供一个令人信服的理由，说明如何使用这些数据将有益于社会。如果这些数据描述的是非法或有害的活动，那么显而易见的理由是，使用这些数据的研究可能被用于防止或限制未来的此类活动。这承认了用于获取数据的手段是错误的，但为研究人员将其用作防止或减少另一种形式的不当行为的手段进行了辩护。

这一论点的有效性取决于用于获取数据的不道德方法的严重性，以及该研究对社会的潜在益处。研究人员还应该尽量减少发表使用这些数据的研究可能产生的进一步伤害。例如，不道德获取的数据很可能包括本应被删除或匿名化的个人信息。研究人员应该确保在清理数据进行分析和发表时，删除任何可以识别个人身份的信息。

另一种观点是，由于数据已经是公开可访问的，因此可以以与任何其他公开可访问数据相同的方式使用它。⁵数据发布背后的方法和动机只与评估其质量有关。考虑到可能使用了非法手段获取数据，消息来源通常会试图保持匿名，以避免惩罚。因此，来源对数据的质量不负责。这就产生了数据被篡改或伪造的可能性。

由于数据真实性的不确定性，至少需要进行初步分析，以确定数据是否真实。由于使用安全漏洞暴露的数据对公众的好处取决于数据的准确性，研究人员必须解释他们如何确定数据的真实性，以及它是真实的可能性。即使研究人员拒绝在自己的工作中使用这些数据，确定这些数据是否可能是真实的，也有助于确认安全漏洞的发生。

然而，来自安全漏洞的数据是公开可访问的事实并不意味着在研究中使用它不会对它所描述的那些人造成额外的风险。例如，公开信息可能被用于骚扰或威胁个人。Jacob Metcalf正确地指出，使用研究数据给个人带来的风险更多地取决于数据集的内容和研究对它的使用，而不是数据是公开的、私人的或去匿名的。^3.这适用于合法获取和不道德获取的数据。虽然这似乎淡化了数据获取和发布方式的重要性，但数据质量的不确定性给使用不道德获取的数据带来了额外的负担。这种负担本身就是避免使用此类数据的潜在原因。

回到顶部

禁止使用公开资料

反对使用因安全漏洞而暴露的数据的主要论点有:

• 不道德的获取数据的方法“玷污”了数据本身和任何使用数据的研究;
• 使用这样的数据授予了这些方法和使用它们的人作为“研究者”的不可接受的合法性;而且
• 拒绝使用这类数据是一项重要的声明，表明了开展研究的伦理性，并阻止了研究人员在未来使用这类方法获取数据。²

声称不道德获取的数据“玷污”了使用数据的研究既是象征意义上的，也是方法论上的:使用数据象征性地再现了获取数据所造成的伤害，而收集数据的不道德方式也表明数据可能质量低劣。²对于安全漏洞的受害者来说，研究使用暴露的数据可能会强化他们发现自己的数据被暴露时的被侵犯和羞辱感。从方法上讲，由于研究人员没有参与收集数据，他们还必须确认数据是真实的，没有被操纵。这是必须验证和清理前面提到的不道德获得的数据所带来的部分负担。

使用不道德获取的数据之所以令人不安，部分原因在于，这意味着研究人员自己宽恕了用于获取数据的方法。虽然这是不可能的，但它需要研究人员明确地与那些使用这些数据在出版物中实施安全漏洞的人保持距离。虽然使用这些数据进行研究可能有正当的理由，但研究人员必须小心确保他们发表的研究结果的读者清楚，他们不赞同或宽恕用于获取数据的方法。

更强烈的拒绝安全漏洞作为数据源的做法是拒绝将其用于研究。这种拒绝明确说明了进行研究和获取数据的正确方法。这也阻止了未来的研究人员使用这类数据，因为这意味着研究界将回避他们的工作。然而，采取这种立场可能会导致忽视有价值的数据，否则可能无法获得这些数据。如果安全漏洞暴露了有关非法活动的数据，这些数据可能有助于更好地了解如何打击非法活动。

回到顶部

小心搬运

通过对支持和反对使用安全漏洞暴露的数据的论点的总结，可以得出一些一般性结论。数据中所描述的那些人所面临的风险，以及这些数据给研究人员带来的额外负担，意味着来自安全漏洞的数据只能作为最后的手段使用。然而，在有些情况下，从道德上获取数据是不可能的，而分析数据存在令人信服的公共利益理由。在这些情况下，解释分析不道德获得的数据的公共利益的举证责任是研究人员的责任。伦理委员会和伦理委员会应该帮助研究人员确定是否有一个对社会的显著好处可以证明使用这些数据是正当的。

考虑到使用来自安全漏洞的数据的风险(包括数据质量的不确定性和造成进一步伤害的风险)，研究人员必须确保他们如何使用这些数据将这些风险降到最低。ACM道德规范的一般伦理原则1.2(“避免伤害”)和1.6(“尊重隐私”)适用于这些情况，就像它们适用于所有计算研究一样。¹发表的使用来自安全漏洞的数据的研究应包括伦理部分，其中研究人员提出他们使用数据的理由，以及伦理委员会和/或伦理委员会审查和批准了它。⁷伦理委员会和伦理委员会也应该意识到不道德收集的数据所引起的具体关切。所使用的数据是否公开可访问，不应单独决定其使用是否对数据中所描述的人造成最小的风险。

回到顶部

回到顶部

数字图书馆是由计算机协会出版的。版权所有©2019 ACM, Inc.

---

没有找到条目