隐私设计:如何出售隐私并做出改变
已发表: 2022-03-10隐私是一项基本人权,可以让我们成为真正的自己。 这让我们可以毫无羞耻地成为怪人。 它允许我们有不同意见而没有后果。 最终,它让我们得以自由。 这就是为什么许多国家都有关于隐私的严格法律。 然而,尽管有这种共识,但互联网上的隐私是迄今为止了解最少和定义不明确的主题之一,因为它涉及大量问题,以多种不同形式形成,这使得识别和讨论变得异常困难. 但是,我想尝试解决这种歧义。
在美国,打开某人的邮件属于联邦罪行。 这被认为是侵犯隐私的犯罪行为,可能会使某人入狱长达五年。 打个比方,我们在互联网上创建的每一条数据——无论是照片、视频、文本还是其他东西——都可以被认为是邮件的包裹。 然而,与在现实生活中打开我们的邮件不同,互联网公司可以合法地打开通过他们的系统传递的每一封邮件,而不会产生法律后果。 此外,他们也可以复制它。 这些公司的所作所为类似于有人打开我们的邮件,在 Kinkos 复制它,然后将其存储在带有我们名字的文件柜中,并与任何愿意付费的人共享。 想要打开那个文件柜或删除一些副本? 太糟糕了。 我们的邮件目前被认为是他们的财产,我们几乎无法控制它的使用方式。
如果他们发现邮政服务将他们的邮件作为人质并将其出售给愿意付款的人,你能想象公众会经历的愤怒吗? 互联网上发生的数据没有什么不同,现在是时候改变了。
发生这种情况不仅仅是道德问题,而是基本人权问题。
做出需要做出的改变(没有监管强制改变)的问题是用美元符号来解决问题。 为提高消费者隐私标准而进行的 20,000 小时工程投资的财务回报是多少? 消费者是否要求这些改变? 因为如果它没有产生财政回报,消费者也没有要求,那为什么要做出改变呢? 即使他们是并且有回报,20,000小时的投资甚至看起来像什么? 产品路线图上会放什么?什么时候放? 这些都是需要解决的有效问题,以帮助我们有效地前进。 所以,让我们讨论一下。
推荐阅读:在网页设计中使用伦理
消费者想要吗?
这个问题的答案是肯定的。 皮尤研究中心的调查结果表明,美国 90% 的成年人认为他们能够控制收集哪些关于他们的信息很重要,93% 的人认为他们可以控制谁可以访问这些信息很重要,86% 的人认为采取措施去除或掩盖他们的数字足迹。 在 doteveryone 的 2018 年数字态度报告中发现了关于欧洲人的类似数字。 尽管有这些数字,59% 的人仍然觉得不可能在网上保持匿名,68% 的人认为现行法律在保护他们的隐私方面做得不够,只有 6% 的人“非常有信心”政府机构可以保证他们的安全。
现在,我知道你在想什么。 这是消费者的需求,在这些消费者开始抛弃旧产品之前,没有任何财政理由进行任何改变。 而且(虽然我不同意你的逻辑)你是对的。 目前几乎没有财政理由做出任何改变。 然而,当消费者需求达到临界点时,事情总是会发生变化。 从长远来看,在变革被要求之前引领潮流的企业总是会获胜。 那些拒绝做出改变,直到他们被迫总是感到最痛苦的人。 历史证明这是事实。 但是,会发生什么改变业务的立法呢? 好问题。
通过监管,全球数据保护和隐私标准即将发生的变化与不到十年前消费者要求保护免受垃圾邮件的影响并没有太大不同,这导致了美国的 CAN-SPAM 法案——但规模更大,影响更大。 这项立法是因为消费者厌倦了收到垃圾邮件而制定的,它制定了商业电子邮件的规则,制定了商业信息的要求,赋予收件人让个人和公司停止发送电子邮件的权利,并对违规行为进行严厉处罚。 随着我们进入一个消费者开始了解他们被欺骗的严重程度的时期(多年来,让人们密切控制他们的数据无疑将成为数据收集的未来)——无论是通过自由意志还是立法。 那些选择先行动的人将获胜。 不相信我?
考虑一下工程师可能会因为他们编写的代码而陷入法律纠纷的事实。 Apple Watch、Alexa 和 FitBit 数据等已被用作法庭上的证据,改变了消费者对其数据的看法。 微软和美国最高法院于今年早些时候上法庭,以确定基于云的犯罪活动的物理边界延伸到哪里,这将是一场长期斗争的开始。 这些示例只是对即将发生的事情的一瞥。 人们的要求越来越高,而我们正在达到临界点。
第一个采取措施响应这一需求的是欧盟,它制定了 GDPR,现在其他国家的政策制定者也开始效仿,制定本国的法律来定义我们的网络未来。 例如,美国参议院情报委员会副主席马克·华纳(Mark Warner)最近在几个月前的一份总结报告中提出了一些想法,展示了美国可能很快将立法的方向。 但是,相信这就是未来的不仅仅是进步人士; 甚至像史蒂夫班农这样的右翼影响者也认为我们需要监管。
我们所看到的是人类对不可思议的操纵的反应。 无论我们与前几代人相比如何驯化,当人们感到受到威胁时,他们总是会反击。 这是一种自然反应,使我们得以生存数千年。 今天,科技已经不仅仅是一个面向消费者的行业。 它现在也成为国家安全问题。 因此,无论我们喜欢与否,都会有反应。 如果我们提出一个准备而不是被扫地出门的策略,那就更好了。 那么,你问的经济回报是多少? 那么,你的生意值多少钱? 那是多少。
推荐阅读: GDPR 将如何改变您的发展方式
对于需要解决什么以及为什么需要解决的简单框架,我们可以坚持以下几个事实作为创建数字系统的基础:
- 隐私必须是主动的,而不是被动的,并且必须在隐私问题到达用户之前对其进行预测。
这些问题不是我们想要在问题出现后处理的问题,而是我们想要完全避免的问题,如果可能的话。 - 隐私必须是默认设置。
在隐私方面没有“最适合企业”的选择; 这是一个关于什么对消费者最有利的问题,从长远来看,这将对企业更好。 通过 2018 年 8 月 Paypal 和 Venmo 发生的事情,我们可以看到当强制缺陷暴露给公众时会发生什么,当时“默认公共”向公众发布,给该品牌带来了一些负面新闻。 更多的这种情况肯定会出现在那些等待坏事发生后再做出改变的企业身上。 - 隐私必须是正和,并应避免二分法。
与隐私没有二元关系; 这是一个永远具有延展性的问题,需要不断的监督和永久的迭代。 我们的工作不会以条款和服务协议结束,它会永远持续下去,并且应该被视为您的产品的基本要素,它与产品一起发展并使消费者能够保护自己——而不是利用他们缺乏理解的机会。 - 隐私标准必须是可见的、透明的、公开的、记录在案的和可独立验证的。
没有很好的方法来定义您的隐私标准的试金石,但是作为商务人士,我们都应该问自己几个问题:首先,如果媒体公布了您的隐私协议,这可以理解吗? 其次,如果可以理解,消费者会喜欢他们阅读的内容吗? 最后但同样重要的是,如果没有,你需要改变什么?
随着产品的构建和发展,这些原则将成为非常有价值的基础。 它们代表了向您自己和您的团队提出的快速简单的问题,这些问题将使您拥有良好的道德基线,但是对于法律基础的更长篇文章,您可以从 Heather Burns 那里阅读更多内容,他在去年概述了 Smashing 的几项附加原则。 对于在隐私影响评估 (PIA) 期间要检查的事项的完整列表,您还可以查看如何根据以下内容进行评估:
- 英国信息专员办公室 (ICO)
- 加拿大隐私专员办公室
- 美国国土安全部
但在急于对您的产品进行更改之前,首先让我们指出当前存在的一些缺陷,并讨论一旦正确实施这些更改可能会是什么样子。
如何做出改变
美国隐私实践的最大问题之一是很难理解条款和服务协议 (T&S),它们在定义隐私方面发挥着重要作用,但往往做得很差。 目前,如果用户希望了解他们同意的内容,他们必须阅读充满法律语言和技术术语的长文档。 一项研究实际上表明,普通人每年需要大约 201 小时(近 10 天)才能阅读他们每年遇到的每一项隐私政策。 研究人员估计,这种浪费时间的价值每年将达到近 7810 亿美元,考虑到这些是本应保护消费者的规则——这些规则被吹捧为简单易懂的规则,这是无法接受的。 这使消费者处于被迫选择加入而不真正了解他们正在进入的位置。 在许多情况下,强制的甚至不是法律语言,而是一般而言,提供选择的方式,各种经验清楚地证明了这一点:
上面给出的示例是通用线框,但我选择这样做是因为我们都见过这样的模式以及与收集更具体类型的数据相关的其他模式。 我可以列出具体的例子,但这个列表会一直持续下去,没有理由列出展示操纵模式的特定公司,因为这些模式(以及其他非常相似的模式)几乎可以在 Internet 上的每个网站或应用程序中找到。 以这种方式征求同意存在一个主要问题:不允许消费者在没有几个额外步骤、大量阅读以及更多的情况下不接受条款和服务。 这是一个需要解决的基本缺陷,因为征求同意意味着需要有一个拒绝的选项,为了知道“不”是否是最佳选择,消费者需要了解他们同意什么。 然而,产品并不是这样构建的。 为什么? 嗯,这对企业来说是最好的。
如果我们真的坐下来想一想,很容易看到但不为人知的是,公司花费更多时间创建启动页面来解释如何使用该应用程序,而不是我们解释正在收集哪些数据以及为什么要收集这些数据。 为什么? 对 T&S 协议的签订方式进行简单的改变,不仅可以让消费者更加了解他们所签署的内容,还可以让他们成为更负责任的消费者。 由于 GDPR 在全球范围内产生的影响,我们可以看到其中一些变化已经发生。 在许多欧洲国家,通过以下方式征求同意的情况并不少见:
第一个例子是向前迈出的一大步。 它告诉消费者他们的数据将用于什么,但它仍然缺乏关于数据去向的透明度,并且在没有拒绝选择的情况下优先考虑协议。 它还将所有内容都塞进了一个单一的文本体中,这使得信息更难消化。
一个更好的例子来说明如何设计,就像下面的模式,现在在许多欧洲网站中很常见:
这使消费者能够全面了解他们的数据将用于什么,并以易于理解的方式进行。 但是,它仍然缺乏关于在他们同意后数据将去往何处的任何重要信息。 对于他们的数据将在哪里共享、将与谁共享以及这些协议中存在哪些限制,没有一条线索。 虽然这比网络上的大多数选项要好得多,但仍有待改进。
第三方登录提示
例如,当使用第三方服务登录您的平台时,消费者应该清楚以下几点:
- 将从第三方获取哪些数据;
- 如果您无法访问它,它的用途以及它可能如何影响他们的体验;
- 还有谁拥有或可能拥有它。
为了以赋予消费者控制权的方式实现这一点,这种体验还应该允许消费者选择加入收藏的各个部分,而不是被迫同意一切或根本不同意。
这将使 T&S 易于消化,并允许消费者选择他们真正同意的内容,而不是公司希望他们同意的内容。 并且为了确保它是真正的选择加入,默认值应该设置为选择退出。 这将是一个很小的变化,它将对征求同意的方式产生巨大的影响。 今天,大多数公司都用法律术语来掩盖这些内容,以隐藏他们真正感兴趣的内容,但以这种方式征求同意的日子很快就要结束了。
如果您为消费者提供有意义的服务,并且这样做是合乎道德的,那么这些变化应该不是问题。 如果服务有真正的价值,消费者就不会拒绝你的要求。 他们只想知道他们可以信任和不可以信任的人,这是一个简单的步骤,可以帮助您的企业证明其可信赖性。
单点和多点数据收集请求
接下来,在为您的平台创建可理解的 T&S 协议时,我们必须考虑如何在应用程序体验中更贴近上下文地发挥作用。 请记住,如果一切都预先放弃,那是不可消化的。 出于这个原因,数据收集请求应该在上下文中发生,当消费者即将使用您的服务的一部分时,需要收集额外的数据层。
为了演示这个问题是如何发生的,这里有几个例子来说明单点和多点数据收集请求的样子:
将 T&S 分解为体验中可消化的交互点,而不是预先向用户询问所有内容,这可以让他们更好地了解正在发生的事情和原因。 如果您不需要数据来改善体验,为什么要收集这些数据? 如果收集它的原因只是对公司有利的琐碎原因,那就诚实。 这只是基本的诚实,不幸的是,这在现代世界被认为是革命性的、进步的客户服务。
这些初始问题的最大关键是默认情况下这些都不应该是选择加入的。 所有初始触发器都应该让使用该工具的人选择加入,如果他们选择使用它,而不选择加入。 强制选择加入(或者,更糟糕的是,强制选择加入)的日子即将戛然而止,引领潮流的人将在未来很长一段时间内保持领先地位。
数据控制中心
除了以有意义的方式征求同意之外,我们让消费者能够事后控制他们的数据也很重要。 消费者控制其数据的访问权不应以条款和服务协议结束。 在他们的帐户控制的某个地方,还应该有一个地方(或多个地方),消费者可以在他们投入时间使用服务后控制他们在平台上的数据。 该区域应向他们展示正在收集哪些数据、与谁共享数据、如何删除数据等等。
完全数据控制的想法可能看起来非常自由,但毫无疑问是未来。 作为创造数据的消费者的财产,它应该被视为一项基本人权。 没有理由在历史的这一点上进行辩论。 数据代表了我们生活的故事——集体——并将其结合起来,对创造它的人产生了巨大的力量,特别是如果我们允许系统保持黑匣子。 因此,除了让消费者访问他们的数据,正如我们在前几节中讨论的那样,我们还需要让体验更易于理解,以便消费者能够保护自己。
创建可解释的 AI
虽然在我们知道我们想要它们之前获得一个向我们展示我们想要的东西的建议结果令人难以置信,但这也使机器处于他们尚未准备好单独维护的强大位置。 当机器被定位为专家并以足够智能的水平运行时,公众通常会信任它们,直到它们失败。 但是,如果机器以公众无法理解的方式失败,尽管失败,它们仍将保持专家地位,这是对人类的最大威胁之一。
例如,如果有人使用视觉搜索工具来识别食用蘑菇和毒蘑菇之间的区别,但他们不知道机器告诉他们毒蘑菇是安全的,那么这个人可能会死。 或者当机器决定法庭案件的结果并且不需要对其决定提供解释时会发生什么? 或者更糟糕的是,当这些技术被用于军事目的并被赋予使用致命武力的权利时呢? 最后一种情况听起来可能很极端,但这是目前联合国内部正在讨论的一个问题。
为了确保公众能够了解幕后发生的事情,我们需要创建 DARPA 所谓的可解释人工智能 (XAI)——解释机器如何做出决策以及完成这些任务的准确性的工具。 这不是要泄露商业机密,而是让消费者觉得他们可以信任这些机器并在发生错误时为自己辩护。
尽管它不是基于人工智能,但 CreditKarma 就是一个很好的例子,它可以让人们更好地了解他们的信用评分——这个系统曾经像今天的算法一样被隐藏起来。 该工具使消费者可以更好地了解幕后发生的事情,并在他们认为系统失败时辩论其结果的合法性。 类似的工具正在使用 Google 的 Maps Match score 和 Netflix Percent Match on show 等系统创建,但这些系统才刚刚开始触及可解释 AI 的表面。
尽管做出了这些努力,但今天的大多数算法都根据公司认为我们想要什么来决定我们的经验。 但消费者不应再受到大型上市公司的无形控制。 消费者应该有权控制自己的算法。 这可能很简单,比如让他们知道哪些变量用于体验的哪些部分,以及改变每个变量的权重将如何影响他们的体验,然后让他们能够调整它直到满足他们的需求——包括将算法完全关闭,如果那是他们喜欢的。 这将是付费功能还是免费功能仍有待商榷,但没有争议的是是否应该提供这种自由。
虽然上面的例子是一个通用的建议,但它开始想象我们如何在更具体的情况下制作体验。 通过让消费者能够了解他们的数据、数据的使用方式以及数据如何影响他们的生活,我们将设计一个让消费者能够控制自己的自由的系统。
然而,无论这些改变做得多么好,我们还必须意识到,让人们更好地控制自己的隐私并不意味着为消费者提供更安全的环境。 事实上,这可能会使事情变得更糟。 研究表明,让人们更好地控制他们的数据实际上使他们更有可能提供更敏感的信息。 如果消费者不知道这些数据可能会被如何使用(即使他们知道这些数据在哪里被共享),这会让他们受到伤害。 从这个意义上说,让消费者更好地控制他们的数据,并期望它让互联网更安全,就像在士力架上贴上营养标签,并期望它能让糖果棒不那么容易发胖。 它不会,人们仍然会吃它。
虽然我确实相信消费者拥有更好的隐私控制和更高的透明度的基本权利,但我也相信,作为具有数据素养的技术人员,我们的工作不仅是构建更好的系统,还要帮助公众了解互联网安全。 因此,将这些结合在一起的最后一步是让人们意识到控制并不是消费者所需要的全部。 他们还需要了解后端发生了什么以及原因。 这并不一定意味着向他们提供源代码或放弃他们的 IP,但至少为他们提供足够的信息以了解基本级别的情况,以确保安全。 为了实现这一点,我们需要超越我们的屏幕。 我们需要将我们的工作扩展到我们的社区,并帮助创造这个未来。
推荐阅读:设计伦理:改变设计中的伦理理解
激励变革
由于科技界存在垄断,消费者对隐私为何如此危险的误解,以及缺乏与财政回报相关的战术解决方案,人们都不得不放弃隐私。 然而,这是一个需要解决的问题。 正如巴拉克奥巴马在他的政府对互联网隐私问题的总结中指出的那样:
“有一点应该明确:尽管我们生活在一个比过去更自由地分享个人信息的世界,但我们必须拒绝接受隐私是一种过时价值的结论。 它从一开始就是我们民主的核心,我们现在比以往任何时候都更需要它。”
创造值得信赖和安全的数据共享体验将是我们的世界在未来几十年将面临的最大挑战之一。
我们可以看看 Facebook 的股票是如何在一天之内下跌 19% 的,因为他们宣布将重新关注隐私工作,以证明做出这些改变可能有多么困难。 这是因为最近专注于短期收入增长的投资者知道公司需要多么迫切地实施更好的战略,但也意识到如果公众开始质疑一家企业所涉及的成本——Facebook 承认这一点的公开声明让羊大吃一惊.
虽然这个过程并不容易(而且很多时候可能很痛苦),但我们都知道隐私是技术的软肋,是时候改变它了。 从长远来看,今天做出的决定将带来巨大的回报; 与在过去十年左右的增长中主导业务的短期季度思维方式截然不同。 因此,对于企业和政策制定者来说,发现创造性的方法让这些问题成为所有利益相关者的优先事项应该被认为是必不可少的,这意味着我们作为技术人员的工作需要超越董事会。
例如,除了讨论本文中提出的数字和问题之外,激励这些变化的一个好方法是为那些将大量预算用于改进系统的公司提供税收减免。 决定为其员工提供定期培训或研讨会的公司可以休息,以帮助将隐私和安全作为公司文化中的优先事项。 可以将它们提供给雇用专业黑客的公司,以便在攻击发生之前发现其系统中的漏洞。 他们可以分配给那些分配大量时间以使消费者受益的方式重组其业务实践的人。 从这个意义上说,这种激励措施与给予实施环保做法的企业的税收减免没有太大区别。
减税的想法对某些人来说可能听起来很离谱,但诸如此类的激励措施将代表比现在处理事情的方式更积极的解决方案。 虽然读到“谷歌因违反 Android 反垄断法被欧盟罚款 50 亿美元”的标题可能感觉不错,但我们必须记住,这样的罚款只占此类公司收入的一小部分。 再加上大多数案件需要几年或几十年才能得出结论,而且这个百分比只会越来越小。 考虑到这一点,可以从不同的角度看待减税的想法,即它们不是奖励以前的疏忽行为,而是以符合每个相关人员的最佳利益的方式提高公共安全。 维持我们目前的系统,允许公司在继续他们的渎职行为的同时将法庭案件排除在外,这与根本没有法律一样危险,如果不是更危险的话。
如果您喜欢阅读这篇文章并认为其他人也应该阅读它,请帮助传播这个词。
这篇文章是我将要写的一系列关于互联网安全的文章的开始,在这篇文章中,我将努力将财政数字纳入道德设计模式,以便我们作为技术人员可以改变我们正在建立的业务并创建一个围绕互联网连接体验发展的更好文化。