由於亞馬遜(Amazon)、Facebook和Google等科技巨擘持續收集、儲存並銷售全球數百萬人的個人資料,不僅使其逐漸成為洩露隱私的代名詞,各種圍繞著監控經濟和數位隱私權的話題也日益引發熱烈討論。

但是,隱私問題並不只是數位服務和軟體供應商應該關注的問題;物聯網(IoT)裝置和任何連網裝置的OEM設計人員也需要瞭解如何恰當地收集、儲存、共享和使用資料,以保護個人資訊。這些連網裝置和子系統的應用範圍遍及醫療、消費電子和汽車等多種產業。如今,人工智慧(AI)和機器學習也加入這一戰局,從而將隱私問題提升至更高的層次。

以國家層級來看,目前在美國還沒有任何隱私相關法規,不過,加州已經開始推動制定州級的嚴格法律。但是,為什麼工程師和設計人員要關心這件事呢?隨著歐盟(EU)《一般資料保護規範》(General Data Protection Regulation;GDPR)的實施,要求進入歐盟的產品必須具備「隱私設計」(privacy by design)和「隱私預設」(privacy by default)的隱私保護機制。儘管這並不是新的概念,但在全球經濟環境中,OEM必須遵守GDPR,才能將終端產品和數位服務銷往歐盟國家。此外,包括中國和俄羅斯等其他國家或許更關注於國家安全,但也紛紛採取類似措施以保護其公民的個人資料。

GDPR致力於統一整個歐洲的資料隱私法,以保護所有歐盟公民的資料隱私。這意味著企業如何處理資料隱私的方式將會有很大的變化,尤其是對於網際網路涉入更深的美國公司。收集、儲存和銷售資料是這些公司的唯一收入來源,以前他們無需考慮隱私問題;但現在,隨著整個社會對於資料隱私問題的日益關注,個人與數位企業之間的權利日益矛盾。

這就像試圖要把被釋放的精靈重新塞回瓶中,卻發現為時已晚。因此,諸如電子元件產業協會(ECIA)、電機電子工程師學會(IEEE)和國家標準暨技術研究院(NIST)等監管機構和業界組織的介入,將有助於推動這一進程。

ECIA營運長兼法務長Robin Gray認為,隱私應該成為設計人員工具箱的一部份。「在GDPR公佈之前,曾經有一項歐盟法規嚴格要求隱私設計,而GDPR進一步開啟了實現隱私預設之門。他們意識到,如今在網路上有許多系統已經讓惡意侵犯隱私資料的大門洞開了。

「歐洲已經開始實施隱私設計了。儘管目前並未真的廣為人知或是有效地實踐,但這確實已經成為GDPR的推動力,因為它提供了一定的法律依據。IoT就是一個很好的例子,尤其是在早期,根本不會考慮隱私設計,也沒人認為這可能會是個威脅。而現在,GDPR在經過長期的努力後,已經讓全球都意識到保護資料隱私的重要性。」

「保護隱私最好的方法就是實現隱私設計——任何時候都必須為處理個人資料做好準備,因此,從設計的開始階段就納入隱私考量,這是產品不可或缺的一部分。」

隱私設計和隱私預設

網路安全顧問Judith Myerson解釋說:「隱私設計是指在產品開發的每一步驟,當需要處理個人資料時,始終考慮如何保護資料和隱私。它將隱私和資料完整性列為初始設計階段的優先事項,並貫穿至新產品和服務的整個開發生命週期。」

根據Deloitte的資料顯示,隱私設計的七個核心原則是:

Deloitte, privacy-by-design principles

隱私設計的7項核心原則。(來源:Deloitte)

Myerson說:「隱私預設則是指產品或服務一旦向公眾發佈,就默認提供最嚴格的隱私設定,而無需終端用戶進行任何手動操作。這也意味著,使用者為啟用某項產品功能而提供的任何資料或資訊,都應該僅限於保留使產品或服務正常運行所需的最短時間。」

她補充說:「在產品建置之後才解決隱私問題,會對終端用戶造成負面影響。如果發生資料洩露或是消費者投訴,則無論開發人員/設計人員是否在歐洲或只是擁有歐洲客戶,都必須向歐洲監管機構提供隱私設計的相關檔案。」

Myerson說,設計人員需要考慮的關鍵因素包括:

  • 需要收集哪些個人資料?
  • 如何最小化收集量?
  • 資料保存政策是什麼?
  • 與歐洲客戶簽訂的合約和協議中有哪些隱私法規?
  • 如何協助並指導終端用戶瞭解GDPR?
  • 如何將機器學習應用於資料隱私?
  • 資料應保留多長時間?
  • 隱私問題如何記錄歸檔?
  • 如何在試算表中保護隱私資料?

新創公司MEECO創辦人兼執行長Katryna Dow說:「一個簡單的規則就是,如果有一個開關按鈕的話,隱私設計會先將其設為關閉(Off),而讓個人得以選擇是否將其啟(On)。」Katryna Dow同時也是IEEE自主與智慧系統倫理全球倡議與個人資料與隱私委員會聯合主席,以及P7006 (個人資料人工智慧代理標準)主席。她同時還是IEEE標準協會(IEEE Standards Association)和MIT媒體實驗室(MIT Media Lab)聯手組建的全球擴展智慧理事會(The Council of Extended Intelligence;CXI)創始成員。

IEEE認為,P7006標準的建立是希望讓政府和產業瞭解,當有一天AI系統能夠自行管理並共用個人資訊時,預先正確設計資料保護機制可以減輕可能遭遇的道德問題。

Dow表示:「我們目前的典範是所有隱私都是『開啟』(On)的。但它並不容易讓人察覺它是開啟的,所以你通常不會意識到它的狀態,而且你不知道如何關閉它,甚至不知道自己有權關閉它;而如果你想要關閉它,系統設計的方式就會讓你覺得這太困難了,而最終不得不放棄嘗試。」

「隱私設計要做到的就是讓設計者認清一個事實——人們可能更想要『關閉』隱私而不是『開啟』,更希望自己不要被『追蹤』,同時可以選擇『開啟』的操作應該是簡單且無縫的。」

Dow將數位世界中的隱私問題比喻為美國西部蠻荒時代(Wild West),在那段時期中是沒有規則的,但隨著社群的發展,人們開始收斂行為。「隱私設計」就像是社群開始收斂行為一樣,並開始為個人最大利益而採取行動,以及從設計的角度實現社群的理想保護。」

美國與歐盟

Dow說,隱私設計之所以對設計者如此重要,原因在於歐美文化觀之間存在很大差異。「在歐洲,隱私被視為一項需要捍衛的人權。」

「我們越來越多地為所做的每件事情都創造出數位分身(digital twin),一個是事物的實體本身,另一個則是虛擬的數位分身。」Dow解釋說,歐盟對於隱私和人權的長期影響表達了擔憂,但這並不表示我們同意自己的數位分身如何被追蹤的方式。

Dow說:「在美國,人權或隱私方面的觀點經常被籠罩在一些關於言論自由或知情權(right to know)的修正案陰影之下。但情況也並未因此而在言論自由與隱私自主之間有所緩和。」

「例如在加州,我們開始看到的是,你不必在二者之間進行選擇。因為他們已經決定為提升隱私權付諸法規行動。他們並試圖禁止在公共場所進行臉部辨識。但是,在美國所面臨的挑戰之一就是可能會因為有太多州各自制定隱私法規,並盡可能地收集與處理資料,最終使得事情變得極為複雜。」

「而隱私設計恰好可以解決這個問題。如果在設計數位服務時即將此作為一種道德規範而納入考慮,那麼應該就會符合GDPR規範。而且由於不斷變化的法規出現,你可以得到更好的保護。如果美國公司向歐洲或世界其他地區提供跨國服務,即使它們是美國公司,也會發現自己對隱私設計原則負有責任。」

ECIA的Gray說:「最終,我們需要的是一個國家標準,而不是各州各擁一項標準,因為這真的會阻礙網際網路貿易。在美國,人們爭論的焦點在於誰擁有隱私資料——是收集這些資訊的公司(無論是否有權利這樣做),還是您自己擁有個人資料的所有權。」

Gray說:「美國網際網路業者在未經允許的情況下收集和出售資料,並基於此發展,許多企業和數位經濟體都建立在此基礎之上。因此,如何解決在隱私保護和商業之間的矛盾,將會是一場有趣的對話。」

隱私與安全性

Myerson說,設計人員需要瞭解的全球隱私和安全法規包括SOX、NIST、ISO和GDPR。她同時指出,對於企業如何審查其現有安全措施和資訊安全架構方面,GDPR給予的指導很有限。

Myerson說:「根據歐洲資料保護法,個人資料是指可以用來辨識個人身份的任何資訊,其中包括姓名、地址、Email帳號、IP位址、銀行帳號或其他個人資訊、醫療資訊、照片、社交網路貼文等任何可以用來辨識個人身份的資料。為了避免收集不必要的資料,應該對所有合約和協議進行審查,以確定哪些是必要的個人資料。

她說:「隱私設計應該成為早期設計過程/產品開發週期的一部份,並且貫穿開發週期的每一步驟。等到實施和部署產品後再解決隱私需求,將會對終端用戶和開發人員造成負面影響。相較於在早期流程中納入考慮,到了後期步驟中才解決問題將必須付出更高的成本。」

Myerson建議設計人員在設計過程的早期階段,考慮以下隱私保護相關問題:

  • 如何儲存資料?
  • 如何保護資料?
  • 資料應保留多長時間(請注意,GDPR第5(c)條款中並未提到資料保留的期限,而SOX則對此作出了規定)?
  • 組織的資料存取策略是什麼?
  • 有哪些收集的資料需要加以清除?
  • 不同的隱私法或法規對資料要求有什麼不同?
  • 試算表中資料的隱私問題是什麼?
  • 當設計人員位於歐洲或歐洲以外地區時,歸檔策略是什麼,如何記錄隱私問題?

Myerson並建議開發人員和工程師閱讀NIST有關安全控制的文章,以為GDPR做好準備。該文建議閱讀的出版物如下:

她說,上述第一篇文章有助於隱私設計和隱私預設的執行,可應用於非聯邦資訊系統。第二篇文章提供了評估資訊安全架構的通用結構。第三篇涉及第13636號行政命令(Executive Order 13636),要求架構中包含有效方法,當關鍵基礎設施部門在聯邦和非聯邦資訊組織中進行網路安全活動時,可以保護個人隱私和公民自由。最後一篇文章則側重於實現安全目標的具體解決方案。

她還建議工程師閱讀NIST出版物參考文獻中包含的ISO標準,以及SOX的應用方式,儘管其目標讀者並不是工程師。工程師們還應該瞭解如何將各種隱私法規應用於大數據(big data)的機器學習應用。

目前,NIST正就“Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF) ”白皮書草案徵求意見,截止日期為2019年8月5日。該白皮書建議了可添加到每個軟體開發生命週期(SDLC)建置的高層級安全軟體開發實踐核心集。讀者可以將意見發送至 ssdf@nist.gov。

IEEE正開發中的P7000系列標準包括了針對智慧和自主技術的道德開發和/或流程以及/或管理的13個標準,其中許多都涉及隱私。如IEEE P7002,即有關資料隱私流程的IEEE標準專案,規定了如何管理那些收集個人資料的系統或軟體產生的隱私問題。IEEE表示,該標準將為設計人員提供方法,利用隱私影響評估來辨識和衡量系統中的隱私控制方法。

資料隱私的影響涉及軟體、韌體和硬體。Dow說:「而你能想到的Nest或Alexa裝置或其他任何類似的連網家庭系統等都是硬體。隱私設計與硬體設計方式同樣重要,都涉及了讓作業系統如何運作,以及讓軟體如何運行同時收集資料。」

「同時,如何使硬體或IoT裝置盡可能安全的『安全設計』(security by design)也越來越重要,而隱私設計則旨在確保IoT裝置如何設置,以便讓資料傳輸時的風險降至最低。」

Dow表示,人們越來越擔心,僅僅關注軟體和服務是否足夠。「起初,隱私設計的重點在於軟體和數位服務。但是逐漸地,IEEE的P7000系列以及全球擴展智慧理事會和MIT共同完成的一些工作顯示,隱私設計可能必須成為硬體級和晶片級的設計原則。」

IEEE的一系列舉措引領了這一風向,他們不斷探索隱私和控制應該從哪裡開始,以及其在設計流程中應嵌入的深度。

Dow認為,這項工作極具挑戰性和顛覆性,尤其是當前世界不同地區採用不同法規,而資料和隱私問題又如此之多。「嘗試形成一項能夠在全球範圍內實施的統一方法是極具挑戰性。」

「針對過去20~30年的開發、軟體服務和數位手機中的許多實踐,IEEE提出了質疑,他們認為,技術上可行並不意味著道德正確。關於道德爭辯的一部份關注點在於,事情發展得太快從而導致意想不到的後果,也許現在是時候開始反省,這一切是否道德正確以及是否應該繼續發展下去。」

針對供應鏈和設計鏈的隱私設計深度,目前還有許多工作要做,而電子產業必須在發展以及制定這些法規方面發揮更大的作用。

(參考原文:Why engineers need to understand data privacy laws,by Gina Roos)

本文同步刊登於電子技術設計雜誌2019年12月號