互聯網制造商應擁抱隱私“營養標簽”
借鑒食品行業的經驗,互聯網制造商應該擁抱隱私和安全的“營養標簽”,因為這些標簽將使注重隱私的公司脫穎而出。
消費者渴望這個領域的透明度,而物聯網制造商明智的做法是在政府強制令到來之前接受這些標簽——而且可以肯定的是,政府的介入即將到來。
美國網絡空間日光浴室委員會(CSC)現在作為一個非營利性非政府組織運作,其任務是“建立一個國家網絡安全認證和標簽機構”。該網絡安全標簽計劃最初是為了協助關鍵基礎設施提供商的技術采購決策而創建的,它將影響大部分消費品行業。
這個標簽計劃將會是什么樣子還有待觀察。 2022 年 10 月,CSC 會見了來自學術界、非政府組織和私營部門的約50 名代表。在這次研討會上,有一些常見的嫌疑人——亞馬遜、康卡斯特、谷歌、英特爾、LG、三星、索尼、消費者報告——當然還有各種游說團體。
峰會結束后,白宮官員表示,物聯網設備評級可能基于網絡安全要素,例如漏洞修復、數據是否加密以及與其他產品的互操作性;然而,它肯定會包含隱私元素,包括是否收集了消費者的數據。
據Cyber??Scoop報道,R Street Institute 的一名政策成員在離開峰會時相信“圍繞數據收集和共享的更廣泛的隱私標準可以被視為未來評級系統的一部分。”
毫無疑問,這項互聯網設備隱私標簽計劃得益于卡內基梅隆大學的重要工作。事實上,卡內基梅隆大學研究員 Yuvraj Agarwal 出席了峰會。
卡內基梅隆大學 CyLab 安全與隱私研究所
經過四年的研究,Pardis Emami-Naeni、Yuvraj Agarwal、Lorrie Cranor 及其同事為物聯網設備 創建了一個強大的營養標簽原型。
該原型由 47 種不同的隱私、安全和一般屬性組成,有兩層。第一層旨在突出顯示在產品包裝上,面向日常消費者。第二層可通過鏈接或二維碼在線獲取,面向軟件工程師或知識淵博的消費者尋求更詳細的信息。
這是以下四項研究的結果。
“探索隱私和安全如何影響物聯網設備購買行為”1/2019
研究人員發現,隱私和安全是消費者在購買物聯網設備時考慮的最重要因素之一。事實上,隱私和安全是繼功能和價格之后最重要的因素。
“請問專家:互聯網隱私和安全標簽上應該包含什么內容?” 12/2019
在這項研究中,研究人員采訪了 22 位隱私和安全專家,以確定他們的標簽中到底包含什么內容。這些專家來自學術界、非政府組織、政府,當然還有科技界的各個實體,其中包括幾位在硬件和軟件公司擔任政策職務的專家。
“哪些隱私和安全屬性對消費者的風險認知和購買物聯網設備的意愿影響最大?” 6/2021
為了改進標簽設計,這項研究幫助研究人員了解哪些隱私和安全標簽屬性會影響消費者的風險感知和購買意愿。研究人員發現,當消費者知道自己的信息不會被保留或與第三方共享時,他們會更愿意購買產品。
正如 Emami-Naeini 等人。寫道,“參與者經常表示擔心,他們不知道如果與第三方共享或出售給第三方,他們的信息將如何使用。”
“消費者愿意為物聯網設備的安全和隱私付費嗎?” 10/2022
通過這項研究,研究人員了解到,是的,消費者愿意為安全和隱私支付高昂的費用。
鑒于隱私和安全確實是相關的,對于隱私和安全屬性是否應該在單獨的部分中呈現缺乏共識,這也許并不奇怪。一半專家認為單獨的部分是合適的,另一半則希望將它們合并為一個部分。
安全與隱私關系的審視
在這些研究過程中,專家們對隱私和安全之間的區別存在爭議。一些人認為安全性更容易量化,而隱私則更具情境性和主觀性。
正如Emami-Naeini 等人。寫道,“在定義安全性時,幾乎所有專家(22 名專家中的 21 名)都提到了 CIA 的機密性、完整性和可用性三要素。然而,專家們對隱私有不同的定義。一些專家(22 人中的 9 人)將隱私定義為對數據實踐具有透明度和控制力,而一些專家將隱私定義為安全的機密性方面(22 人中的 8 人)。”
一些專家指出,隱私本質上取決于個人各自的舒適程度和個人喜好。這在技術上是正確的;然而,事實仍然是:量化隱私非常簡單。公司要么正在收集消費者數據,要么沒有。公司要么將這些數據出售給第三方,要么不出售。如果公司確實在收集用戶數據,他們可以通過明確地闡述他們的方法并首先披露他們收集用戶數據的原因來獲得消費者的信任。
我們很快就會看到安全和隱私標簽嗎?
球正在滾動,但標簽采用的時間表尚不清楚。
盡管 CMU CyLab 研究人員認為標簽采用可能來自零售商,但自愿采用標簽似乎不太可能。
克蘭諾等人。寫道,“零售商可以通過要求其銷售的產品制造商為其產品貼上標簽,甚至通過推廣貼有標簽的產品來激勵采用;例如,將它們放在搜索結果的頂部。”
現在,如果制造商拒絕貼上隱私標簽,像百思買這樣的大型商店當然可以拒絕銷售物聯網設備。然而,這似乎有點牽強,除非零售商找到財政激勵措施來這樣做。
公平地說,零售商理論上可以要求物聯網制造商在其包裝上貼上隱私/安全標簽。這并非沒有先例。
我們已經在應用程序開發人員和在線應用程序市場中看到了這一點
2020 年 12 月,蘋果公司開始要求其 App Store 中的所有應用程序披露數據收集實踐。為了使用 App Store,蘋果要求所有第三方應用程序披露該應用程序收集的數據類型以及該數據是否用于跟蹤用戶。
蘋果推出隱私營養標簽后不久,谷歌也緊隨其后,在 Google Play 上推出了自己的標簽計劃。
一個快速警告:《華盛頓郵報》科技專欄作家Geoffrey Fowler指出,蘋果不會立即驗證 Apple App Store 上第三方應用程序的隱私信息是否準確。標簽上有一份免責聲明,內容如下:“開發人員表示,該應用程序的隱私實踐可能包括如下所述的數據處理。該信息尚未得到蘋果公司的驗證。”因此,即使有蘋果的干預,營養標簽內容仍然基于開發者的自我報告,至少在最初是這樣。
與在線市場(例如,谷歌數據安全和蘋果隱私營養)一樣,零售商可以干預并強制互聯網制造商使用隱私標簽;然而,更有可能的情況是,互聯網隱私標簽的廣泛采用將來自政府的強制要求。
另一個警告:值得強調的是,這些標簽不會強加給互聯網制造商。所有標簽本質上都是自愿的。
安全和隱私標簽立法的現狀
參議員 Ed Markey 和國會議員 Ted Lieu 多年來一直試圖通過互聯網設備認證法。盡管他們的《網絡盾法案》從未在 2017 年或 2019 年在眾議院或參議院獲得投票,但他們于 2021 年 3 月重新提出了該法案。
根據該法案的措辭,《盾牌法案》“要求商務部建立網絡盾牌計劃,這是一項識別和認證所涵蓋產品的自愿計劃。這些產品是面向消費者的物理對象,符合行業領先的網絡安全和數據安全基準,并且可以(1)連接到互聯網; (2) 收集、發送或接收數據或控制物理對象或系統的行為。”
盡管不太可能通過,但2021 年盾牌法案中的內容正在影響白宮和 CSC。 2022 年 10 月白宮研討會結束后,埃德·馬基 (Ed Markey) 的陣營立即發布了一份新聞稿,贊揚了馬基所說的“互聯網網絡標簽”的工作。
據新聞稿稱,“隨著美國人在家中安裝數千萬臺聯網設備,網絡安全保護變得前所未有的重要。這就是為什么我們推出《網絡盾法案》來創建一個自愿的消費者標簽,表明設備是否符合高網絡安全基準。我們贊揚白宮今天宣布他們將采取類似的方法,為美國家庭帶來勝利,以便他們獲得保護自己家庭隱私所需的信息。物聯網網絡標簽是將權力歸還給消費者和加強網絡安全保護的關鍵一步。”
我們必須拭目以待,看看這個自愿的互聯網標簽計劃是否能取得成果;然而,球似乎確實在滾動。
要點
互聯網隱私營養標簽即將問世;然而,他們一開始是自愿的。保持自愿并不一定是壞事。消費者肯定會注意到選擇不使用這些標簽的互聯網制造商。
如果隱私標簽按預期發揮作用,互聯網設備制造商(可能還有其他行業)將被迫在隱私和安全方面進行競爭,這對消費者來說是一個凈積極因素。此外,記者將越來越多地報道特定設備的安全/隱私,這將進一步提高消費者的意識。
此外,即使許多消費者最初對標簽感到困惑,但這種情況會隨著時間的推移而改變。畢竟,今天當我們去雜貨店時,我們認為食品營養標簽是理所當然的。
當強制性食品營養標簽于 1990 年出現時(《營養標簽和教育法案》),它肯定遭到了食品行業中不情愿的參與者的抵制。我們可以預見,這項隱私標簽倡議將會遇到一些類似的阻力。盡管如此,真誠經營的公司肯定會明智地接受這種標簽工作。它只能幫助他們脫穎而出。
