互联网制造商应拥抱隐私“营养标签”
借鉴食品行业的经验,互联网制造商应该拥抱隐私和安全的“营养标签”,因为这些标签将使注重隐私的公司脱颖而出。
消费者渴望这个领域的透明度,而物联网制造商明智的做法是在政府强制令到来之前接受这些标签——而且可以肯定的是,政府的介入即将到来。
美国网络空间日光浴室委员会(CSC)现在作为一个非营利性非政府组织运作,其任务是“建立一个国家网络安全认证和标签机构”。该网络安全标签计划最初是为了协助关键基础设施提供商的技术采购决策而创建的,它将影响大部分消费品行业。
这个标签计划将会是什么样子还有待观察。 2022 年 10 月,CSC 会见了来自学术界、非政府组织和私营部门的约50 名代表。在这次研讨会上,有一些常见的嫌疑人——亚马逊、康卡斯特、谷歌、英特尔、LG、三星、索尼、消费者报告——当然还有各种游说团体。
峰会结束后,白宫官员表示,物联网设备评级可能基于网络安全要素,例如漏洞修复、数据是否加密以及与其他产品的互操作性;然而,它肯定会包含隐私元素,包括是否收集了消费者的数据。
据CyberScoop报道,R Street Institute 的一名政策成员在离开峰会时相信“围绕数据收集和共享的更广泛的隐私标准可以被视为未来评级系统的一部分。”
毫无疑问,这项互联网设备隐私标签计划得益于卡内基梅隆大学的重要工作。事实上,卡内基梅隆大学研究员 Yuvraj Agarwal 出席了峰会。
卡内基梅隆大学 CyLab 安全与隐私研究所
经过四年的研究,Pardis Emami-Naeni、Yuvraj Agarwal、Lorrie Cranor 及其同事为物联网设备 创建了一个强大的营养标签原型。
该原型由 47 种不同的隐私、安全和一般属性组成,有两层。第一层旨在突出显示在产品包装上,面向日常消费者。第二层可通过链接或二维码在线获取,面向软件工程师或知识渊博的消费者寻求更详细的信息。
这是以下四项研究的结果。
“探索隐私和安全如何影响物联网设备购买行为”1/2019
研究人员发现,隐私和安全是消费者在购买物联网设备时考虑的最重要因素之一。事实上,隐私和安全是继功能和价格之后最重要的因素。
“请问专家:互联网隐私和安全标签上应该包含什么内容?” 12/2019
在这项研究中,研究人员采访了 22 位隐私和安全专家,以确定他们的标签中到底包含什么内容。这些专家来自学术界、非政府组织、政府,当然还有科技界的各个实体,其中包括几位在硬件和软件公司担任政策职务的专家。
“哪些隐私和安全属性对消费者的风险认知和购买物联网设备的意愿影响最大?” 6/2021
为了改进标签设计,这项研究帮助研究人员了解哪些隐私和安全标签属性会影响消费者的风险感知和购买意愿。研究人员发现,当消费者知道自己的信息不会被保留或与第三方共享时,他们会更愿意购买产品。
正如 Emami-Naeini 等人。写道,“参与者经常表示担心,他们不知道如果与第三方共享或出售给第三方,他们的信息将如何使用。”
“消费者愿意为物联网设备的安全和隐私付费吗?” 10/2022
通过这项研究,研究人员了解到,是的,消费者愿意为安全和隐私支付高昂的费用。
鉴于隐私和安全确实是相关的,对于隐私和安全属性是否应该在单独的部分中呈现缺乏共识,这也许并不奇怪。一半专家认为单独的部分是合适的,另一半则希望将它们合并为一个部分。
安全与隐私关系的审视
在这些研究过程中,专家们对隐私和安全之间的区别存在争议。一些人认为安全性更容易量化,而隐私则更具情境性和主观性。
正如Emami-Naeini 等人。写道,“在定义安全性时,几乎所有专家(22 名专家中的 21 名)都提到了 CIA 的机密性、完整性和可用性三要素。然而,专家们对隐私有不同的定义。一些专家(22 人中的 9 人)将隐私定义为对数据实践具有透明度和控制力,而一些专家将隐私定义为安全的机密性方面(22 人中的 8 人)。”
一些专家指出,隐私本质上取决于个人各自的舒适程度和个人喜好。这在技术上是正确的;然而,事实仍然是:量化隐私非常简单。公司要么正在收集消费者数据,要么没有。公司要么将这些数据出售给第三方,要么不出售。如果公司确实在收集用户数据,他们可以通过明确地阐述他们的方法并首先披露他们收集用户数据的原因来获得消费者的信任。
我们很快就会看到安全和隐私标签吗?
球正在滚动,但标签采用的时间表尚不清楚。
尽管 CMU CyLab 研究人员认为标签采用可能来自零售商,但自愿采用标签似乎不太可能。
克兰诺等人。写道,“零售商可以通过要求其销售的产品制造商为其产品贴上标签,甚至通过推广贴有标签的产品来激励采用;例如,将它们放在搜索结果的顶部。”
现在,如果制造商拒绝贴上隐私标签,像百思买这样的大型商店当然可以拒绝销售物联网设备。然而,这似乎有点牵强,除非零售商找到财政激励措施来这样做。
公平地说,零售商理论上可以要求物联网制造商在其包装上贴上隐私/安全标签。这并非没有先例。
我们已经在应用程序开发人员和在线应用程序市场中看到了这一点
2020 年 12 月,苹果公司开始要求其 App Store 中的所有应用程序披露数据收集实践。为了使用 App Store,苹果要求所有第三方应用程序披露该应用程序收集的数据类型以及该数据是否用于跟踪用户。
苹果推出隐私营养标签后不久,谷歌也紧随其后,在 Google Play 上推出了自己的标签计划。
一个快速警告:《华盛顿邮报》科技专栏作家Geoffrey Fowler指出,苹果不会立即验证 Apple App Store 上第三方应用程序的隐私信息是否准确。标签上有一份免责声明,内容如下:“开发人员表示,该应用程序的隐私实践可能包括如下所述的数据处理。该信息尚未得到苹果公司的验证。”因此,即使有苹果的干预,营养标签内容仍然基于开发者的自我报告,至少在最初是这样。
与在线市场(例如,谷歌数据安全和苹果隐私营养)一样,零售商可以干预并强制互联网制造商使用隐私标签;然而,更有可能的情况是,互联网隐私标签的广泛采用将来自政府的强制要求。
另一个警告:值得强调的是,这些标签不会强加给互联网制造商。所有标签本质上都是自愿的。
安全和隐私标签立法的现状
参议员 Ed Markey 和国会议员 Ted Lieu 多年来一直试图通过互联网设备认证法。尽管他们的《网络盾法案》从未在 2017 年或 2019 年在众议院或参议院获得投票,但他们于 2021 年 3 月重新提出了该法案。
根据该法案的措辞,《盾牌法案》“要求商务部建立网络盾牌计划,这是一项识别和认证所涵盖产品的自愿计划。这些产品是面向消费者的物理对象,符合行业领先的网络安全和数据安全基准,并且可以(1)连接到互联网; (2) 收集、发送或接收数据或控制物理对象或系统的行为。”
尽管不太可能通过,但2021 年盾牌法案中的内容正在影响白宫和 CSC。 2022 年 10 月白宫研讨会结束后,埃德·马基 (Ed Markey) 的阵营立即发布了一份新闻稿,赞扬了马基所说的“互联网网络标签”的工作。
据新闻稿称,“随着美国人在家中安装数千万台联网设备,网络安全保护变得前所未有的重要。这就是为什么我们推出《网络盾法案》来创建一个自愿的消费者标签,表明设备是否符合高网络安全基准。我们赞扬白宫今天宣布他们将采取类似的方法,为美国家庭带来胜利,以便他们获得保护自己家庭隐私所需的信息。物联网网络标签是将权力归还给消费者和加强网络安全保护的关键一步。”
我们必须拭目以待,看看这个自愿的互联网标签计划是否能取得成果;然而,球似乎确实在滚动。
要点
互联网隐私营养标签即将问世;然而,他们一开始是自愿的。保持自愿并不一定是坏事。消费者肯定会注意到选择不使用这些标签的互联网制造商。
如果隐私标签按预期发挥作用,互联网设备制造商(可能还有其他行业)将被迫在隐私和安全方面进行竞争,这对消费者来说是一个净积极因素。此外,记者将越来越多地报道特定设备的安全/隐私,这将进一步提高消费者的意识。
此外,即使许多消费者最初对标签感到困惑,但这种情况会随着时间的推移而改变。毕竟,今天当我们去杂货店时,我们认为食品营养标签是理所当然的。
当强制性食品营养标签于 1990 年出现时(《营养标签和教育法案》),它肯定遭到了食品行业中不情愿的参与者的抵制。我们可以预见,这项隐私标签倡议将会遇到一些类似的阻力。尽管如此,真诚经营的公司肯定会明智地接受这种标签工作。它只能帮助他们脱颖而出。
