面对隐私挑战,Mozilla为WebXR开发提出PACE四原则
文章相关引用及参考:mozvr
MR提出了全新的隐私挑战
(映维网 2018年11月23日)虚拟现实和增强现实为当前的网络安全和隐私问题引入了一个全新的物理层面。当用户沉浸在3D体验时,2D网络本已难以解决的问题变得更加复杂,比方说权限和点击劫持。这对不存在类似于2D“窗口”概念,而且用户所看到的一切都由应用程序渲染的头显尤为如此。令获取权限变得更加敏感的原因是,为驱动AR和VR体验而采集的传感器数据与个人越发相关。在本文中,Mozilla的DIANE HOSFELT向我们介绍了混合现实体验权限的原则,以下是映维网的具体整理:
为了实现沉浸式MR体验,设备搭载了传感器,其不仅捕捉有关用户周围物理世界的信息(远远超出智能手机上常见的传感器),同时采集有关用户和(可能)旁人的详细信息。例如,这样的传感器可以创建物理世界的详细3D映射(通过是利用底层平台功能),推断高度和步态等生物识别数据,并且可能借助搭载的摄像头来寻找和识别附近的人脸。头显上的红外传感器最终可以检测更详细的生物特征,如出汗情况和脉搏,而一些设备已经包含了眼动追踪器。
对于每个传感器,在MR应用中都有直接的用例。世界模型允许设备在平面上放置内容,隐藏桌面下的内容,或者如果VR用户即将撞向墙壁时发出警告。用户的身高和步态可通过头部和双手在世界中的精确3D运动进行说明,这样的信息对于沉浸式体验从正确位置渲染内容必不可少。眼动追踪可以支持自然的交互,并允许残障人士单纯通过眼睛进行导航。访问摄像头数据则允许应用程序检测和追踪世界中的对象。
遗憾的是,每种传感器都存在一定的问题。涉及用户家庭数据的泄露可能会侵犯他们的权利;身高和步态可以用作唯一的个人识别码,但恶意应用程序可以借助相关的生物识别数据来推断用户的政治倾向或性取向;摄像头可以未经同意地追踪旁人的位置…如果政府可以访问相关的数据,这将变得尤其令人担忧。
Mozilla的使命是赋能互联网用户。网络是现代生活中不可或缺的一部分,而个人安全和隐私是基本权利。当存在潜在的负面后果时,浏览器通常会请求同意。但在通过互联网采集和传输更多数据时,我们有时没有确保用户的知情同意。随着越来越多的交互转移到MR设备上,这种趋势可能会对用户产生深远的影响。
1. 知情同意
知情同意的概念源于医学伦理,以及个人有权控制其生活中关键方面的观点。互联网现在是人们生活和社会的基本组成部分。Mozilla坚信知情同意同样是互联网上的一项权利。遗憾的是,跟医疗等领域一样,为互联网用户提供知情同意会遇到类似的问题,用户可能无法理解所被告知的内容,并且可能不会积极在当下考虑他们的选择。最重要的是,沉浸式网络必须从一开始就有一个信任的基础。
获取知情同意需要“披露”,“理解”和“自愿”。为了获得信息,我们必须要以用户能够理解的方式提供所有必要的信息,包括采集或传输的数据,以及未经授权披露的风险。为了能够“同意”,用户不仅必须能够理解所披露的信息,而且还能够做出非遭受胁迫或操纵的决定。
完全准确地为知情同意提供所需的信息具有挑战性。权限已经变得过于复杂,无法轻松地向用户传达所采集的数据,以及相关数据使用或滥用的潜在后果。例如,《Pokémon Go》利用智能手机中的加速度计和陀螺仪来对齐宝可梦/小精灵与玩家在世界上的方向,并确定他们是否正在驾驶汽车。但是,坏人也可以利用这一点来盗取密码。这种更为微妙的风险可能会产生更严重的后果。
多个传感器之间的交互带来了额外的权限挑战。将加速度计数据与生物识别数据和麦克风访问相结合时会产生什么后果呢?如果我们进一步增加摄像头访问,这又会带来什么影像呢?这些传感器提出了复杂的威胁。当综合起来时,如果听起来不是非常夸张,你很难传达所有潜在的风险。
考虑到沉浸式网络的新挑战,我们有机会重新审视我们处理权限和知情同意的方式,从而更好地赋能用户。尽管我们尚未明确应该告诉用户什么,但我们提出了四个原则来作为解决问题的基础:权限应该是渐进的(progressive),负责任的(accountable),舒适的(comfortable),以及匹配的(expressive),英文简称为PACE。
2. 原则
2.1 渐进
Web社区熟知渐进式Web应用程序,这是指在兼容各种设备的网站设计,并随着设备性能的提升逐步创建更强大的站点。在混合现实中,设备的功能更加多样化,对于希望尽可能覆盖更多受众的开发者而言,他们需要进行更大幅度的改动。除了设备功能之外,AR感知的私密性(甚至侵入性)意味着用户可能不希望将设备的全部功能授权给所有网站。
为了同时支持设备的多样性和尊重用户的隐私,浏览器需要拥抱“渐进式授权”的概念,为传感器访问提供情景信息,并逐步提升授予网站的功能,从而帮助用户更好地控制权限授予。这一原则与知情同意的概念密切相关。请求脱离情景的危险权限,网站可能会提供不完整的披露并影响用户的理解。例如,大多数应用程序和网站在安装或启动时请求所有必要的权限,然后无限期地保留它们。
为权限提供情景信息的概念并不新鲜。一些移动应用程序和网站已经向人们提供了请求权限的解释,说明了为什么需要访问权限。然后,用户可以选择并同意/拒绝每个权限。如果用户稍后访问需要拒绝权限的功能,应用程序可以重新提出请求。
“渐进”的一部分要求是负责任地仅在需要时收集数据,而不是在不需要时仍持续使用传感器。对于已同意麦克风访问以进行口头输入的用户,他们尚未同意不受约束的麦克风访问,如窃听。
因此,渐进式权限也应该是双向的,允许用户在Web应用程序的整个生命周期内反复打开和关闭权限。在这个示例中,用户可能会合理地期望网站在输入期间使用麦克风,然后在输入完成时停止使用传感器(即便它仍然拥有使用它的权限)。
又例如一款请求摄像头访问的应用程序。在家里,我同意请求。在工作中,我打开应用程序,它立即使用摄像头,但不宜泄漏机密信息。我们不希望继续提示,但希望用户了解并控制应用程序何时可以使用传感器数据,并根据需要更改权限。这具体取决于他们的偏好,情景和需求。“负责任的”原则则强化了这一原则。
2.2 负责
责任与义务与授予权限后发生的事情有关。所有授予的权限应易于查询且易于更改。我们设想一个易于访问的用户界面:
- 当前权限
- 同意/拒绝每个授权请求的时间
- 页面当前采集/监控的数据
- 一个允许在同意/拒绝每个权限之间轻松切换的选项(无需重新加载页面)
撤销应该要做到直截了当,而且只影响相关的功能。例如,撤销摄像头访问应该只影响需要摄像头的功能,而不是阻止使用整个网站。
另外,当网站使用设备资源时(如访问文件),应该提供一种方法来令网站对访问和/或修改的资源负责。随着浏览器采用新的架构来提高安全性,确定哪些页面正在使用哪些资源已经变得更容易,允许浏览器向用户报告更准确和更细化的使用数据。
对于即使在浏览器关闭或屏幕关闭后继续执行JavaScript的浏览器,这同样令人感到不安并且违反了用户对其责任意识的期望。某些传感器(包括运动和光传感器)不受权限保护,并且会公开给JavaScript。这些传感器还代表了用于检索敏感数据的暗门,在设计问责措施时应予以考虑。
2.3 舒适
用户已经对过度的权限请求感到疲劳。在不考虑疲劳的情况下实现前面两个原则存在不尊重用户注意力并增加疲劳的风险。因此权限系统的设计也必须舒适。当我们谈论舒适的权限系统时,我们明确提到需要平衡用户控制和减少摩擦。中断用户的任务,在错误的时间请求权限,以及过多的权限请求可能会导致用户“放弃”,并自动接受“继续使用”权限。
随着我们增加感知信息的数量和种类,我们应该考虑简单的权限对话框。例如在某些情况下,浏览器可以使用基于用户动作的隐式权限(如按下按钮拍摄图片可能隐含提供摄像头访问权限)。在3D沉浸式混合现实中,用户将穿戴头显设备,在沉浸式环境中出现的权限请求应该提供舒适的UX,能够容易进行识别。如果请求不稳定或视觉上不舒适,用户可能不会花时间进行考虑,而是快速接受(或拒绝)以恢复沉浸式体验。随着时间的推移,我们希望Web社区能够为兼容多个浏览器与环境的各种权限开发一致的设计语言。
构建舒适的权限系统可以利用先前的原则:隐式授予一种权限可以通过令网站对可访问的数据负责和提供可见性来平衡,并提供一种简单明了的方式来浏览和修改权限。
2.4 匹配
这个原则要求浏览器以不同方式处理不同传感器的不同权限,而不是假设一体通用(即,为需要用户授权的任何功能提供类似类型的提示)。当前的权限方法将传感器分为两类:危险(需要提示)和非危险(通常无需额外的用户输入即可访问)。
遗憾的是,“非危险”传感器之间的交互(如加速度计和用于输入的触摸屏)可能会泄漏密码等数据。在沉浸式环境中,设备搭载了相当强大的传感器,从而导致更复杂且更难以预测的交互。
要实现更匹配的权限系统,一个可能的解决方案是权限捆绑,将相关权限进行分组。但这可能会违反用户的期望,并可能导致不够渐进的方法。
进入沉浸式模式将自动激活某些传感器。例如,基本的VR应用程序将利用运动传感器进行渲染,并估计地板的位置。利用相关的数据,一款应用程序将能够推断你的身高。这种次要的推论并不总是那么明显。即便是在对5名用户的小型研究中,也有3名参与者认为VR设备采集的唯一数据是他们在创建帐户时提供的数据或基本使用数据(如使用应用程序的频率)。只有两名用户意识到设备传感器采集并传输了更多数据。应用程序越丰富,所涉及的一个或多个传感器就越有可能传输可用于唯一识别个人的数据。
3. 展望未来
对知情同意而言,准确而完整地解释正在采集的数据和潜在的后果至关重要,但权限提示存在隐式授权的风险。随着我们向设备添加更多传感器并采集更多的个人和环境数据,添加更多的权限提示是一个诱人的解决方案。但是,授权疲劳已经是一个严重的问题。
在可能的情况下,我们应该识别隐式同意的可能。例如,每次在2D Web上移动或单击鼠标时都不必授予权限。当我们确实需要明确授权时,平台应该提供舒适和一致的用户体验。
授权的目标应该是获得知情同意。除了设计技术解决方案之外,我们还需要向公众宣传设备采集的数据类型和潜在后果。尽管这可以帮助用户做出有关授权的明智选择,但仍不足够。在提供沉浸式Web体验时,我们需要将知情同意(披露,理解,自愿)的三个方面与四个PACE原则(渐进,负责,舒适,匹配)相结合,支持用户更好地控制与管理自己的隐私。
Web的优势在于人们能够随意和短暂地浏览页面和点击链接,同时知道他们的浏览器会确保这项活动的安全。这是信任网络的基础。由于滥用私密数据的潜在新途径出现,这一基础在沉浸式网络中变得更加重要。
近来发生的一系列事件表明,违法采集数据十分猖獗,而且充斥着个人数据被滥用的风险。混合现实设备,以及它们生成的新类型数据提供了改变关于Web权限和授权对话的机会。
我们提出PACE原则,鼓励MR爱好者和隐私研究人员考虑采用新的数据采集方法,在尊重用户时间和精力的同时为用户提供信息和授权。这种解决方案并非全都与技术相关,但可能包括教育普及与倡导。随着VR和AR设备进入主流技术环境,我们应该主动探索新方向的可行性,而不是等待和应对未来数据泄露和滥用可能带来的更严重后果。