隨著安全擔憂的加劇、網路的激增以及越來越多的資料線上傳輸,個人隱私和匿名性往往是最先被犧牲的。在《洞察》故事“請保留一點隱私”中,該文章刊登於2007年8月期的《大眾科學》,奇普·沃爾特與卡內基梅隆大學計算機科學家拉坦亞·斯威尼進行了對話,她討論了隱私面臨的新威脅以及打擊身份盜竊和其他濫用資訊行為的方法。
為什麼隱私與安全之間的衝突會成為一個如此嚴重的問題?我們為什麼要在乎?
(笑)嗯,一個問題是我們確實需要隱私。我指的不是政治問題。我們真的不能在沒有隱私的社會中生存。即使在自然界中,動物也必須擁有某種程度的隱秘性才能運作。例如,想象一下,一隻獅子看到一隻鹿在湖邊,它不能讓鹿知道它在那裡,否則 [鹿] 可能會先跑一步。而且它不想向其他獅子宣佈 [它發現了什麼],因為這會產生競爭。我們需要保密的原始需求,這樣我們才能實現我們的目標。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保有關當今塑造我們世界的發現和想法的具有影響力的故事的未來。
隱私還允許個人有機會成長和犯錯,並在沒有隱私的情況下無法實現的方式中真正發展,在這種情況下,沒有寬恕,每個人都知道其他人在做什麼。曾經有一段時間,你可以在東海岸犯錯,然後去西海岸重新開始。這種理念在我們所做的很多事情中都有體現。例如,在破產中。這個想法是,你搞砸了,但你必須重新開始。但是,有了今天的技術,你基本上從出生到死亡都有記錄,沒有寬恕。因此,我們需要能夠保護我們隱私的技術。
您是如何進入這一行的?是什麼吸引您進入數學和計算機科學領域?
當我還是個孩子的時候 [大約三四年級],我最早的記憶之一就是想製造一個黑匣子,它可以像我一樣快地學習。我們可以一起學習,或者它可以教我。我想要一種可以像我一樣快且深入的教學學習體驗。
是什麼觸發了你對黑匣子的幻想?
事後看來,我認為我在學校很無聊,因為我會完成作業,然後不得不等待班裡的其他人。我認為這是一個出口,我開始花幾個小時幻想這個盒子。它 [最終] 成為了真正的熱情,所以當我上高中並修讀我的第一門計算機課程時,童年的憧憬和對計算機程式設計的這種自然興趣融合在一起了。
高中畢業後,你去了麻省理工學院。作為一所男性占主導地位的大學裡為數不多的女生之一,你感覺如何?
我於 1977 年首次進入麻省理工學院。但這很艱難。我來自一所頂尖的女子預科學校,從那種環境到麻省理工學院,嗯,幾乎不可能有更相反的情況了。它很大,在城市裡,我睡不著,它 [太] 吵了。哎呀。
但真正讓我感到困難的是教師;我與老師之間發生了很多令人反感的事件。
你在說什麼樣的令人反感的事件?
麻省理工學院的結構是,在你的大一,講座在有 100 多名學生的大廳裡舉行,然後你進入只有 10 到 12 名學生的同一主題的小組。每週都有 10 道問題組成一個問題集。所以 [我們小組] 的男生來找我說:“你看,我們要成立一個學習小組”,我說:“什麼是學習小組?”他們說,“嗯,每週我們都會有 10 道題,每週我們中的一個人會被分配一道題,在作業到期前一天,我們都會見面,你的工作是告訴小組的其他成員你的解決方案,然後他們不會抄下來,你向他們解釋,他們自己寫下來,或者如果我們認為這不是正確的解決方案,我們會討論它。”我說:“哦,好的。聽起來不錯。”
基本上有 10 個人上交了相同的作業。所以每個人都收回了作業,他們得了 10 分(滿分 10 分)、10 分(滿分 10 分)、10 分(滿分 10 分),而我得了 7 分(滿分 10 分)。所以我去問老師,“你為什麼給我 7 分(滿分 10 分)?”他說,“嗯,你沒有展示足夠的過程。”所以 [我再次嘗試],分數是 10 分(滿分 10 分)、10 分(滿分 10 分)、10 分(滿分 10 分),而我得了 7 分(滿分 10 分)。我再次問老師,“為什麼我得了 7 分(滿分 10 分)?”他說,“嗯,你展示了太多細節,看起來你並沒有真正理解這些概念。”所以我經歷了這件事,我試圖得到恰當的細節量。
你有沒有找出這 7 分(滿分 10 分)背後的真正原因?
有一天,我們有了這些電阻立方體——這是一門工程課——它們上面有顏色,這些顏色表示罐子內部的電阻大小。我們必須記住這些顏色程式碼。所以在課堂上,老師說:“我還是麻省理工學院的年輕人時,我記住電阻 [顏色程式碼] 的方法如下:‘黑人男孩只強姦年輕女孩,但紫羅蘭心甘情願地給予。’”當他說這句話時,我想我明白了 [7 分(滿分 10 分)背後的] 原因。
後來我離開了麻省理工學院,創辦了自己的計算機公司,開了 10 年。然後我去了哈佛,然後從哈佛回到麻省理工學院攻讀研究生。
回到同一個部門感覺如何?
當我回來時,那位老師是系主任。這真的很有趣,但你知道嗎,當我回來時,我的態度是“我不會再接受任何垃圾”。我的研究生生涯絕對沒有任何問題。但在我的本科時期,我絕對沒有為我在那裡必須面對的事情做好準備。
現在您是卡內基梅隆大學資料隱私實驗室的負責人。您為什麼建立它?
有一天我在研究生院 [在我的研究中],我看到這封信大致是這樣寫的:患者兩歲時被性侵犯,三歲時用剪刀刺傷了她的妹妹,四歲時,她的父母離婚了,五歲時,她放火燒了她的家。然後我意識到,這個描述中沒有任何內容 [會被透過] 刪除可識別的資訊而改變。我敢打賭,只有一個人有這樣的經歷。這讓我意識到可識別性非常迷人,也讓我意識到我對隱私一無所知。刪除顯式識別符號不是重點。我意識到這裡面有很多東西,而不僅僅是什麼讓我可識別的概念。
然後我開始意識到,資料空間中的隱私有點不同。它需要跟蹤人們的去向。當所有這些技術開始爆炸式發展時,你開始意識到它太大了。
那麼您的實驗室與其他研究這些問題的實驗室有什麼不同?
我建立該實驗室是為了做我所說的“在火中研究”。我們不像智庫那樣運作,也不處理抽象的問題。如果你有真實世界的危機,你可以來我們的實驗室,給我們一點錢,我們就會解決你的問題。但由於這些都是真實世界的問題,所以它真的是在火中研究。我們沒有閒暇時間坐下來推測和思考。法官現在需要一個決定和一個答案,否則某某人就要起訴了。因此,公司和政府機構會向我們提供研究資助,作為實驗室的合作伙伴,他們會給我們需要在給定時間內解決的問題,而目標是解決這些問題。
你們處理哪些型別的問題?
各種各樣的問題,從 DNA 隱私、影片盜版到收入流失、被起訴或提起訴訟的問題。[我們開發] 的許多技術都來自這類工作。
我們捲起袖子問:“我如何學習真正敏感的資訊?我如何利用那些看起來很無辜的資料?”如果我們真的很擅長做到這一點,那麼我們就可以制定控制隱私濫用的策略。
當一個問題出現時,無論是生物恐怖主義還是其他問題,我們都會發現自己深入研究該政策環境或監管環境、可用性問題,甚至商業問題。我們必須承擔所有這些限制並提出解決方案,而這通常是一項新技術,有時只是一個補丁,很少只是一項建議。這就是我們所做的。
您的身份天使軟體能夠從網際網路上可用的資料中收集有關人員的零散資訊。它是如何工作的?
從公開可用或免費贈送或付費出售的資訊中掃描個人非常容易。這意味著你不需要闖入系統來獲取你不應該擁有的資料;這意味著你可以從已經存在的資訊中收集資訊。
[在我職業生涯的早期] 我瞭解到,如果我掌握了一個人的出生日期、性別和五位郵政編碼,我可以識別美國 87% 的人。因此,即使你不給我你的社會安全號碼,我也可以找到你是誰,幾乎十次有九次。
這促成了身份天使的誕生?
我們在實驗室懷疑的一件事是,20 出頭擁有信用卡的人特別容易遭受身份盜竊。我們的實驗室開始研究這個問題,我們發現這是人們生活中非常不穩定的時期。他們的地址在不斷變化,因此,如果你要 [盜用身份] 並以他們的名義獲得信用卡,地址已經改變這一事實並不會引起警惕。
還有什麼會讓 20 多歲的人特別容易遭受身份盜竊?
另一方面,這些人通常沒有太多的信用記錄,而信用卡公司卻非常急切地想給他們發信用卡。與此同時,由於他們正處於習慣於在Facebook和MySpace上建立網頁的年齡段,因此網際網路上有很多關於他們的資訊。許多資訊也來自學生們習慣性地將個人資訊放在簡歷中而洩露。為什麼有人會在簡歷上寫社會安全號碼呢?但他們確實這麼做了。
所有這些都簡化了偽造學生信用卡的流程——姓名和地址,社會安全號碼,以及出生日期。“身份天使”(Identity Angel)的挑戰在於從網際網路上找到並組合這些資訊。它會挖掘網際網路上的資訊,包括簡歷,並尋找那些包含社會安全號碼、出生日期等資訊的檔案——足夠用來以他人名義申請信用卡的資訊。
“身份天使”會如何處理這些挖掘到的資訊呢?
如果成功,該軟體會嘗試找到受害者的電子郵件地址,並向他們傳送電子郵件,告知他們我們找到了這些資訊。
你們還開發了一個名為k-匿名性的程式。它的用途是什麼例子?
我們與美國住房和城市發展部有一個合作專案。他們想了解人們去過哪裡,但不想知道他們是誰。在這種情況下,他們永遠都不想知道他們是誰。所以我構建了這個系統,讓他們能夠做到這一點。它實際上是在追蹤無家可歸者。2004年,國會撥款一大筆資金來建立無家可歸者管理資訊系統。該系統的目的是追蹤無家可歸者的服務利用情況,因為關於無家可歸問題有很多疑問,他們希望有一個系統來收集這些資訊。
國會說這和錢有關。無家可歸的成本正在爆炸式增長。是因為無家可歸者太多,還是因為他們吃太多食物,還是因為系統存在欺詐?究竟發生了什麼?
為什麼無家可歸者需要隱私保護?
有一類特殊的無家可歸者,他們的隱私變得至關重要,那就是家庭暴力受害者。事實證明,他們在系統中花費的金額佔很大比例。他們害怕跟蹤他們的人,所以他們希望能夠追蹤這些人,但要以一種即使你知道關於這個人的所有詳細資訊,即使你可以訪問資料,你仍然無法識別這個人的方式進行。
這需要深入研究密碼學。我早期開發的“清理系統”(例如“身份天使”)都是關於文字的。那只是文字挖掘。但這將我們帶入了不同的領域——影片、人臉識別等,這需要深入研究計算機圖形學和計算機視覺。
那麼,我們如何解決隱私問題?最好和最壞的情況是什麼?
我的答案是,我所看到的隱私問題可能最好由首先創造這項技術的人來解決。我們真正需要做的是培訓工程師和計算機科學家,從一開始就以正確的方式設計和構建技術。
通常,工程師和計算機科學家會自己產生技術想法,進行某種迴圈思考,開發其解決方案的原型,然後進行某種測試。但我們說,我們會給他們工具,幫助他們瞭解利益相關者是誰,進行風險評估,然後看看會出現哪些障礙,處理風險最大的問題,並在技術設計中努力解決這些問題。
我認為,如果我們成功地培養出一批新的工程師和計算機科學家,社會將真正受益。整個技術辯證法旨在探討如何教導工程師和計算機科學家思考使用者接受度和社會採納,[以及他們]必須從一開始就考慮技術的障礙。
因此,最好的情況是,這種培訓能夠普及,並且隨著新技術的出現,它們不太可能不斷與接受或拒絕的選擇發生衝突。
打破這些文化障礙並改變人們的工作方式是否困難?
應該設立隱私技術部門,因為目前還沒有[主動]處理隱私問題的技術。最好的解決方案在於技術設計。因此,我們的目標是為工程師和計算機科學家建立工具,為他們提供軟體工具,幫助他們以他們已經習慣的方式工作,併為他們提供一種收集所有正確資訊,然後將其融入到他們的設計中的方法。
很多時候,沒有相應的財務模式來支援這樣做。有時,社會對發生的事情感到非常惱火,最終會登上《紐約時報》的頭版。反應並不總是理性的。政策沒有技術的細微之處。
如果我們預先構建正確的設計,那麼社會就可以決定如何開啟和關閉這些控制。但是,如果技術在沒有控制的情況下構建,就會迫使我們要麼接受沒有控制的技術帶來的好處,要麼透過稍後新增控制來削弱它。
幾年前,太陽微系統公司的執行長斯科特·麥克尼利曾著名地調侃說:“隱私已死。接受它吧。”
哦,隱私絕對沒有死。當人們說你必須做出選擇時,這意味著他們實際上沒有仔細考慮過這個問題,或者他們不願意接受答案。
記住,說這話符合[麥克尼利]的利益,因為他非常贊同那些構建了侵入性技術的計算機科學家的態度;他們說,“好吧,你想要我的技術帶來的好處,你會接受沒有隱私的”。這正是我們未來不希望畢業的計算機科學家。我們希望計算機科學家能夠在技術設計中解決這些型別的衝突,識別它們並解決它們。
那麼,你認為最大的問題在哪裡?
它實際上幾乎無處不在。身份管理是一個我們一直忽視的關鍵問題。社會安全號碼本身就是一個值得討論的問題——它們是如何過時的,是否需要被取代?現在在執法部門和司法部門,他們說應該使用指紋。所以我們會在電腦、汽車甚至冰箱中看到帶有非常昂貴的指紋讀取器的小裝置。但這是一個問題,因為指紋可能會成為下一個社會安全號碼。它們可能會給我們帶來社會安全號碼的所有弊端,甚至更糟。我無法擺脫我的指紋,它會和我形影不離。我不會把社會安全號碼戴在頭上。
但是,它會被如何盜取呢?你認為指紋的具體問題是什麼?
嗯,我們到處都會留下它們,這對執法部門來說真的很好,因為他們知道隨時隨地找到我們,但這同時也意味著任何人都可以拿到它們。關鍵是你可以看到其發展趨勢。指紋資料庫將遍地開花,這將帶來問題。有人可以訪問資料庫並複製你的指紋,並製作一張卡,但那實際上不是他們的卡,而是你的。
因此,這使得越來越多關於我們的資料碎片,包括電子郵件,都散落在網際網路上?
是的,你可以透過這種方式瞭解一個人很多資訊,你甚至可以冒充他們。這是我預計未來五年會看到的另一件事。竊賊會稍微研究一下你,冒充你,也許會給一個你認識的人發電子郵件,索要資金,因為他們現在掌握了更多關於你的資訊。
醫療隱私也是一個敏感領域。
那裡的最大漏洞來自保險公司和僱主,他們是最終支付醫療費用的人。這些當事方有興趣瞭解你被診斷出患有什麼疾病,並做出影響你的就業或收入的決定。曾有一篇文章寫到,馬里蘭州的一位銀行家過去會把癌症登記處的資料與在他銀行有貸款和抵押貸款的人的資料進行交叉比對,然後會要求收回那些貸款。現在這個故事被撤回了,因為人們正在爭論它是否屬實。但該故事的負責人向我展示了許多檔案,表明這是真的。但我要說的是,無論真假,這肯定是很容易做到的。你可以看到經濟上的誘因。因此,斯科特·麥克尼利的方法(即受信任的代理方法)的問題在於,如果他們是唯一能看到資料的人,也許社會可以信任他們。但事實是,你不是唯一可以[獲得你的資訊]的一方,而且你所倡導的不僅是為了你,而是為了很多你根本無法負責的當事方。
DNA資料現在越來越普及。如果你只有一個人的DNA,而沒有其他資訊,你能找出那個人是誰嗎?
在一個專案中,我們選擇研究患有亨廷頓舞蹈病的患者,因為它很容易在DNA中發現。DNA的一部分會重複,這是正常的,但如果你患有亨廷頓舞蹈病,它會重複很多次。而且,重複的次數越多,疾病的發病年齡就越早。因此,我們可以預測該人被診斷出患有該疾病時的年齡。這些都是伊利諾伊州的亨廷頓病患者。然後,我們使用了公開的醫院出院資訊,並查找了[出院的]亨廷頓病患者的診斷結果,並開始將它們與DNA進行匹配,以識別這些人。我們成功匹配了22人中的20人。這太令人震驚了。
我們是在推遲隱私問題,還是在直面它?
很多監控工作可以在保護隱私的前提下進行。但在現任政府領導下,國土安全部的人稱之為“隱私”的“私”字。他們的說法是,只要你不提“私”字,你就沒有“私”的問題,無論你是否真的存在隱私問題。所以,聯邦調查局因收集所有這些額外資料而受到警告,但其中很多資料本可以匿名化處理。然而目前,根本沒有資金或興趣使用這些技術。