车联网中的隐私与信任(下)
本文编译自《车联网中的隐私与信任》(Privacy and Trust in the Internet of Vehicles),原文载于IEEE: Transactions on Intelligent Transportation Systems,作者Efstathios Zavvos, Enrico H. Gerding, Vahid Yazdanpanah, Carsten Maple, Sebastian Stein, m.c. schraefel.为了阅读的流畅性,本文对正文及脚注部分略有删减。
本文上篇内容已发布,可点击车联网中的隐私与信任(上)阅读。
4. 挑战和未来方向
有趣的是,尽管用户和非用户的隐私以及对车辆网的信任显然很重要,但围绕联网和自动驾驶汽车的消费者调查并没有强调隐私可能受到影响的具体方式。例如,Autodrive和剑桥大学在英国进行的一项研究显示,普通人群对他们是否会使用无人驾驶车辆意见不一。这些结果是在未能向参与者解释所涉及的信息共享的含义或隐私关注概念的情况下获得的。此外,服务的快速性和短暂性使得很难设计出可用的解决方案来保护隐私和增强信任而不损害功能。预计这将成为车联网服务需要克服的一个重大障碍。
为了深入了解车联网中的隐私和信任问题,并讨论未来研究方向的关注领域,这项工作确定了六个主要挑战,总结在表四中。
4.1 用户隐私和隐私设计
用户隐私保护可能会对车联网相关技术的采用以及用户自身的福利产生重大影响。然而,在保护用户隐私的同时,增强智能并不一定意味着车联网中的每个应用程序都必须被过度设计。表五总结了车联网隐私设计的一些启发性工作。
虽然有人建议根据隐私标签划分内容,私有内容只能由车主通过将其标记为受保护来共享,但这种方法的关键弱点是它依赖于接收者尊重隐私标签。区块链指的是跨计算机的分散和分布式数字交易记录,应用于隐私保护和密码学。将区块链集成到车联网系统架构中被发现对保护用户隐私和遵守数据保护法律具有显著的积极影响。隐私设计可进一步应用于每个单独的服务。有学者发现用道路代替用户位置与网格划分模型(grid-partitioning models)相比,用户在线减少了计算复杂性和服务错误。简而言之,这个概念提出,通过在数据中引入一定量的噪声,可以发布关于统计数据库的信息,而不会泄露数据库记录的私有信息。这扩展到了差异化隐私,它从数学上定义了隐私损失,以确定与从数据库中删除个人数据具有类似效果的噪声量。另一个定义明确的概念是群体签名,它允许用户代表一个群体匿名签署消息。
4.2隐私和功能的权衡
在许多情况下,需要在隐私和功能之间作出权衡。这不仅从用户的角度来看很有趣,而且从服务的业务角度来看也很有趣。目前还不清楚用户对某些服务的收益是否超过了隐私方面的牺牲,也没有好的方法和工具来帮助用户做出明智的决定。
因此,本文认为,为了更好地将隐私保护融入到服务中,未来的工作应该侧重于量化隐私损失和服务质量之间的权衡。虽然诸如差异化隐私与效率度量相结合的概念可以帮助衡量隐私与功能之间的权衡,但是这些方法只能应用于利用统计数据库的有限类型的服务。在以更普遍和更有意义的方式量化这种权衡之前,还需要做大量的工作。
4.3 建立信任
车联网中的许多服务涉及大量的参与者,车联网服务可能需要多跳路由、云/雾计算和多个网络通道,这使得在参与者之间建立信任成为一项重大挑战。此外,由于车联网中利益相关方的规模和数量很大,选择谁成为认证机构将是一个挑战,安全密钥生成将非常困难。
除了建立信任的技术挑战,还有重大的方案挑战。解决车辆队列中信任问题的一个显而易见的备选解决方案是使用推荐系统,驾驶员可以搜索“可信度”更高的队列。然而,这反过来又要求用户提供个人资料,这可能会促使用户牺牲一些隐私来提高可信度。因此,用户的更多隐私一方面可以提高对车联网系统的信任,但是另一方面,它可能损害用户和/或服务提供商之间的信任。这些都带来了严重的隐私问题,在许多情况下,可能在信任和隐私之间做出权衡。
4.4 同意协商
信任和同意的问题需要有效的解决方案来管理隐私和支持同意协商。为了解决手动管理复杂的隐私设置和访问个人数据的请求的局限性,有学者建议使用代理来代表用户自主地协商这些设置和请求。在他们的模型中,代理从交互中学习,用户可以进行进一步的手工改进。在现实中,谈判预计会更加复杂,同时包括更多的问题,如谁是接收方,数据将保留多长时间,数据收集的目的,以及涉及的隐私风险。本文强调以下两个挑战:其一,用户需要对代理有足够的信任才有可能放弃控制,但同时获得用户的信任并使自动协商被广泛采用是具有挑战性的。其二,对自动化协商技术的有限访问可能会进一步加剧现有的社会不公正。
4.5 提供信息的激励措施
虽然车联网系统或服务可以从其拥有数据中受益,但这并不一定意味着提供这些信息的个人也将受益。因此,激励问题车联网中的另一个主要挑战,包括提供个人信息的激励和使用自动代理的激励。
使用服务对用户来说确实是实实在在的好处。然而,仍然很难权衡这种收益与为了做出明智的决策而牺牲的信息。为了获得激励,用户必须能够感觉到权衡是有益的。考虑到每个用户可能会进行大量此类提供数据的协商,这是车联网的主要风险。普通用户很难理解共享信息的风险。像脸书这样的服务对用户来说确实是免费的,但用户实际上是服务商出售给第三方的商品,比如广告商。此外,还不清楚如何有效验证激励机制。向使用代理的参与者提供真实的金钱作为激励,用户可能会决定分享无害的数据来赚钱,即使知道数据会被公布。这并不一定意味着他们会在有多个需要协商的问题和更模糊的奖励的现实场景中共享数据。车联网服务更需面临的情况是,当用户不得不共享敏感数据以获得他们想要或需要的特定服务时会发生什么。这对于个人信息协商环境中激励机制的设计、验证和部署构成了重大挑战。
4.6 多方隐私
解决多方隐私冲突是具有挑战性的:存在多方隐私冲突的可能性可能会使人对车联网及其服务产生怀疑,并可能使车联网被认为是不可信的。车联网中的多方隐私在概念上不同于社交媒体中的多方隐私。在社交媒体中,由于用户之间的数据共享可能会发生冲突。与此相比,我们为车联网中的多方隐私冲突提供了更宽松的定义。这是因为车联网中非自愿信息的系统收集以及车联网的大规模也对非用户的隐私构成了重大风险。很可能用户和非用户在很大程度上将不会意识到车联网中的多方隐私冲突,从而只有少量的冲突能够被协商,更不用说解决了。这使得在车联网中设计解决多方隐私冲突的解决方案非常具有挑战性,并且需要全面的研究。
5. 结论
当涉及到停车位识别、排队和智能路口等终端用户服务时,车联网中的隐私是一个研究不足的话题。对于某些车联网服务,共享个人信息可能有所帮助,但可能不是至关重要的。对于其他服务,个人信息确实有所帮助,但对最终用户提供这种信息的动机并不总是解释清楚。对于司机来说,管理隐私并就共享信息做出明智的决定比较困难。上一节的讨论中也已经提出了一些亟待研究的问题,包括隐私设计标准化、建立信任、提供信息的激励、衡量隐私和服务质量、同意协商和解决多方隐私冲突。
对于上述问题,本文总结了以往文献中提出的一些方法,并总结如图1。
图 1. 本文梳理了31篇车联网隐私和信任相关论文,(见表六至八),很大一部分与区块链技术、群体签名、投票理论、节点可信度评估和差异化隐私有关。其中有一些进一步利用博弈论和基于信任机构的服务规则。我们用“其他”表示那些在文献中高度特定或很少使用的方法;包括隐私标签、虚拟旅行线路、数字取证、拍卖和私人信息检索。
总之,由于车联网中大量的个人信息交换以及大量的参与者,忽视隐私问题会导致严重的负面影响。为了减轻这种担忧,并最大限度地减少车联网的信息利用机会,学术界、行业和政策制定者必须共同努力,解决本文讨论的隐私问题和挑战。
(完)
往期文章:
1.产业数据治理
2.欧盟数据治理模式
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
欧盟的人工智能数据治理方案Gaia-X:下一代数据治理基础设施
3.数据权属与数据治理之争
4.全球数据治理观察
数据访问治理:中国、欧盟和印度的发展(附报告全文)作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
5.数据跨境流动治理
数据跨境流动的规则监管与多元治理