车联网中的隐私与信任(上)
本文编译自《车联网中的隐私与信任》(Privacy and Trust in the Internet of Vehicles),原文载于IEEE:Transactions on Intelligent Transportation Systems,作者Efstathios Zavvos, Enrico H. Gerding, Vahid Yazdanpanah, Carsten Maple, Sebastian Stein, M.C. Schraefel.为了阅读的流畅性,本文对正文及脚注部分略有删减。
1. 简介
车联网(Internet of Vehicles, "IoV")是一个新兴领域,通常被视为物联网(IoT)的延伸。后者是一个将智能设备相互连接起来的全球网络,这些设备具有嵌入式硬件和软件,它们能够感知环境和交换信息,并可能根据这些信息采取行动。当这些设备包括车辆时,就构成了车联网,并在智能交通、自动物流和智慧城市中得到应用。与传统的智能交通系统(ITSs)相比,车联网更加注重实体间的信息交互。在车联网中,通过各种无线通信技术,车辆能够广泛地利用车对车(V2V)、车对路(V2R)、车对人(V2H)、车对基础设施(V2I)和车对传感器(V2S)连接进行通信。除此之外,随着服务的发展,通过车联网的人对人(H2H)的交互作用以及人的组成部分,变得越来越重要。
车联网主要与车辆自组织网络(Vehicular Ad Hoc Networks, "VANETs")和路由协议有关。简而言之,VANET通过将每一辆参与的车辆变成一个帮助转发消息的路由器来实现点对点(P2P)通信。VANET中的节点是自我组织的,VANET中的节点之间不存在协作,这可能使它难以整合先进的物联网服务所需的许多计算模式。人们为车联网提出了各种架构。最近的研究既考虑了云,也考虑了去中心化的雾/边缘模式(雾计算可以理解为去中心化的云计算)。边缘计算将智能、处理和通信从云推向连接到雾节点的边缘设备。此外,有学者还考虑了车联网中的社会关系(social relationships in the IoV, "SIoV") 。
有学者将物联网的架构分为感知层、网络层和应用层。但对于车联网而言,有学者认为TCP/IP协议移动性不够。因此,最近的车联网原型(prototype)在TCP/IP网络的基础上增加了几个层。基于以内容为中心的网络(Content-Centric Networking)概念,节点通过兴趣标签而不是IP来表达兴趣和交流数据。与使用TCP/IP协议相比,这样可以提高性能。
网络层建立在感知层之上,容纳了不同的通信模式(V2V、V2I等)。在车辆内部,一个车载单元(On-Board Unit)与车联网中的其他实体进行信息通信,一个应用单元(Application Unit)使用车载单元提供服务并发布命令和信息。在车外,路侧单元(RoadSide Units)沿着道路固定,以保持覆盖和连接所有车辆。
应用层建立在网络层之上,是信息存储/分析和决策的工具和基础设施的集合。利用丰富的感官信息和网络能力,应用层已经为车联网提出了各种针对终端用户的服务。然而,人们普遍认为,车联网的目的是解决主要的社会需求:(1)改善车辆和乘客的安全,以及(2)改善交通的便利性和成本。
本文全面阐述了车联网中终端用户服务层面的隐私问题,可将这些问题分为四类:个人信息隐私、多方隐私、信任和同意。本文的贡献主要有:(1)对车联网服务涉及的隐私敏感信息进行了分类;(2)提出了有关车联网隐私和信任研究的主要挑战并讨论了潜在的解决方案。
2. 对车联网隐私和信任的担忧
车联网应用服务的实现需要各种类型的信息,包括可能的敏感信息。本文主要关注终端用户服务中的隐私问题。
由于车联网规模庞大,且许多服务需要在短时间内运行,车联网中存在着广泛的隐私问题。本文确定了四个主要的隐私问题(见表二);个人信息隐私、多方隐私、信任和同意。这样的分类有助于正确地讨论车联网中的隐私问题。这些问题如果不加以解决,就会严重损害车联网的信誉。
2.1 车联网的隐私
车联网终端用户服务的供应商需要获得和处理大量的数据。个人信息保护已经日益受到重视同时,并成为数据保护法律的要求。用户可能需要向服务提供商或其他终端用户透露个人信息。车联网服务可能会以更连续的方式收集更精细的数据。系统化、大规模的信息收集可能使利用个人信息变得更加容易和有利可图,攻击者可能会发现车联网对发动针对个人的攻击特别有吸引力。
参与方的数量和多样性使得他们的利益难以协调。更多的安全通常意味着更少的隐私,因此驾驶者可能不愿意为了一些可感知的安全而放弃他们的隐私,同时不得不担心拥有隐私时他们的安全状况。理想情况下,服务应该使用最少的必要信息来有效地执行任务和/或提供服务,即数据保护立法中所述的“必要性”。需要新的方法来实现车联网中以数据为中心的隐私。
车联网中的隐私还有一个普遍存在的问题即多方隐私。多方隐私是指不属于服务请求方的个人的隐私,甚至可能根本不是车联网用户。非用户的个人信息也有可能通过用户和/或服务提供者之间的互动而被透露或推断出来,而这些非用户没有机会对他们信息的提供作出同意。因此,我们将“多方隐私冲突”定义为共享车联网参与者的数据,其中包括与其他用户或非用户有关的信息。
除了隐私和同意之外,多方隐私也渗透到信任中。即使分享个人信息没有直接的影响,但车联网可能监测或访问人们活动的印象会使车联网变得不受欢迎,而这种印象可以通过实际的多方隐私冲突得到加强。我们认识到这是物联网中最严重的隐私问题之一,因为它可能导致终端用户和更广泛的社会认为车联网是不可信任的。
2.2 对车联网的信任
信任是车联网中的一个重要问题。由于车联网的巨大规模和许多服务需要的敏感信息,建立可信赖的车联网系统可能非常复杂。信任是多方面的,可能包括用户之间的信任、用户和服务提供商之间的信任、自动传播信息时网络节点之间的信任以及物联网概念本身的可信度等。
用户可能会避免使用全部的服务,而专注于来自值得信赖的供应商的服务或其他值得信赖的各方使用的服务。此外,如果人们预见到他们的个人信息可能被利用的风险,他们可能完全不信任车联网。这可能会消除用户为车联网的有效运行而提供所需信息的任何动机。同时,由于物联网是去中心化的,评估其可信度非常具有挑战性。因此,(1)尽量减少服务模式的模糊性,(2)使信息使用的意图明确并对供应商具有法律约束力,以及(3)采用基于隐私设计(privacy-by design)概念可以帮助保护用户的隐私,促进在车联网中建立信任。
除了出于特定目的而自愿收集的数据外,车联网中的数据往往可以在不需要的时候被收集,并有可能在未经用户同意的情况下被存储和重新使用。因此,一个重要的相关问题是同意分享信息。数据保护立法对软件运营商和服务提供商规定一个关键的义务是用户同意。然而,车联网中复杂的颗粒度加上服务瞬息万变的特点,使做出知情同意决定的问题变得模糊不清。如今,社交网络和移动应用程序不断完善隐私控制功能。然而,在某些情况下,隐私设置仍然缺乏对权限进行微调的能力。消费者往往缺乏足够的信息来做出对隐私具有敏感性的决定,即使有足够的信息,他们也可能会以长期的隐私来换取短期的利益。用户通过接受不透明和不灵活的隐私政策来同意个人数据共享,而这种同意往往并非真正的同意。
3. 车联网服务中的个人信息
本文确定了车联网服务的七个主要类别:事件驱动的服务(event-driven services)、停车位识别、移动人群感知、社会网络、车辆排队、智能交叉口,以及被提议作为监测应用的服务。由相关文献数据我们可以得知车联网服务中的信息使用概况如下:(1)身份信息大多数情况下需要用户自愿提供或非自愿获得;(2)定位系统信息通常需要用户自愿提供;(3)而路径信息则自愿和非自愿提供比例不相上下;(4)多媒体信息则通常由用户自愿提供等。如表三所示,车联网中的服务通常需要某种形式的独特识别和GPS信息。
3.1 在服务中记录信息
物联网服务中的信息可能包括各种类型。本文将信息分为七类。为了了解哪些地方可能会出现隐私冲突,本文根据常见的用途将信息分组,些类别结合起来可能会对用户造成危险,可在表三中看到。
在相关调查中,对于每项服务,在表三的每个信息类别中记录了两个项目。第一个是用户是否需要自愿提供信息。第二个问题是,信息是否有可能以任何方式被观察、推断或获得,而主体可能没有意识到信息被生产/记录。这种为非自愿信息。而由所调查出版物数据我们可以得出如下结论:身份信息大多数情况下需要用户自愿提供或非自愿获得;定位系统信息通常需要用户自愿提供;而路径信息则自愿和非自愿提供比例不相上下;多媒体信息则通常由用户自愿提供等。这些数据可能涉及车辆驾驶员或乘客,或者甚至可能是不知道车联网的第三方。
3.2 事件驱动的服务
在救护车通过一个十字路口之前,交通灯可以自动切换为红色。其逻辑是,逻辑是救护车可以向其行驶路线附近的雾节点(fog nodes)广播事件信息。然后,像摄像机这样的雾节点接收事件,并可以生成一个额外的事件,代表救护车间隔观察。最后,十字路口附近的摄像头可以通过图像处理识别救护车,事件处理代理可以将灯切换为红色。事件驱动的服务不仅在个人信息的私密性方面,而且在服务的可靠性方面都是有问题的。有学者认识到车辆产生的事件可能是不确定的,这将影响服务质量。反过来,确保一定水平的质量需要大量的信息。
3.3 停车位识别
以实时停车空间监控和引导系统为例,其中用户发送停车请求以及GPS信息。然后,该服务将拍摄停车位的任务分配给附近的车辆。图像被贴上位置标签,该服务分析并存储它们。找到空位后,司机会被引导到空位。有争议的是,存储的图像可能包含关于停放的车辆及其标识的信息,并且可能另外包括关于行人的信息,这可能违反多方隐私和个人信息的隐私。
其他方法试图最小化个人信息的使用。然而,我们注意到这种方法可能会影响停车位识别的质量。例如,通过使用超声波测距仪而不是成像来识别空的停车位。但携带传感器的车辆仍会将位置数据传送给服务器。
3.4 移动人群感知
车联网中的移动性激发了一些涉及某种形式的参与式移动人群感知(MCS)服务会实施激励机制来换取诸如移动ID、速度、位置、方向之类的数据,比如用户可以上传所需目的地,以获取交通信息。通常从中可以推断出交通状况。移动人群感知服务仍然面临用户提供信息的动机不明确这个共同的问题。即使在用户决定要使用这种服务的情况下,系统收集的个人信息的隐私仍是一个重要问题。
3.5 社交网络
基于车联网的社交网络也存在很大的隐私和信任风险。比如,合作车辆路径(cooperative vehicle routing)可以通过驾驶员合作减少个人和总的旅行时间。再如,车辆社交网络客户端应用程序可以根据驾驶员的位置登录沿途所需的群组,例如政治讨论组。此类服务需要多个私人数据才能运行,从而带来各种与隐私相关的风险。
3.6 车辆排队
一个车队由一辆领头车和跟随领头车的其他车辆组成。假设至少领头车辆必须由驾驶员驾驶,而跟随车辆可以自主移动。车辆也可以动态地加入或离开车队。排队有望提高安全性,降低出行成本,增加道路通行能力。为了适应排队,使用计算机视觉来检测车道和车辆的横向位置,并结合雷达和激光雷达进行纵向观察。当仅使用本地传感器时,由于从引导车辆到后面的缓慢信息传播,可能发生纵向振荡(longitudinal oscillations)。为了减弱交通冲击波(traffic shock-waves),来自所有车辆的速度、刹车信号、车队中的位置、障碍物位置以及每辆车的位置信息在车队之间共享是至关重要的。
然而,在隐私方面,这种信息共享存在两个主要问题。其一,信息共享可以被利用。如果有人远程查询其邻居的传感器,一个车队中的任何一辆车都可以被定位。其二,独特地识别车辆的能力是会对用户的隐私产生影响。例如,车队中的车辆可以推断出彼此的起点、目的地和路线,并直观地监控乘客的活动。
3.7 对车联网服务中个人的潜在监控
除了上述服务之外,车联网中还可能存在对个人的潜在监控。例如,自动呼叫家人或朋友的紧急服务可能会侵犯司机和乘客的隐私,这些信息其中包括与车辆所处情况相关的信息,包括乘客数量、方向、位置和紧急情况的原因。再如,如果保险公司提供一种对驾驶行为、持续时间和违反交通规则等信息进行统计分析,以获得个性化的保险报价的车联网服务,将可能会损害保险公司的可信度,并使司机和乘客可能会觉得他们正在被监控。还有人提出,增强的智能可以帮助识别行人目标,分析诸如身高和年龄等信息,以预测目标的危险行为。这些概念虽然提出的初衷是好的,但可能会引发几起多方隐私冲突,也可能会引起种族偏见和歧视等伦理问题。
3.8 智能路口
智能互联通过使用适当的协调技术和算法来管理车流,而不是通过交通灯和信号。预计这将带来更好的空间利用,以及延误和事故最小化。尽管智能交叉口具有预期的优势,但仍存在挑战。智能路口需要严格的信息交流,在某些情况下,还需要用户信息来帮助协商优先级。如果这种数据被存储或利用,则可以推断出所有车辆的路线。目前还不清楚智能交叉口是否以及在何种情况下能够提供显著的好处。因此,关键问题是隐私的交换是否值得。
(本文下篇将分析车联网所面临的挑战,并对未来的方向进行研究,敬请期待。)
往期文章:
1.产业数据治理
2.欧盟数据治理模式
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
欧盟的人工智能数据治理方案Gaia-X:下一代数据治理基础设施
3.数据权属与数据治理之争
4.全球数据治理观察
数据访问治理:中国、欧盟和印度的发展(附报告全文)作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
5.数据跨境流动治理
数据跨境流动的规则监管与多元治理