編者按:在微軟亞洲研究院主辦的第二十屆“二十一世紀的計算”大會暨微軟教育峰會上,1992 年圖靈獎得主、微軟新英格蘭研究院技術院士Butler Lampson與我們分享了在電腦科學技術飛速發展併產生越來越大的社會影響力的今天,我們需要什麼樣的相關公共政策,來保證技術使用者的人身安全與資訊保安。
Butler Lampson在“二十一世紀的計算”大會暨微軟教育峰會上的演講影片
隨著計算機在社會中的廣泛應用,我認為我們需要更多地思考電腦科學技術如何與社會規範和社會程式同步發展。雖然對社會規範來說,不同地區會根據不同的社會現象與文化背景做出不同的選擇,但我們能做的是,用技術為合理的社會規範提供一些通用的解決方案。在這次的演講中,我將透過三個例子來進行解釋:一是物聯網裝置的安全;二是線上個人資料的隱私保護;三是區塊鏈的浪潮。
物聯網安全雖然目前還不是一個特別嚴重的問題,但隨著物聯網裝置在人們的生活中越來越普及,在不久的將來,無論是因為裝置本身的故障,還是因駭客攻擊造成的裝置失靈,這些問題都將可能威脅使用者的生命,比如失控的紅綠燈、煤氣爐、無人駕駛汽車等等。此外,如果裝置製造商僱傭不到一流的程式設計師,無法造出符合安全標準的產品,也將導致更多事故發生。
我認為安全的物聯網裝置必須具有兩個條件:安全的基礎以及正確的架構。
安全基礎包括安全升級、可靠的雲連線、以及保證涉及安全的核心程式碼的獨立性。我們必須透過安全升級修復漏洞,並透過連線穩定的雲系統、可準確辨識的裝置,讓裝置在出現問題時能被準確追蹤。現存的CPU和作業系統過於複雜,我們需要有更好的硬體與軟體以滿足物聯網安全的需求。目前新一代的物聯網硬體已經開始湧現出來,微軟在這方面貢獻的一種解決方案:專為物聯網應用打造的作業系統Azure Sphere及相應的硬體支援。
我們知道好的計算機系統追求簡單,因此不僅要讓涉及安全的核心程式碼成為獨立的部分,還要儘量“小而美”。這就意味著規範、硬體、軟體都要儘量簡化,但我們都知道,這對龐大的物聯網系統來說是極其困難的,因為其中可能包含機器學習、計算機視覺、語音識別等多方面的技術。那麼如何讓系統簡單、可以理解的同時又保證安全呢?我的方案是透過一個簡單的監控器來監控所有與安全有關的輸出。這個監控器要同時滿足四個條件:一是安全性;二是它是獨立的一個模組;三是要專門負責安全任務的輸出;四是依靠簡單來保證安全,要經過充分測試和形式驗證。當監控發現違反安全的行為被觸發後,可以轉為手動操作。
舉一個例子,十字路口的紅綠燈系統非常複雜,它可以透過計算機視覺檢測車輛和行人,可以透過機器學習掌握以往的歷史資料來預測未來車流,也可以和其它路口的紅綠燈協同疏導和控制交通。想要讓這樣一個複雜系統沒有bug是非常困難的。但是從安全形度來說,監視器只需要保證一個路口最多隻有一個方向的綠燈是亮著的,並且紅燈轉為綠燈中間必須有一段不短於5秒的黃燈。這個條件非常簡單直觀,並且容易驗證。雖然這樣的條件不能保證紅綠燈系統有最高的效率,但已經可以保證它的安全性了。當然,並不是所有的物聯網裝置都能找到這樣簡單的監控規則,比如我不知道應該怎樣簡單定義自動駕駛汽車的安全性。但無論如何,讓系統足夠簡單是我唯一知道能保證可靠性的方法。
當然,監視器是額外的裝置,需要額外的研發,這對製造商來說昂貴而耗時。但我們依然應該綜合上述標準去生產物聯網裝置,因為這是性命攸關的一項任務,一旦有威脅生命的事故發生,企業就要接受問責,政府也會著手管理。但政府的管理必須在加強監管的同時也要防止阻礙創新,所以政府應該設定一些簡單而易於檢驗的規則,而不是一刀切阻止物聯網裝置的使用。所以我認為基於安全基礎和獨立的監控器架構生產物聯網裝置是切實可行的。
人們都希望能將網路資料掌握在自己手中,不僅知道誰擁有你的個人資料,更可以限制他們對這些資料的使用,這就需要透過制定規則來妥善管理資料。然而,目前沒有任何一種技術手段能夠確保我們對個人資料的控制,因為世界上不同地區的文化與政策存在很大不同,也不可能有全球適用的資料管理統一規定。但儘管如此,技術上的統一性仍然可以滿足差異化的地區規定。
網際網路時代個人資料的兩個特性給我們帶來了不安。在網際網路上,個人資料會在時間和空間兩個維度上廣泛傳播,具有持續性,每一個人都能看到並輕鬆複製你的個人資料;此外,網路資料很容易透過搜尋獲得,因此每個人幾乎沒有隱私可言,想要真正匿名是非常困難的。除了虛擬世界中產生的資料外,與人們現實生活有關的個人資料安全也越來越重要,比如照片、影片、車牌號、個人定位等等。
也許你會幻想一個極其理想的場景:你把關於自己的所有資料儲存在一個數字保險櫃裡,在別人向你發起請求時,你可以有選擇地回覆資訊。不過這顯然是天方夜譚,這樣做不僅成本高、效率低,而且你依舊不知道別人拿到你的個人資訊後會如何利用,對於整個社會而言,這一方式也將阻礙以學術研究和公共利益為目的的資料收集。
我認為可行的做法是以資料為中心的個人資料管理。沒有中央資料庫,資料管理者會為個人資料做以下標記:數字ID,以及對使用者的個人隱私政策的一個連結。這個標記會始終與使用者的個人資料捆綁著一併存在,並始終隨著使用者個人資料的變化而變化。
這種方式依舊要求資料管理者和使用者嚴格遵循規則,只有在資料管理者接受監管的條件下才能很好地運作——資料管理者必須為每一條資料做標記,且在使用資料時都遵守連結中使用者的個人隱私政策。這一方式有幾個與政策有關的特點:首先,它以使用者資料為中心,而不是以裝置或服務為中心,不是基於某個裝置來儲存的,而且直接與個人資料的使用政策相連;其次是規則必須非常簡單,降低廣大使用者的學習成本;最後是採用簡單的標準政策實現更加廣泛的資料排程。
當然,這樣做的前提是資料的使用者接受政府監管並且遵守使用者對資料設定的許可權,這一點必須由政府法制的力量來保證。只有這樣,使用者才能擁有掌控自己個人資料的能力。
第三個我想討論的話題是——區塊鏈究竟有什麼優勢?
近十年來,區塊鏈是繼人工智慧後掀起的第二股熱潮。區塊鏈被鼓吹有很多優勢,但是事實上,並不是目前大肆炒作的這些優勢都是真實存在的,比如數字貨幣,數字貨幣的價值事實上取決於它被人們交易或消費的價值,而政府必然會對數字貨幣進行嚴格的管控,所以區塊鏈實現的數字貨幣是個偽命題,只會在非法交易中找到應用;再比如,不可更改的公共賬本(immutable public ledger),有什麼人會想把賬本公開呢?“智慧合約”以及社會信任等等,比特幣交易雖然進行得如火如荼,但它終究不是百分之百值得信賴的。
我的思考是,區塊鏈的真正價值正來自它對產業的衝擊。其實許多涉及多方的繁瑣流程早在很久以前就可以實現自動化,例如房地產銷售、外資銀行轉賬等。是社會的惰性使它們保持原樣,而區塊鏈帶來了競爭,帶來了改變的壓力和動力。所以隨著區塊鏈的火熱,越來越多人開始思考一些從未考慮過的問題,並做出改變。
我認為另一個值得我們思考是,把區塊鏈作為一種工作流(workflow),來重新思考涉及多方的商業流程。工作流,是指工作程式自動化的過程,作為工作流(workflow)的區塊鏈非常複雜,但它的商業價值值得肯定。其中,最為困難的是讓工作流正式化的過程,因為這需要我們對多方的資訊交流、真假鑑定、事故問責和異常應對達成一致意見。在一個組織中,它被稱為“資料庫模式設計”或“業務流程重構”,如果資料來源自外部,就稱為“資料清理”,它們都複雜且耗資巨大。
為了讓工作流正常運轉,利益相關方必須協商好相關事宜,如屬性、訂單數量、庫存等細節,以及它們在通常情況與可能的異常狀況下的運作模式;此外還要統一流程操作的驗證方式。區塊鏈工作流要面對併發性、故障、不確定性和互動等等多重的問題。要記住區塊鏈雖然被炒作為“智慧合約”,但它並不能解決上述這些複雜的問題。