面對隱私挑戰，Mozilla為WebXR開發提出PACE四原則

    虛擬現實和增強現實為當前的網絡安全和隱私問題引入了一個全新的物理層面。當用戶沉浸在3D體驗時，2D網絡本已難以解決的問題變得更加復雜，比方說權限和點擊劫持。這對不存在類似于2D“窗口”概念，而且用戶所看到的一切都由應用程序渲染的頭顯尤為如此。令獲取權限變得更加敏感的原因是，為驅動AR和VR體驗而采集的傳感器數據與個人越發相關。在本文中，Mozilla的DIANE HOSFELT向我們介紹了混合現實體驗權限的原則，以下是映維網的具體整理：

    為了實現沉浸式MR體驗，設備搭載了傳感器，其不僅捕捉有關用戶周圍物理世界的信息（遠遠超出智能手機上常見的傳感器），同時采集有關用戶和（可能）旁人的詳細信息。例如，這樣的傳感器可以創建物理世界的詳細3D映射（通過是利用底層平臺功能），推斷高度和步態等生物識別數據，并且可能借助搭載的攝像頭來尋找和識別附近的人臉。頭顯上的紅外傳感器最終可以檢測更詳細的生物特征，如出汗情況和脈搏，而一些設備已經包含了 眼動追蹤 器。

    對于每個傳感器，在MR應用中都有直接的用例。世界模型允許設備在平面上放置內容，隱藏桌面下的內容，或者如果VR用戶即將撞向墻壁時發出警告。用戶的身高和步態可通過頭部和雙手在世界中的精確3D運動進行說明，這樣的信息對于沉浸式體驗從正確位置渲染內容必不可少。眼動追蹤可以支持自然的交互，并允許殘障人士單純通過眼睛進行導航。訪問攝像頭數據則允許應用程序檢測和追蹤世界中的對象。

    遺憾的是，每種傳感器都存在一定的問題。涉及用戶家庭數據的泄露可能會侵犯他們的權利；身高和步態可以用作唯一的個人識別碼，但惡意應用程序可以借助相關的生物識別數據來推斷用戶的政治傾向或性取向；攝像頭可以未經同意地追蹤旁人的位置…如果政府可以訪問相關的數據，這將變得尤其令人擔憂。

    Mozilla的使命是賦能互聯網用戶。網絡是現代生活中不可或缺的一部分，而個人安全和隱私是基本權利。當存在潛在的負面后果時，瀏覽器通常會請求同意。但在通過互聯網采集和傳輸更多數據時，我們有時沒有確保用戶的知情同意。隨著越來越多的交互轉移到MR設備上，這種趨勢可能會對用戶產生深遠的影響。

    1. 知情同意

    知情同意的概念源于醫學倫理，以及個人有權控制其生活中關鍵方面的觀點?；ヂ摼W現在是人們生活和社會的基本組成部分。Mozilla堅信知情同意同樣是互聯網上的一項權利。遺憾的是，跟醫療等領域一樣，為互聯網用戶提供知情同意會遇到類似的問題，用戶可能無法理解所被告知的內容，并且可能不會積極在當下考慮他們的選擇。最重要的是，沉浸式網絡必須從一開始就有一個信任的基礎。

    獲取知情同意需要“披露”，“理解”和“自愿”。為了獲得信息，我們必須要以用戶能夠理解的方式提供所有必要的信息，包括采集或傳輸的數據，以及未經授權披露的風險。為了能夠“同意”，用戶不僅必須能夠理解所披露的信息，而且還能夠做出非遭受脅迫或操縱的決定。

    完全準確地為知情同意提供所需的信息具有挑戰性。權限已經變得過于復雜，無法輕松地向用戶傳達所采集的數據，以及相關數據使用或濫用的潛在后果。例如，《Pokémon Go》利用智能手機中的加速度計和陀螺儀來對齊寶可夢/小精靈與玩家在世界上的方向，并確定他們是否正在駕駛汽車。但是，壞人也可以利用這一點來盜取密碼。這種更為微妙的風險可能會產生更嚴重的后果。

    多個傳感器之間的交互帶來了額外的權限挑戰。將加速度計數據與生物識別數據和麥克風訪問相結合時會產生什么后果呢？如果我們進一步增加攝像頭訪問，這又會帶來什么影像呢？這些傳感器提出了復雜的威脅。當綜合起來時，如果聽起來不是非?？鋸?，你很難傳達所有潛在的風險。

    考慮到沉浸式網絡的新挑戰，我們有機會重新審視我們處理權限和知情同意的方式，從而更好地賦能用戶。盡管我們尚未明確應該告訴用戶什么，但我們提出了四個原則來作為解決問題的基礎：權限應該是漸進的（progressive），負責任的（accountable），舒適的(comfortable），以及匹配的（expressive），英文簡稱為PACE。

    2. 原則

    2.1 漸進

    Web社區熟知漸進式Web應用程序，這是指在兼容各種設備的網站設計，并隨著設備性能的提升逐步創建更強大的站點。在混合現實中，設備的功能更加多樣化，對于希望盡可能覆蓋更多受眾的開發者而言，他們需要進行更大幅度的改動。除了設備功能之外，AR感知的私密性（甚至侵入性）意味著用戶可能不希望將設備的全部功能授權給所有網站。

    為了同時支持設備的多樣性和尊重用戶的隱私，瀏覽器需要擁抱“漸進式授權”的概念，為傳感器訪問提供情景信息，并逐步提升授予網站的功能，從而幫助用戶更好地控制權限授予。這一原則與知情同意的概念密切相關。請求脫離情景的危險權限，網站可能會提供不完整的披露并影響用戶的理解。例如，大多數應用程序和網站在安裝或啟動時請求所有必要的權限，然后無限期地保留它們。

    為權限提供情景信息的概念并不新鮮。一些移動應用程序和網站已經向人們提供了請求權限的解釋，說明了為什么需要訪問權限。然后，用戶可以選擇并同意/拒絕每個權限。如果用戶稍后訪問需要拒絕權限的功能，應用程序可以重新提出請求。

    “漸進”的一部分要求是負責任地僅在需要時收集數據，而不是在不需要時仍持續使用傳感器。對于已同意麥克風訪問以進行口頭輸入的用戶，他們尚未同意不受約束的麥克風訪問，如竊聽。

    因此，漸進式權限也應該是雙向的，允許用戶在Web應用程序的整個生命周期內反復打開和關閉權限。在這個示例中，用戶可能會合理地期望網站在輸入期間使用麥克風，然后在輸入完成時停止使用傳感器（即便它仍然擁有使用它的權限）。

    又例如一款請求攝像頭訪問的應用程序。在家里，我同意請求。在工作中，我打開應用程序，它立即使用攝像頭，但不宜泄漏機密信息。我們不希望繼續提示，但希望用戶了解并控制應用程序何時可以使用傳感器數據，并根據需要更改權限。這具體取決于他們的偏好，情景和需求?！柏撠熑蔚摹痹瓌t則強化了這一原則。

    2.2 負責

    責任與義務與授予權限后發生的事情有關。所有授予的權限應易于查詢且易于更改。我們設想一個易于訪問的用戶界面：

    當前權限

    同意/拒絕每個授權請求的時間

    頁面當前采集/監控的數據

    一個允許在同意/拒絕每個權限之間輕松切換的選項（無需重新加載頁面）

    撤銷應該要做到直截了當，而且只影響相關的功能。例如，撤銷攝像頭訪問應該只影響需要攝像頭的功能，而不是阻止使用整個網站。

    另外，當網站使用設備資源時（如訪問文件），應該提供一種方法來令網站對訪問和/或修改的資源負責。隨著瀏覽器采用新的架構來提高安全性，確定哪些頁面正在使用哪些資源已經變得更容易，允許瀏覽器向用戶報告更準確和更細化的使用數據。

    對于即使在瀏覽器關閉或屏幕關閉后繼續執行JavaScript的瀏覽器，這同樣令人感到不安并且違反了用戶對其責任意識的期望。某些傳感器（包括運動和光傳感器）不受權限保護，并且會公開給JavaScript。這些傳感器還代表了用于檢索敏感數據的暗門，在設計問責措施時應予以考慮。

    2.3 舒適

    用戶已經對過度的權限請求感到疲勞。在不考慮疲勞的情況下實現前面兩個原則存在不尊重用戶注意力并增加疲勞的風險。因此權限系統的設計也必須舒適。當我們談論舒適的權限系統時，我們明確提到需要平衡用戶控制和減少摩擦。中斷用戶的任務，在錯誤的時間請求權限，以及過多的權限請求可能會導致用戶“放棄”，并自動接受“繼續使用”權限。

    隨著我們增加感知信息的數量和種類，我們應該考慮簡單的權限對話框。例如在某些情況下，瀏覽器可以使用基于用戶動作的隱式權限（如按下按鈕拍攝圖片可能隱含提供攝像頭訪問權限）。在3D沉浸式混合現實中，用戶將穿戴頭顯設備，在沉浸式環境中出現的權限請求應該提供舒適的UX，能夠容易進行識別。如果請求不穩定或視覺上不舒適，用戶可能不會花時間進行考慮，而是快速接受（或拒絕）以恢復沉浸式體驗。隨著時間的推移，我們希望Web社區能夠為兼容多個瀏覽器與環境的各種權限開發一致的設計語言。

    構建舒適的權限系統可以利用先前的原則：隱式授予一種權限可以通過令網站對可訪問的數據負責和提供可見性來平衡，并提供一種簡單明了的方式來瀏覽和修改權限。

    2.4 匹配

    這個原則要求瀏覽器以不同方式處理不同傳感器的不同權限，而不是假設一體通用（即，為需要用戶授權的任何功能提供類似類型的提示）。當前的權限方法將傳感器分為兩類：危險（需要提示）和非危險（通常無需額外的用戶輸入即可訪問）。

    遺憾的是，“非危險”傳感器之間的交互（如加速度計和用于輸入的觸摸屏）可能會泄漏密碼等數據。在沉浸式環境中，設備搭載了相當強大的傳感器，從而導致更復雜且更難以預測的交互。

    要實現更匹配的權限系統，一個可能的解決方案是權限捆綁，將相關權限進行分組。但這可能會違反用戶的期望，并可能導致不夠漸進的方法。

    進入沉浸式模式將自動激活某些傳感器。例如，基本的VR應用程序將利用運動傳感器進行渲染，并估計地板的位置。利用相關的數據，一款應用程序將能夠推斷你的身高。這種次要的推論并不總是那么明顯。即便是在對5名用戶的小型研究中，也有3名參與者認為VR設備采集的唯一數據是他們在創建帳戶時提供的數據或基本使用數據（如使用應用程序的頻率）。只有兩名用戶意識到設備傳感器采集并傳輸了更多數據。應用程序越豐富，所涉及的一個或多個傳感器就越有可能傳輸可用于唯一識別個人的數據。

    3. 展望未來

    對知情同意而言，準確而完整地解釋正在采集的數據和潛在的后果至關重要，但權限提示存在隱式授權的風險。隨著我們向設備添加更多傳感器并采集更多的個人和環境數據，添加更多的權限提示是一個誘人的解決方案。但是，授權疲勞已經是一個嚴重的問題。

    在可能的情況下，我們應該識別隱式同意的可能。例如，每次在2D Web上移動或單擊鼠標時都不必授予權限。當我們確實需要明確授權時，平臺應該提供舒適和一致的用戶體驗。

    授權的目標應該是獲得知情同意。除了設計技術解決方案之外，我們還需要向公眾宣傳設備采集的數據類型和潛在后果。盡管這可以幫助用戶做出有關授權的明智選擇，但仍不足夠。在提供沉浸式Web體驗時，我們需要將知情同意（披露，理解，自愿）的三個方面與四個PACE原則（漸進，負責，舒適，匹配）相結合，支持用戶更好地控制與管理自己的隱私。

    Web的優勢在于人們能夠隨意和短暫地瀏覽頁面和點擊鏈接，同時知道他們的瀏覽器會確保這項活動的安全。這是信任網絡的基礎。由于濫用私密數據的潛在新途徑出現，這一基礎在沉浸式網絡中變得更加重要。

    近來發生的一系列事件表明，違法采集數據十分猖獗，而且充斥著個人數據被濫用的風險?；旌犀F實設備，以及它們生成的新類型數據提供了改變關于Web權限和授權對話的機會。

    我們提出PACE原則，鼓勵MR愛好者和隱私研究人員考慮采用新的數據采集方法，在尊重用戶時間和精力的同時為用戶提供信息和授權。這種解決方案并非全都與技術相關，但可能包括教育普及與倡導。隨著VR和AR設備進入主流技術環境，我們應該主動探索新方向的可行性，而不是等待和應對未來數據泄露和濫用可能帶來的更嚴重后果。

           文章來源：映維網 如轉載請標明出處

    原文鏈接 ： https://yivian.com/news/53094.html