编者按:在微软亚洲研究院主办的第二十届“二十一世纪的计算”大会暨微软教育峰会上,1992 年图灵奖得主、微软新英格兰研究院技术院士Butler Lampson与我们分享了在计算机科学技术飞速发展并产生越来越大的社会影响力的今天,我们需要什么样的相关公共政策,来保证技术使用者的人身安全与信息安全。
Butler Lampson在“二十一世纪的计算”大会暨微软教育峰会上的演讲视频
随着计算机在社会中的广泛应用,我认为我们需要更多地思考计算机科学技术如何与社会规范和社会进程同步发展。虽然对社会规范来说,不同地区会根据不同的社会现象与文化背景做出不同的选择,但我们能做的是,用技术为合理的社会规范提供一些通用的解决方案。在这次的演讲中,我将通过三个例子来进行解释:一是物联网设备的安全;二是在线个人数据的隐私保护;三是区块链的浪潮。
物联网安全虽然目前还不是一个特别严重的问题,但随着物联网设备在人们的生活中越来越普及,在不久的将来,无论是因为设备本身的故障,还是因黑客攻击造成的设备失灵,这些问题都将可能威胁使用者的生命,比如失控的红绿灯、煤气炉、无人驾驶汽车等等。此外,如果设备制造商雇佣不到一流的程序员,无法造出符合安全标准的产品,也将导致更多事故发生。
我认为安全的物联网设备必须具有两个条件:安全的基础以及正确的架构。
安全基础包括安全升级、可靠的云连接、以及保证涉及安全的核心代码的独立性。我们必须通过安全升级修复漏洞,并通过连接稳定的云系统、可准确辨识的设备,让设备在出现问题时能被准确追踪。现存的CPU和操作系统过于复杂,我们需要有更好的硬件与软件以满足物联网安全的需求。目前新一代的物联网硬件已经开始涌现出来,微软在这方面贡献的一种解决方案:专为物联网应用打造的操作系统Azure Sphere及相应的硬件支持。
我们知道好的计算机系统追求简单,因此不仅要让涉及安全的核心代码成为独立的部分,还要尽量“小而美”。这就意味着规范、硬件、软件都要尽量简化,但我们都知道,这对庞大的物联网系统来说是极其困难的,因为其中可能包含机器学习、计算机视觉、语音识别等多方面的技术。那么如何让系统简单、可以理解的同时又保证安全呢?我的方案是通过一个简单的监控器来监控所有与安全有关的输出。这个监控器要同时满足四个条件:一是安全性;二是它是独立的一个模块;三是要专门负责安全任务的输出;四是依靠简单来保证安全,要经过充分测试和形式验证。当监控发现违反安全的行为被触发后,可以转为手动操作。
举一个例子,十字路口的红绿灯系统非常复杂,它可以通过计算机视觉检测车辆和行人,可以通过机器学习掌握以往的历史数据来预测未来车流,也可以和其它路口的红绿灯协同疏导和控制交通。想要让这样一个复杂系统没有bug是非常困难的。但是从安全角度来说,监视器只需要保证一个路口最多只有一个方向的绿灯是亮着的,并且红灯转为绿灯中间必须有一段不短于5秒的黄灯。这个条件非常简单直观,并且容易验证。虽然这样的条件不能保证红绿灯系统有最高的效率,但已经可以保证它的安全性了。当然,并不是所有的物联网设备都能找到这样简单的监控规则,比如我不知道应该怎样简单定义自动驾驶汽车的安全性。但无论如何,让系统足够简单是我唯一知道能保证可靠性的方法。
当然,监视器是额外的设备,需要额外的研发,这对制造商来说昂贵而耗时。但我们依然应该综合上述标准去生产物联网设备,因为这是性命攸关的一项任务,一旦有威胁生命的事故发生,企业就要接受问责,政府也会着手管理。但政府的管理必须在加强监管的同时也要防止阻碍创新,所以政府应该设定一些简单而易于检验的规则,而不是一刀切阻止物联网设备的使用。所以我认为基于安全基础和独立的监控器架构生产物联网设备是切实可行的。
人们都希望能将网络数据掌握在自己手中,不仅知道谁拥有你的个人数据,更可以限制他们对这些数据的使用,这就需要通过制定规则来妥善管理数据。然而,目前没有任何一种技术手段能够确保我们对个人数据的控制,因为世界上不同地区的文化与政策存在很大不同,也不可能有全球适用的数据管理统一规定。但尽管如此,技术上的统一性仍然可以满足差异化的地区规定。
互联网时代个人数据的两个特性给我们带来了不安。在互联网上,个人数据会在时间和空间两个维度上广泛传播,具有持续性,每一个人都能看到并轻松复制你的个人数据;此外,网络数据很容易通过搜索获得,因此每个人几乎没有隐私可言,想要真正匿名是非常困难的。除了虚拟世界中产生的数据外,与人们现实生活有关的个人数据安全也越来越重要,比如照片、视频、车牌号、个人定位等等。
也许你会幻想一个极其理想的场景:你把关于自己的所有数据储存在一个数字保险柜里,在别人向你发起请求时,你可以有选择地回复信息。不过这显然是天方夜谭,这样做不仅成本高、效率低,而且你依旧不知道别人拿到你的个人信息后会如何利用,对于整个社会而言,这一方式也将阻碍以学术研究和公共利益为目的的数据收集。
我认为可行的做法是以数据为中心的个人数据管理。没有中央数据库,数据管理者会为个人数据做以下标记:数字ID,以及对用户的个人隐私政策的一个链接。这个标记会始终与用户的个人数据捆绑着一并存在,并始终随着用户个人数据的变化而变化。
这种方式依旧要求数据管理者和使用者严格遵循规则,只有在数据管理者接受监管的条件下才能很好地运作——数据管理者必须为每一条数据做标记,且在使用数据时都遵守链接中用户的个人隐私政策。这一方式有几个与政策有关的特点:首先,它以用户数据为中心,而不是以设备或服务为中心,不是基于某个设备来储存的,而且直接与个人数据的使用政策相连;其次是规则必须非常简单,降低广大用户的学习成本;最后是采用简单的标准政策实现更加广泛的数据调度。
当然,这样做的前提是数据的使用者接受政府监管并且遵守用户对数据设定的权限,这一点必须由政府法制的力量来保证。只有这样,用户才能拥有掌控自己个人数据的能力。
第三个我想讨论的话题是——区块链究竟有什么优势?
近十年来,区块链是继人工智能后掀起的第二股热潮。区块链被鼓吹有很多优势,但是事实上,并不是目前大肆炒作的这些优势都是真实存在的,比如数字货币,数字货币的价值事实上取决于它被人们交易或消费的价值,而政府必然会对数字货币进行严格的管控,所以区块链实现的数字货币是个伪命题,只会在非法交易中找到应用;再比如,不可更改的公共账本(immutable public ledger),有什么人会想把账本公开呢?“智能合约”以及社会信任等等,比特币交易虽然进行得如火如荼,但它终究不是百分之百值得信赖的。
我的思考是,区块链的真正价值正来自它对产业的冲击。其实许多涉及多方的繁琐流程早在很久以前就可以实现自动化,例如房地产销售、外资银行转账等。是社会的惰性使它们保持原样,而区块链带来了竞争,带来了改变的压力和动力。所以随着区块链的火热,越来越多人开始思考一些从未考虑过的问题,并做出改变。
我认为另一个值得我们思考是,把区块链作为一种工作流(workflow),来重新思考涉及多方的商业流程。工作流,是指工作程序自动化的过程,作为工作流(workflow)的区块链非常复杂,但它的商业价值值得肯定。其中,最为困难的是让工作流正式化的过程,因为这需要我们对多方的信息交流、真假鉴定、事故问责和异常应对达成一致意见。在一个组织中,它被称为“数据库模式设计”或“业务流程重构”,如果数据源自外部,就称为“数据清理”,它们都复杂且耗资巨大。
为了让工作流正常运转,利益相关方必须协商好相关事宜,如属性、订单数量、库存等细节,以及它们在通常情况与可能的异常状况下的运作模式;此外还要统一流程操作的验证方式。区块链工作流要面对并发性、故障、不确定性和交互等等多重的问题。要记住区块链虽然被炒作为“智能合约”,但它并不能解决上述这些复杂的问题。