随着网络信息技术的高速发展,计算机网络已渗透到人们生活的方方面面,网络安全成为关乎国家安全和人民权利的重要问题。然而,由于网络信息技术的研究存在扩散性、渗透性和极大的不确定性,科研人员在研究过程中需要拥有强烈的责任感和道德伦理操守。

那么,如何在网络安全和网络测量研究中兼顾道德伦理?本文将从一个博士生的角度,结合自身在研究过程中产生的困惑,对该问题进行探讨。

一次失败的投稿经历

2020年8月12日,我意外地收到了网络测量领域顶级学术会议IMC 2020的拒稿邮件。原因是审稿人认为相关工作在伦理道德(伦理)方面存在风险,经伦理委员会(IRB)审查,认定工作不符合道德规范,即不符合征稿要求。

因为这篇投稿文章的内容是对某种新型网络诈骗犯罪方进行检测和测量,文中的确收集了大量来自真实用户的数据。被拒稿原因主要包括:缺少数据收集的细节,缺少关于IRB审查的细节,研究人员是如何处理数据的信息,尤其是用户身份相关的敏感信息没有解释清楚。

事实上,作为网络安全专业的博士生,对于伦理要求我并非一无所知,但也只是“一知半解”。

首先,我知道确实存在与伦理相关的要求,曾经有文章因为伦理引起争议。之前发表的文章中也有类似的描述,明白文章中需要有伦理说明内容。了解网络扫描需要控制速度,收集数据前需要经过用户同意等。

但以上认识其实是比较浅显的,在不同学术会议对伦理的要求有何异同,除了常识性要求之外,具体有哪些规定,有没有权威的规范、标准可以参考,以及论文中应该如何组织伦理的写作等方面均未做深入了解。这也导致了我这次失败的投稿经历。

会议要求和权威参考

为更全面地认识业界对伦理的要求,本文对计算机领域的学术会议,主要是网络安全和测量领域会议的征稿条件,进行了调研,学习了与伦理相关的经典参考标准。

会议要求

在学术会议中,最早在征稿意见中明确提出伦理要求的是IMC,始于2009年。之后,四大国际安全顶级会议也陆续增加了相关要求:USENIX Security于2013年,NDSS于2016年,CCS和Oakland于2017年(图1)。

图1 学术会议中关于道德伦理要求变化

作为可考证的最早提出伦理要求的学术会议,IMC 2009年第一版的伦理要求篇幅仅有一段,要求研究人员遵守行业使用规范、尊重数据隐私和匿名性,以及共享测量数据的原则,在文章发表前进行漏洞通知,并明确提出道德规范将成为文章拒稿的标准之一。

十余年后的今天,其征稿规范增加了诸多细节,强调以贝尔蒙特报告为基本原则(即对人的尊重、仁慈和公正)。如果是与人相关的研究,必须经过IRB审核;而对于与人类受试者不直接相关的研究,也希望研究人员能够对伦理相关的问题深思熟虑。

研究人员需要在论文提交页面主动说明工作可能涉及道德问题,并在附录中以“伦理”为标题进行具体说明。此外,程序委员会保留对工作道德性进行独立判断以及额外审查的权利。

USENIX Security 2013年第一次在CFP中指出,任何与人类受试者相关的实验均需提供伦理审查证明,并讨论研究人员采取了何种措施以缓解可能的伦理风险。

同样地,其2021年版本要求更加明确,要求说明如何处理漏洞(漏洞披露是否合规),如何处理敏感数据。

NDSS从2016年起对伦理提出要求,包括提供IRB审查支持、给出缓解伦理问题的措施、是否进行了合理的漏洞披露等。申明程序委员会保留评判伦理道德合规性并因此拒稿的权利。

CCS从2017年开始在征稿要求中提及道德问题,是四大会议中对伦理描述最简略的。要求涉及道德问题的工作必须能够说服审稿人,已经采取了充分的措施缓解危害,且该工作是明显利大于弊的。

目前来看,最严格的是Oakland,它也是从2017年开始在征稿意见中对伦理提出要求,借鉴了USENIX 2016年的版本。

2021年,Oakland提出了更加具体详尽的征稿要求,其中与人类受试者相关的要求基本保留了USENIX内容;对漏洞披露提出了具体要求:至少在发表前45~90天完成漏洞披露。

此外,Oakland还增加了一项新的内容,要求在终稿论文中提供竞争利益方面的描述,原因是研究人员可能出于某种经济利益,如受基金支持、被雇佣、参会报销等,或者非经济利益,比如属于政府组织的成员等受种种利益的驱动,在数据的分析、解释、结果展示方面存在倾向性。

除上述5个会议外,本文还对网络与信息安全的B类会议,以及计算机网络的A类会议的征稿要求进行了调研,明确提出伦理规范要求的会议包括但不限于DSN、SOUPS、PETS、RAID、ACSAC、PAM、AsiaCCS、Sigcomm、NSDI、WWW等。此外,人工智能领域的顶级学术会议AAAI、IJCAI、EMNLP等也对伦理提出了具体要求。

整体而言,道德的合规性已经成为学术界评价研究工作的普遍标准之一。

国际会议的中英文名称

权威参考

然而,研究过程究竟应遵循何种规范要求?尽管各个会议的征稿启示中关于伦理的描述越来越详细,但将其作为相关工作的具体指导标准显然不够充分。

为此,本文调研了关于伦理规范的一些“可能的”权威参考,主要来源于征稿启示和国际四大安全顶会已发表文章中伦理部分引用的参考文献。

整个计算机研究涉及的领域很广,不同的领域可能有各自的伦理标准。本文只选取其中与网络安全以及网络测量相关的文献/报告进行研究学习,大概可将其分成以下几部分:通用(General)规范、测量数据共享规范、网络测量规范等。

一是贝尔蒙特报告,其最初版本发布于1978年,是由美国全国生物及行为研究人体受试者保护委员会创建的,最初是为生物或者医学实验的人类受试者提供伦理保护准则。

该报告提出的三项基本原则,已经被各领域的伦理规范采用:对人的尊重、仁慈和公正。

二是2012年由美国国土安全部发布的Menlo报告,是专门针对信息技术领域提出的伦理原则指导报告。

该报告提出了四项基本原则,前三条继承了贝尔蒙特报告的内容,增加了“对法律和公共利益负责”。四项基本原则的具体内容如下:

■ 对人的尊重:参与者必须是自愿的、拥有决定是否参加实验的权利。要求必须提供给参与者知情内容,说明研究内容、可能的负面影响,内容必须易于理解、强调资源参与,不能用利诱的方式争取用户同意;尤其是如果在实验中存在欺骗用户的行为,需要在实验后与用户进行详尽解释。

■ 仁慈:主要包括最大化实验的正面作用、最小化实验的负面影响;要求制定好缓解负面影响的措施,考虑到最坏的情况并做好相应准备。

■ 公正:主要包括研究本身会带来一定利益,而研究过程可能造成一定危害,该原则要求利益、危害必须对所有人都是公平的,即不能牺牲一部分人的利益,为另一部分人服务。

■ 尊重法律和公共利益:包括公开自己的方法和结果,对自己的行为负责等。

高引文献

此外,在网络测量领域,最早提出伦理要求的是IMC,其创办人Vern Paxon教授于2007年发表的《Issuesand Etiquette Concerning Use of Shared Measurement Data》(共享测量数据使用中的问题和规则)也常被列为参考。这篇文章的写作动机,是为共享和使用测量数据提供行业参考标准。

文章指出,数据发布时,研究者需要充分考虑信息泄漏的风险。具体包括,对数据做充分的匿名化处理(信息泄露的途径总是多于想象),要给出详细的指导参考,即被发布出的数据可以用来做何种研究,例如不允许做去匿名化的操作,或者只开放数据集的部分属性等。

数据提供者需要给出充分的上下文信息,如数据采集的环境、方法、过滤的策略、数据清洗的步骤等,并告知该原始数据有被保留、会被保留多久,以及如何对数据集加以引用。

作者呼吁研究者使用公开数据集进行研究时,体谅公开数据的困难(比如作者自己发布某个数据集的时候,为了达到充分的匿名化,就花费了几个月的时间对数据进行处理),本着充分负责的态度,完全遵守提供者要求的数据使用原则,比如只能在沟通允许的范围内进行研究,不能直接将其用于研究未被允许的问题。

某些数据是授权使用的,使用后,不应该对数据进行二次传播。因此,作者也鼓励数据集的发布者和使用者在后续研究过程中不断保持沟通。

在论文中如何写好伦理考量

关于网络测量的道德规范,另一篇高引文章是2015年发表在NS伦理Workshop中的一篇文章《Addressing Ethical Considerations in Network Measurement Papers》(网络测量论文中的伦理思考)。

这篇文章的作者直截了当地指出,目前网络测量领域的文章缺少主动描述伦理思考的习惯;而这不仅对论文评审或工作评价本身造成困扰,且可能由于作者在文章中没有明确指出所采取的缓解伦理风险措施,复现该工作的人忽略了相关问题,导致产生不良影响。所以,只要论文产生人为影响,就应详细描述该工作的道德规范考量。

首先,对什么是“安全风险”,如何定义“危害”进行了讨论。某个工作潜在的伦理风险是光谱状的,最好、最差的情况、间接造成危害的情况都需要讨论。

其次,被动的数据收集方式不代表不产生伦理风险,数据集公开前一定要做匿名化处理,并讨论可能出现的去匿名化问题(并不要求作者解决相关问题,但起码应该明确指出、并给出一定的讨论/缓解措施)。

文章还给出了一些在论文中研究者需要回答的基本问题:

■ 数据收集过程是否由作者完成,会对任何第三方造成可能的危害吗?

■ 如果数据收集不直接由作者完成,该收集过程的安全性是否由其他责任方提供保证,如果有,需要在文中给出引用,如果没有,需要由作者完成相关讨论。

■ 使用的数据是否涉及任何个人隐私相关的信息,如果有,请作者讨论采取了哪些方式对这些隐私信息加以保护。

此外,文章还对网络测量领域一个具备特殊道德属性的研究主体——审查机制(Censorship)的测量进行规范。测量审查的方式可以大概分为两类:

一种是用户端(Client-side)扫描,需要在网络节点安装软件进行扫描,包括直接组织研究人员安装软件、以众包或者应用商店的方式发布软件。

基于用户端测量的其风险在于,用户可能由于涉及敏感内容而受到企业或者政府的审查;而且,往往是越有意义的研究内容、结果,风险越大。解决方案是,寻找兴趣和安全之间的权衡,比如在测量审查时对风险进行量化评估,将风险控制在中度地区。

另一种是通过网络测信道扫描探测,比如发送因特网包探索器(ping)、同步序列编号(SYN)等。网络信道测量的风险在于侧信道的探测本身是不太可能经过事先同意的,在用户没有签署同意协议的前提下进行的实验,会存在较严重的伦理风险。对于这一风险,我们的建议是降低发包速率。

然而,即使是这篇希望建立Ethic规范的文章,也提出了一些没有结论的开放式问题,比如要以何种程度在实验中声明自己的实验目的(如,在流量日志中说明实验意图),以及只声明发包速率低,要低到何种程度为止,还没有具体的量化参照答案等。

在了解伦理道德规范的要求来历和具体的规范后,即使实验做得非常规范,我们也要把最后一步也就是论文中关于伦理考量的描述写好。

其实如何系统、全面地组织好伦理考量的内容,以方便审稿人、程序委员会对工作的道德性进行审查、提出意见,这也是一个互相促进、共同努力使得工作在合规的前提下更加完整的过程;也是为了文章的读者,其他研究人员在复现、扩展或者从事类似工作时提供更好的参照。

因此,我调研了发表在国际四大安全顶会的论文,从实践中寻找答案。为了避免误报,这里只是将IRB相关的论文找了出来,数量如表1。

表1 发表于 Big4 的 IRB 相关论文数量统计

图2展示了其中某一文章讨论伦理的篇幅占比,可以看出,作者花费了较大篇幅在讨论伦理考量。

图2 文章中讨论伦理的篇幅占比事例

综上,我认为,组织研究论文中Ehics部分的要点主要包括:

第一,梳理实验都有哪些环节、操作步骤可能涉及到伦理风险,这一部分要尽量考虑全面,不仅是直接引起风险的操作、间接造成风险的以及存在潜在风险的都要指出。

第二,根据参考标准,逐条对照自己的实验是否符合相关规定;还可以找到已经发表的、存在类似伦理问题的文章,借鉴其处理思路。

第三,明确研究的收益如何、风险如何,找到有趣的发现与伦理之间的平衡。

第四,寻求可能的第三方的帮助。比如,如果高校有伦理委员会,特别是专门针对信息技术行业的伦理委员会,委托其审核实验流程并提供证明是最好的;其次,还可以向大学的法律部门、经验丰富的老师和同事等讨论,专门讨论如何缓解伦理风险。

当然,“以评促建”才是最重要的目的,也就是说我们不仅要学习如何写,更重要的是,依据这些条目来改进自己的实验设计和数据处理的流程。在具体的实验设计部分,也有以下要点可以参照:

1.是否提供了用户同意说明,详细到何种程度(给截图、引用);

2.是否进行了充分的匿名化处理(如何保护用户隐私);

3.数据是如何使用的(存储、访问权限管理等)。

作者:张一铭(清华大学网络科学与网络空间研究院)

声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。