假设诊所主任说,该诊所无法承受所有的安全功能的开销。她还要你开发这个系统,但不要其中的大多数安全功能。你有几种选择。你可以开发一个价格便宜,但是安全性很脆弱的系统。你可以拒绝开发该系统,并且可能因此丢掉工作(尽管你的拒绝可能会说服诊所主任这些安全措施的重要性,并改变她的想法)。你可以添加这些安全功能,却不向他们收费。你可以制定出一种妥协方案,包括你认为重要的安全措施。除了第一个选项之外,其他选项很显然都是道德上可以接受的。那么第一个选项呢?你是否应当同意提供一个不包括你认为它应该具有的安全性的系统?难道现在需要诊所主任自己来权衡风险和成本,根据这些信息做出明智的选择?在只有客户会承担风险的情况下,有些人会说,因为你的工作就是告知,而不用管更多。也有人会说,客户缺乏专业知识去评估风险。然而,在这个案例中, 诊所主任并不是唯一处于危险之中的人,而且一个不安全的系统会造成最大风险的人也不是她。你有道德上的责任,考虑敏感信息暴露可能会对客户造成的潜在危害,因此拒绝去构建一个没有足够的隐私保护措施的系统。
最艰难的决策可能是要决定怎样才是适当的。对便携式设备上的个人记录加密可能是必不可少的。监控员工上网行为可能并不是必要的。在足够的防护和不足的防护措施之间,总是无法画出一条清晰的界限。你将不得不依靠自己的专业知识,依靠对关于当前风险和安全措施的最新了解,依靠良好的判断力,而且可能需要咨询一下开发过类似应用的其他人(SE准则7.08)。
请注意,虽然我们把重点放在对隐私保护的需求上,你对这样的保护也可能会过度。你的职业道德责任还要求你,不要通过吓唬客户使其支付昂贵的安全费用,却只用来防止一些不太可能出现的风险。
9.3.3 设计一个包含定向广告的电子邮件系统
你的公司正在开发一个免费的电子邮件服务,该服务将会包括基于电子邮件的内容来发布定向广告的功能,类似于谷歌的Gmail服务。你是设计该系统团队中的一员。你有哪些道德责任?
很明显,你必须保护电子邮件的隐私。该公司计划采用一个复杂的文本分析系统来扫描电子邮件消息,并选择适当的广告。没有人会阅读这些邮件。在为免费邮箱做推广时,会清楚告诉用户,他们会看到定向广告。在隐私政策中将解释电子邮件的内容会决定哪些广告会出现。所以,营销总监争辩说,你已经满足了隐私保护的首要原则,即知情同意。在向公众提供这项服务的时候,为了满足你的道德责任,还有什么是你必须考虑的呢?
我们会用软件,而不是用人,来扫描电子邮件和指定广告,这样做事实上会降低其隐私威胁。但是,该系统会存储什么信息?它会把关于它向特定用户显示的广告的数据保存下来吗?它会把关于电子邮件中的哪个关键词或短语决定了会选择哪个特定广告的数据保存下来吗?它会把关于谁点击了特定广告的数据保存下来吗?因为系统会基于电子邮件的内容来选择广告,所以显示给特定用户的广告集合本身,就可以提供关于该人的大量资料,就如同一个人的搜索查询记录一样。而因为在广告定向方法中的怪癖,其中有些信息可能是不正确或误导性的。
我们是否应当坚持认为所有这样的数据都不应该被存储?那也不一定。其中一些数据可能具有重要的用途。有些记录对于应该向广告商收多少钱是有必要的,有些可以用于进行分析以改善广告定位的策略,而且可能有些信息还可以用于对电子邮件用户或广告商的投诉进行回应。该系统的设计团队需要确定:存储哪些记录是必要的,哪些信息需要和单个用户关联起来,需要存储多长时间,将如何保护来保护它们(例如黑客攻击、意外泄漏等),以及在什么条件下才会透露这些信息。
现在,让我们退一步,重新考虑一下知情同意。仅仅是告诉客户,它们会看到根据他们的电子邮件的内容而展现的广告,这是不够的,因为系统中存储的数据可以把广告列表与特定的用户关联在一起。你必须使用隐私政策或用户协议来向潜在用户进行书面的解释。但是,我们知道,大多数人不会去阅读隐私政策和用户协议,尤其是页数很多的协议。用户点击一个按钮可能意味着在法律上的同意,但是道德上的责任还要更进一步。不管在协议中写了什么内容,设计人员都必须要考虑系统的风险和如何在设计中实施保护。