Иллюзия конфиденциальности в дополненной и виртуальной реальности

13.09.2021 Дарья Каспарьянц

Время на прочтение: 4 мин

В марте 2021 года американский Фонд информационных технологий и инноваций (ITIF) опубликовал статью о новых проблемах конфиденциальности данных в устройствах AR/VR

В статье проанализированы масштабы и объекты сбора и обработки данных технологиями дополненной и виртуальной реальности, которые сильно отличаются от любых других устройств. В частности, двадцатиминутный виртуальный сеанс предоставляет около двух миллионов уникальных записей тела. Запись движений рук позволяет идентифицировать пользователя в 95% случаев при повторном виртуальном сеансе. А фиксация движений глаз информирует о подсознательных реакциях, интересах и предпочтениях пользователей (от любимой еды до сексуальной ориентации).

По мнению авторов, регулированию подлежат типы собираемых данных, а не устройства их собирающие. Для этого в статье выделено четыре типа данных.

Исходные данные — информация о человеке, которую технологии AR/VR могут наблюдать и копировать. К собираемым данным может относиться аватар или виртуальное представление пользователя. Пользователи оперируют этими виртуальными телами как в физическом мире, что делает эту форму наблюдаемых данных более интимной, чем аналогичная двумерная информация. В отличие от двумерных изображений, таких как изображения профиля или цифровые фотографии, трехмерные аватары в VR являются цифровым воплощением человека, включая его внешний вид, жесты и манеры и, соответственно, раскрывают информацию о поле и расе.

Более того, устройства AR/VR собирают определенные данные о социальных взаимодействиях в VR или AR. Эти данные могут содержаться в сообщениях, видео, изображениях, снимках экрана, которые идентифицируют человека, участвующего в определенных действиях. Они могут собираться для перераспределения (например, записи события) или для злонамеренных целей (например, для получения изображений людей в конфиденциальных местах без их согласия).

В многопользовательских приложениях с полным погружением для имитации виртуального присутствия требуется интерактивная обработка и визуализация разговоров и собраний всех взаимодействующих лиц. С точки зрения обеспечения конфиденциальности этих данных проблема заключается в определении предела открытости¹, который субъективен для каждого отдельного пользователя и зависит от контекста.

Случайные данные — информация, которую технологии AR/VR могут наблюдать, но не копировать (например, биографические данные или данные о местоположении). Значительный объем данных попадает в эту категорию при воспроизведении физического опыта в виртуальных пространствах.

Для отображения цифровых наложений и обеспечения безопасности² пользователя приложения AR/VR должны понимать, где находится пользователь по отношению к географическим и физическим объектам. Поэтому приложениям нужна постоянная пространственная осведомленность о местонахождении. Сюда входит информация с систем GPS, инерционного измерительного блока IMU³, а также информация с камер мобильного устройства и других пространственных датчиков.

Кроме этого, для воссоздания физического опыта и воспроизведения действия в виртуальном пространстве⁴ требуется сбор биометрических данных специальными устройствами в режиме реального времени:

базовые гарнитуры отслеживают движения в трех направлениях (3DoF), некоторые воссоздают движения всего тела (вставания, сидения движения вперед и назад, 6DoF);

более продвинутые отслеживают движения рук и пальцев;

технологии айтрекинга позволяют имитировать движение зрачка, направления взгляда и выражения лица;

технология BCI (Brain computer interface) позволяет измерять активность мозга, чтобы реагировать и адаптироваться непосредственно к нейронным сигналам пользователя. Сюда могут входить внешние датчики, например, электроэнцефалографии, или нейронные имплантаты, которые могут появиться в будущем.

Все эти данные дополняются биографической информацией (пол, возраст, интересы), идентификационной информацией (имена или связанные профили в соцсетях) и информацией о времени проведенном в устройствах AR/VR, поведении, действиях впечатлениях, которые ищут или в которых участвуют. Это позволяет объединять виртуальные среды с реальным миром и расширять социальные сети пользователей.

Основная проблема конфиденциальности этих данных связана с анонимностью и автономностью пользователя. При этом чувствительность к их использованию среди пользователей будет отличаться. Для одних обмен геолокацией с друзьями и семьей полезен. Для других увеличивает уязвимость (например, для детей или жертв насилия) или дискриминацию (по полу, возрасту, расе и пр.).

Авторы предлагают ранжировать случайные данные в соответствии с областью применения. Например, случайные данные, полученные при прохождении AR/VR терапии должны считаться более конфиденциальными, чем те же данные при использовании игровой или фитнес-платформы VR. Или информация о нахождении в собственном доме должна считаться более конфиденциальной, чем информация о нахождении в парке или торговом центре. Для биометрических данных или данных о здоровье информация должна обрабатываться только на локальном устройстве и не передаваться третьей стороне. Таким образом, продукты и услуги, собирающие эти данные, могут устанавливать пороговые значения для различных уровней доступа и хранения, которые могут включаться в меры по обеспечению прозрачности.

Наконец, законы и правила могут защитить пользователей от возможного вреда при неправильном использовании случайных данных. Для этого необходимо редактировать законы, запрещающие дискриминацию граждан, независимо от того, каким образом дискриминирующая сторона обнаружила подробности о человеке.

Вычислительные данные — информация, которую технологии AR/VR получают путем обработки исходных и случайных данных (например, биометрическая идентификация).

Такая информация может быть адаптирована для таргетированной рекламы или определенного контента под конкретного пользователя. Проблема конфиденциальности вычислительных данных заключается в том, как они используются, а не кем. На основе сгенерированных данных могут быть получены ложные или неточные выводы и прогнозы, которые нанесут пользователю вред. Или возможно непреднамеренное получение сугубо конфиденциальной информации, которая стала доступна благодаря вычислительной агрегации данных.

Для решения этой проблемы авторы предлагают сосредоточиться на доступном описании видов информации, которая может быть вычислена на основе данных пользователя. И соответственно предложить возможность отказаться от их агрегирования.

Связанные данные — информация, которая не содержит описательных сведений о человеке (например, имя пользователя, пароль, платежная информация или IP-адрес). Они используются для связи пользователей с их учетными записями, предпочтениями и виртуальными активами. Пока эти данные используются сами по себе, они не представляют рисков для конфиденциальности. Однако их можно связать с другой информацией, которую собирает устройство. Это может быть экранное время, или информация, которая раскрывает действия пользователя или его пристрастия к определенным впечатлениям в виртуальном мире. В сочетании с информацией, раскрывающей личность пользователя, связанные данные могут наносить репутационный, финансовый и др. ущерб. Для снижения рисков конфиденциальности этого типа данных необходимо вводить ограничения на их объединение с другой информацией, разрабатывать стандарты раскрытия информации и информировать пользователя в каких случаях происходит объединение.

Выводы

Авторы статьи рассматривают сбор и обработку данных как дихотомию рисков и развития. Это означает, что объединение данных о пользователе представляют серьезную угрозу конфиденциальности и анонимности пользователей, но необходимы для развития технологий AR/VR.

Для снижения рисков конфиденциальности необходимо преобразовать механизмы согласия на обработку данных для иммерсивных трехмерных систем. Это относится к правовым и техническим способам. Например, в существующих практиках согласия не всегда есть возможность переходить по гиперссылкам. А пользователи не всегда в полной мере понимают, как объединение данных раскрывает конфиденциальную информацию. Для этого могут потребоваться ограничения на объединение разной информации о пользователе.

Особенно чувствительной группой в долгосрочной перспективе являются дети. Отслеживание информации с устройства, которым пользовались в детстве, впоследствии можно использовать для повторной идентификации на новом устройстве или в новом приложении.

Возможность создавать реплики аватаров позволяет распространять порнографию без согласия пользователя⁵.

Кроме этого, в иммерсивных технологиях встает вопрос о невозможности обезличивания данных в связи с большим объемом. Удаление имен в данном случае не решает проблему, потому что необработанные биомертические данные могут повторно идентифицировать пользователя на основе уникальных перемещений.

1
Предел открытости — насколько и кому пользователь готов раскрывать свои личные данные.
2
Например, для размещения инструкции на машине или отображения виртуального знака перед зданием и предупреждения пользователя о приближении к объекту.
3
То есть, данные гироскопов или акселерометров.
4
Например, ощущение нахождения на твердой земле, прикосновения к объектам, смещения поля зрения в зависимости от положения головы и глаз, свободного движения в любом направлении.
5
В США существующие законы запрещают распространение порнографии без согласия запечатленного лица, но не распространяются на пользователей в виртуальном мире.