211service.com
The Pure Software Act från 2006
Spionprogram är en plåga för stationära datorer. Ja, datormaskar och virus orsakar skador för miljarder dollar varje år. Men spionprogram som antingen registrerar dina handlingar för senare hämtning eller som automatiskt rapporterar om dina handlingar över Internet - kombinerar handel och bedrägeri på sätt som de flesta av oss tycker är moraliskt motbjudande.
Maskar och virus är uppenbarligen till ingen nytta: dessa program är skrivna av skurkar och släpps ut i naturen utan annat syfte än att orsaka förödelse. Men de flesta spionprogram är författade av laglydiga företag, som lurar folk att installera programmen på sina egna datorer. Vissa spionprogram säljs också i det uttryckliga syftet att hjälpa makar att spionera på sina partner, föräldrar att spionera på sina barn och arbetsgivare att spionera på sina arbetare. Sådana program får datorer att förråda sina användares förtroende.
Hittills har datorindustrin fokuserat på tekniska medel för att kontrollera plågan av spionprogram. Sök-och-förstör-program som Ad-Aware kommer att skanna din dator efter kända spionprogram, spårningscookies och andra föremål som kan äventyra din integritet. När de har identifierats kan de kränkande föremålen sättas i karantän eller förstöras. Brandväggsprogram som ZoneAlarm tar ett annat tillvägagångssätt: de hindrar inte spionprogram från att samla in data, men de hindrar programmen från att överföra din personliga information över Internet.
Men det finns ett annat sätt att bekämpa spionprogram - ett tillvägagångssätt som skulle fungera eftersom författarna är legitima organisationer. Kongressen kan anta lagstiftning som kräver att programvara som distribueras i USA kommer med produktetiketter som skulle avslöja för konsumenterna specifika funktioner inbyggda i programmen. Sådan lagstiftning skulle sannolikt ha samma typ av pro-konsumentresultat som Pure Food and Drug Act från 1906 - den lagstiftning som är ansvarig för dagens märkning av mat och droger.
Konsten att bedrägeri
Obligatorisk märkning av programvara är en bra idé eftersom det grundläggande problemet med spionprogram inte är själva datainsamlingen, utan bedrägerihandlingen. Faktum är att många av de saker som spionprogram gör görs också av icke-spionprogram. Googles verktygsfält för Internet Explorer, till exempel, rapporterar tillbaka till Google vilken webbplats du tittar på så att verktygsfältet kan visa webbplatsens sidrankning. Men Google gör allt för att avslöja den här funktionen - när du installerar programmet får Google dig att bestämma om du vill få dina data skickade tillbaka eller inte. Läs detta noggrant, säger Toolbars licensavtal, det är inte den vanliga yada yada.
Spionprogram, å andra sidan, gör allt för att dölja sitt verkliga syfte. Ett spionprogram påstår sig automatiskt ställa in din dators klocka från atomklockan som drivs av U.S. Naval Observatory. Ett annat program visar väderrapporter anpassade för ditt område. Tyvärr, båda dessa program visar också popup-annonser när du går till särskilda webbplatser. (Vissa programvaruleverantörer insisterar på att program som bara visar annonser inte är spionprogram i sig, utan snarare något som kallas adware, eftersom de visar annonser. De flesta användare bryr sig inte om denna distinktion.)
Vissa av dessa program gömmer sig genom att inte visa ikoner när de körs och till och med ta bort sig själva från listan över program som körs på din dator. Jag har hört talas om program som listar sig själva i Microsoft Windows Lägg till/ta bort kontrollpanelen - men när du tar bort dem tar de inte bort sig själva, de gör sig bara osynliga. Lömsk.
Men trots denna dubbelhet bryter de flesta spion- och adware-program inte mot någon amerikansk lag. Det beror på att många av dessa program avslöjar vad de gör och sedan får användarens uttryckliga samtycke. De gör detta med något som kallas ett klick-wrap-licensavtal - en av de där rutorna fulla av juridiska tumbo som dyker upp när du installerar ett program eller kör det för första gången. Texten beskriver mer eller mindre alla hemliga knep som dessa fientliga program kan spela på ditt system. Naturligtvis är det knappast någon som läser dessa avtal. Ändå skyddar avtalen effektivt leverantörer av spion- och reklamprogram från ansvar. När allt kommer omkring kan du inte hävda att spionprogrammet övervakade dina handlingar utan din tillåtelse om du gav programmet tillåtelse genom att klicka på knappen Jag accepterar.
Enhetliga standarder för märkning av programvara skulle inte ersätta behovet av licensavtal, men de skulle göra det svårare för företag att begrava ett programs funktioner. Sådan lagstiftning – kalla den Pure Software Act från 2006 – skulle kräva att Federal Trade Commission upprättar standarder för obligatorisk märkning av alla datorprogram som distribueras inom USA. Ett märkningskrav skulle tvinga tillverkare av spionprogram att avslöja deras programs dolda funktioner.
Det historiska prejudikatet
Som jag antydde ovan har vi varit på den här vägen förut. The Pure Food and Drug Act från 1906 antogs av kongressen för att ta itu med en anmärkningsvärt liknande uppsättning bedrägliga affärsmetoder. Problemet redan 1906 var livsmedel och droger som såldes med vilseledande etiketter, eller utan etiketter alls.
1906 års lag krävde att varje läkemedel som säljs i USA levererades till konsumenten i en förpackning som anger läkemedlets styrka, kvalitet och renhet om de skilde sig från accepterade standarder. Dosen av läkemedlet måste vara tydligt tryckt på utsidan av förpackningen. Ett antal ingredienser som tenderade att åtfölja 1800-talets patentmediciner - ämnen som alkohol, kodein och cannabis - måste också tydligt avslöjas.
När det gäller mat krävde lagen att etiketter uttryckligen nämner konstgjorda färger och smaker - efter 1906 kunde du inte sälja något som kallas apelsinläsk om det inte hade aromer som kom från äkta apelsiner. Annars sålde du imitation eller konstgjord apelsinläsk. Och varje flaska, låda och påse med mat behövde tydligt ange den exakta vikten av maten som fanns i behållaren.
Pure Food and Drug Act var framgångsrik av många anledningar. Genom att tvinga tillverkarna att avslöja vad som fanns i deras produkter kunde konsumenterna undvika produkter som innehöll saker som de inte ville få i sig. Till exempel innehöll många av de ormolja-tonika som distribuerades i slutet av artonhundratalet betydande doser av beroendeframkallande droger som kodein eller kokain. Att tvinga fram dessa läkemedel på produktens etikett, tillsammans med en varning om att det kan vara vanebildande, gjorde det möjligt för konsumenter att fatta välgrundade beslut. Märkning gav också vetenskapsmän och så småningom konsumentgrupper möjlighet att kontrollera produkttillverkarnas påståenden. Obligatorisk märkning sätter press på tillverkarna att ta bort de mest stötande ingredienserna - en process som fortsätter än i dag. Slutligen gav etiketterna ytterligare bevis till lagstiftare som användes för att motivera utformningen av ytterligare lagstiftning.
Parallellerna mellan 1800-talets förfalskade livsmedelsprodukter och det tjugoförsta århundradets förfalskade programvara är kuslig. Precis som vissa tonika påstod sig göra en sak (som att växa hår) när de faktiskt gjorde en annan (gjorde användaren berusad och kemiskt beroende av kodein), har vi idag programvara som påstår sig göra en sak (ställ in tiden för din PC) och gör faktiskt en annan sak (visar annonser när du besöker vissa webbplatser).
Så hur skulle en Pure Software Act se ut? Att döma av 1906 års lagstiftning kommer de bästa resultaten sannolikt från att kräva etiketter som direkt skulle ta upp frågan om bedrägeri. Den nya lagen skulle därför kräva att programvara identifierar sig som sådan: inga fler dolda program som tyst installerar sig själva och sedan körs utan några synliga bevis. Pure Software Act skulle göra det olagligt för program att köra utan att avslöja sig själva genom standardmetoderna som används av värdoperativsystemet. Och lagen skulle kräva att program har en avinstallationsfunktion - annars gör det väldigt tydligt att de inte har det.
Att dokumentera ett programs installation och se till att det tas bort är bara början. Pure Software Act skulle kräva att Federal Trade Commission identifierar specifika metoder för programvara som måste avslöjas uttryckligen när programmen distribueras och körs. Istället för att låta företag dölja funktionerna i sin programvara med obskyrt skrivet juridiskt begravt i genomklickningslicensavtal, skulle lagstiftningen kräva att avslöjandet görs i form av lättbegripliga ikoner som kan klickas på för ytterligare information. Om du klickar på ikonen får du upp ytterligare förklarande text - kanske från en webbplats som underhålls av Federal Trade Commission. Ikonerna kan också visas på andra platser. Under Windows, till exempel, kan Aktivitetshanteraren och Lägg till/ta bort kontrollpanelen båda visa de obligatoriska beteendeikonerna bredvid programmets programikon.
Ett blygsamt förslag
För att göra mitt förslag mer konkret har jag tagit fram en lista över programbeteenden som skulle behöva avslöjas, och några representativa ikoner. Dessa ikoner (skapade av TechnologyReview.com senior grafiska designern Matthew Bouchard) är bara exempel för att illustrera konceptet. Faktiska regeringsbemyndigade ikoner skulle utvecklas av ett team av professionella med expertis inom mänskliga datorgränssnitt, testas på fokusgrupper och läggas upp för offentliga kommentarer. Men dessa ikoner är användbara för att förmedla den allmänna idén och för att starta diskussion.

Hook: Körs vid start
Vissa program kopplar sig till din dators operativsystem så att de körs automatiskt när datorn startas om eller en användare loggar in. Andra program gör det inte. Idag finns det inget sätt att säga annat än genom att utföra en detaljerad analys av datorns konfigurationsfiler före och efter att programmet har installerats och notera ändringarna. Alla program som installerar sig så att de körs automatiskt måste visa denna Hook-ikon.

Ring: Ringer ett telefonsamtal
En vanlig spionprogramsbedrägeri involverar program som får din dator att ringa telefonnummer som kostar dig pengar. Till exempel distribuerade några pornografiska webbplatser för några år sedan ett program som heter david.exe som fick offrets dator att ringa ett långdistanssamtal till en internetleverantör i Östeuropa; porrföretaget fick behålla hälften av de (orimligt höga) långdistansintäkterna. Andra typer av bedrägeriprogram kan ringa 900-nummer eller till och med använda din dator för att skicka skräpfax utan din vetskap. Att dokumentera att programvaran har kod som kan få den att ringa din telefon skulle vara ett bra sätt att lösa detta problem.

Ändra: Ändrar din dators operativsystem
Vissa program gör mer än att bara installera sig själva för att köras vid uppstart - de ändrar din dators operativsystem. Att se den här ikonen skulle ge dig en anledning att ställa frågor. Mer sannolikt skulle ett framtvingande av den här typen av avslöjande helt enkelt stoppa praktiken från utvecklarnas sida.

Monitor: Håller reda på vad du gör
De flesta program har sin egen verksamhet. Men vissa program övervakar dina tangenttryckningar och övervakar webbsidorna du tittar på även när andra program körs i förgrunden. Program kan titta på när du skapar filer, gör kopior av alla dokument som skrivs ut eller helt enkelt notera när din dator är inaktiv och när den används. Nyckeln här är att personlig information fångas av ett program när du tror att det inte lyssnar. Kanske den här ikonen kan innehålla en blixt för att indikera att den övervakade informationen rapporteras tillbaka över Internet till någon annan.

Visar popup-fönster
Ett väluppfostrat program talar bara när det talas till. Vissa program kräver å andra sidan din uppmärksamhet. Jag blev förvånad häromdagen när Microsoft Word 2003 dök upp ett fönster på min dator och bjöd in mig att delta i någon form av undersökning. För några år sedan märkte jag att ett elektroniskt plånboksprogram som heter Gator öppnade fönster för konkurrerande webbplatser när jag besökte vissa onlinehandlare.

Fjärrkontroll: Låter andra program ta över din dator
I teorin kan vilket program som helst som körs på din dator ta över det och utföra kommandon från andras sida. I praktiken är det bara väldigt få program som har möjlighet att erbjuda andra sådan fjärrkontroll. Program som gör det bör märkas.

Självuppdateringar: Det här programmet kan ändra sitt beteende
En av de viktigaste teknikerna för programvaruleverantörer för att hantera ihållande datorsäkerhetsproblem är att låta sina program automatiskt uppdatera sig själva med kod som laddas ner från Internet. Program som har den här funktionen bör annonsera den förmågan, eftersom de kan ändra sitt beteende utan någon input från användaren.

Fast: Kan inte avinstalleras
Vissa program, när de väl har installerats i din dator, är omöjliga att ta bort. Dessa program är vanligtvis operativsystemuppdateringar, men det är lätt för en smart programmerare att också skapa avinstallerbara spionprogram. Konsumenter bör informeras om att det finns vissa program som det inte finns någon återvändo till.
Regler för engagemang
Med ikonerna kommer regler för deras användning. Till exempel säger många av dagens genomklickningslicensavtal att användaren underförstått samtycker till eventuella ändringar i licensavtalet om inte dessa ändringar är väsentliga. Men vad är innehållsmässigt? När en etikettregim väl var på plats kunde en väsentlig ändring juridiskt definieras som en ändring som resulterar i en ändring av ikoner, till exempel om ett självuppdaterande program laddade ner en fjärrkontrollfunktion. Lagen skulle då kunna kräva att denna typ av förändring skulle kräva nytt samtycke från användarens sida.
En spänning som är inneboende med alla märkningsordningar är att bestämma vad som ska placeras på etiketten och vad som utelämnas. Ju mer information som krävs på etiketten, desto dyrare blir det att producera, och desto mindre sannolikt är det att konsumenterna faktiskt uppmärksammar informationen. Varje tillsynsorgan som implementerar denna policy kommer att behöva undvika ikonkrypning med 23 olika ikoner på varje mjukvara kommer inte att tjäna konsumenternas behov, det kommer bara att orsaka förvirring.
Personligen skulle jag vilja att mina programvaruetiketter skiljer mellan information som samlas in och används i aggregerad form och personligt identifierbar information som lagras i ett stort datalager. Men i grunden handlar det inte om vad programmet gör - det handlar om vad företaget gör efter att programmet har rapporterat sin information. Det vill säga, detta är en affärspraxis som bör skyddas av företagets integritetspolicy. Kanske behöver vi ikoner där också. (För flera år sedan försökte branschorganisationen TRUSTe ha tre ikoner för tre olika typer av standardiserade sekretesspolicyer; TRUSTe gav upp när dess medlemsföretag vägrade.)
En annan spänning är mellan frivillig och obligatorisk märkning. Jag tror att obligatoriskt är vägen att gå. Vi lever i en frivillig regim i dag: Google har gjort ett bra jobb med att förklara vad Google Verktygsfält gör, men andra företag är inte så kommande. Nästan 100 års erfarenhet av The Pure Food and Drug Act från 1906 visar att märkningskraven inte behöver vara betungande, men de måste vara obligatoriska - annars gör de bra företagsmärkningen och de dåliga företagen inte. Vad som behövs nu är att utvidga denna princip till mjukvaruvärlden.
Erkännanden
Jag har diskuterat detta förslag för programvarumärkning i flera månader med medarbetare i Cambridge. Vid Harvard Law School erbjöd Jonathan Zittrain mycket användbara kommentarer; vid MIT:s datavetenskap och artificiell intelligens Laboratory hade jag användbara diskussioner och kommentarer med mina examensrådgivare, Rob Miller och David Clark, och med min studiekamrat, Steven Bauer.