211service.com
De Pure Software Act van 2006
Spyware is de plaag van desktopcomputing. Ja, computerwormen en virussen veroorzaken jaarlijks voor miljarden dollars schade. Maar spywareprogramma's die ofwel uw acties registreren om later terug te kunnen vinden of die automatisch over uw acties rapporteren via internet, combineren handel en bedrog op manieren die de meesten van ons moreel verwerpelijk vinden.
Wormen en virussen zijn duidelijk niet goed genoeg: deze programma's zijn geschreven door onverlaten en in het wild losgelaten met geen ander doel dan het aanrichten van ravage. Maar de meeste spyware is gemaakt door gezagsgetrouwe bedrijven, die mensen misleiden om de programma's op hun eigen computers te installeren. Sommige spyware wordt ook verkocht met het expliciete doel om echtgenoten te helpen hun partners te bespioneren, ouders om hun kinderen te bespioneren en werkgevers om hun werknemers te bespioneren. Dergelijke programma's zorgen ervoor dat computers het vertrouwen van hun gebruikers beschamen.
Tot nu toe heeft de computerindustrie zich gericht op technische middelen om de plaag van spyware onder controle te krijgen. Search-and-destroy-programma's zoals Ad-Aware scannen uw computer op bekende spyware, trackingcookies en andere items die uw privacy in gevaar kunnen brengen. Eenmaal geïdentificeerd, kunnen de gewraakte items in quarantaine worden geplaatst of vernietigd. Firewall-programma's zoals ZoneAlarm hebben een andere benadering: ze voorkomen niet dat de spyware gegevens verzamelt, maar ze voorkomen dat de programma's uw persoonlijke gegevens via internet verzenden.
Maar er is een andere manier om spyware te bestrijden - een aanpak die zou werken omdat de auteurs legitieme organisaties zijn. Het congres zou wetgeving kunnen aannemen die vereist dat software die in de Verenigde Staten wordt gedistribueerd, wordt geleverd met productlabels die specifieke functies die in de programma's zijn ingebouwd, aan de consument zouden onthullen. Dergelijke wetgeving zou waarschijnlijk dezelfde soort pro-consumentenresultaten hebben als de Pure Food and Drug Act van 1906 - de wetgeving die verantwoordelijk is voor de huidige etiketten op voedsel en medicijnen.
De kunst van misleiding
Verplichte software-etikettering is een goed idee, omdat het fundamentele probleem met spyware niet het verzamelen van gegevens zelf is, maar het bedrog. Veel van de dingen die spyware doet, worden inderdaad ook gedaan door niet-spywareprogramma's. Google's Toolbar voor Internet Explorer rapporteert bijvoorbeeld aan Google welke website je bekijkt, zodat de toolbar de pagerank van de site kan weergeven. Maar Google doet er alles aan om deze functie bekend te maken - wanneer u het programma installeert, laat Google u beslissen of u uw gegevens wilt laten terugsturen of niet. Lees dit aandachtig door, zegt de licentieovereenkomst van de Toolbar, het is niet de gebruikelijke yada yada.
Spyware daarentegen doet er alles aan om zijn ware doel te verbergen. Eén spywareprogramma beweert de klok van uw computer automatisch in te stellen op basis van de atoomklok van het U.S. Naval Observatory. Een ander programma geeft weerberichten weer die zijn aangepast aan uw regio. Helaas tonen beide programma's ook pop-upadvertenties wanneer u naar bepaalde websites gaat. (Sommige softwareleveranciers houden vol dat programma's die alleen advertenties weergeven, op zich geen spyware zijn, maar eerder iets dat adware wordt genoemd, omdat ze advertenties weergeven. De meeste gebruikers geven niet om dit onderscheid.)
Sommige van deze programma's verbergen zichzelf door geen pictogrammen weer te geven wanneer ze worden uitgevoerd en zelfs door zichzelf te verwijderen uit de lijst met programma's die op uw computer worden uitgevoerd. Ik heb gehoord van programma's die zichzelf vermelden in het Microsoft Windows Add/Remove-configuratiescherm, maar als je ze gaat verwijderen, verwijderen ze zichzelf niet echt, ze maken zichzelf gewoon onzichtbaar. Stiekem.
Maar ondanks deze dubbelhartigheid overtreden de meeste spyware- en adwareprogramma's geen enkele Amerikaanse wet. Dat komt omdat veel van deze programma's onthullen wat ze doen en vervolgens de uitdrukkelijke toestemming van de gebruiker krijgen. Ze doen dit met iets dat een click-wrap-licentieovereenkomst wordt genoemd - een van die dozen vol juridische mumbo-jumbo die verschijnt wanneer u een programma installeert of voor de eerste keer uitvoert. De tekst beschrijft min of meer alle geheime trucs die deze vijandige programma's op uw systeem zouden kunnen spelen. Natuurlijk leest bijna niemand deze overeenkomsten. Desalniettemin beschermen de overeenkomsten leveranciers van spyware en adware effectief tegen aansprakelijkheid. U kunt immers niet beweren dat de spyware uw acties heeft gevolgd zonder uw toestemming als u het programma toestemming hebt gegeven door op die knop Ik ga akkoord te klikken.
Uniforme standaarden voor het labelen van software zouden de noodzaak van licentieovereenkomsten niet vervangen, maar ze zouden het voor bedrijven moeilijker maken om de functies van een programma te begraven. Dergelijke wetgeving - noem het de Pure Software Act van 2006 - zou de Federal Trade Commission oproepen om normen vast te stellen voor de verplichte etikettering van alle computerprogramma's die binnen de Verenigde Staten worden gedistribueerd. Een labelvereiste zou makers van spyware dwingen om de verborgen functies van hun programma te onthullen.
Het historische precedent
Zoals ik hierboven liet doorschemeren, zijn we eerder op deze weg geweest. De Pure Food and Drug Act van 1906 werd door het Congres aangenomen om een opmerkelijk vergelijkbare reeks bedrieglijke zakelijke praktijken aan te pakken. Het probleem in 1906 waren voedingsmiddelen en medicijnen die werden verkocht met misleidende etiketten, of helemaal zonder etiketten.
De wet van 1906 vereiste dat elk medicijn dat in de Verenigde Staten wordt verkocht, aan de consument moet worden afgeleverd in een verpakking die de sterkte, kwaliteit en zuiverheid van het medicijn vermeldt als deze afwijkt van de geaccepteerde normen. De dosis van het medicijn moest duidelijk op de buitenkant van de verpakking worden afgedrukt. Een aantal ingrediënten die de neiging hadden om negentiende-eeuwse patentgeneesmiddelen te vergezellen - stoffen als alcohol, codeïne en cannabis - moesten ook duidelijk worden vermeld.
In het geval van voedsel vereiste de wet dat etiketten expliciet kunstmatige kleur- en smaakstoffen vermelden - na 1906 kon je iets dat sinaasappelsoda heette niet verkopen, tenzij het een smaakstof had die afkomstig was van echte sinaasappels. Anders verkocht je imitatie of kunstmatige sinaasappelsoda. En elke fles, doos en zak met voedsel moest duidelijk het precieze gewicht aangeven van het voedsel dat zich in de container bevond.
De Pure Food and Drug Act was om vele redenen succesvol. Door fabrikanten te dwingen bekend te maken wat er in hun producten zat, konden consumenten producten vermijden die dingen bevatten die ze niet wilden innemen. Zo bevatten veel van de aan het einde van de negentiende eeuw gedistribueerde slangenolie-tonics aanzienlijke doses verslavende drugs zoals codeïne of cocaïne. Door te dwingen deze medicijnen op het etiket van het product te vermelden, samen met een waarschuwing dat dit verslavend zou kunnen zijn, konden consumenten weloverwogen beslissingen nemen. Etikettering stelde wetenschappers en uiteindelijk ook consumentengroepen in staat om de beweringen van de productmakers te controleren. Verplichte etikettering zet fabrikanten onder druk om de meest verwerpelijke ingrediënten te verwijderen - een proces dat tot op de dag van vandaag voortduurt. Ten slotte leverden de labels extra bewijs aan wetgevers dat werd gebruikt om het opstellen van aanvullende wetgeving te rechtvaardigen.
De parallellen tussen negentiende-eeuwse vervalste voedselproducten en eenentwintigste-eeuwse vervalste software zijn griezelig. Net zoals sommige tonics beweerden één ding te doen (zoals haar laten groeien) terwijl ze het andere deden (de gebruiker bedwelmd en chemisch afhankelijk maakten van codeïne), hebben we tegenwoordig software die beweert één ding te doen (de tijd van je pc instellen) en doet eigenlijk nog iets anders (toont advertenties wanneer u bepaalde websites bezoekt).
Dus hoe zou een Pure Software Act eruit zien? Afgaande op de wetgeving van 1906, zullen de beste resultaten waarschijnlijk worden behaald door het eisen van labels die het probleem van bedrog rechtstreeks aanpakken. De nieuwe wet zou daarom vereisen dat software zichzelf als zodanig identificeert: geen verborgen programma's meer die zichzelf stilletjes installeren en vervolgens draaien zonder enig zichtbaar bewijs. De Pure Software Act zou het illegaal maken voor programma's om te draaien zonder zichzelf te openbaren via de standaardmiddelen die door het hostbesturingssysteem worden gebruikt. En de wet zou vereisen dat programma's een verwijderingsfunctie hebben, of anders heel duidelijk maken dat ze dat niet doen.
Het documenteren van de installatie van een programma en zorgen voor de verwijdering ervan is nog maar het begin. De Pure Software Act zou vereisen dat de Federal Trade Commission specifieke praktijken van software identificeert die expliciet zouden moeten worden onthuld wanneer de programma's worden gedistribueerd en uitgevoerd. In plaats van bedrijven de functies van hun software te laten verbergen met onduidelijk geschreven juridische teksten begraven in doorkliklicentieovereenkomsten, zou de wetgeving vereisen dat de openbaarmaking wordt gedaan in de vorm van gemakkelijk te begrijpen pictogrammen waarop kan worden geklikt voor aanvullende informatie. Als u op het pictogram klikt, wordt er meer verklarende tekst weergegeven, misschien van een website die wordt onderhouden door de Federal Trade Commission. De pictogrammen kunnen ook op andere plaatsen worden weergegeven. Onder Windows kunnen bijvoorbeeld Taakbeheer en het configuratiescherm Toevoegen/Verwijderen beide de verplichte gedragspictogrammen weergeven naast het toepassingspictogram van het programma.
Een bescheiden voorstel
Om mijn voorstel concreter te maken, heb ik een lijst opgesteld met programmagedrag dat openbaar zou moeten worden gemaakt, en enkele representatieve pictogrammen. Deze pictogrammen (gemaakt door Matthew Bouchard, senior grafisch ontwerper van TechnologyReview.com) zijn slechts voorbeelden om het concept te illustreren. Door de overheid opgelegde pictogrammen zouden worden ontwikkeld door een team van professionals met expertise op het gebied van menselijke computerinterfaces, worden getest op focusgroepen en worden opgemaakt voor openbaar commentaar. Maar deze pictogrammen zijn handig om het algemene idee over te brengen en om een discussie op gang te brengen.

Hook: draait bij opstarten
Sommige programma's sluiten zichzelf aan op het besturingssysteem van uw computer, zodat ze automatisch worden uitgevoerd wanneer de computer opnieuw wordt opgestart of een gebruiker zich aanmeldt. Andere programma's doen dat niet. Tegenwoordig is er geen manier om erachter te komen, behalve door een gedetailleerde analyse uit te voeren van de configuratiebestanden van de computer voor en nadat het programma is geïnstalleerd en de wijzigingen te noteren. Elk programma dat zichzelf installeert zodat het automatisch wordt uitgevoerd, zou dit Hook-pictogram moeten weergeven.

Kiezen: een telefoongesprek plaatsen
Een veelvoorkomende spywarezwendel betreft programma's die ervoor zorgen dat uw computer telefoonnummers belt die u geld kosten. Een paar jaar geleden verspreidden sommige pornografische websites bijvoorbeeld een programma genaamd david.exe dat ervoor zorgde dat de computer van het slachtoffer een langeafstandstelefoontje maakte met een internetprovider in Oost-Europa; het pornobedrijf mocht de helft van de (exorbitant hoge) langeafstandsinkomsten houden. Andere soorten zwendelsoftware kunnen 900-nummers bellen of zelfs uw computer gebruiken om ongewenste faxen te verzenden zonder uw medeweten. Documenteren dat de software een code heeft waardoor het uw telefoon zou kunnen bellen, zou een goede manier zijn om dit probleem aan te pakken.

Wijzigen: Wijzigt het besturingssysteem van uw computer
Sommige programma's doen meer dan zichzelf installeren om bij het opstarten te worden uitgevoerd - ze veranderen het besturingssysteem van uw computer. Als u dit pictogram ziet, heeft u een reden om vragen te stellen. Het is waarschijnlijker dat het forceren van dit soort openbaarmaking eenvoudigweg een einde zou maken aan de praktijk van ontwikkelaars.

Monitor: houdt bij wat u doet
De meeste programma's bemoeien zich met hun eigen zaken. Maar sommige software houdt uw toetsaanslagen in de gaten en controleert de webpagina's die u bekijkt, zelfs als andere programma's op de voorgrond draaien. Programma's kunnen meekijken terwijl u bestanden aanmaakt, kopieën maakt van elk document dat wordt afgedrukt, of gewoon noteren wanneer uw computer inactief is en wanneer deze in gebruik is. De sleutel hier is dat persoonlijke informatie wordt vastgelegd door een programma als je denkt dat het niet luistert. Misschien bevat dit pictogram een bliksemschicht om aan te geven dat de gecontroleerde informatie via internet aan iemand anders wordt gerapporteerd.

Geeft pop-ups weer
Een welgemanierd programma spreekt alleen als er aangesproken wordt. Sommige programma's vragen daarentegen uw aandacht. Ik was onlangs verbaasd toen Microsoft Word 2003 een venster op mijn computer opdook en me uitnodigde om deel te nemen aan een soort enquête. Een paar jaar geleden merkte ik dat een elektronisch portemonnee-programma genaamd Gator vensters opende voor concurrerende websites wanneer ik bepaalde online verkopers bezocht.

Afstandsbediening: laat andere programma's uw computer overnemen
In theorie kan elk programma dat op uw computer draait het overnemen en opdrachten van anderen uitvoeren. In de praktijk hebben maar heel weinig programma's de mogelijkheid om anderen zo'n afstandsbediening aan te bieden. Programma's die dit doen, moeten worden gelabeld.

Zelfupdates: dit programma kan zijn gedrag veranderen
Een van de belangrijkste technieken voor softwareleveranciers om aanhoudende computerbeveiligingsproblemen aan te pakken, is om hun programma's zichzelf automatisch te laten updaten met code die van internet is gedownload. Programma's die deze functie hebben, zouden die mogelijkheid moeten adverteren, omdat ze hun gedrag kunnen veranderen zonder enige input van de gebruiker.

Vastgelopen: kan niet worden verwijderd
Sommige programma's zijn, eenmaal geïnstalleerd op uw computer, onmogelijk te verwijderen. Deze programma's zijn meestal updates van het besturingssysteem, maar het is gemakkelijk voor een slimme programmeur om ook verwijderbare spyware te maken. Consumenten moeten erop worden gewezen dat er voor sommige programma's geen weg terug is.
Betrokkenheidsregels
Met de pictogrammen zouden regels komen voor het gebruik ervan. Veel van de huidige doorkliklicentieovereenkomsten zeggen bijvoorbeeld dat de gebruiker impliciet instemt met eventuele wijzigingen in de licentieovereenkomst, tenzij die wijzigingen substantieel zijn. Maar wat is inhoudelijk? Toen er eenmaal een labelregime was ingevoerd, kon een inhoudelijke wijziging wettelijk worden gedefinieerd als een wijziging die resulteert in een wijziging van pictogrammen, bijvoorbeeld als een zichzelf bijwerkend programma een functie voor afstandsbediening downloadt. De wet zou dan kunnen eisen dat voor dit soort wijzigingen een nieuwe toestemming van de gebruiker nodig is.
Een van de spanningen die inherent zijn aan elk etiketteringsregime, is om te beslissen wat er op het etiket wordt gezet en wat wordt weggelaten. Hoe meer informatie op het etiket vereist is, hoe duurder het zal zijn om te produceren en hoe kleiner de kans dat consumenten daadwerkelijk aandacht besteden aan de informatie. Elke regelgevende instantie die dit beleid implementeert, moet voorkomen dat pictogrammen op de loer liggen, omdat 23 verschillende pictogrammen op elk stuk software niet voldoen aan de behoeften van consumenten, het zal alleen maar verwarring veroorzaken.
Persoonlijk zou ik graag willen dat mijn softwarelabels onderscheid maken tussen informatie die wordt verzameld en gebruikt in geaggregeerde vorm en persoonlijk identificeerbare informatie die is opgeslagen in een groot datawarehouse. Maar in wezen gaat dit niet over wat het programma doet - het gaat om wat het bedrijf doet nadat het programma zijn informatie heeft gerapporteerd. Dat wil zeggen, dit is een zakelijke praktijk die moet worden beschermd door het privacybeleid van het bedrijf. Misschien hebben we daar ook iconen nodig. (Jaren geleden probeerde de handelsorganisatie TRUSTe drie pictogrammen te hebben voor drie verschillende soorten standaard privacybeleid; TRUSTe gaf het op toen de aangesloten bedrijven weigerden.)
Een ander spanningsveld is tussen vrijwillige en verplichte etikettering. Ik denk dat verplicht is de weg te gaan. We leven tegenwoordig in een vrijwillig regime: Google heeft uitstekend werk geleverd door uit te leggen wat de Google Toolbar doet, maar andere bedrijven zijn niet zo snel. Bijna 100 jaar ervaring met The Pure Food and Drug Act van 1906 toont aan dat etiketteringsvereisten niet zwaar hoeven te zijn, maar ze moeten wel verplicht zijn, anders doen de goede bedrijven dat wel en de slechte bedrijven niet. Wat nu nodig is, is om dit principe uit te breiden naar de wereld van software.
Dankbetuigingen
Ik heb dit voorstel voor software-etikettering enkele maanden besproken met medewerkers in Cambridge. Aan de Harvard Law School gaf Jonathan Zittrain zeer nuttige opmerkingen; bij MIT's Computer Science and Artificial Intelligence Laboratory had ik nuttige discussies en opmerkingen met mijn scriptieadviseurs, Rob Miller en David Clark, en met mijn medestudent, Steven Bauer.