1700033543
设计问题(第二辑) [:1700031690]
1700033544
设计问题(第二辑) 4. 案例研究:运用部分标识的电话投票系统
1700033545
1700033546
这个项目的灵感来自于20世纪90年代末的电视竞赛节目,节目中运用电话投票来选择获胜的参赛选手,要么直接投票选择,要么陆续淘汰最不受欢迎的选手,直到出现赢家。政治学家斯蒂芬•科尔曼(Stephen Coleman)是这一现象的敏锐观察者,认识到这个明显残酷的战场上,政治代表与选民间的关系具有许多相似之处。[14]除了古代雅典的礼仪排斥和电视的“投票淘汰”选手之间的明显相似之处外,这些溢价电话线路的电话投票为竞赛节目的制作人和呼叫程序运营商产生了巨额的额外收入,这表明电话投票选举技术提供了新奇的回收成本的方式,解决了以上所列的最后一条设计标准,即成本效益。这里的挑战在于重新设计ICT新发展的商业运用,从而服务于更严肃的政治投票目的。
1700033547
1700033548
我们的项目团队开始考虑的是“身份验证”的标准问题,也就是电话系统区分非法选民和合法选民的方法。在许多国家,每个授权的选举人至少有两个由国家分配给他或她的个人识别号码(PINs)。在国家数据库中,这些个人识别号码与其他信息相关联,比如姓名和地址。在英国,这两个个人识别号码是九位的社会保障号码(六位为数字)和一个八位数的选民身份号码(VIN)。存有个人识别号的这两个数据库还包含姓名和地址,如果记录更新同步,两个数据库记录应该一致。数据保护法律不允许这两个国家机关共享信息,除非是刑事起诉案件。因此,他们共享数据—姓名与地址—不应属于任何一个含有这两个个人识别号的数据库。
1700033549
1700033550
姓名和地址这一共同因素浮现出一种设计方案:如图18所示,通过请求国家机关提供他们分配给登记公民的八位或九位的个人识别号中前六位数,我们可以创建第三个数据库。针对每个不全的个人识别号,拥有者提供公民的邮编(但不包括他们的房号或是街道号码)。这种方法满足了“匿名”的标准,因为用来创建授权选民清单的数据只包含了部分个人识别号和邮政编码,而不包含房号或个人姓名。数据库的拥有者们可以通过设定密码“••••”来转发数据,而投票组织者的员工无法读取这些密码。这样,投票组织者就拥有了第三个数据库,即便他们能够读取,他们至多也只知道一个无名个人的生活地区。因此,可以得出的论点是,数据库所有者不会违反数据保护法,因为他们不会和投票组织者共享任何组织者可以从其数据库识别的个人信息。纳入邮政编码能够帮助组织者通过挑选与适当的选区相关的邮政编码,解决“准确性”标准问题。
1700033551
1700033552
1700033553
1700033554
1700033555
图18 数据库关系
1700033556
1700033557
组织者验证身份的投票者数据库包含每位投票者的两个部分个人识别号,每个号都可能至少属于100个个人,相同的邮政编码关联两个号。如果两个个人识别号都与同一个邮政编码相关,那么可以肯定的是,这两个个人识别号属于同一个州登记的个人的可能性就非常高。例如,在英国,同一个居民区的邮政编码通常由15至30户共享,或者平均来说,每40人共享一个邮政编码。[15]大约有4500万英国公民有投票资格。[16]因此,可能的个人总数i,可以用两个六位数个人识别号组合加上125万个英国邮政编码来识别,用方程式表示如下:
1700033558
1700033559
i =(n1)(n2)(V/P) (1)
1700033560
1700033561
其中,n =六位个人识别号的排列总数,V =投票人口的大小数目,P =共享同一邮政编码的个人数目。带入英国授权投票人口数,i的数值就是:
1700033562
1700033563
i =(106)(106)(45×106)/40 = 1.125×1018 (2)
1700033564
1700033565
因为在i中只有4500万人才是真正的授权投票数量V,流氓来电者随机输入两个六位数的个人识别号,而实际上成功输入与同一个邮政编码关联的两个号的概率为:
1700033566
1700033567
概率 =(i:V)=(1.125×1018:4.5×106)= 2.5×1011:1 (3)
1700033568
1700033569
将这些2500亿:1的概率带入,地球上40亿人里每一个拥有移动电话的人要打63次电话,并且每次输入两个唯一的个人识别号,才有一个人能够以授权的英国选民身份成功登陆。(在美国,同一个邮政编码可以由许多户共享,从3000到100000[17]不等。因此,在美国必须使用更多字符的个人识别号,才能获得同一等级的确定性。所以,美国的选民可能要用十位个人识别号中的七位数。)这种部分的个人识别号解决方法不仅满足了第一个“身份验证”标准,并且可以相信这一系统能够应对与“可追溯性”标准的矛盾。鉴于概率,那些键入共享一个邮政编码的两个部分个人识别号的人,可能很难否认他们已将自己标识为特定的人,能够合法获取原始数据的反欺诈调查员能够轻而易举地查到其姓名。
1700033570
1700033571
这种偶然性确实表明需要建立投票记录计算机,满足“唯一性”准则,这样只有一张选票会按照成功登记的呼叫人被接收。此外,如果选民的个人识别号被不止一次尝试登陆,记录计算机的软件需要编程,以便提醒投票组织者和选民个人。有个问题在传统的纸质投票系统就已遇到过,那就是人们会使用他们认为不参加投票的其他家庭成员的选民身份号码,多次进入同一投票站。这也就是为什么英国法律需要可追溯性的原因之一。显然,尤其是如果公共电话被禁止用来打电话投票,独立的电话公司记录能够有效地协助调查身份盗窃。
1700033572
1700033573
如图19所示,电话投票系统由计算机控制,计算机经过编程可以对声音信号做出反应,声音信号通过电话交换机中继。
1700033574
1700033575
1700033576
1700033577
1700033578
图19 电话投票系统设置示意图
1700033579
1700033580
控制系统以外的任何人都不可以通过计算机软件和系统直接交流,这就消除了系统被黑客攻击的弱点。所以,三个首要的安全顾虑是:(1)投票组织者的雇员盗取数据,(2)数据移交到选举办公室时被修改,以及(3)连接选民与投票组织者的电话运营商非法录制电话或讯息。防范第一个问题的措施与那些用于监控金融机构员工的方法相同,如银行。第二个问题的防范需要投票组织者将主数据库进行副本备份。这个备份可以由可靠的第三方保管,该保管人与特定投票结果无任何利益关系。对于第三个问题,大多数民主国家的电话运营商已经在法律框架下运作,实施非法电话记录无异于自我毁灭。[18]
1700033581
1700033582
实际上,投票由三个步骤组成,即注册、投票和验证。这是一个有限的时间段,呼叫人可以验证投票组织者以匿名身份记录的自己的选择的准确性,如图20所示。
1700033583
1700033584
1700033585
1700033586
1700033587
图20 电话投票系统响应系统示意图
1700033588
1700033589
请注意,在该电话投票系统示意图中,呼叫人有语音指令菜单引导,要求用电话的按键键盘来进行反应。这种方法更适合于短信系统,因为电话运营商不能合法地记录或储存发出的声音信号。个人短信记录可以被服务提供者和个人电话窃取,这一点从公开销售入侵性软件可见一斑。[19]此外,语音激活响应接口被广泛运用于当今的电话投票软件中,甚至不再需要数字号盘,而且也许有助于更好地应对“用户可理解性”准则。另一种设计假设是,可以很容易地使用现成的软件进行接口设置。对于我们成功申请的专利应用软件,我们演示了如何用现成的软件,比如Microsoft Access 97,设置投票组织者的数据库。(Microsoft Access 97如今已经是一个比我们研究案例时更为复杂的应用程序,有更多的功能和数据存储。)[20]图21显示了数据库的注册步骤(不管底层软件)。为便于演示,数据是可见的,而不是锁在密码格式中。在这个案例中,英国国家医疗服务系统(NHS)提供了另一个公共记录的例子,也可以运用到这个系统中。
1700033590
1700033591
1700033592