想象一下,有一款健康应用号称能绝对安全地保存你的医疗记录——但只有技术专家才能登录。你的祖母最需要它,却用不了。这种保护与现实公平之间的矛盾,正是我们构建的每一项技术的核心。本章将介绍帮助我们应对此类艰难选择的主要伦理原则 (ethical principles),从而设计出真正服务于所有人的工具。
概览#
每一项技术——从简单的智能手机应用,到覆盖全国的监控系统——都在选择谁受益、谁受害、谁被排除在外。这些选择不仅仅是技术性的,它们深具伦理内涵。本章将介绍四项核心原则——善行(beneficence)、无恶(nonmaleficence)、公平(justice) 和 高效(efficiency)——它们是负责任设计的指南针。随后我们将探讨这些原则相互冲突时会发生什么,尤其是严格安全与真正可及性之间的经典角力。学完本章后你会明白,不存在完美答案;目标在于仔细权衡利弊,并将人的尊严置于核心。
四大支柱:行善、不伤害、公正与效率#
当我们着手研发一项新技术时,心中几乎总是怀有积极的目标:帮助人们更高效地沟通、改善健康状况、让日常事务变得更便捷。然而,仅有良好的意图是不够的。伦理学为我们提供了一种共通的语言,用以从多个角度审视我们的设计。
行善 (Beneficence): 积极行善的责任——设计能够提升福祉、为人们生活增值的技术。
比如,一个健身追踪器会提醒你多活动。它的全部目的就是行善:旨在改善你的健康。但我们必须问:谁的福祉?这个追踪器是否会无意中让那些因残疾而无法达到步数目标的用户感到羞耻?行善推动我们超越普通用户,去追问到底谁真正得到了帮助。
不伤害 (Nonmaleficence): 避免造成伤害的责任——常被概括为“首先,不伤害”。
正是这一原则让我们在发布一项功能前停下来仔细斟酌。一个社交媒体平台可能引入视频自动播放功能来提升用户参与度(这是益处),但如果它导致信息过载、焦虑或成瘾,就违反了不伤害原则。在技术领域,伤害可能是身体上的(自动驾驶汽车的传感器失灵)、心理上的(推荐算法放大与饮食失调相关的内容),或社会性的(人脸识别系统错误识别他人,导致错误逮捕)。不伤害要求我们预见并减少这些伤害。
公正 (Justice): 在所有群体间公平分配利益与负担的责任,不得歧视或不公平地排斥任何一方。
公正在问:谁能使用这项技术,谁又承担其成本?如果一座城市只在富裕社区安装空气质量传感器,那么收集到的数据将引导政策惠及那些居民,而忽视更贫困地区的污染问题。公正要求我们纠正这类不均衡。它涵盖了算法如何对待不同群体、隐私风险如何分配、以及自动化带来的经济机会如何共享等方面的公平。
效率 (Efficiency): 以资源、时间或精力的最小浪费来获得最大收益的目标。
效率往往是工程师最容易钟爱的原则。我们想要运行快的代码、续航久的电池、以及扩展成本低廉的系统。但单凭效率可能会成为一个恶霸。一个完美的、只对浅色肤色人脸有效的人脸识别系统,对于一小部分人来说是高效的,但对其他人却违反了公正和不伤害。效率应该支持其他原则,而不是将其抛在一旁。
这四个原则并不是供你逐条打勾的检查清单。它们是我们在决策时不断切换的观察透镜。一个追求最大行善的设计,可能无意中制造新的伤害(不伤害),或者可能成本高昂到只有富人才能负担得起(公正)。伦理技术的真正艺术在于在这些张力间把握平衡。
📝 章节回顾: 行善、不伤害、公正和效率是指导技术设计的四项核心伦理原则。它们常常往不同方向拉扯,因此负责任的设计需要持续权衡。
当好目标相互冲突:安全性与可及性的博弈#
最常见也最令人头疼的权衡之一,就是强大的安全性与弱势群体的可及性之间的矛盾。这个困境很简单:你设置的防御越多,想挡住攻击者,真正的用户——尤其是那些不熟悉科技的人、残障人士或用着旧设备的人——就越难登录进去。
想象一下,一个银行应用要求双重身份验证、每月更换的复杂密码,再加上指纹扫描。对一位有现代手机的年轻、科技娴熟的用户来说,这只是个小麻烦。但对一位患有关节炎、打字困难的老人,或一位依赖屏幕阅读器却无法处理登录流程的视障人士来说,同样的安全步骤就成了无法逾越的高墙。这家银行实现了很高的无害原则 (nonmaleficence)(保护账户免遭欺诈)和效率 (efficiency)(自动化安全),但代价是牺牲了公平正义 (justice):它把一部分客户挡在了门外,让他们无法管理自己的资金。
这不是什么罕见的小众场景。在新冠疫情期间,许多政府推出了数字疫苗证书。在有些国家,这些证书只能存储在手机应用里,而应用又需要最新的手机软件和稳定的网络连接。那些没有智能手机的人——其中老年、无家可归者和低收入人群比例极高——就被剥夺了出行、就餐甚至工作的权利。这个系统既高效又安全,却加剧了现有的不平等。
可及性 (Accessibility): 指设计产品时,让包括残障人士在内的、能力各异的用户都能轻松、有效地使用它们。
可及性不是一个可有可无的附加项;它本身就是公平正义的直接体现。当我们谈论安全性与可及性之争时,归根结底是在讨论无害原则(防止数据泄露、身份盗窃)与公平正义(确保平等访问权)之间的张力。没有放之四海而皆准的法则来解决这种冲突。相反,我们必须针对具体情境提出恰当的问题:如果安全失效,最坏的结果是什么?当某个群体被拒之门外时,谁受到了伤害?我们能否为用户提供不同级别的安全选项,让他们自行选择适合自己的方式?
例如,一个健康门户网站可以让患者设置简单的四位数字PIN码,前提是他们也在自己设备上使用指纹或面部扫描;同时为那些想要的用户提供更复杂的密码选择。关键在于,将受影响的社区纳入设计流程——这种做法被称为协同设计 (co-design)(与系统未来的使用者一起设计)——这样,真正的需求就能塑造权衡的结果,而不是仅仅依赖工程师的猜测。
📝 本节小结: 强大的安全性可能会无意中排斥残障人士、老年人以及科技接触有限的人群。平衡无害原则与公平正义,需要灵活、以用户为中心的设计,而非一刀切的障碍。
意外后果:安全措施如何适得其反#
当安全措施变得过于繁琐时,人们并不会只是放弃——他们会想办法绕过去。而这些绕行的办法往往让系统变得比原本采用更便捷的安全措施时还要不安全。这就是我们所说的适得其反的结果 (perverse outcome):原本旨在提高安全性的行为,实际上却降低了安全性。
适得其反的结果 (perverse outcome): 旨在使事物更安全的行动,最终反而使其更不安全。
想想银行卡必须设置PIN码的规则。为了防止盗窃,系统要求PIN码必须记住,绝不能写下来。但实际上,许多人——尤其是那些要同时管理十几个密码的人——会把PIN码写在纸条上,放在钱包里,和银行卡紧挨着。还有些人对所有事情都使用同样简单的PIN码。这项安全政策执行得过于严格,对人的记忆力要求超出了他们的承受能力,于是他们用最危险的方式绕过了它。本意是无害,结果却让他们更脆弱。
这种模式随处可见。一家医院的数字健康档案系统要求使用16位字符的密码,且每30天更换一次。护士们忙于抢救生命,于是开始把密码写在便利贴上,贴到显示器上。这项本用于保护患者隐私的安全措施,现在反而暴露给了任何路过的人。负担重重地落到了护士身上,而她们已经面临巨大的时间压力——这就是一种风险再分配 (redistribution of risk),将医院的法律责任转移到了一线工作人员身上。
风险再分配 (redistribution of risk): 当设计将风险从一个群体转移到另一个群体,而不是完全消除风险时。
风险再分配是一个关键概念。当我们设计系统时,我们并没有消除风险,而是在移动风险。严格的密码政策可能会将数据泄露的风险从IT部门转移到个人用户身上,后者现在必须记住一串复杂的字符。如果该用户有阅读障碍或记忆力问题,风险又再次转移——转移到他们获取基本服务的能力上。收入水平也起作用。富人买得起密码管理器以及带有指纹或面部识别的新手机;而依赖共用图书馆电脑的低收入者则不能。安全设计无论看起来多么中立,都沿着收入和能力的界线重新分配了负担。
这并不意味着我们应该放弃安全。而是意味着我们必须弄清楚负担落在哪里,并询问这种分配是否公平。一项保护公司声誉却让最脆弱的客户生活更艰难的安全措施是不公平的。有时,最道德的选择是接受略高的泄露风险,以避免对弱势群体造成真实、日常的伤害。
📝 章节回顾: 过于严格的安全措施往往会引发削弱保护的绕行行为。风险被重新分配,而不是消除,负担往往落在最无力承担的人身上——残疾人、老年人和经济弱势群体。
伦理钢丝:完美数据保护 vs. 正义与安全#
有些人主张,我们应该始终追求最严格的数据保护,把一切都加密得连服务提供商都无法读取。乍看之下,这似乎是 非伤害原则 (nonmaleficence) 和 行善原则 (beneficence) 的胜利:既然没人能访问数据,也就无法滥用它。然而,绝对的保护可能与正义乃至整体安全发生冲突。
想象一下:一家反家暴庇护所运营着一个面向幸存者的安全消息平台。为了保护她们免遭施暴者追踪,该平台使用端到端加密,并在消息被读取后自动删除。一位幸存者通过平台告知工作人员,她的施暴者已找到她的新地址并正在赶来。随后她失去了网络连接。由于加密和自动删除政策,庇护所工作人员无法检索到这条消息,因而来不及采取行动。这套系统完美保护了她的隐私,却也阻止了一次拯救生命的关键干预。伦理上的取舍一目了然:在这种情形下,完美数据保护反而阻碍了对她的帮助,甚至妨碍了避免伤害,因为它封锁了本可以保护她的人。
这一两难困境在公共卫生领域同样出现。疾病暴发期间,接触追踪应用程序可以减缓传播。如果该应用被设计成完全私密——不存储任何位置数据、不共享任何标识符——那么它在警示暴露者方面可能效率较低。一个牺牲少许隐私、将匿名的近距离接触记录共享给卫生部门的设计,反而可能拯救更多生命。这里,取舍发生在个人隐私(属于正义与非伤害原则的一部分)与公共安全(属于行善原则的一种形式)之间。没有绝对正确的答案;伦理任务在于让这种取舍透明化,并让受影响的社群参与决策。
比例性 (proportionality) 这一概念能提供帮助。比例性意味着,任何对隐私或安全的侵害,都不应超过实现某个真实且重要目标所必需的程度。如果一种干预程度较轻的措施能够达到同样的好处,我们就应当选择它。例如,接触追踪应用可以采用 14 天后自动失效的蓝牙信号,而不是创建你行踪永久地图的 GPS 追踪。有伦理意识的设计师会问:达成我们所追求的利益,最不伤害的方式是什么?
诸如此类的取舍并非系统的缺陷,而是资源有限、价值多元的世界中的固有特征。目标不在于消除张力,而在于以诚实、谦逊的态度,以及对最受影响的群体的承诺来驾驭它。
📝 本节小结: 完美的数据保护有时可能阻碍拯救生命的行动或加剧不公。伦理设计需要在隐私与其他核心价值(如安全与公平)之间权衡,始终追求对权益侵害最小的有效手段。
总结#
我们从四个简单却强有力的理念出发:行善、避害、公正和善用资源。当将这些理念付诸真实技术时,它们往往彼此矛盾。安全措施可能将人拒之门外;对完美隐私的追求可能使人陷入危险;最沉重的负担往往落在最弱势的群体身上。没有万能公式能消除这些冲突,但我们可以保持好奇心,追问谁受到了影响,并且绝不假装技术选择仅仅是技术选择。这种思维方式才是伦理技术的真正核心。
| 核心概念 | 含义(简明解释) | 为何重要 |
|---|---|---|
| 善行(Beneficence) | 设计能主动帮助人们、改善其生活的技术的责任。 | 确保焦点始终落在真实的人类福祉上,而非单纯的技术创新。 |
| 非伤害(Nonmaleficence) | 避免造成身体、心理或社会伤害的责任。 | 迫使我们预见并尽可能减少创造的负面效应。 |
| 公正(Justice) | 公平分配利益与负担;任何群体都不应被不公平地排除或处于劣势。 | 确保技术不会加深现有不平等或制造新的不平等。 |
| 效率(Efficiency) | 以最少时间、金钱或资源消耗达成目标。 | 对可持续性和可扩展性很重要,但绝不能凌驾于其他原则之上。 |
| 安全-可及性权衡(Security–accessibility trade-off) | 强安全性与所有用户(特别是残障人士或低技术能力者)访问系统能力之间的冲突。 | 突显一刀切的安全性往往违背公正原则;灵活设计至关重要。 |
| 反常结果(Perverse outcomes) | 原本旨在降低风险的安全措施,反而因为人们找到不安全变通方法而增加风险。 | 说明忽视人类行为的设计会产生反效果,使系统整体更不安全。 |
| 风险再分配(Redistribution of risk) | 设计选择并不会消除风险,而是将其转移到不同群体身上,往往是转移到最脆弱的群体。 | 揭示技术决策背后隐藏的伦理维度,迫使我们去问“谁来承担负担?” |
| 比例原则(Proportionality) | 任何干涉(如隐私减少)都不应超出实现合法目标的必要限度。 | 为处理权衡提供了实用检验:始终选择伤害最小的有效方案。 |