PDF我们软件中的人
JOHN RICHARDS 和 JIM CHRISTENSEN,IBM托马斯·J·沃森研究中心
以人为中心的方法可以让软件变得生动起来,但代价是什么?
在当今的软件中,人没有得到很好的体现。除了即时通讯(IM)客户端外,今天的应用程序很少提供人是真实存在的生物的线索。静态字符串描述了与人相关的事物,如电子邮件地址、电话号码和主页URL。应用程序也倾向于显示关于同一个人的相同信息,无论谁在查看它。
这些信息不会改变,至少不会很快改变。如果人们对人的唯一了解是通过这些字符串,那么你几乎没有理由相信人们实际上会在物理和虚拟空间中移动和做事。
这有什么问题?首先,关于人的动态信息通常很有用。如果你正试图与某人会面,知道你们都在同一栋楼里,而不是相距50英里,这将很有帮助。其次,即使是关于人的静态信息也往往是敏感的。你可能愿意与你的专业同事分享你的电话号码,但更愿意对那些试图向你推销东西的人保密。
人能否在软件中“活起来”? 如果可以,那么能否管理对这些动态信息的访问,以尊重个人隐私?我们能否找到这些动态信息的引人注目的用途?
在过去的几年里,在IBM托马斯·J·沃森研究中心,我们一直在探索在我们软件中嵌入人的动态表示的意义。我们首先研究了各种基于规则的方案,用于根据“感知”到的人的位置和活动来路由个人消息。尽管在这些早期系统中,人实际上并没有作为动态实体“描绘”给最终用户,但他们的动态行为改变了通知引擎做出的决策。
最近,我们致力于创建一个轻量级的人的表示,可以直接嵌入到各种应用程序中。 受到社会透明性概念的强烈影响,1 我们探索了这种易于嵌入的表示提供的线索如何被其他人直接使用(而不是被隐藏的计算装置使用)。在转向这些线索的可能用途之前,我们将考虑在我们的软件中“活生生”的人的三个问题:成本、隐私和权限控制。
成本
要使软件中的人活起来,需要捕获、聚合和发布由人们的移动和活动产生的事件流。许多不同的传感器技术可以检测人们的位置。如果人们愿意佩戴或携带某种独特的“徽章”,通常基于RFID(射频识别),检测就会变得特别容易。然而,部署传感器阵列并非特别便宜。因此,如果没有令人信服的理由去了解人们在哪里,基于传感器的位置检测不太可能流行起来。
活动检测甚至比位置检测更难。基于传感器的活动检测方法既不便宜也不容易。此外,还有要寻找什么作为活动指标的问题?接近其他人?接近某些类型的运动?接近某些声音模式?从较低级别的传感器数据推断较高级别的活动是有问题的。
幸运的是,个人开始通过随身携带连接网络的设备来使位置和活动检测具有成本效益。寻呼机、手机、无线PDA和笔记本电脑都至少偶尔进行网络连接。此外,访问的IP子网、使用的无线接入点、蜂窝塔邻近度和网络连接的其他属性都提供了物理位置的线索,而无需额外的传感器成本。我们不仅随身携带这些设备,而且还与它们互动。每一次触摸都可能是一个值得报告给网络的事件。可以添加简单的钩子,通常在操作系统本身中,以确定在任何给定时刻正在使用哪个应用程序。有了这些钩子,很容易确定某人正在进行电子邮件、网页浏览或幻灯片演示等等。
隐私泄露
你是否希望你生活的这些细节泄露到网络中供他人访问? 也许是,也许不是。如果你是现场服务团队的成员,你很可能已经向中央协调点报告了你的位置和活动。 然而,如果报告是自动完成的,那可能会更好。 或者,也许你的配偶知道你什么时候离开办公室回家是可以的,但你宁愿不与家人圈子以外的人分享这些信息。
我们愿意透露什么在很大程度上取决于我们向谁透露。这种上下文既微妙又高度动态。 例如,你可能会觉得,如果你的直接工作团队中的人知道你在隔壁房间(可能除了那个每次你碰巧出现在视线中都会抱怨的人),这将很有帮助。 如果每个人都知道你正在演示幻灯片或编写代码,这对你和团队都可能有用。 也许这些信息可以帮助他们避免在不合适的时间打断你。 也许它可以作为小组会议开始的信号,促使迟到者离开办公室并聚集在会议室。
纳入“受信任”的圈子可能基于许多因素。 例如,仅仅是你们正在合写一篇论文这一事实,就使得彼此透露某些活动是允许的。 如果你正在接近截止日期,那么对于那些为这项工作做出贡献的人来说,了解彼此更多信息可能是允许的,这比正常情况更多。
权限控制的复杂性
你愿意付出多少努力来控制谁可以看到什么? 指定“权限”的常用方法是通过编写规则。 小组成员资格、一天中的时间、星期几、活动类型(可能在日历中编码)、位置等等,都与特定权限相关联。 例如,如果是工作日,并且你是我的工作组成员,那么你可以看到关于我的位置和活动的某些信息。 这在很大程度上是有道理的。 认为规则可以设置一次,然后就留在后台,在未来做出正确的决定,这当然很有吸引力。 一些规则既易于表达,又可以在日常情况下使适当的信息被揭示出来。
问题是规则往往很快变得复杂起来。 如果是工作日,并且你是我的工作组成员,或者如果我的日历包含在一小时内与你的会议,那么可以查看位置——除非我正在处理个人事务。 当然,可以指定复杂的规则。 可以构建GUI(图形用户界面)以使许多人能够合理地处理它们的规范。 但即使是复杂的规则也无法适应实际上下文的细微差别。 你的工作组知道你正在老板的办公室里演示幻灯片真的可以吗? 同样,这都取决于情况。 如果这是一个定期的进度更新,那可能很好。 但是,如果你正在升级团队领导做出的决定呢? 你会创建一个规则来捕捉这种差异吗? 在会议之前,你会记得调整更全局的规则吗?
我们相信有办法解决这些问题。 例如,两年的原型设计和试用部署表明,使用现有的便携式设备作为有用的位置和活动信息的低成本生成器是完全可行的。 我们还发现,人们可以理解和控制基于简单的人际关系的隐私模型。 如果你考虑一个特定的(但具有说明性和引人注目的)这些概念的体现,其中位置和活动被用于改进人际沟通的服务,这将变得更加明显。
GRAPEVINE 模型
我们创建了一个可扩展的、上下文聚合和发布基础设施以及一系列Web服务,我们统称为“Grapevine”(如“我在……上听说的”)。 人们可以通过简单的“人员元素”(例如,Web应用程序中的自定义人员标签)嵌入到应用程序中,这些元素知道如何连接到这个基础设施。 人们可以在使用这个基础设施的应用程序中出现的一种方式是通过电子名片。
电子名片。 电子名片看起来有点像名片,但实际上是一个活动窗口,显示关于其“所有者”的最新信息。 该卡片列出了“上下文”信息(位置和/或活动)和可用的“通信渠道”。 图1提供了Jim的名片的示例,其中指出Jim目前在IBM沃森研究中心的Hawthorne 1大楼附近的办公室,并且他目前正在进行即时通讯。 它还显示,对于John,这张名片的“查看者”来说,有四种通信渠道可用:电话、IM、电子邮件和面对面交流(通过要求Jim的日历上的时间)。
查看Jim的名片,John可能会认为现在是联系Jim的好时机,而IM是一种很好的方式。 另一方面,由于John很了解Jim,他可能会决定发送电子邮件,因为Jim往往同时进行十几个聊天。 或者,如果John也在IBM的Hawthorne 1大楼,并且有一个足够重要的话题要与他讨论,John可能会决定走到Jim的办公室。
访问电子名片的权限可以基于关系、小组成员资格或情况。
基于关系的权限。 虽然电子名片可以使“查看者”更容易与“所有者”沟通(通过提供有用的上下文信息并将所有通信渠道都放在只需单击一下即可访问的位置),但所有者强烈希望保留对中断(以其他人尝试与他们沟通的形式)以及电子名片上显示的位置和活动信息的控制。 Grapevine允许所有者授予(或拒绝)其他人查看和使用该卡的权限。 下面的示例显示了如何调整特定的查看者(见图2)和默认查看者(见图3)可以对电子名片执行的操作和查看的内容。
请注意,这些权限可以随时更改,而不仅仅是在首次将电子名片交给查看者时。 也许John作为电子邮件的一部分获得了Jim的电子名片,并决定保存它。 Jim稍后可以决定关闭John对他位置的查看,或阻止电话或即时消息。
另请注意,权限不一定是对称的。 在这种特定情况下,Jim对John的权限可能与John对Jim的权限不同。 虽然这可能看起来有点“不公平”,但实际上是必要的,因为他们之间的关系可能不对称。
最后,应该指出的是,电子名片既“联合”了通信能力,又“隐藏”了特定通信路径的细节。 严格来说,这不是核心隐私和权限模型的一个方面,但它确实进一步实现了保护个人隐私的目标。 例如,如果John决定给Jim打电话并单击电话按钮,他实际上永远看不到用于联系Jim的电话号码。 自动呼叫代理桥接John和Jim(基于其对Jim的位置和电话偏好的了解),而不会泄露Jim的电话号码。 如果Jim决定将来关闭John的电话访问权限,John将无法再打电话,因为他从未知道Jim的实际号码。 例如,如果John是一位销售人员,Jim只想收到他一次电话,这可能会很有用。
基于小组的权限。 有时,操纵个人权限是不必要的繁琐。 你可能经常希望操纵整个组的权限。 我们注意到,用于个人权限的基本模型不需要扩展以适应这些情况。 所需要的只是识别一组人,所有者的个人权限应该为这些人进行调整。 定义人群组的程序的示例是IM和电子邮件客户端以及地址簿。 一旦选择了人群组,就可以使用界面(见图4)调整他们的权限。
基于情况的权限。 有时,一个人可能希望阻止所有查看者访问某些通信渠道或某些位置或活动信息。 在我们当前的prototype中,电子名片的所有者可以使用Grapevine上下文代理的窗口交互式地请求这种阻止(见图5)。 也可以自动完成。 例如,我们允许电子名片所有者轻松指定,当他们进行幻灯片演示时,不允许任何电话或聊天。 事实证明这非常有用(尽管精明的读者会注意到,我们已经将一些基于规则的规范重新滑回了游戏中)。 Grapevine上下文代理窗口的屏幕截图还演示了如何通过单击一下阻止来自所有电子名片查看者的电话。
上下文代理窗口底部的“请勿打扰”按钮为我们的用户提供了额外的便利。 单击此按钮会导致所有打开的电子名片更改为等同于静态名片的状态,没有位置和活动信息,也没有活动的通信渠道。 再次单击此按钮时,各个电子名片将恢复为正常权限。
作为系统的 GRAPEVINE
在系统级别,电子名片从根本上只是一对身份——所有者和查看者——以及一个权限向量,该向量确定可以查看哪些上下文以及可以执行哪些通信渠道。
四个属性定义了Grapevine系统:复杂性、上下文、兴趣和信息速度。
复杂性。 毫不奇怪,“身份”展开成一个复杂的世界。 究竟是谁在向Grapevine基础设施请求查看电子名片? 如何建立和验证此身份? 是否必须通过用户名和密码提供,而不是从查看者设备上的某些系统上下文中自动拾取? 如果是这样,在会话过程中必须重新建立身份的频率是多少? 各种化名如何可靠地映射到它? 它对欺骗的抵抗力有多强?
上下文。 上下文本质上也很丰富。 从各个客户端设备推送的有趣事件被各个电子名片消费。 但“兴趣”随设备而异。 对于无线通信器,它可能是最近的无线电塔发生变化的时候。 这可能由设备检测并推送,或者可能从网络本身中的接入点推送。 对于笔记本电脑,它可能是在建立网络连接时(从客户端捕获和推送诸如子网之类的内容),或者在无线接入点发生变化时(这在无线网络本身中捕获)。 此外,笔记本电脑可能希望将当前活动应用程序的某些方面推送到网络中,但我们认为,代表此数据的所有者控制推送的内容以及如何在网络上表示这些内容需要受到所有者的控制。
兴趣。 这也随情况而异。 知道一个人刚刚同步了手持设备是否有趣? 如果这是所有者的日常例行程序的一部分,那么它可能根本不有趣。 但如果它(对于特定查看者)表示收到了关键文档,则可能是一个非常有趣的事件。 兴趣级别也可能取决于正确解释多上下文流。 举一个简单的例子,你可能不知道当某人通过VPN(虚拟专用网络)隧道进入公司内联网时意味着什么,这表明了校外访问。 你也可能无法知道一个人是否出差参加了日历上安排的城外会议。 但是这两个事件结合起来可能会清楚地表明旅行确实发生了,并且该人目前在特定城市或附近。 目前,我们不知道如何处理这些类型的复杂性。 我们只是公开(再次,取决于个人的许可)与人们使用特定设备上的特定应用程序生成的事件相关联的一小部分相对低级别的事件。 我们必须依靠查看者对更大的共享世界的理解,以有意义的方式解释这些事件。 未来的研究可能会探索如何按兴趣对事件进行排名,或者至少如何逐步披露默认情况下未在电子名片中直接公开的事件。
信息速度。 另一个系统挑战涉及在网络中快速有效地移动大量经过权限过滤(因此不易广播)的上下文信息。 我们目前通过JMS(Java消息服务)基础设施实现过滤后的位置和活动信息的分发以及通信渠道可用性的更新。 为了可扩展性,感知服务器发布个人动态状态的单一版本,并让消息传递基础设施对其进行过滤,以便只有具有足够权限的订阅者才能接收到它。 JMS提供访问控制列表和消息选择器(使用SQL-92语法的子集)来实现将消息选择性地传递给授权客户端。 此外,JMS主题为托管任何一个注册的Grapevine用户的感知服务器与该注册用户的感知信息的所有来源和查看者之间的 rendezvous 提供了抽象。 早期Grapevine原型仅使用SOAP(简单对象访问协议)与感知服务器接口,而我们当前的系统使用JMS以“仅推送”和RPC(远程过程调用)访问风格从服务器获取和向服务器发送信息。 我们继续使用SOAP来访问基于Web的子服务,以及快速prototype包含“活生生的人”的新应用程序。
改进沟通的未来
Grapevine电子名片是在软件中活生生的人的更普遍概念的一种体现。 Grapevine超越了仅仅是“存在”(这往往局限于单个应用程序内的活动),展示了如何将多个廉价的位置和活动信息来源在网络中聚合,并以可接受和可理解的隐私控制发布。 特别是Grapevine电子名片,展示了这种增强的感知如何能够改善人际沟通。
软件中动态行为线索的可用性提供了对人们实际在做什么做出更明智推断的可能性。 与他们的互动可以更好地协调,并且可以培养共享社区的意识。 通过仔细的设计,有可能在不变得具有侵入性和威胁性的情况下获得亲密感。 如果人们发现这个概念有价值,并且适应现有应用程序的成本很低,我们相信在软件中加入活生生的人将获得广泛的接受。
参考文献
1. Erickson, T., 和 Kellogg, W. A. 社会透明性:一种设计与社会过程相吻合的系统的方法。 人机交互事务 7, 1 (2000年3月), 59-83.
JOHN RICHARDS 在获得认知心理学博士学位后,于1978年加入IBM托马斯·J·沃森研究中心的计算机科学研究人员。 他曾在众多应用程序和人际沟通项目中担任研究、设计和管理职务,并因其在数字语音邮件系统领域的贡献而获得人机因素学会的认可。 他活跃于 SIGCHI(计算机人机交互特别兴趣小组)和 SIGPLAN(编程语言特别兴趣小组)。 他曾担任OOPSLA’91会议主席,并在1991年至1996年担任OOPSLA(面向对象编程、系统、语言和应用程序)指导委员会主席。 Richards于1997年当选为 Fellow。
JIM CHRISTENSEN 在获得伊利诺伊大学香槟分校计算机科学硕士学位后,于1978年加入IBM。 他于1983年加入IBM托马斯·J·沃森研究中心,在那里他从事过编程环境、理解程序执行、数字成像和联合多媒体库以及帮助人们沟通的上下文感知应用程序等各种项目。 Christensen在他的IBM职业生涯中曾担任管理和工程职位,并获得了众多奖项。
最初发表于Queue vol. 1, no. 10—
在数字图书馆中评论这篇文章
更多相关文章
David Millen, Jonathan Feinberg, Bernard Kerr - 企业中的社会书签
使用大型信息空间的人们面临的最大挑战之一是记住和检索他们之前找到并认为有趣的项目。 解决这个问题的一种方法是允许个人保存特定的搜索字符串,以便将来重新创建搜索。 另一种方法是允许人们创建个人资料集。 引文集可以由读者手动创建,也可以通过执行(和提醒)保存的搜索来创建。
© 保留所有权利。