亚马逊Alexa被爆可获取用户位置隐私数据,官方回应:已限制权限
据熟悉该计划的五名员工介绍,一个负责审核Alexa用户命令的Amazon团队可以轻松访问用户位置数据,在某些情况下,还可以轻松地找到用户的家庭地址。
这个团队遍布三大洲,会对亚马逊Alexa收集到的部分录音进行转录、注释和分析。彭博社本月早些时候对该计划进行了报道,官方新闻稿称该项目旨在帮助亚马逊的数字语音助理更好地理解和响应命令。
据这些员工说,能够访问Alexa用户地理坐标的团队成员可以很容易地将他们输入第三方地图软件,并找到他们的住所。这些员工签署了保密协议,禁止他们公开谈论这个项目。
虽然没有迹象表明,拥有访问数据权限的亚马逊员工曾试图追踪过个人用户隐私信息,但Alexa团队的两名成员向彭博社表示了他们的担心,亚马逊授予了不必要的广泛访问客户数据的权限,这将使识别设备所有者的个人信息变得更加容易。
乔治敦大学法学院通信与技术诊所(Georgetown Law's Communications and Technology Clinic)的教职员、律师林赛·巴雷特(Lindsey Barrett)表示:“位置数据比许多其他类别的用户信息更敏感。”
林赛·巴雷特说:“任何时候有人在你所在的地方收集信息,这就意味着当你不想被人发现的时候,这些隐私信息可能会被别人发现。对于我来说,亚马逊广泛访问与Alexa用户记录相关的位置数据是一个定时炸弹。”
亚马逊在4月10日的一份声明中承认了Alexa审计计划,称“员工没有直接访问信息的权限,这些信息可以将个人或帐户标识为该工作流程的一部分。”
亚马逊在回应这一事件的一份新声明中说,“对内部工具的访问是高度控制的,并且只允许少数需要这些工数据的员工通过处理非常小的交互样本来培训和改进服务。我们的政策严格禁止员工出于任何其他原因访问或使用客户数据,我们对滥用我们的系统实行零容忍政策。我们定期审查员工对内部工具的访问权限,并尽可能限制员工的访问权限。”
亚马逊的Alexa数据服务团队负责管理大量人类语音记录和其他数据,这些数据有助于培训语音软件。这些数据来自数于数千名员工和承包商,分布在从波士顿到罗马尼亚和印度的各个工作地点。
一些负责分析Alexa用户录音的工作人员会使用亚马逊自家的一款工具,该工具会在显示录音设备数据的同时显示音频剪辑。该软件存储的大部分信息,包括设备ID和客户标识号,都无法轻松地链接回用户。
不过,亚马逊也会收集位置数据,这样Alexa就能更准确地回答请求。比如推荐一家当地餐厅,或者提供附近俄勒冈州阿什兰的天气信息,而不是遥远的密歇根州阿什兰。
在彭博社看到的一个演示中,一名亚马逊团队成员将用户的经纬度坐标粘贴到谷歌地图中。在不到一分钟的时间里,这名员工从一个人的Alexa命令的录音跳到了似乎是他们的房子和相应地址的图像上。
目前还不清楚有多少人可以使用该系统,两名亚马逊员工表示,他们认为Alexa数据服务集团的绝大多数员工直到最近才能够使用该软件。
有时候,Amazon会默认获取数据。就在去年,当客户第一次向Echo智能音箱提出与位置有关的问题时,该公司经常利用该设备的互联网连接来获得其大致位置。最近,公司开始使用与客户帐户关联的送货地址作为Echo的默认位置。
Amazon的位置数据并不总是精确的,它也并不总是指向Echo的位置。当用户设置智能扬声器时,Alexa智能手机应用程序会提示用户输入家庭地址,并要求用户允许使用智能手机的位置数据。在一份有关Alexa的常见问题列表中,亚马逊表示,它会使用移动设备位置来提供更多相关的答案和建议,并启用提醒等功能,当用户到达某个位置时,这些功能就会被触发。
亚马逊的另一个内部软件工具存储了更多的个人数据,据其中一名员工说,这个工具只提供给一小部分员工,这些员工给语音记录打上标签,帮助Alexa对请求进行分类。
这名员工说,在输入客户ID号码后,这些被称为注释者和验证者的员工可以看到客户在安装Alexa设备时输入的家庭、工作地址和电话号码。如果用户选择与Alexa共享他们的联系人,他们的姓名、号码和电子邮件地址也会出现在仪表板中。这些数据在系统中,因此,如果客户说“给Laura发送一条消息”,人工审阅人员可以确保抄写员正确地写了姓名,以便软件学会将该请求与联系人列表中的Laura配对。
亚马逊似乎一直在限制员工对该系统的访问权限。
一名亚马逊员工表示,就在一年前,亚马逊的一个显示用户联系人的仪表盘还显示了完整的电话号码。现在,在同一个面板中,一些数字被模糊了。
两名员工表示,在彭博4月10日的报告发布后,亚马逊进一步限制了对数据的访问。这些知情人士说,一些数据助理来上班时发现,他们无法再使用以前在工作中使用过的软件工具。这些数据助理负责录音、注释和核实。截至发稿时为止,他们的访问尚未恢复。