2019年04月26日 | 智能音箱再陷隐私危机，竟可获取客户家庭住址？

据报道，据五名熟悉Alexa程序的员工说，亚马逊公司一个审核Alexa用户命令的团队可以访问位置数据，在某些情况下还可以轻松找到客户的家庭住址。

享有特殊数据权限的团队

这个横跨三大洲的团队，抄录、注释并分析了Alexa收集到的部分语音记录。彭博社本月早些时候披露了这个程序的存在，它的成立是为了帮助亚马逊的数字语音助手更好地理解和响应命令。

据这些员工说，能够访问Alexa用户地理坐标的团队成员可以很容易地将他们输入第三方地图软件，并找到他们的住所。这些员工签署了保密协议，禁止他们公开谈论这个项目。

虽然没有迹象表明，拥有访问数据权限的亚马逊员工曾试图追踪个人用户，但Alexa团队的两名成员向彭博社表示担心，亚马逊授予了不必要的访问客户数据的权限，这将使用户更容易识别设备的所有者。

乔治敦大学法学院通信与技术诊所的教职员、律师林赛·巴雷特(Lindsey Barrett)说，位置数据比许多其他类别的用户信息更敏感。

她说:“任何时候有人在你所在的地方收集东西，这就意味着当你不想被人发现的时候，这些东西可能会被别人发现。”广泛访问与Alexa用户记录相关的位置数据“将为我竖立一个巨大的危险信号”。

亚马逊的回应

亚马逊在4月10日的一份声明中承认了Alexa审计项目并表示，“员工无法直接访问作为该工作流程一部分的个人或账户信息。”

亚马逊在回应这一事件的一份新声明中表示，“内部工具的访问受到高度控制，只允许少数员工使用，他们需要这些工具来培训和改进服务，方法是处理非常小的交互样本。我们的政策严格禁止员工以任何其他原因访问或使用客户数据，我们对滥用我们的系统采取零容忍政策。我们定期审核员工对内部工具的访问权限，并在任何可能的时间和地点限制访问权限。”

亚马逊的Alexa数据服务团队负责管理大量人类语音记录和其他数据，这些数据有助于培训语音软件。这些数据来自数千名员工和承包商，分布在从波士顿到罗马尼亚和印度的各个工作地点。

一些负责分析Alexa用户录音的工作人员使用亚马逊的一个工具，该工具会在显示录音设备数据的同时显示音频剪辑。该软件存储的大部分信息，包括设备ID和客户标识号，都无法轻松地链接回用户。

不过，亚马逊也会收集位置数据，这样Alexa就能更准确地回答请求，比如建议一家当地餐厅，或者提供附近俄勒冈州阿什兰的天气信息，而不是遥远的密歇根州阿什兰。

在彭博社看到的一个演示中，一名亚马逊团队成员将用户的经纬度坐标粘贴到谷歌地图中。在不到一分钟的时间里，这名员工从一个人的Alexa命令的录音跳到了似乎是他们的房子和相应地址的图像上。

事态发酵，亚马逊限制访问权限

目前还不清楚有多少人可以使用该系统。两名亚马逊员工表示，他们认为Alexa数据服务部门的绝大多数员工直到最近才能够使用该软件。

有时候，Amazon会默认获取数据。就在去年，当客户第一次向Echo智能音箱提出与位置有关的问题时，该公司经常利用该设备的互联网连接来获得其大致位置。最近，公司开始使用与客户帐户关联的送货地址作为Echo的默认位置。

Amazon的位置数据并不总是精确的，它也并不总是指向Echo的位置。当用户设置智能扬声器时，Alexa智能手机应用程序会提示用户输入家庭地址，并要求用户允许使用智能手机的位置数据。

在一份有关Alexa的常见问题列表中，亚马逊表示，它使用移动设备位置来提供更多相关的答案和建议，并启用提醒等功能，当用户到达某个位置时，这些功能就会被触发。

亚马逊的另一个内部软件工具存储了更多的个人数据，据其中一名员工说，这个工具只提供给一小部分员工，这些员工给语音记录打上标签，帮助Alexa对请求进行分类。

这名员工说，在输入客户ID号码后，这些被称为注释者和验证者的员工可以看到客户在安装Alexa设备时输入的家庭、工作地址和电话号码。如果用户选择与Alexa共享他们的联系人，他们的姓名、号码和电子邮件地址也会出现在仪表板中。这些数据在系统中，因此，如果客户说“给Laura发送一条消息”，人工审阅人员可以确保抄写员正确地写了姓名，以便软件学会将该请求与联系人列表中的Laura配对。

亚马逊似乎一直在限制员工对该系统的访问权限。

一名员工说，就在一年前，亚马逊的一个显示用户联系人的仪表盘还显示了完整的电话号码。现在，在同一个面板中，一些数字被模糊了。

两名员工表示，在彭博4月10日的报告发布后，亚马逊进一步限制了对数据的访问。这些知情人士说，一些数据助理来上班时发现，他们无法再使用以前在工作中使用过的软件工具。这些数据助理负责录音、注释和核实。截至彭博发稿时为止，他们的访问尚未恢复。

用户隐私谁来保护？

在科技公司无处不在地收集数据的时代，用户数据隐私问题一直是个隐患，去年12月在美国凤凰城郊区的一次谋杀案调查中，警方获得搜查令后要求谷歌提供其在案发现场附近记录的所有设备信息，当然这等于直接给出所在地区几乎所有人的信息记录。

虽然执法官员一再声称这仅仅只是警方调查破案的一种工具，但是随着消费者、政策制定者和监管机构对隐私问题的担忧加剧，科技公司的数据收集行为受到了越来越严格的审查。

谷歌虽拒绝证实有多少来自政府职能部门的搜查令请求，但谷歌员工称今年该公司一周内就收到多大180个请求。据谷歌员工称，Sensorvault有着包括全球至少数亿台设备的详细位置记录，其历史可以追溯到近10年前。

Sensorvault收集的不光是谷歌的设备其中不乏来自其他品牌的安卓设备，甚至还有苹果。就像之前曝光过vivo nex的前置升降摄像头在某些app运行时会自动上升偷拍或者偷录用户个人信息，如果不是因为nex手机的特殊结构，又有谁会知道这些app在默默的侵犯用户个人隐私。虽然说收集用户数据是为了让终端设备和软件更好地服务于用户，让生活更加便捷，但保护这些数据也相当于在保护消费者自身安全，是企业义不容辞的责任和使命。