2020年5月9日 星期六

被監控者付費的天眼系統: Amazon Rings

[原文刊載於 科學月刊/科技報導]

名為Ring的「Amazon智慧門鈴」不只是門鈴,也是監視錄影器。它以雲端監控服務(surveillance as a service)作為宣傳口號,不只替用戶監控自家門口,也替各國警察監控全國各地社區。中文世界有報導略微提及Ring所造成的執法適當性及資訊安全這兩大疑慮;不過電子先鋒基金會(Electronic Frontier Foundation, EFF)針對Amazon智慧門鈴所做的一系列研究與論述還提到更多問題。雖然這些報告指出的社會面問題以美國為主,但畢竟臺灣電子消費市場緊隨美國腳步,我們有必要及早警惕與防範。

Amazon與警察佈下的監視網

美國有兩百多個警察單位與Amazon有合作,密切程度到了令人懷疑合法性的地步。社區裡越多民眾下載Amazon的手機應用程序(App)── Neighbors,當地警局就累積越多折價點數可以從該公司換取更多Rings設備,以便讓警局在社區裡安置更多的Rings。(這可以算是一種複利成長的投資策略嗎?)

當民眾對警察提出Ring相關詢問或質疑時,警察又會私下將問題丟給Amazon的公關人員,由他們秘密地代為操刀撰寫答覆。另一方面,每當警察向用戶索取影像而遭拒時,如果不想走繁瑣的法院傳票程序,便可轉而向配合度高且市佔率高的Amazon伸手。因為這些「互惠關係」,美國的警察儼然成為Amazon的傳聲筒/代言人,卻又不像媒體甚或部落客們受到「揭露業配利害關係」的法律或社會規範所約束;Amazon與警局之間的利益糾葛完全落在鎂光燈之外。這像滾雪球一樣地助長了市場的壟斷,甚至連監視錄影器廠商聯盟(The Monitoring Association)都跳出來抗議警界「推廣特定的單一商品」。

以維護社區安全之名行揭露隱私之實?

暫時撇開Amazon本身的爭議行為不談,EFF指出:一般而言,Neighbors這類「鄰居們守望相助」的Apps一方面固然有他們宣稱的優點,另一方面卻也提高了草木皆兵的緊張氣氛,製造不必要的恐慌,甚至加深種族歧視。一位房仲業務在高級住宅區被警察攔下來,只因有人透過另一家公司的守望相助App──Nextdoor──舉報他「按門鈴的可疑行為」,而這位房仲正是位黑人。

為何Amazon可以提供客戶自家門口的影像給警察?因為當初用戶在點下授權同意書時,就已授權 Amazon可以「無限制地、無需再付費地、永久地、全球地再利用、散佈、儲存、刪除、轉譯、複製、修改、展示、販售和製作衍生創作」你家門口所錄下的影像。換個方式說,用戶的這個授權同意,竟變成了隱私或自家門口影像所有權的資訊防堵外洩缺口。也因為這樣,Amazon就真的敢在用戶不知情(被攝影的人更不知情)的情況下,把這些私人門口的影像(含未碼人臉)拿去放在臉書上打廣告,直接在廣告裡暗示這些(未經法律程序確認的)影像是犯罪行為。

你的個資,還是你的個資嗎?

再來談談不分國界的技術問題。每個學期最能引發學生反應(也最能滿足老師存在感)的課題之一,就是請學生造訪全球最大網路攝錄影機影像收錄網站「Insecam」;有太多家庭內的私用網路攝影機竟然不曾修改預設密碼,因而被Insecam收錄,就這樣不設防地曝露在網際網路上,讓全球不特定路人24小時觀賞!儘管Insecam呈現的是用戶不改預設密碼的問題,但那並非監視錄影器唯一的資安風險。包含監視錄影器在內的所有「(危)物聯網」〕類型裝置,因為其作業系統難以經常更新等因素,資安防護難度遠高於電腦。即使是Ring這樣的大廠牌產物也有許多漏洞,《電子時報》(Digitimes)就曾報導過幾個案例。

雪上加霜的是:除了無心的漏洞,Amazon甚至還主動洩漏用戶個資。EFF的另一篇報導揭發了Ring的App暗中傳送許多私密資料給數大廠商,包含:

  1. 素行不良、曾爆出「劍橋分析(Cambridge Analytica)」醜聞的臉書;
  2. 為了生物辨識?)連磁場感測器/陀螺儀/加速度感測器資料都在蒐集、令人感覺毛毛的第三方行動流量追蹤服務公司AppsFlyer;
  3. 專精於比對各種「去識別化、無姓名資料」,以便整合還原民眾身份的Branch公司;

而Amazon自我揭露的文件裡,則只輕描淡寫地提到(唯一爭議較少的)消費者分析行為公司 Mixpanel;但它也從Ring拿到了最豐富的個資,包含用戶的真實姓名與email。

當監視的權利 掌握在一人之手

儘管臺灣人很習慣到處都看到監視器,也很信任警察機關應該不至於濫權,但這種信任是建立在傳統監視器「分權」的前提之上。這些監視器分屬於不同社區、來自不同廠商。警察要辦案時,必須依法逐一向獨立的個別社區管委會調閱有關影像,因而有某種程度的監督,而且也不至於賦予國家機器過大的權力。為什麼避免中央集權很重要?因為我們永遠不知道(透過選舉或其它方式)取得政權的下一個政府是誰。

然而,現在Amazon智慧門鈴卻將權力集中於同一家廠商,情況變得大不相同。特別在今日人工智慧(包含人臉辨識、步態辨識等等)迅速進步的背景之下,大量、集中、來自全國各個角落的影像資料提供了Amazon(及警方)舊技術所欠缺的新型監控可能性,可針對任何個人(或某種動作、某類族群等)全面搜索。如果有一天「看臉推測犯罪機率」的人工智慧技術被導入Ring,你可以想像會發生什麼事嗎?

天眼之下,戒慎恐懼⋯⋯

在中國,政府以國家的力量佈建了天網,對民眾進行全面監控。諷刺的是,在自由民主的美國,集權於少數人的天網同樣也正在形成,差別在於出錢的並不是國家,而是被監控的消費大眾。有沒有替代方案可以同時兼顧家庭監控需求,又不需把自家門前(甚至內部)的一切影像攤在廠商或政府眼前呢?從技術的角度來看,採用自由軟體加上私有雲來取代現有大廠牌專屬商業產品的基本功能並不困難。

不過最困難的,恐怕是如何在欠缺(甚至是逆流面對)強大商業趨動力的情況下,讓社會大眾理解:原來自己竟是在出錢協助佈建天眼系統來監控自己。

延伸閱讀

  1. 〈販售價值 vs 使用價值〉,洪朝貴,https://scimonth.pse.is/R5FR7,2016年4月10日。
  2. Matthew Guariglia, Amazon’s Ring Is a Perfect Storm of Privacy Threats, Electronic Frontier Foundation, https://scimonth.pse. is/QVJRK, 2019.
  3. Bill Budington ,Ring Doorbell App Packed with Third-Party Trackers, Electronic Frontier Foundation, https://scimonth.pse.is/R6TAY, 2020.
  4. 洪煥周,亞馬遜Ring資安問題再一樁智慧門鈴易陷駭客危機,Digitimes,https:// scimonth.pse.is/R5E9M,2019年11月13日。

沒有留言:

張貼留言

請見 留言審核及授權政策