AWS出于自身開發(fā)產(chǎn)品的目的而收集客戶的“AI內(nèi)容”��,并且將內(nèi)容存儲在客戶明確選擇的地區(qū)之外。
“我認(rèn)為這會給他們帶來麻煩��!”
據(jù)外媒CBR報道��,AWS出于自身開發(fā)產(chǎn)品的目的而收集客戶的“AI內(nèi)容”�����,并且將內(nèi)容存儲在客戶明確選擇的地區(qū)之外�����。
這家知名云提供商的用戶可能需要仔細(xì)閱讀15000多個單詞的服務(wù)條款����,才會注意到這一點。
用戶的默認(rèn)設(shè)置是選擇加入��、允許AWS這么做���。就在不久前����,如果客戶想阻止這么做����,AWS還要求客戶主動提出支持請求(前提是他們首先注意到這點)�����。
不太注重細(xì)節(jié)的AWS用戶而是選擇了僅僅閱讀總共100個單詞的AWS數(shù)據(jù)隱私常見問題解答(FAQ)——“AWS通過簡單又強(qiáng)大的工具讓您可以確定將內(nèi)容存儲在哪里��,從而讓您對內(nèi)容擁有所有權(quán)和控制權(quán)”���,他們可能會大吃一驚�����。
(始終要看清條款內(nèi)容…….)
等一下
美國國家安全局(NSA)前員工Scott Piper在本周拋出了這個令許多人震驚的問題�����,他現(xiàn)在是AWS安全培訓(xùn)咨詢公司Summit Summit的負(fù)責(zé)人����。
他發(fā)現(xiàn)問題的起因是,他公司更新了選擇退出(opt-out)選項�����,好讓客戶更容易通過API或命令行在控制臺中選擇退出。
Piper是知名的AWS專家���,他一貫對一些云提供商的秘密很感興趣�����。他表示���,自己擔(dān)心許多人不知道這種情況。他告訴IT外媒Computer Business Review:“根據(jù)我在archive.org上發(fā)現(xiàn)的結(jié)果��,自2017年12月2日以來AWS的條款內(nèi)容就一直是這樣�����?����!?/span>
“很顯然����,到目前為止,沒有人注意到這一點���。這打破了人們在AWS如何處理其數(shù)據(jù)方面的一些看法����。像沃爾瑪這樣的競爭對手會引起注意,這可能有悖于AWS過去在壟斷問題以及他們?nèi)绾问褂每蛻魯?shù)據(jù)方面對外聲稱的一些說法���?�!?/span>
這家公司提到眾多的AWS服務(wù)在這么做����,包括從實時應(yīng)用程序收集運行時性能數(shù)據(jù)的CodeGuru Profiler�����、生物特征識別服務(wù)Rekognition��、自動語音識別服務(wù)Transcribe以及基于機(jī)器學(xué)習(xí)的檢測服務(wù)Fraud Detector等���。流行的托管式機(jī)器學(xué)習(xí)服務(wù)SageMaker可能也將數(shù)據(jù)傳輸?shù)接脩魹槠銰round Truth數(shù)據(jù)標(biāo)記服務(wù)選擇的地區(qū)之外。
政策“打破了數(shù)據(jù)主權(quán)方面的觀念”
Piper補(bǔ)充道:“AWS可能將您的數(shù)據(jù)傳輸?shù)街付▍^(qū)域之外��,這個事實打破了數(shù)據(jù)主權(quán)方面的觀念��。AWS經(jīng)常聲稱您的數(shù)據(jù)不會離開您放置數(shù)據(jù)所在的區(qū)域。這一直成為了您將為S3存儲桶指定為存儲區(qū)域的原因��,AWS拿自己與其他云提供商比較時也宣傳這一點��?��!?/span>
“事實上���,就在不久前,您唯一可以選擇退出的方法是:1)首先了解它���,然后2)提交支持請求���。”
AWS拒絕對此發(fā)表正式評論��。
AWS的條款清楚地闡明�����,該公司認(rèn)為:明確告知自己的客戶出現(xiàn)這種情況是用戶的職責(zé)��。
即:條款50.4“您有責(zé)任向使用任何AI服務(wù)的貴公司產(chǎn)品或服務(wù)的最終用戶提供法律上充分的隱私通知,并有責(zé)任獲得此類最終用戶的任何必要的同意��,以便按這第50條描述的那樣處理AI內(nèi)容以及存儲����、使用和轉(zhuǎn)移AI內(nèi)容?�!?/span>
有多少AWS客戶將這類隱私通知推送給最終用戶仍然是個懸而未決的問題��。
AWS用戶數(shù)據(jù):存儲/使用選擇退出已更新
AWS本周更新的一份文檔為企業(yè)組織提供了選擇退出方面的指導(dǎo)����,一款新工具讓用戶可以設(shè)置在整個組織激活選擇退出的策略。
指導(dǎo)特別指出:“AWS人工智能服務(wù)收集和存儲數(shù)據(jù)�����,作為操作和支持每個服務(wù)的持續(xù)改進(jìn)生命周期的一部分���。作為AWS客戶,您可以選擇退出該過程���,以確保您的數(shù)據(jù)不會持久性存儲在AWS AI服務(wù)數(shù)據(jù)存儲環(huán)境中��,或不會用于服務(wù)改進(jìn)���?��!?/span>
用戶可以進(jìn)入到控制臺>AI服務(wù)選擇退出策略,也可以通過命令行界面或API這么操作��。(CLI:aws organizations create-policy���;AWS API:CreatePolicy)��。
哪些AWS服務(wù)在這么做���?
AWS條款50.3提到了CodeGuru Profiler、Lex���、Polly���、Rekognition、Textract���、Transcribe和Translate在這么做����。條款60.4也提到了SageMaker。條款75.3提到了Fraud Detector��。條款76.2提到了Mechanical Turk and Augment AI��。
Summit Route的Scott Piper特別指出:“值得關(guān)注的是�����,今天添加的新的選擇退出功能提到Kendra是您可以選擇退出�����、不讓AWS使用您數(shù)據(jù)的其中一項服務(wù)��,但服務(wù)條款并未提到該服務(wù)���。如果AWS已經(jīng)在通過該服務(wù)使用客戶數(shù)據(jù)���,我認(rèn)為這會給他們帶來麻煩?�!?/span>
英國云提供商UKCloud的商務(wù)主管Nicky Stewart說:“閱讀任何合同中的條款內(nèi)容始終很重要���?��!?/span>
“就連AWS政務(wù)云條款(某種程度上是“定制的”)也附有指向一些服務(wù)條款的超文本鏈接,這些服務(wù)條款讓AWS有權(quán)使用政府的寶貴數(shù)據(jù)(AWS可以從中獲利)��,并將數(shù)據(jù)傳輸?shù)狡渌痉ü茌爡^(qū)����。”
“考慮到AWS在處理和存儲的一些政府?dāng)?shù)據(jù)高度敏感……因此���,能向政府保證將選擇退出作為一項事實上的政策來落實就好了����?��!?/span>
遙測和客戶數(shù)據(jù)使用引發(fā)爭議
就在爆出這則新聞前一周�����,歐洲的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)表示���,微軟完全有權(quán)單方面更改其如何收集45000多名歐洲官員的數(shù)據(jù)方面的規(guī)則���,為不喜歡更改的機(jī)構(gòu)落實的合同補(bǔ)救措施“實際上毫無意義”。
歐洲數(shù)據(jù)保護(hù)監(jiān)管局(EDPS)警告歐盟機(jī)構(gòu)“要仔細(xì)考慮購買的任何微軟產(chǎn)品和服務(wù)……直到他們分析并實施了EDPS建議的措施”���,并表示購買者對于其數(shù)據(jù)在哪里處理���、如何處理以及由誰處理方面幾乎沒有什么控制權(quán)。
閩公網(wǎng)安備 35010202001226號
