AWS出于自身開發(fā)產(chǎn)品的目的而收集客戶的“AI內(nèi)容”,并且將內(nèi)容存儲在客戶明確選擇的地區(qū)之外。
“我認為這會給他們帶來麻煩��!”
據(jù)外媒CBR報道��,AWS出于自身開發(fā)產(chǎn)品的目的而收集客戶的“AI內(nèi)容”�����,并且將內(nèi)容存儲在客戶明確選擇的地區(qū)之外�。
這家知名云提供商的用戶可能需要仔細閱讀15000多個單詞的服務條款,才會注意到這一點�。
用戶的默認設置是選擇加入、允許AWS這么做�。就在不久前,如果客戶想阻止這么做�,AWS還要求客戶主動提出支持請求(前提是他們首先注意到這點)。
不太注重細節(jié)的AWS用戶而是選擇了僅僅閱讀總共100個單詞的AWS數(shù)據(jù)隱私常見問題解答(FAQ)——“AWS通過簡單又強大的工具讓您可以確定將內(nèi)容存儲在哪里��,從而讓您對內(nèi)容擁有所有權(quán)和控制權(quán)”�,他們可能會大吃一驚。
(始終要看清條款內(nèi)容…….)
等一下
美國國家安全局(NSA)前員工Scott Piper在本周拋出了這個令許多人震驚的問題����,他現(xiàn)在是AWS安全培訓咨詢公司Summit Summit的負責人�。
他發(fā)現(xiàn)問題的起因是���,他公司更新了選擇退出(opt-out)選項���,好讓客戶更容易通過API或命令行在控制臺中選擇退出。
Piper是知名的AWS專家����,他一貫對一些云提供商的秘密很感興趣。他表示����,自己擔心許多人不知道這種情況。他告訴IT外媒Computer Business Review:“根據(jù)我在archive.org上發(fā)現(xiàn)的結(jié)果��,自2017年12月2日以來AWS的條款內(nèi)容就一直是這樣�����?��!?/span>
“很顯然����,到目前為止,沒有人注意到這一點�。這打破了人們在AWS如何處理其數(shù)據(jù)方面的一些看法。像沃爾瑪這樣的競爭對手會引起注意��,這可能有悖于AWS過去在壟斷問題以及他們?nèi)绾问褂每蛻魯?shù)據(jù)方面對外聲稱的一些說法��?���!?/span>
這家公司提到眾多的AWS服務在這么做�����,包括從實時應用程序收集運行時性能數(shù)據(jù)的CodeGuru Profiler��、生物特征識別服務Rekognition�����、自動語音識別服務Transcribe以及基于機器學習的檢測服務Fraud Detector等��。流行的托管式機器學習服務SageMaker可能也將數(shù)據(jù)傳輸?shù)接脩魹槠銰round Truth數(shù)據(jù)標記服務選擇的地區(qū)之外����。
政策“打破了數(shù)據(jù)主權(quán)方面的觀念”
Piper補充道:“AWS可能將您的數(shù)據(jù)傳輸?shù)街付▍^(qū)域之外�����,這個事實打破了數(shù)據(jù)主權(quán)方面的觀念�。AWS經(jīng)常聲稱您的數(shù)據(jù)不會離開您放置數(shù)據(jù)所在的區(qū)域����。這一直成為了您將為S3存儲桶指定為存儲區(qū)域的原因,AWS拿自己與其他云提供商比較時也宣傳這一點���?�!?/span>
“事實上����,就在不久前����,您唯一可以選擇退出的方法是:1)首先了解它,然后2)提交支持請求��?��!?/span>
AWS拒絕對此發(fā)表正式評論���。
AWS的條款清楚地闡明�,該公司認為:明確告知自己的客戶出現(xiàn)這種情況是用戶的職責。
即:條款50.4“您有責任向使用任何AI服務的貴公司產(chǎn)品或服務的最終用戶提供法律上充分的隱私通知���,并有責任獲得此類最終用戶的任何必要的同意,以便按這第50條描述的那樣處理AI內(nèi)容以及存儲�����、使用和轉(zhuǎn)移AI內(nèi)容��?�!?/span>
有多少AWS客戶將這類隱私通知推送給最終用戶仍然是個懸而未決的問題�����。
AWS用戶數(shù)據(jù):存儲/使用選擇退出已更新
AWS本周更新的一份文檔為企業(yè)組織提供了選擇退出方面的指導����,一款新工具讓用戶可以設置在整個組織激活選擇退出的策略����。
指導特別指出:“AWS人工智能服務收集和存儲數(shù)據(jù)�����,作為操作和支持每個服務的持續(xù)改進生命周期的一部分��。作為AWS客戶����,您可以選擇退出該過程,以確保您的數(shù)據(jù)不會持久性存儲在AWS AI服務數(shù)據(jù)存儲環(huán)境中�,或不會用于服務改進?!?/span>
用戶可以進入到控制臺>AI服務選擇退出策略,也可以通過命令行界面或API這么操作����。(CLI:aws organizations create-policy;AWS API:CreatePolicy)����。
哪些AWS服務在這么做?
AWS條款50.3提到了CodeGuru Profiler�、Lex�����、Polly�、Rekognition��、Textract���、Transcribe和Translate在這么做��。條款60.4也提到了SageMaker�����。條款75.3提到了Fraud Detector。條款76.2提到了Mechanical Turk and Augment AI����。
Summit Route的Scott Piper特別指出:“值得關注的是,今天添加的新的選擇退出功能提到Kendra是您可以選擇退出��、不讓AWS使用您數(shù)據(jù)的其中一項服務���,但服務條款并未提到該服務��。如果AWS已經(jīng)在通過該服務使用客戶數(shù)據(jù)��,我認為這會給他們帶來麻煩�����?����!?/span>
英國云提供商UKCloud的商務主管Nicky Stewart說:“閱讀任何合同中的條款內(nèi)容始終很重要����。”
“就連AWS政務云條款(某種程度上是“定制的”)也附有指向一些服務條款的超文本鏈接��,這些服務條款讓AWS有權(quán)使用政府的寶貴數(shù)據(jù)(AWS可以從中獲利)��,并將數(shù)據(jù)傳輸?shù)狡渌痉ü茌爡^(qū)�。”
“考慮到AWS在處理和存儲的一些政府數(shù)據(jù)高度敏感……因此�����,能向政府保證將選擇退出作為一項事實上的政策來落實就好了�?�!?/span>
遙測和客戶數(shù)據(jù)使用引發(fā)爭議
就在爆出這則新聞前一周�,歐洲的數(shù)據(jù)保護監(jiān)管機構(gòu)表示�����,微軟完全有權(quán)單方面更改其如何收集45000多名歐洲官員的數(shù)據(jù)方面的規(guī)則��,為不喜歡更改的機構(gòu)落實的合同補救措施“實際上毫無意義”��。
歐洲數(shù)據(jù)保護監(jiān)管局(EDPS)警告歐盟機構(gòu)“要仔細考慮購買的任何微軟產(chǎn)品和服務……直到他們分析并實施了EDPS建議的措施”����,并表示購買者對于其數(shù)據(jù)在哪里處理、如何處理以及由誰處理方面幾乎沒有什么控制權(quán)�。
閩公網(wǎng)安備 35010202001226號
