据 亚马逊上周发布的一份公告 称,亚马逊 One 掌纹扫描支付技术将在今年年底前在美国所有全食超市门店提供。这次大规模扩展到 500 多家门店是其数年推广活动的顶峰,此前该生物识别读卡器已在加州许多主要城市的商店中安装。尽管支付系统仍将是可选的,但安全专家重申了他们的担忧:消费者会将如此敏感的数据交给一家在隐私记录方面“不尽如人意”的公司。
据亚马逊称,其亚马逊 One 读卡器使用摄像头来 捕捉个人手掌的各种特征,包括线条和脊线等表面特征,以及“静脉模式等皮下特征”。这些“手掌和静脉图像”随后会被即时加密并存储在为亚马逊 One 定制的云服务器中。该公司表示,访问这些云数据“仅限于具有专业知识的少数 AWS 员工”。然而,批评者对亚马逊对这些数据的目的及其可靠存储此类个人信息的能力表示怀疑。
[相关:亚马逊希望扫描你的手掌纹以在更多全食超市付款。]
隐私倡导组织 Fight for the Future 的活动家 Leila Nashashibi 说:“我们不能相信大型科技公司不会滥用我们的生物识别数据,也不能相信它们能保护我们的数据免受黑客攻击。” 近年来,亚马逊已被证实会随意向执法部门提供 Ring 智能家居监控摄像头的录像,据报道,这未经用户同意或搜查令。3 月份,亚马逊宣布 计划开始在部分 Panera Bread 门店提供其生物识别掌纹读卡器——此举是在该公司因涉嫌在其 Amazon Go 门店存在数据隐私侵犯行为而在纽约被提起集体诉讼不到一周后发布的。
正如 Nashashibi 指出的,亚马逊的“加密”生物识别读卡器不具备与“端到端加密”(E2EE)设备和程序相同的安全性。E2EE 系统 的设计使得只有拥有正确数字密钥签名的用户才能解密数据——重要的是,服务提供商或任何其他第三方通常不持有这些密钥。仅仅因为亚马逊 One 读卡器之类的东西是加密的,并不意味着公司(或恶意行为者)就无法在某些情况下访问私人信息。
Nashashibi 还认为掌纹技术“荒谬”,并提到了现有更安全的快速支付方式,如数字和实体信用卡。但对于包括 Nashashibi 在内的批评者来说,在当今的技术格局中,根本不应该有关于公司数据隐私侵犯的警告。“我们不应该把保护自己的责任推给个人,”他们说,并重申呼吁政府对生物识别数据收集进行监管,类似于欧盟的《通用数据保护条例》(GDPR)。尽管像加利福尼亚州、科罗拉多州和弗吉尼亚州等地已在州一级通过了类似法律,但全面的联邦立法尚未出台。
[相关:生物识别汤:亚马逊 One 即将登陆 Panera。]
全食超市首席技术官 Leandro Balbinot 在上周的公告中表示:“我们一直在寻找新的方式来取悦顾客并改善购物体验。自过去两年我们在全食超市门店推出亚马逊 One 以来,我们看到顾客喜欢它带来的便利,并且我们很高兴能将亚马逊 One 带给美国的所有顾客。”
尽管存在批评,但购物者已经在公开表达对这项技术的疑虑和兴奋。据《SF Standard》上周报道,意见差异很大,从“这让我感到毛骨悚然”到“这有点令人兴奋,是尖端技术”。
