重點一:調查揭露,Meta Ray-Ban 智慧眼鏡在「Hey Meta」啟動 AI 助理時,會將如裸體、性愛、銀行卡資訊等極度私密畫面,上傳供肯亞外包標註員檢視與標註。
重點二:瑞典實測顯示,即便使用者在 App 中選擇「不同意分享額外資料」,AI 功能仍必須連網回傳語音與影像至 Meta 伺服器處理,與門市宣稱「資料只存本地」說法不符。
重點三:GDPR 專家與監管機關指出,Meta 對資料用途、保存期限、處理地點與人員皆缺乏透明度,使用者幾乎無法掌控或撤回被用於 AI 訓練的資料,跨境傳輸至肯亞等第三國亦存在法律灰色地帶。
Meta 近年與眼鏡大廠 EssilorLuxottica 合作推出 Ray-Ban 智慧眼鏡,並在全球大量投放廣告。
Ray-Ban智慧眼鏡不但可以拍照、錄影、即時翻譯、當旅遊指南,甚至充當工作助理的新一代穿戴裝置,官方話術中,「強大功能」與「隱私掌控」看似可以兼得。
然而,《瑞典日報》(Svenska Dagbladet)與《哥德堡郵報》(Göteborgs-Posten)聯合調查卻揭開另一面:在肯亞奈洛比,一群受僱於外包公司 Sama 的資料標註員,日復一日觀看並標註來自歐美家庭的影片。
這些畫面多半是日常生活場景,但令人驚悚的是,其中不乏極度私密內容,包括如廁、換衣、性愛畫面,甚至清楚呈現銀行卡資訊,而當事人往往完全不知道自己被錄下,更不可能意識到影像會被傳送到非洲。
受訪標註員形容,他們在螢幕上看到有人把眼鏡隨手放在床頭櫃離開房間,不久伴侶進入房內更衣;也有人只穿著浴巾、或直接赤裸走出浴室。更有案例是使用者戴著眼鏡觀看色情片,內容同樣被完整捕捉。
一名員工直言:「我們什麼都看,從客廳到裸體。Meta 的資料庫裡就是有這些東西。」
對這些工人而言,這份工作在經濟上難以取代。他們簽下嚴格保密協議,違反就可能失去唯一收入來源,回到貧民窟生活。「你知道自己在看別人的私生活,但這是工作,你得做。你不應該問太多問題,否則你就完了。」一位受訪者說出在道德不安與生存壓力之間的拉扯。
瑞典門市承諾「資料在手機」,實測卻證實 AI 非雲不可
這場調查並未止於肯亞的受訪者。記者回到瑞典,實際走訪斯德哥爾摩與哥德堡共十家眼鏡店,包括大型連鎖 Synsam、Synoptik 以及獨立門市,詢問銷售人員 Meta Ray-Ban 智慧眼鏡的資料如何處理。
多數店員給出的說法,足以讓一般消費者放下心中戒心:有人堅稱「我們不會跟 Meta 分享任何資訊」、「你可以完全掌控自己的數據」;也有人表示「所有資料都保存在 App 本地」。
但也有店員坦白,自己不清楚資料會被送往何處,甚至不知道 Meta 是否會蒐集資料,顯示第一線銷售對產品內部機制理解不一。為求釐清真相,記者在哥德堡 Synsam 旗艦店購買一副眼鏡,回到新聞編輯室與系統開發人員一起測試。
使用者必須先下載名為 Meta AI 的 App,經過一連串授權步驟後才能啟用 AI 功能。其中一項設定會詢問是否願意分享額外資料,以協助改善 Meta 的產品與服務;記者刻意選擇「否」,希望在「不分享」狀態下測試眼鏡是否仍會傳輸資料。接著,他們關閉手機網路,試圖在離線狀態下對眼鏡說「Hey Meta」,請它解讀眼前景象。
結果顯示,只要網路關閉,AI 助理幾乎無法運作,系統會要求開啟連線。當技術人員進一步分析網路封包,發現手機頻繁與位於瑞典呂勒奧、丹麥等地的 Meta 伺服器溝通。換言之,只要使用者啟動「Hey Meta」並發出語音指令,包含聲音與鏡頭所見圖像在內的資料,就必須經由 Meta 的雲端基礎設施處理,無法僅靠手機本地端完成。
這個結果與部分門市保證的「資料都留在 App 裡」說法明顯矛盾。Synsam 與 Synoptik 事後以書面回應指出,門市人員會依照 Meta 條款與適用法律向客戶說明,並接受內部訓練;但最終遵守瑞典法規與 Meta 條款的責任仍在佩戴者自己身上,員工則接受倫理教育,強調使用者對自身行為負責。
實務上,消費者拿到的產品說明書僅附上一組 QR Code,連結至 Meta 針對穿戴裝置的隱私政策與 AI 服務使用條款。
表面上,條款表示只有在使用者主動同意下,語音錄音才會被長期保存並用於訓練其他產品;但同時也清楚寫明,為讓 AI 助理運作,系統必然會處理語音、文字、圖像甚至影片,且這些資料可能經由自動或人工方式審查,過程並不可關閉。
專家示警 GDPR 透明度不足,跨境傳輸肯亞存法律風險
在歐盟境內提供服務,Meta 必須遵守《一般資料保護規則》(GDPR),要求服務提供者清楚揭露個資如何被蒐集、處理、儲存與跨境傳輸。調查中,多位隱私與法規專家質疑,Meta 智慧眼鏡與其 AI 服務,顯然未讓一般使用者充分理解自己究竟同意了什麼。
位於維也納的非營利組織 NOYB 資料保護律師 Kleanthi Sardeli 指出,用戶啟動 AI 助理時,不一定清楚鏡頭是否同步錄影,這在歐洲涉嫌欠缺透明度與正當處理基礎。她認為,只要資料被用於訓練 AI 模型,就應取得使用者的明確同意,而且一旦素材餵進模型,使用者在實務上幾乎無法再控制其去向或用途。
瑞典隱私保護監管機關 IMY 的資安專家 Petter Flink 也表示,多數人並沒有仔細閱讀或理解使用條款,「使用者其實完全不知道幕後發生什麼事。」
他強調,對 Meta 而言,眼鏡本體的價值遠不及大量蒐集來的行為與生活細節;能從每日活動中挖掘越多訊號,廣告與服務就能越精準地鎖定個人。「我認為,真要你把日常生活細節分享到這種程度,願意的人應該很少。但當這一切被包裝成有趣又便利的功能時,風險就變得難以察覺。」
IMY 尚未正式審查 Meta 智慧眼鏡,因而無法具體說明資料最終儲存與處理位置。但 Meta 自身在隱私政策中強調,作為全球營運公司,必須在世界各地傳輸、儲存與處理使用者資料,並會在內部不同據點之間、以及對外與合作夥伴、第三方服務供應商共享資訊,AI 互動內容與訊息亦包含在內。
這也牽涉一個關鍵:當標註工作委外給肯亞的 Sama 等公司時,跨境傳輸是否符合 GDPR 對「第三國」的嚴格要求?
對此瑞典 IMY 法律顧問 Petra Wierup 指出,若 Meta 在 GDPR 框架下是資料控制者,就必須確保與歐盟以外服務供應商之間有明確指示且具約束力的合約,並為跨境資料傳輸找到正當法律基礎,確保個資在第三國仍享有「同等強度的保護」。
目前歐盟尚未認定肯亞具備足夠資料保護水準,雙方只在 2024 年啟動對話,短期內難以達成完整協議。
Meta倫敦發言人:所有處理皆依隱私政策進行
面對調查團隊接連發出的提問,包括何以會有如廁、性愛、銀行卡畫面流入訓練資料、採取何種過濾機制避免極度私密素材被外包人員觀看、資料保存多久與使用者如何行使刪除權等,Meta 多次拒絕接受面對面訪談,最後由倫敦發言人 Joyce Omope 以電子郵件回覆,僅重申所有處理皆依 AI 服務條款與隱私政策進行,並未正面回應肯亞標註員看到的具體情境;Sama 則未回覆任何問題。
一名不具名的歐洲區 Meta 高階主管則對調查表示,在 GDPR 架構下,「伺服器實際位置並不重要」,只要接收國的法律保障等同,資料便可以被傳輸與處理。他強調,Meta 在瑞典、丹麥、愛爾蘭等地皆有資料中心,歐洲業務的法律責任則由 Meta Ireland 承擔。
對奈洛比的標註員而言,這些法律條文與國際談判顯得遙遠。他們日常的現實,是在嚴密監控下(辦公室處處有攝影機,禁止自帶手機與可錄影裝置),一格一格看著陌生人的家、身體與生活。一位員工總結道:「如果人們真的知道資料被收集到這種程度,我覺得應該沒什麼人敢戴這種眼鏡。」
資料來源: SVD
本文初稿為AI編撰,整理.編輯/ 李先泰
