万字揭秘Worldcoin「不为人知」的一面:虹膜扫描的真正目的是什么?
时间:2023-07-26 来源:区块链网络 作者:碳链价值
2021 年 12 月一个阳光明媚的早晨,印度尼西亚 Gunungguruh 村 35 岁家具制造商 Iyus Ruswandi 被母亲早早地叫醒。她说,一家科技公司正在当地的伊斯兰小学举办一个「社会援助赠品活动」,让他去参加。 Ruswandi 加入了居民的长队,其中大多数是女性,一些人从早上 6 点就开始排队。在大流行肆虐的经济环境下,任何形式的援助都是受欢迎的。 在队伍的最前面,印度尼西亚 Worldcoin 的代表正在收集电子邮件和电话号码,或者将一个未来风格的金属球对准村民的面部,扫描他们的虹膜和其他生物识别数据。村干部也在场,向排队的居民发放编号票,以帮助维持秩序。 Worldcoin 用于收集人们生物数据的识别器,文中称为「球体」(Orb) Ruswandi 询问一位 Worldcoin 的代表这是什么慈善机构,但没有了解到任何新的信息:如他母亲说的一样,他们正在捐款。 Gunungguruh 并不是 Worldcoin 拜访的唯一一个村子。在印度尼西亚西爪哇(West Java)的村庄,以及 20 多个国家(其中大多数是发展中国家)的大学校园、地铁站、商场和城市中心,Worldcoin 的代表们会出现一两天,收集生物识别数据。据了解,他们提供从免费现金(通常是当地货币以及 Worldcoin 代币)到 Airpods,再到未来财富的承诺等各种东西作为回报。在某些情况下,他们还向当地政府官员付款。但他们并没有提供太多有关其真实意图的信息。 这让包括 Ruswandi 在内的许多人感到困惑:Worldcoin 扫描虹膜到底要做什么? 为了回答这个问题,并更好地了解 Worldcoin 的注册和分发流程,MIT 科技评论(MIT Technology Review)采访了来自印度尼西亚、肯尼亚、苏丹、加纳、智利和挪威 6 个国家的超过 35 人,他们要么为 Worldcoin 工作,要么代表 Worldcoin,要么曾被扫描,要么参与了但未被成功招募。 我们在印度尼西亚的一次注册活动中观察了扫描情况,阅读了社交媒体和移动聊天群组中的对话,并查阅了 Google Play 和 Apple 商店中对 Worldcoin 钱包的评论。我们采访了 Worldcoin 首席执行官 Alex Blania,并向该公司提交了一份详细的调查结果和问题清单,以征求评论。 我们的调查显示,Worldcoin 在公开信息中强调保护隐私,但用户的实际经历却与之大相径庭。我们发现该公司的代表使用欺骗性的营销手段,收集了比其所承认的更多的个人数据,而且没有获得有效的知情同意。这些做法可能违反欧盟的《通用数据保护条例》(GDPR)——该公司自己的数据同意条款(Data Consent Form)承认了这种可能性,并要求用户接受这些条款,也可能违反了当地法律。 3 月初,在该公司生产球体的德国埃朗根(Erlangen)进行的一次视频采访中,Blania 承认存在一些「摩擦」。但他将此归因于公司还在初创阶段。 我不确定你是否意识到这一点,」他说,「但你看过 A 轮公司的测试运作。这是一些人试图将某些理想付诸现实。它不像 Uber,有数百人做了很多次。 身份证明 在 Worldcoin 出现在 Ruswandi 村子的两个月前,这家位于旧金山名为 Tools for Humanity 的公司从隐秘模式中脱颖而出。Worldcoin 就是它的产品。 该公司的网站将 Worldcoin 描述为一种基于以太坊的「新的、集体所有的全球货币,将公平地分配给尽可能多的人」。该公司建议,世界上的每个人都将获得免费份额,只要他们同意使用专门的设备进行虹膜扫描,该设备类似于一个被斩首的机器人头部,公司将其称为「铬球」(Chrome Orb)。 该网站继续讲道,这个球体是必要的,因为 Worldcoin 对公平的承诺:每个人都应该得到为他(她)分配的数字货币份额——仅此而已。为了确保不存在双重浸透(Double-dipping),铬球将扫描参与者的虹膜和其他几个生物识别数据点,然后使用该公司正在开发的专门算法,以加密方式确认他们是人类,并且在 Worldcoin 数据库中是独一无二的。 彭博社去年(编者按:2021年)夏天首次报道了该公司。Worldcoin 联合创始人、硅谷加速器 Y Combinator 前总裁 Sam Altman 告诉彭博社:「我对全民基本收入以及全球财富再分配等事情非常感兴趣」,Worldcoin 的目标是回答「我们有没有办法通过技术在全球范围内实现这一点」 。
在同一篇文章中,当时 27 岁的 Blania(他从加州理工学院物理学硕士毕业后直接加入了 Worldcoin)补充道,「世界上还有许多人无法使用金融系统。加密货币有机会帮助我们实现这一目标。」 (Blania 和其他人使用「Worldcoin」来指代公司和货币;本文也这样做。) 但除了这些善意,Worldcoin 还将解决 Web3 的关键技术问题。Web3 是被大肆宣传的、由区块链驱动的第三代互联网,在 Web3 中,数据和内容可以去中心化,由个人和团体而不是由少数技术公司控制。 Blania 在接受 MIT 科技评论采访时表示,「让每个人都拥有这个新协议」将是迄今为止「最快」和「最大规模的进入加密货币和 Web3」,解决 Web3 的主要挑战之一:用户相对匮乏。 此外,根据 Blania 的说法,通过生物识别确认对方是人类,这将解决去中心化技术的另一个「非常基本的问题」:所谓的女巫攻击风险,当网络中的一个实体创建并控制多个虚假账户时,就会发生这种攻击。这在需要假名的去中心化网络中尤其危险。迄今为止,提出一个真正能抵抗女巫攻击的身份证明还很困难,这被视为 Web3 大规模应用的另一个障碍。 Worldcoin 已在24个国家进行了现场测试;(从左到右)这些宣传图片拍摄于苏丹、印度尼西亚、智利和肯尼亚。 Blania 说,有了这两个解决方案,Worldcoin 就可以成为「一个人人都可以使用的开放平台,无论是用来进行身份证明还是分发」。这就是 Worldcoin 的承诺:如果成功,该协议可能成为全新一代互联网的通用身份验证方法。如果这一点实现了,货币本身可能会变得更有价值。该公司在一份电子邮件声明中表示:「投资者希望 Worldcoin 项目为世界带来价值,从而使这些股权或代币升值。」 这可能就是 Altman 及硅谷的一些大腕都向 Worldcoin 投入巨资的原因;Andreessen Horowitz 最近领投了一轮 1 亿美元的融资,使这家初创公司的估值增加了两倍,从 10 亿美元增至 30 亿美元。 窥视球体 截至 3 月份我们采访 Blania 时,Worldcoin 已经扫描了 24 个国家的 450,000 个眼睛、面孔和身体。其中 14 个是发展中国家(根据世界银行标准),8 个位于非洲。但该公司才刚刚起步,其目标是到 2023 年获得 10 亿注册用户。 根据该公司在博客文章中的描述, Worldcoin 发行的核心是高科技球体本身,它配备了先进的摄像头和传感器,不仅可以扫描虹膜,还可以拍摄「用户的身体、面部和眼睛,包括用户虹膜」的高分辨率图像。此外,其数据同意条款指出,该公司还进行「非接触式多普勒雷达检测您的心跳、呼吸和其他生命体征」。在回答我们的问题时, Worldcoin 表示,它从未实施过生命体征检测技术,并且将从其数据同意条款中删除这种表述。(截至发稿时,该表述仍然存在。) 生物识别信息用于生成「虹膜哈希」(IrisHash)——一种存储在球体本地的代码。根据 Worldcoin 的说法,该代码永远不会共享,而是用于检查 Worldcoin 的数据库中是否已存在虹膜哈希。该公司表示,为了做到这一点,它使用了一种新颖的隐私保护加密方法,称为零知识证明。如果算法找到匹配项,则表明有人已经尝试过注册。如果没有匹配,用户就会通过唯一性检查,可以继续使用电子邮件地址、电话号码或二维码注册,以访问 Worldcoin 钱包。所有这一切都将在几秒钟内完成。 Worldcoin 表示,生物识别信息保留在球体上,一旦上传后就会被删除,或者至少有一天,一旦公司完成识别虹膜和检测欺诈的 AI 神经网络训练,就会被删除。在那之前,除了诸如「个人数据……通过安全、加密的通道发送」之类的模糊描述,还不清楚这些数据是被如何处理的。「在现场测试阶段,我们收集和安全存储的数据比完成时要多,」博客文章指出,「一旦我们的算法得到充分训练,我们将删除在现场测试期间收集的所有生物识别数据。」 在本文发布前, Worldcoin 在回答我们的问题时表示,其系统的公开版本将很快消除新用户与公司共享任何生物识别数据的需求,尽管它没有解释这是如何运作的。 没用的欠条 但是,我们知道注册流程是如何进行的。为了让 Worldcoin 进入新用户的智能手机,该公司与当地的「球体运营商」签订合同,由他们管理所在国家或地区的注册工作。 运营商申请这份工作,并接受 Worldcoin 团队的面试和批准,尽管公司发言人 Anastasia Golovina 在一封电子邮件中强调,运营商「是独立承包商,而不是 Worldcoin 雇员」。因此,他们的工作没有合同或付款保证,而是根据他们收集的用户生物识别数据获得佣金。然而, Golovina 补充说,他们必须「遵守当地法律法规,包括当地劳动法。」 这些国家级运营商通过稳定币 Tether 收取佣金。稳定币是一种加密货币,其价值与传统货币(通常是美元)挂钩。由他们决定向分包商支付的费用(通常以当地货币)以及工作条件(全职、兼职或临时零工)。国家级运营商和分包商都受到基于佣金的支付结构的激励,以尽快、尽可能多地注册用户。 另一方面,目前新用户通过提交生物识别扫描至少可赚取价值 15 美元的 Worldcoin ,登录 Worldcoin 钱包还可再获 5 美元,后来招募的新用户可获得的 Worldcoin 总价值变更为 25 美元。 一些用户会一次性收到这笔款项,另一些则以每周 2.5 美元分批到账。Blania 表示,这种差异是为了检验哪种激励措施最有效。不管怎样, Worldcoin 不是稳定币,而且由于该代币(当时,编者注)尚未推出,该公司「还不知道 20 美元等值于多少 WLD 代币 」,它在一份书面声明中指出。 为了了解用户的动机,一些人可以选择接收价值 20 美元的比特币,以方便兑现。Worldcoin 表示,它发现「最活跃的用户选择保留他们的 WLD」,尽管我们的大多数受访者都持相反观点。 但随着 2021 年秋天兑现功能终止,目前,承诺的价值 20 或 25 美元的 Worldcoin 相当于该公司的欠条。无论出于何种意图和目的,用户在数字钱包中的所有代币都是毫无价值的。 抓住机会 Worldcoin 的用户加入的原因有很多。 「出于好奇」是一种常见的说法。还有一种说法是,因为球体运营商「看起来 nice 」,或者恰好是他们的兄弟、表亲或同学。有人希望尽早参与可能成为下一个比特币的时代,有人在大流行期间失去了工作或收入,有人因为内战卷土重来的威胁而感到绝望。 大多数人只是想要免费的钱——有人只想买午餐。许多人怀疑这是一个骗局,但很少有人愿意放弃尝试,万一事实并非如此呢? Ruswandi 就出于上述几个原因。在大流行期间,他失去了大部分家具制造商的工作,并利用业余时间交易股票和加密货币,经常光顾与加密货币相关的留言板和交易所。 「我很好奇,觉得尝试一下也无妨,」他回忆道,考虑到收入减少了,这笔钱很有吸引力。 但他很快就产生了怀疑。现场的公司代表和村官都无法回答有关 Worldcoin 的基本问题。他在网上做了更多调查,却无一所获,于是他得出结论,这是一场骗局。他认为,神秘的赠品是一次大规模的数据收集活动,伪装成某种秘密的线下空投——加密货币项目发布免费代币以吸引用户的策略。 毕竟,他的许多乡亲们对互联网的了解仅限于智能手机上预装的 Facebook App,因此在潜在用户能够接收新货币之前, Worldcoin 代表「首先必须帮助许多居民设置电子邮件并登录网络,」Ruswandi 回忆说。他想知道,如果是为了吸引用户使用新的加密货币,「为什么 Worldcoin 一开始就瞄准了低收入社区,而不是加密货币爱好者或社区?」 图为 Iyus Ruswandi 在西爪哇 Gunungguruh 的 Worldcoin 招募现场,他对公司为什么需要虹膜扫描有很多疑问,但都没有得到解答。(Muhammad Fadli 拍摄) 生物识别问题 2021 年 10 月,当 Worldcoin 宣布「我们来了!」时,立即遭到强烈质疑。 正如美国国家安全局吹哨人斯诺登(Edward Snowden)在推文中所说的,「不要对眼球进行分类。不要将生物识别技术用于反欺诈。事实上,不要将生物识别技术用于任何用途。人体不是检票口。」 许多人对 Worldcoin 的隐私协议表示怀疑,特别是因为该公司尚未发布白皮书或开放其代码以供外界评估。『这看起来像是生成了一个人们虹膜扫描的全球(哈希)数据库(以「公平」的名义)」,并通过宣布「我们删除了扫描」来消除影响。是删除了,但你们保存了扫描生成的*哈希*,以及与*未来*扫描匹配的哈希值,』斯诺登在推文中说。 还有硬件安全的问题。Jeremy Clark,Concordia 信息系统工程研究所专注于应用密码学的副教授,他对球体的安全性提出了质疑:「机器本身会有一些安全保护措施,」他说,「但没有一项技术是绝对安全的。所以这通常是一个经济问题……如果这个项目如他们所愿取得成功,那么尝试解决这个问题就会变得更有利可图。」 其他人则对该公司所谓的公平性提出质疑,因为 20% 的代币已经分配了:10% 分配给 Worldcoin 的全职员工,另外 10% 分配给 Andreessen Horowitz 等投资者。 此外,区块链领域的许多人不同意 Worldcoin 试图构建的基本前提:在 Web3 上创建一个身份,这对于一场转向区块链、DeFi 和 DAO(「去中心化自治组织」)的运动来说是一种诅咒,这种运动的明确目的就是匿名。 其他人仍然不相信 Worldcoin 实际上能够真正惠及世界上的每一个人,相反,它会分散人们对正在进行的创建新身份范式工作的注意力。身份专家 Kaliya Young 虽然拒绝对 Worldcoin 发表具体评论,但他表示,『在网络身份识别方面,公司通常会声称「如果世界上的每个人都在我们的系统中,那么一切都会好起来。」 新消息是:每个人都不会出现在你的系统中,所以让我们继续讨论如何解决问题。』 Blania 和他的团队认为,这种批评不正确。「我们团队的大部分人都有加密货币背景......所以我们非常关心这个(隐私),」他告诉 MIT 技术评论。「我完全理解这种担忧,」他说,但他认为这更多的是「情绪化的直觉反应」,而不是「客观的批评」。他补充说,批评者们所忽略的是,Worldcoin 协议一旦完成,在保护隐私方面将会有多么出色。 Clarkson 大学身份识别技术研究中心主任 Stephanie Schuckers 表示,这并非不可能,因为生物识别技术最近取得了许多进展。最新趋势之一是「样本安全」(Template Security),它使用加密技术来对生物识别数据进行转换。「当你存储这些数据后,如果它被盗,就无法通过逆向工程恢复到原始的生物识别信息,」她说。 但她补充道,这种技术尚未商业化的原因是,加密转换往往会导致「性能下降」。样本安全不是将新的生物识别数据与现有的生物识别样本进行匹配,而是通过某种哈希或代码将计算机算法对数据的解释与另一个存储的代码进行匹配。Schucker 说,这增加了出错的空间,使得「在这个加密空间中匹配生物数据变得更加困难」。不过她补充说,最近在样本安全方面的一些进步已经解决了其中一些缺陷。 样本安全听起来像是 Worldcoin 可能正在做的事情——不过 Schucker 警告说,如果没有看到他们的代码,或者除 Worldcoin 博客文章之外的更多信息,还很难确定。 自从我们 2 月份第一次联系该公司以来, Worldcoin 已承诺开源其代码,包括在多个场合向 MIT 技术评论反复强调,这将在「未来几周内」实现。 此外,该公司在一份声明中补充道:「需要强调的是,我们收集数据的目的不是为了从中获利或者像许多其他科技公司那样监视我们的用户。相反,我们的目标仅仅是将这些数据用于开发算法,以最大限度地减少欺诈并增强用户隐私。」 让他们加入 据 MIT 科技评论采访的许多人士透露, Worldcoin 的代表使用了一系列可疑的策略和诱惑来吸引新用户。 苏丹的 4 位前球体运营商之一,Mohammad Ahmed Abdalbagee 表示,2021 年 3 月在苏丹开始运营时,运营人员发现很难「向那些连电子邮件都没有的人解释数字货币的概念」。因此,他们举办了一场 AirPod 有奖竞赛来鼓励注册,最终吸引了大约 20,000 名注册者。 在印度尼西亚西爪哇省的一所伊斯兰高中, Worldcoin 申请举办一场加密货币研讨会。学校的学生活动协调员 Muhammad Hilham Zein 阅读该申请后建议批准,但前提是该申请是「分享加密知识……而不是鼓励学生投资数字货币」。
但参加者(其中至少有一名年满 15 岁,这违反了 Worldcoin 自己的使用条款)以及我们记者的第一手观察结果却讲述了一个不同的故事。在 45 分钟的会议中, Worldcoin 工作人员忙于为十几名学生注册、帮助他们下载 App 并注册电子邮件,最后还要扫描他们的生物特征,以提供有关加密货币、Worldcoin 本身,或指导他们如何同意或撤销同意。(学生们至少收到了他们分配的 Worldcoin ,这些币按周分发)。 最近,在西爪哇大约 20 个村庄举办的招募活动中,许多像 Iyus Ruswandi 这样的新用户都被赠品吸引了。 「这是在大流行期间举行的,那时候政府通常会发放社会援助包,」Ece Mulyana 解释道,他是一所伊斯兰小学的校长,他在前一天晚上被告知,他的学校将被用作 Worldcoin 注册站点。「我无法拒绝这个请求,」 Mulyana 说,因为指示来自更高级别的官员——街道管理负责人 Ade Irma,他正在帮助 Worldcoin 协调村庄登记工作。 Mulyana 说,Irma 为每个成功扫描的人支付了 2,000 印尼盾(在撰写本文时约合 14 美分)的费用。Mulyana 估计有 170 人参加了,总计 340,000 印尼盾(约合 23.8 美元)。 Irma 的上司、批准这些活动的街道领导 Heni Mulyani 表示,这笔钱是用来「买咖啡和香烟」的,这是给政府官员酬金的委婉说法,以协助他们所请求的活动。她说,所支付的钱都没有用于场地租金,但她补充说,「我们向你保证,这笔钱不是来自村庄基金或预算。」 Gunungguruh 夜景,这是 Worldcoin 公司为招募活动而走访的大约 20 个村庄之一。(Muhammad Fadli 拍摄) 相反,这笔钱来自一家名为 PT Sandina Abadi Nusantara 的公司,该公司由一个名叫 Muhammad Reza Ichsan 的人和他的母亲共同创立,Muhammad Reza Ichsan 恰好是 Worldcoin 的「表现最佳运营商」(根据 Worldcoin 发布的博客文章)。该公司是 Worldcoin 印度尼西亚开展活动的法人实体;他母亲的工作则是联系当地政府官员协调招募活动。 Ichsan 告诉 MIT 科技评论,「我们不向村庄支付费用,但我们为那些帮助我们在现场召集公众的人提供了一项运营基金。」 即使 Mulyani 没有滥用乡村资金,根据印度尼西亚的反腐败和反贿赂法,这些小费(除了极少数例外)也是非法的,给予者和接受者都可能受到刑事处罚。 在回答有关向村官付款的问题时, Worldcoin 代表表示,他们不知道这件事,称其为「孤立事件」,并表示他们已启动调查以了解更多情况。虽然他们还无法得出结论,但 Golovina 写道,「这些付款中的大部分或全部可能是真正的运营费用,例如,在学校或其他设施中开展业务所需的费用,或支付在某些地方运营所需的许可证或执照的费用。」 这与官方及其运营人员的描述相矛盾。 Worldcoin 还将我们向他们提供的其他例子称为「当地球体运营商独立且孤立的工作」,包括苏丹的 AirPod 赠品和在印度尼西亚欺骗学校的行为,并补充说,「我们完全专注于激励运营商注册那些对使用 Worldcoin 感到兴奋的活跃用户。」 就村民而言,他们并没有被告知至少有一些官员正在接受报酬以推广 Worldcoin ;事实上,正如学校校长 Mulyana 回忆的那样,许多人认为该活动是由政府举办的。「我们必须向他们解释,这不是一个政府项目,」他说,「 Worldcoin 是一家外国公司,他们来了之后需要村里工作人员的协助。」 现在,一些村民怀疑他们能否收到钱,因为他们被告知 Worldcoin 代表将于 2022 年 1 月下旬返回村庄发放资金,这个时间已经过了(WEEX 注:本文发布时间为 2022 年 4 月)。对于那些精通数字技术的人来说,也没有看到在钱包中交易 Worldcoin 的功能。 运营盲区 混杂和错误信息不一定是故意的。我们采访的球体运营商经常提到,他们从招募他们的 Worldcoin 代表那里收到的信息少之又少,即使他们清楚地意识到,他们的报酬与他们完成注册的人数挂钩。(Worldcoin 表示,它为其国家级球体运营商提供了行为准则,次级运营商也必须遵守该行为准则,并且他们正在摒弃根据注册人数支付佣金的做法。) Bryan Mtembei 就是一位这样的运营人员,他是一名土木工程师,最近刚从肯尼亚第四大城市纳库鲁(Nakuru)的一所大学毕业,去年 9 月在校园接受扫描后,他成为了 Worldcoin 的自由职业者。 他希望自己能接受「关于 Worldcoin 的简短培训或基础知识」。相反,他得到的唯一指示是「让更多人参与进来,为自己赚更多钱,」他说,「剩下的就取决于我的社交营销技巧了。」 因此,他尽力回答新用户的问题,其中最常见的是有关隐私的问题:Mtembei 估计,在他接触的人中,大约 40% 的人对于分享其生物识别数据表示担忧。 当他最初表达类似的担忧时,一位代表向他保证,他的所有问题都已在 Worldcoin 「白皮书」中得到解决。但实际上并没有这样的文档。据该公司称,这是出于设计考虑——人们不太可能阅读「冗长的、技术性很强的学术风格的论文」,他们较短的博客文章可以视为白皮书。 最终,Mtembei 对金钱的需求战胜了他的担忧。他注册了 150 到 200 人,每个人扫描的佣金为 50 KS(肯尼亚先令,合 44 美分)。 Bryan Mtembei 第一次见到 Worldcoin 代表是在肯尼亚纳库鲁的大学校园里。他接受了扫描,后来成为了一名运营人员。(Brian Otieno 拍摄) Mtembei 并不是孤例。Willis Okach 是内罗毕的一名大学生,他和 Mtembei 一样,在参加扫描后被招募成为一名运营人员,他参与进来也是为了钱。「你没有(钱),有人给你一些,」他解释道,他认为 Worldcoin 「感觉学生不怎么有钱,所以他们会注册。」 在两天的工作中,Okach 注册了 50 个人,每带来一组生物识别数据,他就能赚到 100KS (0.88 美元)。 Worldcoin 发言人 Golovina 表示,「所有在现场测试期间注册的用户都会被充分告知我们将收集哪些数据,以及如何使用这些数据,并要求他们在注册之前表示同意。任何同意我们收集和使用其生物识别数据的个人都可以随时撤销他们的同意,并且这些数据将被删除。」 但在我们采访的人中,没有人被明确告知(或者运营人员没有告诉其他人)他们是「测试用户」,他们的脸部照片和视频以及 3D 人体图被拍了下来,并用于训练球体的「反欺诈算法」以「区分不同的人」,对他们的数据处理方式与后面其他人的数据处理方式不同,或者他们可以要求删除自己的数据 。 智利圣地亚哥的地铁保安 ?ngel Rodriguez 回忆说,他在 Worldcoin App 中选中了一个方框,表示同意服务条款,说明是英文的,而他不懂英文。此外,根据 Worldcoin 的说法,其 App 及数据同意条款的链接直到「2021 年末」才可用,彼时现场测试已经进行了至少一年。 有时,新用户会被要求提供额外的个人数据,但 Worldcoin 声称他们从未有这样的要求。几乎所有我们采访过的人都被要求提供 email 地址来登录他们的钱包(即使在 Worldcoin 推出二维码登录之后)。有些人还被要求提供电话号码。 Golovina 在多封电子邮件声明中否认注册需要电子邮件或电话号码,但「我们确实为选择提供电话号码或电子邮件地址的用户提供了某些功能,例如发送和接收 Worldcoin 的功能。但这样的事情永远是可选的。」 Worldcoin 没有解释用户在无法发送或接收代币的情况下还可以用其代币来做什么。 与此同时,在内罗毕,几名学生表示,球体运营人员拍摄了他们的身份证照片,据 Okach 回忆,这样做的目的是确认他「不是……机器人」。Worldcoin 表示,他们从未要求用户提供国家身份证明文件,只要求球体运营商提供。 当我们与受访者分享这些回应时,他们并不认同。Mtembei 强调,个人信息从来都不是可选项,如果没有电子邮件和电话,就无法在他的球体上注册。「他在撒谎,」他说。 Mohammad Ahmed Abdalbagee 是 Worldcoin 在苏丹雇佣的 4 名球体运营人员之一,他补充说,正是他的团队的努力说服了 Worldcoin 添加电话号码作为首选登录方式。「他们在苏丹运营之前,使用电子邮箱作为主要标识符,但我们告诉他们这在苏丹行不通。许多大学生甚至没有电子邮箱,他们用手机在社交媒体上注册,」他说。 隐性殖民主义 一些专门研究科技行业与南半球国家关系的学者对 Worldcoin 的行为感到担忧,但并不惊讶。 数字人类学家、 《下一个十亿用户:超越西方的数字生活(The Next Billion Users: Digital Life Beyond the West)》一书作者 Payal Arora 表示:「这是一场看谁在这场 AI 驱动的经济中获得最多数据的竞赛。」 她说,欧洲和美国更严格的数据保护法意味着,这些地区雄心勃勃的企业家无法从本国民众那里获得所需的训练数据,因此他们必须将目光投向发展中国家。 事实上,根据 Worldcoin 发布的博客文章,由于监管限制,Worldcoin 在美国和中国均无法使用。而彭博社报道称,出于类似原因,该公司还停止了包括土耳其和苏丹在内的其他国家的现场测试。然而,Worldcoin 已经在加密货币会议上举行的演示中注册了许多美国用户,尽管该公司并不认为其在美国的活动是一种现场测试。
Pete Howson,诺森比亚大学研究加密货币国际发展的高级讲师,他将 Worldcoin 的行为归类为一种加密殖民主义,其中「区块链和加密货币实验被强加于弱势社区,本质上是因为……这些人无法反击,」他在一封电子邮件中告诉 MIT 科技评论。 Howson 解释说,与其他形式的数字殖民主义相比,加密殖民主义更具危害性,因为区块链的核心原则——去中心化使得「当出现问题时……责任非常有限」。「你会经常听到 DYOR 这个词,因为这些人不太关心规则和规定。」 但是,信息和互联网接入方面的不平等使得「DYOR」精神对于发展中地区的许多人来说几乎不切实际。同样,巨大的经济差距也意味着,比如说,在肯尼亚,不到半美元的许诺就能让人们放弃生物识别数据,而在挪威或美国,这样的许诺不会有太大效果。 简而言之,在资金匮乏、法律保护薄弱的地方开展这种数据收集行动,成本更低,也更容易。 数据失误和政策漏洞 尽管 Worldcoin 的大部分现场测试是在发展中国家进行的,但该公司强调,它在发达国家也很活跃,包括欧洲的几个国家。该公司告诉我们:「Worldcoin 一直试图在全球具有代表性的国家进行现场测试。」 这代表了其自身的挑战。在收集、控制和处理欧盟定义的「数据主体」(即欧盟境内的任何人,包括被收集数据的公民、居民和潜在访客)的个人数据时,Worldcoin 受欧盟 GDPR 的约束。 GDPR 于 2018 年颁布,要求数据主体要被充分告知为何收集他们的数据、数据将如何使用、谁将处理这些数据、数据将传输到哪里、如何删除数据以及如何停止数据处理。未能充分保护数据可能会导致高达全球收入 4% 的或 2,000 万欧元的罚款,具体取决于违规的严重程度。 此外,如果欧洲以外的公司收集或处理欧洲数据主体的个人数据,也适用于 GDPR。因此,像 Worldcoin 这样在德拉威尔州注册、总部位于旧金山的公司不一定能得到豁免。 然而,这正是 Worldcoin 在其数据同意条款中所提到的,在 MIT 技术评论提交问题清单之前,该公司要求用户接受以下声明:
斯坦福大学网络政策中心国际政策主任、欧洲议会前议员 Marietje Schaake 审阅了这份文件,她表示,这项政策试图创造「例外」。但根据 GDPR,是没有例外的。而且,Worldcoin 拥有一家德国子公司这一事实已经使其受到 GDPR 的约束。 「作为欧盟公民,你有权对其提出质疑,」Schaake 说,他指的是任何潜在的违规行为。这些质疑将由欧洲数据保护机构进行审查,并最终在欧洲法院而不是像 Worldcoin 所说的在美国法院进行辩论。 Worldcoin 表示,它完全遵守 GDPR,并已在巴伐利亚数据保护局注册。他们雇佣了一名数据保护官,并且已经进行了数据隐私影响评估,尽管他们拒绝将数据保护官或评估结果公之于众。Worldcoin 补充说,他们的同意条款中的声明「之前包含了大量的警告......它们不再出现在我们最新版本的数据同意条款中。」 然而,截至文章发布时,该表述仍然保留在网上。 Aida Ponce del Castillo,欧盟贸易研究所研究员,负责研究新兴技术的法规,同时担任其组织数据保护官员一职,对她来说,缺乏透明度是不合理的。「DPIA 不是机密商业信息,」她告诉 MIT 科技评论——虽然发布不是强制性的,但她指出欧盟委员会建议企业「考虑至少发布部分内容,例如摘要或结论」。 巴伐利亚数据保护局尚未回应 MIT 技术评论就确认该公司注册请求的采访。 「这是操纵」 除了道德问题,还存在更实际的问题,例如:Worldcoin 实际运行情况如何? 对于一些测试用户和球体现场运营人员来说,答案是, 一点也不好。 有时,这是由球体的问题造成的。在苏丹,当地的虹膜识别器操作员 Abdalbargee 表示,虹膜识别器需要多达 6 次尝试才能识别一个人的面部。「实际上,我的朋友花了整整一周的时间,设备才识别出他的虹膜,」他补充道。 球体还容易出故障,从而减慢招募进程,而维修需要在德国进行。当 Buzzfeed News 在最近的一项调查中发现类似的球体故障时,Worldcoin 使用了它向我们重复过的表述:将一个特别严重的案例称为「孤立的异常现象」。 与此同时,从网络钱包向 App 钱包的升级过程中,一些用户丢失了他们的整个帐户或所有代币。对于其他人来说,该应用程序已被证明存在缺陷,会耗尽电池寿命或导致他们陷入加载和重新加载的恶性循环。 Rodriguez,前文提到的智利地铁保安,在被扫描后不久就一直在努力解决他的钱包问题。在 2 月份注册后,App 要求他输入他的电子邮箱、电话号码并使用二维码,但该 App 给他的手机带来了性能问题,因此他彻底卸载了 App。当他尝试重新下载 App 时,发现他的用户名已不存在了。 当地的球体运营人员告诉他,为了解决这个问题,他必须找到球体并重新扫描生物识别数据。但如果 Worldcoin 真如其声称的那样,重新扫描只会将他的虹膜与已有的虹膜哈希进行匹配。换句话说,一旦账户丢失,就无法恢复,Worldcoin 随后也证实了这一点。 还有一些身份欺骗的情况是球体无法检测到的。2021 年年中,印度尼西亚的一名商人能够注册和访问 200 多名已经完成扫描和身份验证的用户的钱包,并转出当时以比特币形式保存的资产。Worldcoin 表示,这种情况发生在早期通过 Web 端而不是 App 访问钱包的情况下,并且「自升级以来……我们尚未发现类似的欺诈行为。」 与此同时,那些担心整件事可能是一场骗局的人们想知道他们失去了什么。「50 KS 还不足以吸引眼球,」内罗毕的大学生 Okach 说,他花了一个周末招募其他人加入 Worldcoin。「这是操纵,在没有明确说明他们在做什么或想要什么的情况下把学生利用了。」 忘记早期用户 当我们开始报道这个故事时,我们注意到最初被引用为成功现场测试案例研究的 5 个国家中的 3 个——印度尼西亚、苏丹和肯尼亚——被世界银行列为低收入或中低收入国家。权力和经济差异似乎在伦理上令人担忧,所以我们开始挖掘。 我们想知道:作为这个全球加密实验的早期用户,是什么感觉?对于加密货币、Worldcoin 以及放弃生物识别数据的后果,参与者实际上了解吗?或者他们被告知了什么?他们是否提供了知情同意书——在这种情况下,知情同意又是什么意思?最后,我们的许多受访者都提出了同样的问题——虹膜扫描的真正目的是什么? 从左到右:Ruswandi 的邻居 Sadili、Solihin(社区领袖)和 Eli 均在接受扫描的 170 名村民之列。 最后,正是 Blania 在 3 月初接受采访时顺便说的一句话,让我们开始了解了 Worldcoin。 他在回答 2021 年秋季有关隐私的强烈质疑时表示:「在实际大规模部署系统之前,我们会让隐私专家一遍又一遍地拆解系统。」 Blania 刚刚分享了他的公司如何让 450,000 人加入 Worldcoin,这意味着它的球体扫描了 450,000 组眼睛、面部和身体,存储所有数据来训练其神经网络。该公司认识到这种数据收集存在问题,并打算停止这样做。然而他们并没有为这些早期用户提供同样的隐私保护。 我们对这种看似矛盾的现象感到困惑:是我们缺乏远见和大局观吗?毕竟,与该公司宣称的 10 亿注册用户的目标相比,45 万或许还很小。 但这 45 万人中的每一个都是一个独立的人,有自己的希望、生活和权利,但这一切都与硅谷初创公司的野心无关。 与 Blania 的交谈澄清了我们一直难以理解的事情:一家公司怎么会如此热衷于谈论其隐私保护协议,同时又明显侵犯了如此多的人的隐私? 通过采访我们看到,对于 Worldcoin 来说, 这些大量的测试用户在很大程度上并不是他们的最终目标用户。相反,他们的眼睛、身体和生活模式只是 Worldcoin 神经网络的原材料。与此同时,他们只需要支付那些较低级别的球体运营人员少量的钱,来给他们的算法喂料,而这些运营人员私下里却经常需要与自己的道德疑虑作斗争。讽刺的是,对那些为教会 Worldcoin 的 AI 识别谁或什么是人类而付出努力的人,这个项目是如此的没有人性。 当我们把长达 7 页的报告调查结果和问题提交给 Worldcoin 时,该公司的回应是,我们发现的几乎所有负面问题都只是「孤立事件」,最终都无关紧要,因为下一次(公开)迭代会更好。该公司写道:「我们相信隐私权和匿名权至关重要,这就是为什么在接下来的几周内,每个注册 Worldcoin 的人都将能够在不与我们分享任何生物识别数据的情况下这样做。」 近 50 万人已经接受了检测,这似乎并不重要。 而真正重要的是结果:Worldcoin 将拥有可观的用户数量,以支持其作为 Web3 首选身份解决方案的销售宣传。而当真正的、可货币化的产品——无论是球体、Web3 护照、货币本身,还是以上所有——向其目标用户推出时,一切都会准备就绪,不会有任何混乱的人工迹象或背后的人体器官。 查看更多 |