Kohler 可访问“端到端加密”马桶摄像头中的画面

科勒公司为其智能马桶设备宣称的“端到端加密”引发了隐私担忧，因为其实际做法与该术语的公认定义不符。该公司能够访问并解密用户上传的数据，并将其用于提供服务、改进产品和训练人工智能模型。科勒所谓的加密，实际上只是标准的 HTTPS 传输加密和静态数据加密，这意味着用户的敏感健康数据并未得到真正的端到端保护，公司内部员工或服务器被攻击时仍有泄露风险。

宣传与现实的落差

科勒为其 Dekota 智能马桶设备（每月订阅费超过 600 美元）大力宣传其隐私保护措施，在其官网、App 页面和支持文档中都强调数据受“端到端加密”保护。然而，该公司的回应证实，他们自己能够访问和解密用户数据。

• 产品功能: 通过马桶内的传感器收集图像和数据，分析用户的肠道健康和水合作用等。
• 隐私承诺: 宣称使用“端到端加密”来保护用户数据，以消除用户的隐私顾虑。
• 核心问题: 公司的实际做法与“端到端加密”的普遍理解相悖，因为科勒本身就是可以解密数据的“另一端”。

真正的“端到端加密”是什么？

“端到端加密”（E2EE）是一种安全方法，确保只有通信的双方（发送者和指定的接收者）能够查看信息。

• 核心原则: 正确实施的 E2EE 可以阻止任何人，包括应用程序的开发者、互联网服务商甚至政府，访问受保护的数据。
• 常见应用: 广泛用于 WhatsApp、iMessage 和 Signal 等即时通讯应用，以保障用户通信的私密性。
• 安全优势: 即使公司的服务器被黑客攻击，存储在上面的加密数据对攻击者来说也是毫无意义的，从而大大降低了数据泄露的危害。

简而言之，如果服务提供商自己能解密你的数据，那就不是真正的端到端加密。

科勒的实际做法

科勒对“端到端加密”的解释实际上是指两种非常基础的安全措施，这在过去二十年中已成为行业标准。

科勒的回应称：“用户数据在静态时（存储在用户的手机、马桶附件和我们的系统上）是加密的。数据在传输过程中（在用户的设备和我们的系统之间）也是端到端加密的，数据到达我们的系统后会被解密和处理以提供服务。”

• 数据传输加密: 这指的是 HTTPS 加密，它保护数据在从你的设备发送到科勒服务器的过程中不被窃听。
• 静态数据加密: 这指的是数据存储在科勒的服务器上时是加密的。

关键在于，科勒持有解密的密钥。这意味着他们可以随时查看和处理你的数据，这完全违背了 E2EE 的核心理念。

你的数据被如何使用？

既然科勒可以访问用户数据，他们会用这些数据做什么？除了提供核心服务外，数据还被用于商业目的，包括训练 AI 模型。

• 用户同意: 用户在注册账户时，会被要求同意科勒使用其数据来“研究、开发和改进其产品和技术，并为合法目的对[用户]数据进行去标识化处理”。
• AI 模型训练: 科勒明确表示，“我们的算法仅在去标识化的数据上进行训练。”

其隐私政策进一步说明，数据可能被用于：

“创建汇总的、去标识化的和/或匿名化的数据，我们可能为合法的商业目的使用和与第三方共享这些数据，包括分析和改进科勒健康平台及我们的其他产品和服务，推广我们的业务，以及训练我们的 AI 和机器学习模型。”

这意味着，尽管数据经过“去标识化”处理，但它仍然被积极地用于科勒的商业和技术发展，这可能是许多注重隐私的用户所不期望的。