RAMASKRIK: My Friend Cayla-dukken har fått mye oppmerksomhet i media etter Forbrukerrådets avsløringer. Montasje: Pål Joakim Pollen
RAMASKRIK: My Friend Cayla-dukken har fått mye oppmerksomhet i media etter Forbrukerrådets avsløringer. Montasje: Pål Joakim PollenVis mer

KOMMENTAR:

Til forsvar for Cayla

«Farlige», «kan avlyttes» og «styres av fremmede» – slapp av, du trenger neppe å kaste ut Cayla.

Denne uka har Forbrukerrådet klagd inn lekedukken My Friend Cayla og roboten i-Que til Forbrukerombudet og Datatilsynet. I dag kom også nyheten om at Forbrukerrådet ber butikkene om å stoppe salget av disse lekene, inntil manglene er rettet opp.

Disse lekene (fra samme produsent) kobler seg til en mobiltelefon via Bluetooth (og dermed videre til internett) og lar den som leker med dukken snakke til den og få relevante svar; enten de er forhåndsprogrammert eller der appen henter informasjon fra nettet.

Altså litt som Siri på iPhone, bare i dukkeform.

Bakgrunnen for klagen er en lang rapport der det tas opp en rekke kritikkverdige punkter. Her er hovedpunktene fra Forbukerrådets klage:

  • Dårlig sikkerhet som gjør at hvem som helst kan ta kontroll over dukken og avlytte og snakke via den.
  • Ulovlige brukervilkår, som kan endres uten at kunden gjøres oppmerksom på det, og som presiserer at personlig informasjon kan brukes til målrettet reklame og at data kan deles med tredjeparter.
  • Leken sladrer på barnet ditt. Stemmeopptak sendes til Nuance, et selskap som spesialiserer seg på talegjenkjenning, og kan bli brukt i andre sammenhenger og delt med tredjeparter.
  • Skjult markedsføring, der dukken for eksempel er forhåndsprogrammert til å like Disney-filmer når selskapet bak har et kommersielt samarbeid med Disney.

Her er Forbrukerrådets video:

Saken har fått mye oppmerksomhet i norsk media, Forbrukerrådets Facebook-video er delt over 5.000 ganger og har fått hundrevis av kommentarer av folk som skal kaste dukkene, droppe å kjøpe dem til jul og som nå vil heve kjøpet de har gjort. Folkene som har laget den er slemme og grådige og alle er sure og sinte.

Og som journalist for et forbrukernettsted burde jeg sikkert ha stemt i.

Men la oss ta en liten pust i bakken da, folkens.

Dårlig sikkerhet
At Cayla-dukken ikke var helt patent med tanke på sikkerhet ble avslørt for snart to år siden, der det ikke var alt for vanskelig å modifisere appen slik at dukka kunne si stygge ord (hun har egentlig et filter på 1500 ord eller der om kring som hun ikke kan si).

Allerede da kom det også frem at det var mulig for andre å koble seg til dukka med en annen telefon, siden det ikke foregår noen form for autorisering for å koble til telefonen sin.

Optimalt sett skal jeg være enig i at dukka burde ha hatt en PIN-kode som måtte oppgis når man ville koble til telefonen sin – dukka er i praksis et Bluetooth-headset med høyttaler og mikrofon, så enhver som er koblet til kan si ting i andre enden som kommer ut av høyttaleren hennes, eller bruke en opptaks-app for å ta opp det som sies til dukka.

Men et klistremerke med en slik kode, enten på dukka eller i esken, kan lett bli borte, og da ville de fleste kunne ha endt opp med en dukke som ikke lenger fungerte; med mindre de husket koden. Den måtte tross alt ha vært unik for hvert produkt; ellers ville poenget ha vært borte.

Jeg kan godt forstå at en leketøysprodusent vil gjøre et slikt produkt så enkelt å bruke som mulig, og jeg kan godt forstå at en leketøysprodusent ikke nødvendigvis har de ypperste datasikkerhetsekspertene in-house.

På samme måte forventer jeg ikke at mitt lokale bowlingsenter hasher passordet mitt på brukerprofilen jeg bruker når jeg vil booke en bowlingbane fredag kveld; særlig når ikke en gang bookingsiden er kryptert.

Det er en overdrivelse at «hvem som helst» kan ta kontroll over dukken. For det første er de nødt til å befinne seg innenfor Bluetooth-avstand (typisk 10 meter, minus fratrekk for vegger og andre obstruksjoner). Dessuten må dukka være slått på og ikke koblet til en telefon fra før for at en annen skal kunne koble seg til. Sjansene er med andre ord veldig små for at noen skal ta kommandoen over dukken.

Ulovlige brukervilkår

Ramaskrik blir det også når brukervilkårene kan endres uten at du blir varslet.

Det ringer en bjelle:

We reserve the right, at our sole discretion, to change, modify, add, or delete portions of these Terms of Use at any time without further notice.

Dette var ordlyden i Facebooks brukervilkår anno 2007, og som halve Norge skrev under på den gangen. De har riktignok blitt svært mye ryddigere i 2016, der du i hvert fall nå får beskjed dersom de endres.

Det er ikke så vanskelig for Facebook, siden det gjøres enkelt ved å sende et varsel eller opplyse ved innlogging om at de er blitt endret, men Cayla-vilkårene finnes også på nett og har et datomerke for siste endring.

Personvernserklæringen for My friend Cayla ligger på nett og er skrevet på norsk. Faksimile: myfriendcayla.com Vis mer

I vilkårene tar selskapet høyde for målrettet annonsering basert på anonymisert og personlig identifiserbar informasjon, på lik linje med resten av internett. Dette er blitt så standard i brukervilkår at jeg ikke løfter et øyebryn en gang.

Det er også viktig å bemerke seg kan her – den store utfordingen med slike brukervilkår er at en tilbyder av en tjeneste er nødt til å ta høyde for absolutt alt for ikke å bli saksøkt for millioner senere om de gjør et feiltrinn. Derfor har de med årene blitt veldig lange å lese igjennom, og i stor grad ganske like.

Faktisk sier de samme brukervilkårene at du kan be om informasjonen som er lagret om deg, og at du også kan be om å få dem slettet. Det står også uttrykkelig at «Personlig informasjon som er gitt eller automatisk innsamlet, vil ikke gis videre til tredjepart.» og at «Du har rett til å be oss om ikke å behandle din personlige informasjon i reklameøyemed.»

Kall meg gjerne naiv, men jeg synes faktisk at personvernpolitikken er helt innafor her. Les gjerne igjennom selv.

Leken sladrer på barnet ditt

Nuance leverer stemmegjenkjenningen til Cayla-appen, og når noen snakker med dukka kan disse opptakene sendes til Nuance' servere i USA.

Nuance er en av pionérene og blant de største aktørene hva gjelder talegjenkjenning. De leverer teknologien til Samsungs S Voice-tjeneste og sannsynligvis til Apples Siri uten at det er bekreftet offisielt.

For å forbedre denne teknologien er man nødt til å ha råmateriale. Dette er blant annet grunnen til at Googles talegjenkjenning ikke er kommet like langt på norsk som på engelsk, siden vi er relativt få mennesker med flere hundre dialekter her til lands.

Se for deg følgende samtale:

Sigrid (5): – Bi de jæin i morra?
Cayla (via Wikipedia): – Regn er en form for nedbør, og kan opptre i andre former som snø, sludd, slaps (på bakken), hagl og dugg.
Sigrid (5): – NEEEEI! Jeg sa bliiir deeet reeeegn i moooorgen?
Cayla (via Weather Underground): Nei, i morgen skal det bli sol!

Når Cayla forstår setning nummer to, kan maskinlæringen hos Nuance trenes opp til å forstå at den første setningen betyr det samme, slik at Cayla i fremtiden også vil forstå den første varianten.

Med andre ord skulle det bare mangle om ikke Nuance samler inn slike taleopptak; i likhet med en hvilken som helst annen tjeneste som bruker stemmegjenkjenning.

Følgende er for eksempel hentet fra Apples iOS-brukervilkår:
«By using Siri or Dictation, you agree and consent to Apple’s and its subsidiaries’ and agents’ transmission, collection, maintenance, processing, and use of this information, including your voice input and User Data, to provide and improve Siri, Dictation, and dictation functionality in other Apple products and services.»

Skjult markedsføring

Ifølge Forbrukerrådets rapport er Cayla disponert for eksempel for å like Disney-filmer om man spør henne, fordi skaperne har en kommersiell forbindelse til Disney.

Spør du meg, skal en ikke lenger enn NRKs julekalender klokka seks i kveld for å se skjult markedsføring rettet mot barn.

I butikkene selges det drøssevis med Snøfall-effekter fra TV-programmet, på samme måte som med tidligere julekalendre, Fantorangen-dukker, Blåfjell-godteri, Elias-potetgull, Josefine-brød eller hva det skulle være.

Neppe så skummelt

Med andre ord har jeg vondt for å tro at det på en skummel server i USA vil ligge utfyllende informasjon om Sigrid (5) som er opptatt av hester, regnvær og hva to pluss to er, og at ønskelista neste jul kun vil bestå av Disney-filmer.

Og står noen inntil husveggen din i håp om at poden har en Cayla-dukke de kan snakke med henne via, kan nok vedkommende være til fare for barnet; Cayla-dukke eller ikke.

Men med dukka får du i hvert fall et forvarsel.

Flere kommentarer:
– Skal jeg fortelle deg hvem som er din ekte venn?
Hvorfor skal jeg la mine venner overvåke meg?
Hvorfor må vi selge julenek og dasspapir når ungene bare vil spille fotball med kompisene?