APP下载

Facebook们 到底可恶在哪里

2018-04-09王煜

新民周刊 2018年12期
关键词:个人信息用户信息

王煜

“我们有责任保护好用户的数据,如果我们做不到就不配服务你们。”在举世声讨“泄露用户数据”的声浪中沉默了数天之后,Facebook创始人、CEO扎克伯格终于开始在各种媒体上发表了这样的声明,并提出了一系列整改措施。问题是,冰冻三尺非一日之寒,经历此劫,Facebook就能浴火重生了吗?何况,还有那么多拥有巨量用户的互联网服务提供商,它们给我们带来的信息安全隐患,其实一点也不比Facebook少。

信息保护“千疮百孔”

此次数据泄露事件中,剑桥大学的心理学教授及数据科学家亚历山大·考根在2014年开发出一款性格测试App,通过合法的方式从Facebook取得了5000万用户的数据,但没有按照约定用于学术研究,转而将数据卖给了“剑桥分析”公司,后者进一步主导了现在我们知道的可能操控美国大选的一系列事件。

Facebook称:考根并没有将售卖用户数据的事实告知Facebook,当数据流向第三方时,也就脱离了Facebook的掌控范围。

这样的声明显然是“甩锅”。实际上,公众对Facebook最大的愤怒就来源于它很早就获知考根的违规,但没有采取到位的补救措施。2015年,Facebook发现考根把用户数据转卖后,禁掉了他的App,并要求他和剑桥分析公司删除这些数据。关键是,Facebook只是寄了一份删除数据的通知书给考根,希望他在删除数据后在通知书中确认,至于考根和剑桥分析公司有没有真的这么做,Facebook并未跟踪,于是酿成如今的灾难。

扎克伯格公布了一系列整改措施,包括:检查所有在隐私政策更新以前上架的App,审查可疑行为的应用;限制开发者的数据使用权限,比如在获取用户数据之后,如果用户在3个月内没有再次使用该App,Facebook会自动删除用户数据;重新设计产品,告诉用户,哪些App正在获取隐私;扩大网络安全与内容审查团队等。

但公众对此并不买账。原因从扎克伯格本身的表态中可以推测——扎克伯格公开回应此次数据泄露事件后,在接受CNN采访时表示:不管是对干涉选举还是假新闻,“2016年我们没有做到应该做的,没有把这一系列问题放到重中之重。”他说,之后的法国大选、2018年美国中期选举、世界各地的选举中,Facebook已采用或将采用一些人工智能工具来排除对选举的干扰。“我们可以用人工智能工具更好地追踪这些账号,扫描和观察到正在发生什么。作为一个20亿人的社区,我不能保证我们什么都能发现。但是我能承诺的是,我们会让那些破坏者做事情尽可能困难。我认为对此我们已经做得比以前好得多。”

正如他的话所暗示的,Facebook此前在保护用户信息安全上做得实在是不怎么样。2011年11月,美国联邦贸易委员会就怀疑Facebook在隐私方面欺骗用户,对其进行了调查,最终以双方达成协议告终。协议要求,如果Facebook要在隐私设定范围之外获取用户数据,必须经过用户许可。更早的2010年,黑客行为导致Facebook1亿多名用户资料外泄,该黑客表示,自己只用了一条非常简单的代码就收集到了总量达2.8G的信息,他这样做的目的“是让人们重视保护自己的隐私”。业界认为数据泄露的原因是Facebook的隐私设置系统过于复杂,让用户在自己并不知情的情况下,就将信息公布给大众。当时,扎克伯格的回应是“相信公司已经有了完善的隐私设置系统”。

另外,Facebook旗下的Messenger、Lifestage等App,都被指出存在用户信息泄漏的隐患。原Facebook平台运营经理Sandy Parakilas透露,Facebook一直缺乏对第三方开发者使用数据的监管,秘密收集数据已成惯例。Sandy表示他曾警告过Facebook的高管们,公司对数据保护的缺乏可能会造成严重后果。但从屡次发生的泄漏事件来看,Facebook显然没有接受这一建议。

前亚马逊首席科学家,斯坦福大数据教授Andreas Weigend对此评价:“已经有很多伪科研机构打着科研的名义从Facebook获取了大量数据。Facebook并不是真正在关心用户,如果它真的关心,数据泄露之后它就会去解决。”

说到保护用户数据的漏洞,Facebook“并不孤独”,国外的互联网大企业几乎无一幸免,雅虎之前被爆出泄露了高达10亿的用户邮箱密码数据;美国信用机构Equifax数据泄露事件影响的1.43亿名用户,更需要担心自己的财产安全,因为泄露的数据里包含了姓名、住所、生日、地址和社保号等机密信息。

就连系统封闭,一直鼓吹自己安全性的苹果公司也逃不掉。2014年苹果iCloud“艳照门”泄露了好莱坞女星的大量隐私照片,尽管后来肇事黑客承认采用的是伪造官方客服邮箱直接骗取密码的手段,但其他黑客很快揪出了苹果在用户信息上的其他漏洞,这个漏洞可以让黑客使用脚本程序反复猜测iCloud的用户密码,苹果既不会强制停止,也不会给正被攻击的用户发出任何警报。

国内风景“并不独好”

国外Facebook们的安全防范“漏洞百出”,國内的互联网巨头们做得又如何呢?

2018年刚开年,支付宝年度账单刷屏朋友圈,但很快人们发现,支付宝年度账单第一页默认勾选“我同意《芝麻服务协议》”,如果用户未取消勾选,将允许支付宝收集用户的信息,包括用户保存在第三方的信息。在被曝光后,蚂蚁信用迅速进行了道歉,称这一行为“非常傻,愚蠢至极”,但这一手究竟是有意为之还是无心之失,恐怕很难说清。

2018年1月5日,江苏省消保委宣布已对百度旗下的几款App涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼,并已获南京市中级人民法院正式立案。

BAT在这个领域的麻烦向来很多。例如,加拿大多伦多大学的信息安全研究机构Citizen Lab于2016年发布报告称, 位居中国移动浏览器前列的阿里UC浏览器、腾讯QQ浏览器和百度浏览器的数据安全隐患不容小觑。

该报告显示,这三大浏览器收集用户的搜索项、与用户精确位置相关的数据以及特定智能手机和 PC 的唯一设备标识码。这样的安全隐患使得数亿用户的个人信息易于被非法获取。另外,应用升级过程中存在的漏洞可能会令攻击者在应用中嵌入隐藏的间谍软件或恶意软件,只是目前还没有实际发生网络攻击的报告公布。

Citizen Lab表示,这三大浏览器在传输数据时要么不加密,要么使用了较弱的加密方法。报告称:“用户一般意识不到这些风险,不知道这些数据正被收集和传输,可能也不知道应用在升级过程中遭到恶意软件攻击后设备上或许就会被安装上恶意代码。”

如果人们回溯历史,360摄像头直播问题是直接把路人的隐私置于众目睽睽之下;而菜鸟和顺丰、京东和天天快递、华为与腾讯的用户数据之争中,商家们在“神仙打架”时,广大用户的隐私成为最脆弱的、最可能受侵害的对象。

国内互联网信息提供者对用户隐私的保护情况究竟如何,我们也能从学者做的定量实证研究中一窥究竟。上海交通大学邵国松教授领衔的研究团队选取了我国500家颇具影响力的网站,对其隐私政策声明、个人信息保护政策进行分析,考察这些网站是否很好地执行了《网络安全法》中对用户信息保护相关条款。在近日发布的相关论文中,结果并不乐观。

该研究将500家网站分为政府类、社会组织类、教育类、商业类这四类,同时在这四类网站中再选取100家可能收集个人婚恋、金融等敏感信息的网站加以分析。研究发现,几乎所有的网站都收集个人信息。论文称:“我们有必要知道这些网站在收集信息的时候,是否较好遵守了《网络安全法》的相关规定。法律要求所有网站必须明示收集信息的目的、方式和范畴。这是个硬性要求,集中体现在各个网站的隐私政策声明(含信息保护政策)是否合规上。”

论文的统计结果显示,大部分网站都没有把明示原则所要求的三类信息明确告知用户,尤其是教育类网站在此方面的表现最差,但其收集信息的比例却最高。

法律规定,将哪些隐私信息提供给网站,从而获得哪些定制信息,用户应该有选择权,并且能在提供之后还能对其中的某一部分进行选择性加入和退出;同时,用户也应该有权删除或更改在网站上的个人信息。

但该研究的实际结果是:部分网站隐私政策中包含了选择性退出机制,但比例都不高。其中,商业类网站和敏感类网站勉强达到20%以上,其他类型的网站均不超过5%。包含选择性加入机制的网站比例也不高,除了社会组织类网站超过20%之外,其他类型的网站均不超过6%。大部分网站均表示,注册该网站就表明已默认将接受相关推送服务。

在四类独立分类并具有隐私政策的网站中,“声称用户有权删除其个人信息”这一项,政府类网站的比例最高,达到52%,商业类网站则为30%,社会组织类则仅为16%。教育类网站中,没有一个网站提供用户有权删除其个人信息的声明。敏感网站此项数据仅为30%。而“声称用户有权更正其个人信息”的统计结果则比前项稍高。

另外让人遗憾的是,这些被统计的网站里,隐私政策的声明绝大部分放在网页底部,并不起眼。

如何可以“不作恶”?

Facebook此次用户数据泄露丑闻曝光后,有用户在社交媒体上掀起了一场名为“删除Facebook”的运动,不仅埃隆·马斯克响应,注销了自己两家公司SpaceX和Tesla在Facebook的官方主页,甚至连已被Facebook收购的WhatsApp的联合创始人布莱恩·阿克顿也加入此行列。

当然,“删除Facebook”并不能让人们彻底放弃社交媒体,也不能解决Facebook们的问题。想要让这些互联网大鳄在保护用户信息安全上“不作恶”,还得想其他的办法。

最有力的是法律的顶层设计。以国内为例,2015年7月1日,《国家安全法》实施,其中明确提出了要“加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”。2017年6月1日实施的《网络安全法》中明确要求“厂商收集和使用用户信息,需要明示同意,明确披露信息用途、适用范围、时效等”。国家正通过法律法规,划定对用户隐私保护的范围和互联网公司对用户数据使用的边际。

不过,我国目前尚未形成对公民个人信息权利保护的完整法律法规,法条散落于网络安全、消费者权益保护领域,且多是概括性、原则性的规定,缺乏震慑力,直接导致商家违法成本低,消费者维权成本高,商家很难抑制自己尽可能多收集、使用用户信息的冲动,而消费者面对格式合同只能一路“同意”。

而且,現有的法律条款还有互相冲突的嫌疑。例如,对电子商务经营者能否出售消费者的个人信息,法律至今没有明确统一的规定。《网络安全法》第44条规定经营者不得非法出售个人信息,而《消费者权益保护法》则规定经营者不得出售个人信息,正在制定中的《电子商务法》对此也只做了模糊处理。然而,在法律界内部,普遍的观点是个人信息属于消费者,电子商务经营者出于提供服务的需要,在征得消费者授权的前提下可以合理收集使用,但不能出售,因此没有合法和非法之分。

然后就是行业的自律。

面对保护用户隐私问题时,互联网科技公司往往会摆出“技术中立”的理念来为自己辩护。不仅仅是Facebook,搜索引擎上的虚假医疗广告、视频网站用户上传的盗版视频、直播平台上的低俗内容等,都在反复凸显同一个问题——技术是不是中立的,平台如何制定规则。

事实是,当这个规则与商业利益冲突时,互联网企业基本都选择了后者。Facebook为什么不断提示和鼓励用户分享个人信息和生活细节,是因为它要靠这些信息赚钱。目前,Facebook超过90%的收入来自广告,它每天的广告收入达几千万美元。社交网络属性使得它拥有大量用户数据;用户数据加上算法,能帮助广告商进行最精准的广告投放。

当下的大数据时代、人工智能时代,数据就是科技发展的推进剂,而用户信息又是数据中的核心,互联网企业必然有收集使用用户信息的强烈冲动,这个是无法抑制的。问题在于,如何界定哪些数据应该被使用?哪些不应该?不懂技术的个人用户又如何做出自我选择?

2018年3月26日,百度创始人李彦宏在中国高层发展论坛上关于用户隐私保护的一席发言,意味深长。他说:百度在当下会更加注重隐私问题,中国也在加强法律法规的建设,“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。但我们要遵循一定的原则,如果数据会使用者受益,他也愿意,我们就会去做,这是我们的基本原则。这就是什么该做的,什么不该做”。

这或许能代表一部分互联网企业领军人物的理念。然而关键在于,对于互联网企业,个人用户到底怎么能判断是不是该说“愿意”?如果用户说了“愿意”,企业会真的把自身利益放于次位,首先为用户去评估他是不是真的能受益吗?这样的平衡权和判断权,若只在企业手里,恐怕我们看到的不可能是自律。

猜你喜欢

个人信息用户信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
警惕个人信息泄露
关注用户
关注用户
关注用户
如何获取一亿海外用户
个人信息保护等6项通信行业标准征求意见