Facebook数据泄露事件的残酷真相

2018-04-06 00:15:06

文/李军

Facebook目前进入到了一个痛苦的阶段。这个痛苦的阶段并不是最近几天“剑桥分析”公司(Cambridge Analytica LLC)被爆出和Facebook相关的丑闻才开始的。早在特朗普当选美国总统前后,就有各种传言谈到俄罗斯通过干预社交媒体的内容来影响互联网用户的投票决策。

2017年12月,知名的互联网分析公司CBInsights发布的报告显示,最近十年以来评价最负面的高科技巨头中Facebook高居榜首。有近六成的被访者对Facebook的评价最为负面,而第二名亚马逊只有11%。

这次“剑桥分析”公司涉嫌利用来自Facebook的数据影响多国大选,进一步强化了公众和媒体对于Facebook的负面形象。个人隐私、资本、暴利、干预政治,各种夺人眼球的标签被贴在了Facebook的头上。那么Facebook到底做了什么突破认知底线的恶行呢?我们从数据范围、数据获取、Facebook能做什么和数据应用四个环节分析一下这个事件的来龙去脉以及Facebook需要承担的责任。

Facebook泄露了什么?

Facebook本质上只是一个公告板,基于社交关系链接的个人公告板。每个人都拥有在自己的公告板上发布信息的权利,同时可以与他人建立好友关系并获取对方发布的信息。Facebook创立之初的设计,就是用户自我发布自我管理。

Facebook提供了多种粒度的个人信息开放控制手段供用户选择发布信息的范围。不管是所有人可见,还是好友可见,用户都很清楚自己在Facebook上发布的信息是面向公众或部分公众的。

其中如果包含了个人隐私的话,也是用户自己主动向特定对象或不特定对象公开的。被授权访问这些个人信息的对象完全可以将此信息传播到更大的范围,而这往往是平台难以约束的。就如同用户在微博里绑定了第三方应用并授权它以自己的名义发布微博,结果应用以用户的名义发布了应用推广一样,这和微博平台本身是没有关系的。

从社交网络平台出现以来,大众对于个人信息的发布经常是处于无知并且无畏的态度。举例来说,个人性取向是一个非常敏感的个人信息,但绝大部分用户在使用社交网络时对公开个人性取向却并不避讳。一些年轻人甚至选择Facebook作为他们正式出柜的宣言。他们将Facebook上的性取向改为对“男性”或对“女性”有兴趣并设置公开显示,这在线下场合往往是很少见到的。用户对发布如此个性化的敏感信息都如此轻率,对其他个人信息的态度可想而知。

Facebook上有没有应该受系统严格保护的用户隐私数据呢?当然有。用户使用Facebook的时间、地点、设备信息,用户在Facebook上的浏览行为与私信,都是用户使用Facebook产生的且未对外发布的信息。

从目前的报道来看,“剑桥分析”没有获得任何超范围授权的用户发布的信息,真正没有被授权发布的个人隐私信息也并没有流出Facebook。

政府的责任何在

社交媒体平台为了提供更多的差异化服务,会提供程序访问公开信息的接口,以鼓励第三方在获取用户授权的前提下抓取用户信息,并基于用户信息提供有针对性的服务。我们在微博微信上使用的各种非官方小工具,都是这样性质的服务。

“剑桥分析”的数据提供方“全球科学研究”(GSR)正是依靠Facebook提供的合法途径,通过制作个人性格测试应用吸引了近30万用户向其开放授权,从而获取了这些用户和其社交关系上所有好友公开发布的信息,共计牵涉到近5000万Facebook的注册用户。

用户授权真实有效,数据获取通过官方渠道,Facebook对于第三方应用的管理原则也是目前互联网行业通用的方式。

换句话说,此次事件被定义为个人隐私数据泄露是很牵强的,因为数据完全是遵循当时的管理框架下被GSR获取的。如果Facebook最终被政府认定造成了个人隐私数据泄露,那么这个泄露也完全和技术无关,而是管理原则和监管方式不当造成的。

管理原则和监管方式不当完全是Facebook的责任吗?其实政府也需要一起背锅。

2017年8月,美国联邦法院裁定全球最大的职业社交平台领英(LinkedIn)不得屏蔽第三方初创公司通过网络爬虫抓取用户的公开信息。领英作为全球最大的职业社交平台,拥有超过5亿个注册用户。其中的大部分用户出于职业需要会发布自己的教育背景、职业经历及职业人脉网络,而且信息真实度极高。这些有巨大影响力的社交平台出于信息保护和防止滥用的目的屏蔽第三方公司的网络爬虫,却被美国联邦法院最终判定为非法。

结合Facebook的案例来看,恰恰说明了美国政府自身对社交网络上用户信息的保护与监管原则都是混乱和自相矛盾的。

对于社交网络和其上的海量数据,无论是社交平台本身、用户、第三方使用者和政府,都没有充分意识到其中蕴含的巨大能量。公众一旦意识到了这一点,那就一定需要寻找恐惧情绪发泄的“替罪羊”,这也是Facebook被公众和媒体强烈批评的核心原因。

Facebook做错了什么?

2014年开始,Facebook要求第三方应用在抓取已授权用户社交关系上的好友公开信息时,同时必须得到被抓取好友的授权。但“剑桥分析”所使用的应用在2013年发布,也就是新规则生效前就完成了用户授权和数据抓取的工作。2014年及以后出现的严格授权只是让“剑桥分析”无法进一步获取更新的数据。Facebook认识到了第三方应用抓取用户数据的潜在风险,并力图加以约束,但数据流出已经既成事实。

面对用户发布个人隐私数据和授权第三方应用访问时的轻率,Facebook能够做的只是充分告知和严格审核。一旦第三方应用满足了授权要求,用户数据转移到了第三方应用那里,Facebook就已经失去了管理和控制的能力。

Facebook只是收集了客户发布的信息,存储客户的社交关系,并提供给经过授权的公众和第三方使用。它在数据安全管理方面并不比其他社交平台更差。

但是在个人信息泛滥的今天,Facebook成为了最易于遭受攻击的目标。不论是社交平台、用户还是政府,对于如何管理个人信息以避免潜在的滥用风险,到今天都没有找到公认的简单有效的管理手段。在未来相当长一段时间内,这个问题一直都将是整个社会走向数字化信息化的挑战。

我认为Facebook唯一可以被指责的,就是发现“剑桥分析”获得海量用户数据后有可能用于其他用途时,应该及时告知政府潜在的影响,并尽早通过政府的力量来控制数据的扩散和应用范围。

很可惜Facebook没有及时选择引入政府处理这一复杂的事件,从而导致数据应用范围失控,自身形象也在媒体曝光后遭受重大损失。

谁该审视自身?

“全球科学研究”和“剑桥分析”毫无疑问是这次个人信息滥用的罪魁祸首,理应受到严厉惩罚。Facebook作为数据平台的管理者,当然也负有重要责任。公众应该从千夫所指Facebook的情绪中清醒过来。

作为一个数字化时代的公民,保护自己的数字资产受限是自己的责任。自己应该对哪怕是小范围发布个人信息的风险都要有清醒认识。认为这次事件中那30万授权用户只是受害者的观点是错误的。

“剑桥分析”之所以能够获取高达近5000万用户的信息,就是依靠那近30万授权用户无知无畏的行为——他们向应用开放的除了自己的个人信息,还包括自己社交网上所有好友的个人信息和Facebook上的活动,如点赞、评论等。而这些授权用户都是社交网络的活跃分子,在Facebook上的人均好友数超过160。于是他们轻率愚蠢的行为让自己160个以上的好友信息暴露在数据抓取工具的面前,最终受害者从30万跃升到了5000万。

有人认为,Facebook的GraphAPI开放了用户隐私数据访问权限,如“我”“动作”“活动”“生日”等,这是它在这次事件中的重要责任。需要强调的是,隐私数据和可授权访问是两个不同的范畴。就算是隐私数据,如果用户合法授权,在现有的规则下也是一样可以访问的。也就是说,如果“全球科学研究”应用获得了相关用户授权,当然可以获取这些隐私数据。

现实就是这么残酷。

近期,李彦宏在一个重要的国家级论坛上说,中国人对隐私问题没有那么敏感,很多情况下愿意用隐私交换便捷性。这段话引来千夫所指。引发我们思考的是,在互联网时代,我们应该像看守着自己的钱包一样看守自己的数字资产。你的数字资产在很大程度上会出卖你的一切。就像警察不可能制止所有偷盗钱包的行为,不论是平台还是政府监管机构,都不可能完全封杀窃取个人信息的威胁。

移动互联网时代的个人信息管理对各方都是一个全新的挑战。目前从产业界、政府到公众认识都没有形成一套行之有效的监管原则和管理方法。

随着大数据、物联网和人工智能时代的来临,更多的个人数据将会被海量的智能设备生产出来。从智能摄像头到声音采集设备,再加上各种智能交通与监控设备,每个人将无时无刻不被智能设备识别、跟踪、采集信息。当这些信息在公众区域采集并被加上个人识别特征后,数据的所有权和应用范围就成为新的应用和监管难题。

以AmazonGo商店为例,客户在商店内的数字化行为信息到底是Amazon所有还是客户所有?Amazon是否可以通过信息交易获取收益?这些都是数字化世界的新问题。

尽管欧盟制定了严厉的通用数据保护条例(GDPR)并将在今年5月生效,但其管理的有效性和对数据产业创新的负面影响目前还有待观察。个人信息管理面临的复杂情况远远超出普通大众的认识,这既不是Facebook一家的问题,更不是技术层面上可以解决的问题。

(作者为科技与互联网资深分析师,编辑:谢丽容)

真相 事件 数据