Facebook們 到底可惡在哪里

王煜

“我們有責(zé)任保護(hù)好用戶的數(shù)據(jù)，如果我們做不到就不配服務(wù)你們。”在舉世聲討“泄露用戶數(shù)據(jù)”的聲浪中沉默了數(shù)天之后，F(xiàn)acebook創(chuàng)始人、CEO扎克伯格終于開始在各種媒體上發(fā)表了這樣的聲明，并提出了一系列整改措施。問題是，冰凍三尺非一日之寒，經(jīng)歷此劫，F(xiàn)acebook就能浴火重生了嗎？何況，還有那么多擁有巨量用戶的互聯(lián)網(wǎng)服務(wù)提供商，它們給我們帶來的信息安全隱患，其實一點也不比Facebook少。

信息保護(hù)“千瘡百孔”

此次數(shù)據(jù)泄露事件中，劍橋大學(xué)的心理學(xué)教授及數(shù)據(jù)科學(xué)家亞歷山大·考根在2014年開發(fā)出一款性格測試App，通過合法的方式從Facebook取得了5000萬用戶的數(shù)據(jù)，但沒有按照約定用于學(xué)術(shù)研究，轉(zhuǎn)而將數(shù)據(jù)賣給了“劍橋分析”公司，后者進(jìn)一步主導(dǎo)了現(xiàn)在我們知道的可能操控美國大選的一系列事件。

Facebook稱：考根并沒有將售賣用戶數(shù)據(jù)的事實告知Facebook，當(dāng)數(shù)據(jù)流向第三方時，也就脫離了Facebook的掌控范圍。

這樣的聲明顯然是“甩鍋”。實際上，公眾對Facebook最大的憤怒就來源于它很早就獲知考根的違規(guī)，但沒有采取到位的補(bǔ)救措施。2015年，F(xiàn)acebook發(fā)現(xiàn)考根把用戶數(shù)據(jù)轉(zhuǎn)賣后，禁掉了他的App，并要求他和劍橋分析公司刪除這些數(shù)據(jù)。關(guān)鍵是，F(xiàn)acebook只是寄了一份刪除數(shù)據(jù)的通知書給考根，希望他在刪除數(shù)據(jù)后在通知書中確認(rèn)，至于考根和劍橋分析公司有沒有真的這么做，F(xiàn)acebook并未跟蹤，于是釀成如今的災(zāi)難。

扎克伯格公布了一系列整改措施，包括：檢查所有在隱私政策更新以前上架的App，審查可疑行為的應(yīng)用；限制開發(fā)者的數(shù)據(jù)使用權(quán)限，比如在獲取用戶數(shù)據(jù)之后，如果用戶在3個月內(nèi)沒有再次使用該App，F(xiàn)acebook會自動刪除用戶數(shù)據(jù)；重新設(shè)計產(chǎn)品，告訴用戶，哪些App正在獲取隱私；擴(kuò)大網(wǎng)絡(luò)安全與內(nèi)容審查團(tuán)隊等。

但公眾對此并不買賬。原因從扎克伯格本身的表態(tài)中可以推測——扎克伯格公開回應(yīng)此次數(shù)據(jù)泄露事件后，在接受CNN采訪時表示：不管是對干涉選舉還是假新聞，“2016年我們沒有做到應(yīng)該做的，沒有把這一系列問題放到重中之重?！彼f，之后的法國大選、2018年美國中期選舉、世界各地的選舉中，F(xiàn)acebook已采用或?qū)⒉捎靡恍┤斯ぶ悄芄ぞ邅砼懦龑x舉的干擾?！拔覀兛梢杂萌斯ぶ悄芄ぞ吒玫刈粉欉@些賬號，掃描和觀察到正在發(fā)生什么。作為一個20億人的社區(qū)，我不能保證我們什么都能發(fā)現(xiàn)。但是我能承諾的是，我們會讓那些破壞者做事情盡可能困難。我認(rèn)為對此我們已經(jīng)做得比以前好得多。”

正如他的話所暗示的，F(xiàn)acebook此前在保護(hù)用戶信息安全上做得實在是不怎么樣。2011年11月，美國聯(lián)邦貿(mào)易委員會就懷疑Facebook在隱私方面欺騙用戶，對其進(jìn)行了調(diào)查，最終以雙方達(dá)成協(xié)議告終。協(xié)議要求，如果Facebook要在隱私設(shè)定范圍之外獲取用戶數(shù)據(jù)，必須經(jīng)過用戶許可。更早的2010年，黑客行為導(dǎo)致Facebook1億多名用戶資料外泄，該黑客表示，自己只用了一條非常簡單的代碼就收集到了總量達(dá)2.8G的信息，他這樣做的目的“是讓人們重視保護(hù)自己的隱私”。業(yè)界認(rèn)為數(shù)據(jù)泄露的原因是Facebook的隱私設(shè)置系統(tǒng)過于復(fù)雜，讓用戶在自己并不知情的情況下，就將信息公布給大眾。當(dāng)時，扎克伯格的回應(yīng)是“相信公司已經(jīng)有了完善的隱私設(shè)置系統(tǒng)”。

另外，F(xiàn)acebook旗下的Messenger、Lifestage等App，都被指出存在用戶信息泄漏的隱患。原Facebook平臺運營經(jīng)理Sandy Parakilas透露，F(xiàn)acebook一直缺乏對第三方開發(fā)者使用數(shù)據(jù)的監(jiān)管，秘密收集數(shù)據(jù)已成慣例。Sandy表示他曾警告過Facebook的高管們，公司對數(shù)據(jù)保護(hù)的缺乏可能會造成嚴(yán)重后果。但從屢次發(fā)生的泄漏事件來看，F(xiàn)acebook顯然沒有接受這一建議。

前亞馬遜首席科學(xué)家，斯坦福大數(shù)據(jù)教授Andreas Weigend對此評價：“已經(jīng)有很多偽科研機(jī)構(gòu)打著科研的名義從Facebook獲取了大量數(shù)據(jù)。Facebook并不是真正在關(guān)心用戶，如果它真的關(guān)心，數(shù)據(jù)泄露之后它就會去解決。”

說到保護(hù)用戶數(shù)據(jù)的漏洞，F(xiàn)acebook“并不孤獨”，國外的互聯(lián)網(wǎng)大企業(yè)幾乎無一幸免，雅虎之前被爆出泄露了高達(dá)10億的用戶郵箱密碼數(shù)據(jù)；美國信用機(jī)構(gòu)Equifax數(shù)據(jù)泄露事件影響的1.43億名用戶，更需要擔(dān)心自己的財產(chǎn)安全，因為泄露的數(shù)據(jù)里包含了姓名、住所、生日、地址和社保號等機(jī)密信息。

就連系統(tǒng)封閉，一直鼓吹自己安全性的蘋果公司也逃不掉。2014年蘋果iCloud“艷照門”泄露了好萊塢女星的大量隱私照片，盡管后來肇事黑客承認(rèn)采用的是偽造官方客服郵箱直接騙取密碼的手段，但其他黑客很快揪出了蘋果在用戶信息上的其他漏洞，這個漏洞可以讓黑客使用腳本程序反復(fù)猜測iCloud的用戶密碼，蘋果既不會強(qiáng)制停止，也不會給正被攻擊的用戶發(fā)出任何警報。

國內(nèi)風(fēng)景“并不獨好”

國外Facebook們的安全防范“漏洞百出”，國內(nèi)的互聯(lián)網(wǎng)巨頭們做得又如何呢？

2018年剛開年，支付寶年度賬單刷屏朋友圈，但很快人們發(fā)現(xiàn)，支付寶年度賬單第一頁默認(rèn)勾選“我同意《芝麻服務(wù)協(xié)議》”，如果用戶未取消勾選，將允許支付寶收集用戶的信息，包括用戶保存在第三方的信息。在被曝光后，螞蟻信用迅速進(jìn)行了道歉，稱這一行為“非常傻，愚蠢至極”，但這一手究竟是有意為之還是無心之失，恐怕很難說清。

2018年1月5日，江蘇省消保委宣布已對百度旗下的幾款A(yù)pp涉嫌違法獲取消費者個人信息及相關(guān)問題提起消費民事公益訴訟，并已獲南京市中級人民法院正式立案。

BAT在這個領(lǐng)域的麻煩向來很多。例如，加拿大多倫多大學(xué)的信息安全研究機(jī)構(gòu)Citizen Lab于2016年發(fā)布報告稱， 位居中國移動瀏覽器前列的阿里UC瀏覽器、騰訊QQ瀏覽器和百度瀏覽器的數(shù)據(jù)安全隱患不容小覷。

該報告顯示，這三大瀏覽器收集用戶的搜索項、與用戶精確位置相關(guān)的數(shù)據(jù)以及特定智能手機(jī)和 PC 的唯一設(shè)備標(biāo)識碼。這樣的安全隱患使得數(shù)億用戶的個人信息易于被非法獲取。另外，應(yīng)用升級過程中存在的漏洞可能會令攻擊者在應(yīng)用中嵌入隱藏的間諜軟件或惡意軟件，只是目前還沒有實際發(fā)生網(wǎng)絡(luò)攻擊的報告公布。

Citizen Lab表示，這三大瀏覽器在傳輸數(shù)據(jù)時要么不加密，要么使用了較弱的加密方法。報告稱：“用戶一般意識不到這些風(fēng)險，不知道這些數(shù)據(jù)正被收集和傳輸，可能也不知道應(yīng)用在升級過程中遭到惡意軟件攻擊后設(shè)備上或許就會被安裝上惡意代碼?！?/p>

如果人們回溯歷史，360攝像頭直播問題是直接把路人的隱私置于眾目睽睽之下；而菜鳥和順豐、京東和天天快遞、華為與騰訊的用戶數(shù)據(jù)之爭中，商家們在“神仙打架”時，廣大用戶的隱私成為最脆弱的、最可能受侵害的對象。

國內(nèi)互聯(lián)網(wǎng)信息提供者對用戶隱私的保護(hù)情況究竟如何，我們也能從學(xué)者做的定量實證研究中一窺究竟。上海交通大學(xué)邵國松教授領(lǐng)銜的研究團(tuán)隊選取了我國500家頗具影響力的網(wǎng)站，對其隱私政策聲明、個人信息保護(hù)政策進(jìn)行分析，考察這些網(wǎng)站是否很好地執(zhí)行了《網(wǎng)絡(luò)安全法》中對用戶信息保護(hù)相關(guān)條款。在近日發(fā)布的相關(guān)論文中，結(jié)果并不樂觀。

該研究將500家網(wǎng)站分為政府類、社會組織類、教育類、商業(yè)類這四類，同時在這四類網(wǎng)站中再選取100家可能收集個人婚戀、金融等敏感信息的網(wǎng)站加以分析。研究發(fā)現(xiàn)，幾乎所有的網(wǎng)站都收集個人信息。論文稱：“我們有必要知道這些網(wǎng)站在收集信息的時候，是否較好遵守了《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。法律要求所有網(wǎng)站必須明示收集信息的目的、方式和范疇。這是個硬性要求，集中體現(xiàn)在各個網(wǎng)站的隱私政策聲明（含信息保護(hù)政策）是否合規(guī)上?！?/p>

論文的統(tǒng)計結(jié)果顯示，大部分網(wǎng)站都沒有把明示原則所要求的三類信息明確告知用戶，尤其是教育類網(wǎng)站在此方面的表現(xiàn)最差，但其收集信息的比例卻最高。

法律規(guī)定，將哪些隱私信息提供給網(wǎng)站，從而獲得哪些定制信息，用戶應(yīng)該有選擇權(quán)，并且能在提供之后還能對其中的某一部分進(jìn)行選擇性加入和退出；同時，用戶也應(yīng)該有權(quán)刪除或更改在網(wǎng)站上的個人信息。

但該研究的實際結(jié)果是：部分網(wǎng)站隱私政策中包含了選擇性退出機(jī)制，但比例都不高。其中，商業(yè)類網(wǎng)站和敏感類網(wǎng)站勉強(qiáng)達(dá)到20%以上，其他類型的網(wǎng)站均不超過5%。包含選擇性加入機(jī)制的網(wǎng)站比例也不高，除了社會組織類網(wǎng)站超過20%之外，其他類型的網(wǎng)站均不超過6%。大部分網(wǎng)站均表示，注冊該網(wǎng)站就表明已默認(rèn)將接受相關(guān)推送服務(wù)。

在四類獨立分類并具有隱私政策的網(wǎng)站中，“聲稱用戶有權(quán)刪除其個人信息”這一項，政府類網(wǎng)站的比例最高，達(dá)到52%，商業(yè)類網(wǎng)站則為30%，社會組織類則僅為16%。教育類網(wǎng)站中，沒有一個網(wǎng)站提供用戶有權(quán)刪除其個人信息的聲明。敏感網(wǎng)站此項數(shù)據(jù)僅為30%。而“聲稱用戶有權(quán)更正其個人信息”的統(tǒng)計結(jié)果則比前項稍高。

另外讓人遺憾的是，這些被統(tǒng)計的網(wǎng)站里，隱私政策的聲明絕大部分放在網(wǎng)頁底部，并不起眼。

如何可以“不作惡”？

Facebook此次用戶數(shù)據(jù)泄露丑聞曝光后，有用戶在社交媒體上掀起了一場名為“刪除Facebook”的運動，不僅埃隆·馬斯克響應(yīng)，注銷了自己兩家公司SpaceX和Tesla在Facebook的官方主頁，甚至連已被Facebook收購的WhatsApp的聯(lián)合創(chuàng)始人布萊恩·阿克頓也加入此行列。

當(dāng)然，“刪除Facebook”并不能讓人們徹底放棄社交媒體，也不能解決Facebook們的問題。想要讓這些互聯(lián)網(wǎng)大鱷在保護(hù)用戶信息安全上“不作惡”，還得想其他的辦法。

最有力的是法律的頂層設(shè)計。以國內(nèi)為例，2015年7月1日，《國家安全法》實施，其中明確提出了要“加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”。2017年6月1日實施的《網(wǎng)絡(luò)安全法》中明確要求“廠商收集和使用用戶信息，需要明示同意，明確披露信息用途、適用范圍、時效等”。國家正通過法律法規(guī)，劃定對用戶隱私保護(hù)的范圍和互聯(lián)網(wǎng)公司對用戶數(shù)據(jù)使用的邊際。

不過，我國目前尚未形成對公民個人信息權(quán)利保護(hù)的完整法律法規(guī)，法條散落于網(wǎng)絡(luò)安全、消費者權(quán)益保護(hù)領(lǐng)域，且多是概括性、原則性的規(guī)定，缺乏震懾力，直接導(dǎo)致商家違法成本低，消費者維權(quán)成本高，商家很難抑制自己盡可能多收集、使用用戶信息的沖動，而消費者面對格式合同只能一路“同意”。

而且，現(xiàn)有的法律條款還有互相沖突的嫌疑。例如，對電子商務(wù)經(jīng)營者能否出售消費者的個人信息，法律至今沒有明確統(tǒng)一的規(guī)定。《網(wǎng)絡(luò)安全法》第44條規(guī)定經(jīng)營者不得非法出售個人信息，而《消費者權(quán)益保護(hù)法》則規(guī)定經(jīng)營者不得出售個人信息，正在制定中的《電子商務(wù)法》對此也只做了模糊處理。然而，在法律界內(nèi)部，普遍的觀點是個人信息屬于消費者，電子商務(wù)經(jīng)營者出于提供服務(wù)的需要，在征得消費者授權(quán)的前提下可以合理收集使用，但不能出售，因此沒有合法和非法之分。

然后就是行業(yè)的自律。

面對保護(hù)用戶隱私問題時，互聯(lián)網(wǎng)科技公司往往會擺出“技術(shù)中立”的理念來為自己辯護(hù)。不僅僅是Facebook，搜索引擎上的虛假醫(yī)療廣告、視頻網(wǎng)站用戶上傳的盜版視頻、直播平臺上的低俗內(nèi)容等，都在反復(fù)凸顯同一個問題——技術(shù)是不是中立的，平臺如何制定規(guī)則。

事實是，當(dāng)這個規(guī)則與商業(yè)利益沖突時，互聯(lián)網(wǎng)企業(yè)基本都選擇了后者。Facebook為什么不斷提示和鼓勵用戶分享個人信息和生活細(xì)節(jié)，是因為它要靠這些信息賺錢。目前，F(xiàn)acebook超過90%的收入來自廣告，它每天的廣告收入達(dá)幾千萬美元。社交網(wǎng)絡(luò)屬性使得它擁有大量用戶數(shù)據(jù)；用戶數(shù)據(jù)加上算法，能幫助廣告商進(jìn)行最精準(zhǔn)的廣告投放。

當(dāng)下的大數(shù)據(jù)時代、人工智能時代，數(shù)據(jù)就是科技發(fā)展的推進(jìn)劑，而用戶信息又是數(shù)據(jù)中的核心，互聯(lián)網(wǎng)企業(yè)必然有收集使用用戶信息的強(qiáng)烈沖動，這個是無法抑制的。問題在于，如何界定哪些數(shù)據(jù)應(yīng)該被使用？哪些不應(yīng)該？不懂技術(shù)的個人用戶又如何做出自我選擇？

2018年3月26日，百度創(chuàng)始人李彥宏在中國高層發(fā)展論壇上關(guān)于用戶隱私保護(hù)的一席發(fā)言，意味深長。他說：百度在當(dāng)下會更加注重隱私問題，中國也在加強(qiáng)法律法規(guī)的建設(shè)，“我想中國人可以更加開放，對隱私問題沒有那么敏感，如果他們愿意用隱私交換便捷性，很多情況下他們是愿意的，那我們就可以用數(shù)據(jù)做一些事情。但我們要遵循一定的原則，如果數(shù)據(jù)會使用者受益，他也愿意，我們就會去做，這是我們的基本原則。這就是什么該做的，什么不該做”。

這或許能代表一部分互聯(lián)網(wǎng)企業(yè)領(lǐng)軍人物的理念。然而關(guān)鍵在于，對于互聯(lián)網(wǎng)企業(yè)，個人用戶到底怎么能判斷是不是該說“愿意”？如果用戶說了“愿意”，企業(yè)會真的把自身利益放于次位，首先為用戶去評估他是不是真的能受益嗎？這樣的平衡權(quán)和判斷權(quán)，若只在企業(yè)手里，恐怕我們看到的不可能是自律。