王煜
“我們有責(zé)任保護(hù)好用戶的數(shù)據(jù),如果我們做不到就不配服務(wù)你們。”在舉世聲討“泄露用戶數(shù)據(jù)”的聲浪中沉默了數(shù)天之后,F(xiàn)acebook創(chuàng)始人、CEO扎克伯格終于開始在各種媒體上發(fā)表了這樣的聲明,并提出了一系列整改措施。問題是,冰凍三尺非一日之寒,經(jīng)歷此劫,F(xiàn)acebook就能浴火重生了嗎?何況,還有那么多擁有巨量用戶的互聯(lián)網(wǎng)服務(wù)提供商,它們給我們帶來的信息安全隱患,其實(shí)一點(diǎn)也不比Facebook少。
此次數(shù)據(jù)泄露事件中,劍橋大學(xué)的心理學(xué)教授及數(shù)據(jù)科學(xué)家亞歷山大·考根在2014年開發(fā)出一款性格測試App,通過合法的方式從Facebook取得了5000萬用戶的數(shù)據(jù),但沒有按照約定用于學(xué)術(shù)研究,轉(zhuǎn)而將數(shù)據(jù)賣給了“劍橋分析”公司,后者進(jìn)一步主導(dǎo)了現(xiàn)在我們知道的可能操控美國大選的一系列事件。
Facebook稱:考根并沒有將售賣用戶數(shù)據(jù)的事實(shí)告知Facebook,當(dāng)數(shù)據(jù)流向第三方時(shí),也就脫離了Facebook的掌控范圍。
這樣的聲明顯然是“甩鍋”。實(shí)際上,公眾對Facebook最大的憤怒就來源于它很早就獲知考根的違規(guī),但沒有采取到位的補(bǔ)救措施。2015年,F(xiàn)acebook發(fā)現(xiàn)考根把用戶數(shù)據(jù)轉(zhuǎn)賣后,禁掉了他的App,并要求他和劍橋分析公司刪除這些數(shù)據(jù)。關(guān)鍵是,F(xiàn)acebook只是寄了一份刪除數(shù)據(jù)的通知書給考根,希望他在刪除數(shù)據(jù)后在通知書中確認(rèn),至于考根和劍橋分析公司有沒有真的這么做,F(xiàn)acebook并未跟蹤,于是釀成如今的災(zāi)難。
扎克伯格公布了一系列整改措施,包括:檢查所有在隱私政策更新以前上架的App,審查可疑行為的應(yīng)用;限制開發(fā)者的數(shù)據(jù)使用權(quán)限,比如在獲取用戶數(shù)據(jù)之后,如果用戶在3個(gè)月內(nèi)沒有再次使用該App,F(xiàn)acebook會(huì)自動(dòng)刪除用戶數(shù)據(jù);重新設(shè)計(jì)產(chǎn)品,告訴用戶,哪些App正在獲取隱私;擴(kuò)大網(wǎng)絡(luò)安全與內(nèi)容審查團(tuán)隊(duì)等。
但公眾對此并不買賬。原因從扎克伯格本身的表態(tài)中可以推測——扎克伯格公開回應(yīng)此次數(shù)據(jù)泄露事件后,在接受CNN采訪時(shí)表示:不管是對干涉選舉還是假新聞,“2016年我們沒有做到應(yīng)該做的,沒有把這一系列問題放到重中之重?!彼f,之后的法國大選、2018年美國中期選舉、世界各地的選舉中,F(xiàn)acebook已采用或?qū)⒉捎靡恍┤斯ぶ悄芄ぞ邅砼懦龑x舉的干擾?!拔覀兛梢杂萌斯ぶ悄芄ぞ吒玫刈粉欉@些賬號,掃描和觀察到正在發(fā)生什么。作為一個(gè)20億人的社區(qū),我不能保證我們什么都能發(fā)現(xiàn)。但是我能承諾的是,我們會(huì)讓那些破壞者做事情盡可能困難。我認(rèn)為對此我們已經(jīng)做得比以前好得多。”
正如他的話所暗示的,F(xiàn)acebook此前在保護(hù)用戶信息安全上做得實(shí)在是不怎么樣。2011年11月,美國聯(lián)邦貿(mào)易委員會(huì)就懷疑Facebook在隱私方面欺騙用戶,對其進(jìn)行了調(diào)查,最終以雙方達(dá)成協(xié)議告終。協(xié)議要求,如果Facebook要在隱私設(shè)定范圍之外獲取用戶數(shù)據(jù),必須經(jīng)過用戶許可。更早的2010年,黑客行為導(dǎo)致Facebook1億多名用戶資料外泄,該黑客表示,自己只用了一條非常簡單的代碼就收集到了總量達(dá)2.8G的信息,他這樣做的目的“是讓人們重視保護(hù)自己的隱私”。業(yè)界認(rèn)為數(shù)據(jù)泄露的原因是Facebook的隱私設(shè)置系統(tǒng)過于復(fù)雜,讓用戶在自己并不知情的情況下,就將信息公布給大眾。當(dāng)時(shí),扎克伯格的回應(yīng)是“相信公司已經(jīng)有了完善的隱私設(shè)置系統(tǒng)”。
另外,F(xiàn)acebook旗下的Messenger、Lifestage等App,都被指出存在用戶信息泄漏的隱患。原Facebook平臺運(yùn)營經(jīng)理Sandy Parakilas透露,F(xiàn)acebook一直缺乏對第三方開發(fā)者使用數(shù)據(jù)的監(jiān)管,秘密收集數(shù)據(jù)已成慣例。Sandy表示他曾警告過Facebook的高管們,公司對數(shù)據(jù)保護(hù)的缺乏可能會(huì)造成嚴(yán)重后果。但從屢次發(fā)生的泄漏事件來看,F(xiàn)acebook顯然沒有接受這一建議。
前亞馬遜首席科學(xué)家,斯坦福大數(shù)據(jù)教授Andreas Weigend對此評價(jià):“已經(jīng)有很多偽科研機(jī)構(gòu)打著科研的名義從Facebook獲取了大量數(shù)據(jù)。Facebook并不是真正在關(guān)心用戶,如果它真的關(guān)心,數(shù)據(jù)泄露之后它就會(huì)去解決?!?/p>
說到保護(hù)用戶數(shù)據(jù)的漏洞,F(xiàn)acebook“并不孤獨(dú)”,國外的互聯(lián)網(wǎng)大企業(yè)幾乎無一幸免,雅虎之前被爆出泄露了高達(dá)10億的用戶郵箱密碼數(shù)據(jù);美國信用機(jī)構(gòu)Equifax數(shù)據(jù)泄露事件影響的1.43億名用戶,更需要擔(dān)心自己的財(cái)產(chǎn)安全,因?yàn)樾孤兜臄?shù)據(jù)里包含了姓名、住所、生日、地址和社保號等機(jī)密信息。
就連系統(tǒng)封閉,一直鼓吹自己安全性的蘋果公司也逃不掉。2014年蘋果iCloud“艷照門”泄露了好萊塢女星的大量隱私照片,盡管后來肇事黑客承認(rèn)采用的是偽造官方客服郵箱直接騙取密碼的手段,但其他黑客很快揪出了蘋果在用戶信息上的其他漏洞,這個(gè)漏洞可以讓黑客使用腳本程序反復(fù)猜測iCloud的用戶密碼,蘋果既不會(huì)強(qiáng)制停止,也不會(huì)給正被攻擊的用戶發(fā)出任何警報(bào)。
國外Facebook們的安全防范“漏洞百出”,國內(nèi)的互聯(lián)網(wǎng)巨頭們做得又如何呢?
2018年剛開年,支付寶年度賬單刷屏朋友圈,但很快人們發(fā)現(xiàn),支付寶年度賬單第一頁默認(rèn)勾選“我同意《芝麻服務(wù)協(xié)議》”,如果用戶未取消勾選,將允許支付寶收集用戶的信息,包括用戶保存在第三方的信息。在被曝光后,螞蟻信用迅速進(jìn)行了道歉,稱這一行為“非常傻,愚蠢至極”,但這一手究竟是有意為之還是無心之失,恐怕很難說清。
2018年1月5日,江蘇省消保委宣布已對百度旗下的幾款A(yù)pp涉嫌違法獲取消費(fèi)者個(gè)人信息及相關(guān)問題提起消費(fèi)民事公益訴訟,并已獲南京市中級人民法院正式立案。
BAT在這個(gè)領(lǐng)域的麻煩向來很多。例如,加拿大多倫多大學(xué)的信息安全研究機(jī)構(gòu)Citizen Lab于2016年發(fā)布報(bào)告稱, 位居中國移動(dòng)瀏覽器前列的阿里UC瀏覽器、騰訊QQ瀏覽器和百度瀏覽器的數(shù)據(jù)安全隱患不容小覷。
該報(bào)告顯示,這三大瀏覽器收集用戶的搜索項(xiàng)、與用戶精確位置相關(guān)的數(shù)據(jù)以及特定智能手機(jī)和 PC 的唯一設(shè)備標(biāo)識碼。這樣的安全隱患使得數(shù)億用戶的個(gè)人信息易于被非法獲取。另外,應(yīng)用升級過程中存在的漏洞可能會(huì)令攻擊者在應(yīng)用中嵌入隱藏的間諜軟件或惡意軟件,只是目前還沒有實(shí)際發(fā)生網(wǎng)絡(luò)攻擊的報(bào)告公布。
Citizen Lab表示,這三大瀏覽器在傳輸數(shù)據(jù)時(shí)要么不加密,要么使用了較弱的加密方法。報(bào)告稱:“用戶一般意識不到這些風(fēng)險(xiǎn),不知道這些數(shù)據(jù)正被收集和傳輸,可能也不知道應(yīng)用在升級過程中遭到惡意軟件攻擊后設(shè)備上或許就會(huì)被安裝上惡意代碼?!?/p>
如果人們回溯歷史,360攝像頭直播問題是直接把路人的隱私置于眾目睽睽之下;而菜鳥和順豐、京東和天天快遞、華為與騰訊的用戶數(shù)據(jù)之爭中,商家們在“神仙打架”時(shí),廣大用戶的隱私成為最脆弱的、最可能受侵害的對象。
國內(nèi)互聯(lián)網(wǎng)信息提供者對用戶隱私的保護(hù)情況究竟如何,我們也能從學(xué)者做的定量實(shí)證研究中一窺究竟。上海交通大學(xué)邵國松教授領(lǐng)銜的研究團(tuán)隊(duì)選取了我國500家頗具影響力的網(wǎng)站,對其隱私政策聲明、個(gè)人信息保護(hù)政策進(jìn)行分析,考察這些網(wǎng)站是否很好地執(zhí)行了《網(wǎng)絡(luò)安全法》中對用戶信息保護(hù)相關(guān)條款。在近日發(fā)布的相關(guān)論文中,結(jié)果并不樂觀。
該研究將500家網(wǎng)站分為政府類、社會(huì)組織類、教育類、商業(yè)類這四類,同時(shí)在這四類網(wǎng)站中再選取100家可能收集個(gè)人婚戀、金融等敏感信息的網(wǎng)站加以分析。研究發(fā)現(xiàn),幾乎所有的網(wǎng)站都收集個(gè)人信息。論文稱:“我們有必要知道這些網(wǎng)站在收集信息的時(shí)候,是否較好遵守了《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。法律要求所有網(wǎng)站必須明示收集信息的目的、方式和范疇。這是個(gè)硬性要求,集中體現(xiàn)在各個(gè)網(wǎng)站的隱私政策聲明(含信息保護(hù)政策)是否合規(guī)上?!?/p>
論文的統(tǒng)計(jì)結(jié)果顯示,大部分網(wǎng)站都沒有把明示原則所要求的三類信息明確告知用戶,尤其是教育類網(wǎng)站在此方面的表現(xiàn)最差,但其收集信息的比例卻最高。
法律規(guī)定,將哪些隱私信息提供給網(wǎng)站,從而獲得哪些定制信息,用戶應(yīng)該有選擇權(quán),并且能在提供之后還能對其中的某一部分進(jìn)行選擇性加入和退出;同時(shí),用戶也應(yīng)該有權(quán)刪除或更改在網(wǎng)站上的個(gè)人信息。
但該研究的實(shí)際結(jié)果是:部分網(wǎng)站隱私政策中包含了選擇性退出機(jī)制,但比例都不高。其中,商業(yè)類網(wǎng)站和敏感類網(wǎng)站勉強(qiáng)達(dá)到20%以上,其他類型的網(wǎng)站均不超過5%。包含選擇性加入機(jī)制的網(wǎng)站比例也不高,除了社會(huì)組織類網(wǎng)站超過20%之外,其他類型的網(wǎng)站均不超過6%。大部分網(wǎng)站均表示,注冊該網(wǎng)站就表明已默認(rèn)將接受相關(guān)推送服務(wù)。
在四類獨(dú)立分類并具有隱私政策的網(wǎng)站中,“聲稱用戶有權(quán)刪除其個(gè)人信息”這一項(xiàng),政府類網(wǎng)站的比例最高,達(dá)到52%,商業(yè)類網(wǎng)站則為30%,社會(huì)組織類則僅為16%。教育類網(wǎng)站中,沒有一個(gè)網(wǎng)站提供用戶有權(quán)刪除其個(gè)人信息的聲明。敏感網(wǎng)站此項(xiàng)數(shù)據(jù)僅為30%。而“聲稱用戶有權(quán)更正其個(gè)人信息”的統(tǒng)計(jì)結(jié)果則比前項(xiàng)稍高。
另外讓人遺憾的是,這些被統(tǒng)計(jì)的網(wǎng)站里,隱私政策的聲明絕大部分放在網(wǎng)頁底部,并不起眼。
Facebook此次用戶數(shù)據(jù)泄露丑聞曝光后,有用戶在社交媒體上掀起了一場名為“刪除Facebook”的運(yùn)動(dòng),不僅埃隆·馬斯克響應(yīng),注銷了自己兩家公司SpaceX和Tesla在Facebook的官方主頁,甚至連已被Facebook收購的WhatsApp的聯(lián)合創(chuàng)始人布萊恩·阿克頓也加入此行列。
當(dāng)然,“刪除Facebook”并不能讓人們徹底放棄社交媒體,也不能解決Facebook們的問題。想要讓這些互聯(lián)網(wǎng)大鱷在保護(hù)用戶信息安全上“不作惡”,還得想其他的辦法。
最有力的是法律的頂層設(shè)計(jì)。以國內(nèi)為例,2015年7月1日,《國家安全法》實(shí)施,其中明確提出了要“加強(qiáng)網(wǎng)絡(luò)管理,防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為,維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”。2017年6月1日實(shí)施的《網(wǎng)絡(luò)安全法》中明確要求“廠商收集和使用用戶信息,需要明示同意,明確披露信息用途、適用范圍、時(shí)效等”。國家正通過法律法規(guī),劃定對用戶隱私保護(hù)的范圍和互聯(lián)網(wǎng)公司對用戶數(shù)據(jù)使用的邊際。
不過,我國目前尚未形成對公民個(gè)人信息權(quán)利保護(hù)的完整法律法規(guī),法條散落于網(wǎng)絡(luò)安全、消費(fèi)者權(quán)益保護(hù)領(lǐng)域,且多是概括性、原則性的規(guī)定,缺乏震懾力,直接導(dǎo)致商家違法成本低,消費(fèi)者維權(quán)成本高,商家很難抑制自己盡可能多收集、使用用戶信息的沖動(dòng),而消費(fèi)者面對格式合同只能一路“同意”。
而且,現(xiàn)有的法律條款還有互相沖突的嫌疑。例如,對電子商務(wù)經(jīng)營者能否出售消費(fèi)者的個(gè)人信息,法律至今沒有明確統(tǒng)一的規(guī)定。《網(wǎng)絡(luò)安全法》第44條規(guī)定經(jīng)營者不得非法出售個(gè)人信息,而《消費(fèi)者權(quán)益保護(hù)法》則規(guī)定經(jīng)營者不得出售個(gè)人信息,正在制定中的《電子商務(wù)法》對此也只做了模糊處理。然而,在法律界內(nèi)部,普遍的觀點(diǎn)是個(gè)人信息屬于消費(fèi)者,電子商務(wù)經(jīng)營者出于提供服務(wù)的需要,在征得消費(fèi)者授權(quán)的前提下可以合理收集使用,但不能出售,因此沒有合法和非法之分。
然后就是行業(yè)的自律。
面對保護(hù)用戶隱私問題時(shí),互聯(lián)網(wǎng)科技公司往往會(huì)擺出“技術(shù)中立”的理念來為自己辯護(hù)。不僅僅是Facebook,搜索引擎上的虛假醫(yī)療廣告、視頻網(wǎng)站用戶上傳的盜版視頻、直播平臺上的低俗內(nèi)容等,都在反復(fù)凸顯同一個(gè)問題——技術(shù)是不是中立的,平臺如何制定規(guī)則。
事實(shí)是,當(dāng)這個(gè)規(guī)則與商業(yè)利益沖突時(shí),互聯(lián)網(wǎng)企業(yè)基本都選擇了后者。Facebook為什么不斷提示和鼓勵(lì)用戶分享個(gè)人信息和生活細(xì)節(jié),是因?yàn)樗窟@些信息賺錢。目前,F(xiàn)acebook超過90%的收入來自廣告,它每天的廣告收入達(dá)幾千萬美元。社交網(wǎng)絡(luò)屬性使得它擁有大量用戶數(shù)據(jù);用戶數(shù)據(jù)加上算法,能幫助廣告商進(jìn)行最精準(zhǔn)的廣告投放。
當(dāng)下的大數(shù)據(jù)時(shí)代、人工智能時(shí)代,數(shù)據(jù)就是科技發(fā)展的推進(jìn)劑,而用戶信息又是數(shù)據(jù)中的核心,互聯(lián)網(wǎng)企業(yè)必然有收集使用用戶信息的強(qiáng)烈沖動(dòng),這個(gè)是無法抑制的。問題在于,如何界定哪些數(shù)據(jù)應(yīng)該被使用?哪些不應(yīng)該?不懂技術(shù)的個(gè)人用戶又如何做出自我選擇?
2018年3月26日,百度創(chuàng)始人李彥宏在中國高層發(fā)展論壇上關(guān)于用戶隱私保護(hù)的一席發(fā)言,意味深長。他說:百度在當(dāng)下會(huì)更加注重隱私問題,中國也在加強(qiáng)法律法規(guī)的建設(shè),“我想中國人可以更加開放,對隱私問題沒有那么敏感,如果他們愿意用隱私交換便捷性,很多情況下他們是愿意的,那我們就可以用數(shù)據(jù)做一些事情。但我們要遵循一定的原則,如果數(shù)據(jù)會(huì)使用者受益,他也愿意,我們就會(huì)去做,這是我們的基本原則。這就是什么該做的,什么不該做”。
這或許能代表一部分互聯(lián)網(wǎng)企業(yè)領(lǐng)軍人物的理念。然而關(guān)鍵在于,對于互聯(lián)網(wǎng)企業(yè),個(gè)人用戶到底怎么能判斷是不是該說“愿意”?如果用戶說了“愿意”,企業(yè)會(huì)真的把自身利益放于次位,首先為用戶去評估他是不是真的能受益嗎?這樣的平衡權(quán)和判斷權(quán),若只在企業(yè)手里,恐怕我們看到的不可能是自律。