Facebook們 到底可惡在哪里

王煜

“我們有責任保護好用戶的數據，如果我們做不到就不配服務你們?！痹谂e世聲討“泄露用戶數據”的聲浪中沉默了數天之后，Facebook創始人、CEO扎克伯格終于開始在各種媒體上發表了這樣的聲明，并提出了一系列整改措施。問題是，冰凍三尺非一日之寒，經歷此劫，Facebook就能浴火重生了嗎？何況，還有那么多擁有巨量用戶的互聯網服務提供商，它們給我們帶來的信息安全隱患，其實一點也不比Facebook少。

信息保護“千瘡百孔”

此次數據泄露事件中，劍橋大學的心理學教授及數據科學家亞歷山大·考根在2014年開發出一款性格測試App，通過合法的方式從Facebook取得了5000萬用戶的數據，但沒有按照約定用于學術研究，轉而將數據賣給了“劍橋分析”公司，后者進一步主導了現在我們知道的可能操控美國大選的一系列事件。

Facebook稱：考根并沒有將售賣用戶數據的事實告知Facebook，當數據流向第三方時，也就脫離了Facebook的掌控范圍。

這樣的聲明顯然是“甩鍋”。實際上，公眾對Facebook最大的憤怒就來源于它很早就獲知考根的違規，但沒有采取到位的補救措施。2015年，Facebook發現考根把用戶數據轉賣后，禁掉了他的App，并要求他和劍橋分析公司刪除這些數據。關鍵是，Facebook只是寄了一份刪除數據的通知書給考根，希望他在刪除數據后在通知書中確認，至于考根和劍橋分析公司有沒有真的這么做，Facebook并未跟蹤，于是釀成如今的災難。

扎克伯格公布了一系列整改措施，包括：檢查所有在隱私政策更新以前上架的App，審查可疑行為的應用；限制開發者的數據使用權限，比如在獲取用戶數據之后，如果用戶在3個月內沒有再次使用該App，Facebook會自動刪除用戶數據；重新設計產品，告訴用戶，哪些App正在獲取隱私；擴大網絡安全與內容審查團隊等。

但公眾對此并不買賬。原因從扎克伯格本身的表態中可以推測——扎克伯格公開回應此次數據泄露事件后，在接受CNN采訪時表示：不管是對干涉選舉還是假新聞，“2016年我們沒有做到應該做的，沒有把這一系列問題放到重中之重?！彼f，之后的法國大選、2018年美國中期選舉、世界各地的選舉中，Facebook已采用或將采用一些人工智能工具來排除對選舉的干擾?！拔覀兛梢杂萌斯ぶ悄芄ぞ吒玫刈粉欉@些賬號，掃描和觀察到正在發生什么。作為一個20億人的社區，我不能保證我們什么都能發現。但是我能承諾的是，我們會讓那些破壞者做事情盡可能困難。我認為對此我們已經做得比以前好得多?！?/p>

正如他的話所暗示的，Facebook此前在保護用戶信息安全上做得實在是不怎么樣。2011年11月，美國聯邦貿易委員會就懷疑Facebook在隱私方面欺騙用戶，對其進行了調查，最終以雙方達成協議告終。協議要求，如果Facebook要在隱私設定范圍之外獲取用戶數據，必須經過用戶許可。更早的2010年，黑客行為導致Facebook1億多名用戶資料外泄，該黑客表示，自己只用了一條非常簡單的代碼就收集到了總量達2.8G的信息，他這樣做的目的“是讓人們重視保護自己的隱私”。業界認為數據泄露的原因是Facebook的隱私設置系統過于復雜，讓用戶在自己并不知情的情況下，就將信息公布給大眾。當時，扎克伯格的回應是“相信公司已經有了完善的隱私設置系統”。

另外，Facebook旗下的Messenger、Lifestage等App，都被指出存在用戶信息泄漏的隱患。原Facebook平臺運營經理Sandy Parakilas透露，Facebook一直缺乏對第三方開發者使用數據的監管，秘密收集數據已成慣例。Sandy表示他曾警告過Facebook的高管們，公司對數據保護的缺乏可能會造成嚴重后果。但從屢次發生的泄漏事件來看，Facebook顯然沒有接受這一建議。

前亞馬遜首席科學家，斯坦福大數據教授Andreas Weigend對此評價：“已經有很多偽科研機構打著科研的名義從Facebook獲取了大量數據。Facebook并不是真正在關心用戶，如果它真的關心，數據泄露之后它就會去解決?！?/p>

說到保護用戶數據的漏洞，Facebook“并不孤獨”，國外的互聯網大企業幾乎無一幸免，雅虎之前被爆出泄露了高達10億的用戶郵箱密碼數據；美國信用機構Equifax數據泄露事件影響的1.43億名用戶，更需要擔心自己的財產安全，因為泄露的數據里包含了姓名、住所、生日、地址和社保號等機密信息。

就連系統封閉，一直鼓吹自己安全性的蘋果公司也逃不掉。2014年蘋果iCloud“艷照門”泄露了好萊塢女星的大量隱私照片，盡管后來肇事黑客承認采用的是偽造官方客服郵箱直接騙取密碼的手段，但其他黑客很快揪出了蘋果在用戶信息上的其他漏洞，這個漏洞可以讓黑客使用腳本程序反復猜測iCloud的用戶密碼，蘋果既不會強制停止，也不會給正被攻擊的用戶發出任何警報。

國內風景“并不獨好”

國外Facebook們的安全防范“漏洞百出”，國內的互聯網巨頭們做得又如何呢？

2018年剛開年，支付寶年度賬單刷屏朋友圈，但很快人們發現，支付寶年度賬單第一頁默認勾選“我同意《芝麻服務協議》”，如果用戶未取消勾選，將允許支付寶收集用戶的信息，包括用戶保存在第三方的信息。在被曝光后，螞蟻信用迅速進行了道歉，稱這一行為“非常傻，愚蠢至極”，但這一手究竟是有意為之還是無心之失，恐怕很難說清。

2018年1月5日，江蘇省消保委宣布已對百度旗下的幾款App涉嫌違法獲取消費者個人信息及相關問題提起消費民事公益訴訟，并已獲南京市中級人民法院正式立案。

BAT在這個領域的麻煩向來很多。例如，加拿大多倫多大學的信息安全研究機構Citizen Lab于2016年發布報告稱， 位居中國移動瀏覽器前列的阿里UC瀏覽器、騰訊QQ瀏覽器和百度瀏覽器的數據安全隱患不容小覷。

該報告顯示，這三大瀏覽器收集用戶的搜索項、與用戶精確位置相關的數據以及特定智能手機和 PC 的唯一設備標識碼。這樣的安全隱患使得數億用戶的個人信息易于被非法獲取。另外，應用升級過程中存在的漏洞可能會令攻擊者在應用中嵌入隱藏的間諜軟件或惡意軟件，只是目前還沒有實際發生網絡攻擊的報告公布。

Citizen Lab表示，這三大瀏覽器在傳輸數據時要么不加密，要么使用了較弱的加密方法。報告稱：“用戶一般意識不到這些風險，不知道這些數據正被收集和傳輸，可能也不知道應用在升級過程中遭到惡意軟件攻擊后設備上或許就會被安裝上惡意代碼?！?/p>

如果人們回溯歷史，360攝像頭直播問題是直接把路人的隱私置于眾目睽睽之下；而菜鳥和順豐、京東和天天快遞、華為與騰訊的用戶數據之爭中，商家們在“神仙打架”時，廣大用戶的隱私成為最脆弱的、最可能受侵害的對象。

國內互聯網信息提供者對用戶隱私的保護情況究竟如何，我們也能從學者做的定量實證研究中一窺究竟。上海交通大學邵國松教授領銜的研究團隊選取了我國500家頗具影響力的網站，對其隱私政策聲明、個人信息保護政策進行分析，考察這些網站是否很好地執行了《網絡安全法》中對用戶信息保護相關條款。在近日發布的相關論文中，結果并不樂觀。

該研究將500家網站分為政府類、社會組織類、教育類、商業類這四類，同時在這四類網站中再選取100家可能收集個人婚戀、金融等敏感信息的網站加以分析。研究發現，幾乎所有的網站都收集個人信息。論文稱：“我們有必要知道這些網站在收集信息的時候，是否較好遵守了《網絡安全法》的相關規定。法律要求所有網站必須明示收集信息的目的、方式和范疇。這是個硬性要求，集中體現在各個網站的隱私政策聲明（含信息保護政策）是否合規上?！?/p>

論文的統計結果顯示，大部分網站都沒有把明示原則所要求的三類信息明確告知用戶，尤其是教育類網站在此方面的表現最差，但其收集信息的比例卻最高。

法律規定，將哪些隱私信息提供給網站，從而獲得哪些定制信息，用戶應該有選擇權，并且能在提供之后還能對其中的某一部分進行選擇性加入和退出；同時，用戶也應該有權刪除或更改在網站上的個人信息。

但該研究的實際結果是：部分網站隱私政策中包含了選擇性退出機制，但比例都不高。其中，商業類網站和敏感類網站勉強達到20%以上，其他類型的網站均不超過5%。包含選擇性加入機制的網站比例也不高，除了社會組織類網站超過20%之外，其他類型的網站均不超過6%。大部分網站均表示，注冊該網站就表明已默認將接受相關推送服務。

在四類獨立分類并具有隱私政策的網站中，“聲稱用戶有權刪除其個人信息”這一項，政府類網站的比例最高，達到52%，商業類網站則為30%，社會組織類則僅為16%。教育類網站中，沒有一個網站提供用戶有權刪除其個人信息的聲明。敏感網站此項數據僅為30%。而“聲稱用戶有權更正其個人信息”的統計結果則比前項稍高。

另外讓人遺憾的是，這些被統計的網站里，隱私政策的聲明絕大部分放在網頁底部，并不起眼。

如何可以“不作惡”？

Facebook此次用戶數據泄露丑聞曝光后，有用戶在社交媒體上掀起了一場名為“刪除Facebook”的運動，不僅埃隆·馬斯克響應，注銷了自己兩家公司SpaceX和Tesla在Facebook的官方主頁，甚至連已被Facebook收購的WhatsApp的聯合創始人布萊恩·阿克頓也加入此行列。

當然，“刪除Facebook”并不能讓人們徹底放棄社交媒體，也不能解決Facebook們的問題。想要讓這些互聯網大鱷在保護用戶信息安全上“不作惡”，還得想其他的辦法。

最有力的是法律的頂層設計。以國內為例，2015年7月1日，《國家安全法》實施，其中明確提出了要“加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發展利益”。2017年6月1日實施的《網絡安全法》中明確要求“廠商收集和使用用戶信息，需要明示同意，明確披露信息用途、適用范圍、時效等”。國家正通過法律法規，劃定對用戶隱私保護的范圍和互聯網公司對用戶數據使用的邊際。

不過，我國目前尚未形成對公民個人信息權利保護的完整法律法規，法條散落于網絡安全、消費者權益保護領域，且多是概括性、原則性的規定，缺乏震懾力，直接導致商家違法成本低，消費者維權成本高，商家很難抑制自己盡可能多收集、使用用戶信息的沖動，而消費者面對格式合同只能一路“同意”。

而且，現有的法律條款還有互相沖突的嫌疑。例如，對電子商務經營者能否出售消費者的個人信息，法律至今沒有明確統一的規定?！毒W絡安全法》第44條規定經營者不得非法出售個人信息，而《消費者權益保護法》則規定經營者不得出售個人信息，正在制定中的《電子商務法》對此也只做了模糊處理。然而，在法律界內部，普遍的觀點是個人信息屬于消費者，電子商務經營者出于提供服務的需要，在征得消費者授權的前提下可以合理收集使用，但不能出售，因此沒有合法和非法之分。

然后就是行業的自律。

面對保護用戶隱私問題時，互聯網科技公司往往會擺出“技術中立”的理念來為自己辯護。不僅僅是Facebook，搜索引擎上的虛假醫療廣告、視頻網站用戶上傳的盜版視頻、直播平臺上的低俗內容等，都在反復凸顯同一個問題——技術是不是中立的，平臺如何制定規則。

事實是，當這個規則與商業利益沖突時，互聯網企業基本都選擇了后者。Facebook為什么不斷提示和鼓勵用戶分享個人信息和生活細節，是因為它要靠這些信息賺錢。目前，Facebook超過90%的收入來自廣告，它每天的廣告收入達幾千萬美元。社交網絡屬性使得它擁有大量用戶數據；用戶數據加上算法，能幫助廣告商進行最精準的廣告投放。

當下的大數據時代、人工智能時代，數據就是科技發展的推進劑，而用戶信息又是數據中的核心，互聯網企業必然有收集使用用戶信息的強烈沖動，這個是無法抑制的。問題在于，如何界定哪些數據應該被使用？哪些不應該？不懂技術的個人用戶又如何做出自我選擇？

2018年3月26日，百度創始人李彥宏在中國高層發展論壇上關于用戶隱私保護的一席發言，意味深長。他說：百度在當下會更加注重隱私問題，中國也在加強法律法規的建設，“我想中國人可以更加開放，對隱私問題沒有那么敏感，如果他們愿意用隱私交換便捷性，很多情況下他們是愿意的，那我們就可以用數據做一些事情。但我們要遵循一定的原則，如果數據會使用者受益，他也愿意，我們就會去做，這是我們的基本原則。這就是什么該做的，什么不該做”。

這或許能代表一部分互聯網企業領軍人物的理念。然而關鍵在于，對于互聯網企業，個人用戶到底怎么能判斷是不是該說“愿意”？如果用戶說了“愿意”，企業會真的把自身利益放于次位，首先為用戶去評估他是不是真的能受益嗎？這樣的平衡權和判斷權，若只在企業手里，恐怕我們看到的不可能是自律。