Facebook數(shù)據(jù)泄露事件的殘酷真相

Facebook目前進入到了一個痛苦的階段。這個痛苦的階段并不是最近幾天“劍橋分析”公司（Cambridge Analytica LLC）被爆出和Facebook相關(guān)的丑聞才開始的。早在特朗普當(dāng)選美國總統(tǒng)前后，就有各種傳言談到俄羅斯通過干預(yù)社交媒體的內(nèi)容來影響互聯(lián)網(wǎng)用戶的投票決策。

李軍?作者為科技與互聯(lián)網(wǎng)資深分析師

2017年12月，知名的互聯(lián)網(wǎng)分析公司CBInsights發(fā)布的報告顯示，最近十年以來評價最負面的高科技巨頭中Facebook高居榜首。有近六成的被訪者對Facebook的評價最為負面，而第二名亞馬遜只有11%。

這次“劍橋分析”公司涉嫌利用來自Facebook的數(shù)據(jù)影響多國大選，進一步強化了公眾和媒體對于Facebook的負面形象。個人隱私、資本、暴利、干預(yù)政治，各種奪人眼球的標(biāo)簽被貼在了Facebook的頭上。那么Facebook到底做了什么突破認(rèn)知底線的惡行呢？我們從數(shù)據(jù)范圍、數(shù)據(jù)獲取、Facebook能做什么和數(shù)據(jù)應(yīng)用四個環(huán)節(jié)分析一下這個事件的來龍去脈以及Facebook需要承擔(dān)的責(zé)任。

Facebook泄露了什么？

Facebook本質(zhì)上只是一個公告板，基于社交關(guān)系鏈接的個人公告板。每個人都擁有在自己的公告板上發(fā)布信息的權(quán)利，同時可以與他人建立好友關(guān)系并獲取對方發(fā)布的信息。Facebook創(chuàng)立之初的設(shè)計，就是用戶自我發(fā)布自我管理。

Facebook提供了多種粒度的個人信息開放控制手段供用戶選擇發(fā)布信息的范圍。不管是所有人可見，還是好友可見，用戶都很清楚自己在Facebook上發(fā)布的信息是面向公眾或部分公眾的。

對于社交網(wǎng)絡(luò)和其上的海量數(shù)據(jù)，無論是社交平臺本身、用戶、第三方使用者和政府，都沒有充分意識到其中蘊含的巨大能量。

其中如果包含了個人隱私的話，也是用戶自己主動向特定對象或不特定對象公開的。被授權(quán)訪問這些個人信息的對象完全可以將此信息傳播到更大的范圍，而這往往是平臺難以約束的。就如同用戶在微博里綁定了第三方應(yīng)用并授權(quán)它以自己的名義發(fā)布微博，結(jié)果應(yīng)用以用戶的名義發(fā)布了應(yīng)用推廣一樣，這和微博平臺本身是沒有關(guān)系的。

從社交網(wǎng)絡(luò)平臺出現(xiàn)以來，大眾對于個人信息的發(fā)布經(jīng)常是處于無知并且無畏的態(tài)度。舉例來說，個人性取向是一個非常敏感的個人信息，但絕大部分用戶在使用社交網(wǎng)絡(luò)時對公開個人性取向卻并不避諱。一些年輕人甚至選擇Facebook作為他們正式出柜的宣言。他們將Facebook上的性取向改為對“男性”或?qū)Α芭浴庇信d趣并設(shè)置公開顯示，這在線下場合往往是很少見到的。用戶對發(fā)布如此個性化的敏感信息都如此輕率，對其他個人信息的態(tài)度可想而知。

Facebook上有沒有應(yīng)該受系統(tǒng)嚴(yán)格保護的用戶隱私數(shù)據(jù)呢？當(dāng)然有。用戶使用Facebook的時間、地點、設(shè)備信息，用戶在Facebook上的瀏覽行為與私信，都是用戶使用Facebook產(chǎn)生的且未對外發(fā)布的信息。

從目前的報道來看，“劍橋分析”沒有獲得任何超范圍授權(quán)的用戶發(fā)布的信息，真正沒有被授權(quán)發(fā)布的個人隱私信息也并沒有流出Facebook。

政府的責(zé)任何在

社交媒體平臺為了提供更多的差異化服務(wù)，會提供程序訪問公開信息的接口，以鼓勵第三方在獲取用戶授權(quán)的前提下抓取用戶信息，并基于用戶信息提供有針對性的服務(wù)。我們在微博微信上使用的各種非官方小工具，都是這樣性質(zhì)的服務(wù)。

李軍

“劍橋分析”的數(shù)據(jù)提供方“全球科學(xué)研究”（GSR）正是依靠Facebook提供的合法途徑，通過制作個人性格測試應(yīng)用吸引了近30萬用戶向其開放授權(quán)，從而獲取了這些用戶和其社交關(guān)系上所有好友公開發(fā)布的信息，共計牽涉到近5000萬Facebook的注冊用戶。

用戶授權(quán)真實有效，數(shù)據(jù)獲取通過官方渠道，F(xiàn)acebook對于第三方應(yīng)用的管理原則也是目前互聯(lián)網(wǎng)行業(yè)通用的方式。

換句話說，此次事件被定義為個人隱私數(shù)據(jù)泄露是很牽強的，因為數(shù)據(jù)完全是遵循當(dāng)時的管理框架下被GSR獲取的。如果Facebook最終被政府認(rèn)定造成了個人隱私數(shù)據(jù)泄露，那么這個泄露也完全和技術(shù)無關(guān)，而是管理原則和監(jiān)管方式不當(dāng)造成的。

管理原則和監(jiān)管方式不當(dāng)完全是Facebook的責(zé)任嗎？其實政府也需要一起背鍋。

2017年8月，美國聯(lián)邦法院裁定全球最大的職業(yè)社交平臺領(lǐng)英（LinkedIn）不得屏蔽第三方初創(chuàng)公司通過網(wǎng)絡(luò)爬蟲抓取用戶的公開信息。領(lǐng)英作為全球最大的職業(yè)社交平臺，擁有超過5億個注冊用戶。其中的大部分用戶出于職業(yè)需要會發(fā)布自己的教育背景、職業(yè)經(jīng)歷及職業(yè)人脈網(wǎng)絡(luò)，而且信息真實度極高。這些有巨大影響力的社交平臺出于信息保護和防止濫用的目的屏蔽第三方公司的網(wǎng)絡(luò)爬蟲，卻被美國聯(lián)邦法院最終判定為非法。

結(jié)合Facebook的案例來看，恰恰說明了美國政府自身對社交網(wǎng)絡(luò)上用戶信息的保護與監(jiān)管原則都是混亂和自相矛盾的。

對于社交網(wǎng)絡(luò)和其上的海量數(shù)據(jù)，無論是社交平臺本身、用戶、第三方使用者和政府，都沒有充分意識到其中蘊含的巨大能量。公眾一旦意識到了這一點，那就一定需要尋找恐懼情緒發(fā)泄的“替罪羊”，這也是Facebook被公眾和媒體強烈批評的核心原因。

Facebook做錯了什么？

2014年開始，F(xiàn)acebook要求第三方應(yīng)用在抓取已授權(quán)用戶社交關(guān)系上的好友公開信息時，同時必須得到被抓取好友的授權(quán)。但“劍橋分析”所使用的應(yīng)用在2013年發(fā)布，也就是新規(guī)則生效前就完成了用戶授權(quán)和數(shù)據(jù)抓取的工作。2014年及以后出現(xiàn)的嚴(yán)格授權(quán)只是讓“劍橋分析”無法進一步獲取更新的數(shù)據(jù)。Facebook認(rèn)識到了第三方應(yīng)用抓取用戶數(shù)據(jù)的潛在風(fēng)險，并力圖加以約束，但數(shù)據(jù)流出已經(jīng)既成事實。

面對用戶發(fā)布個人隱私數(shù)據(jù)和授權(quán)第三方應(yīng)用訪問時的輕率，F(xiàn)acebook能夠做的只是充分告知和嚴(yán)格審核。一旦第三方應(yīng)用滿足了授權(quán)要求，用戶數(shù)據(jù)轉(zhuǎn)移到了第三方應(yīng)用那里，F(xiàn)acebook就已經(jīng)失去了管理和控制的能力。

Facebook只是收集了客戶發(fā)布的信息，存儲客戶的社交關(guān)系，并提供給經(jīng)過授權(quán)的公眾和第三方使用。它在數(shù)據(jù)安全管理方面并不比其他社交平臺更差。

但是在個人信息泛濫的今天，F(xiàn)acebook成為了最易于遭受攻擊的目標(biāo)。不論是社交平臺、用戶還是政府，對于如何管理個人信息以避免潛在的濫用風(fēng)險，到今天都沒有找到公認(rèn)的簡單有效的管理手段。在未來相當(dāng)長一段時間內(nèi)，這個問題一直都將是整個社會走向數(shù)字化信息化的挑戰(zhàn)。

我認(rèn)為Facebook唯一可以被指責(zé)的，就是發(fā)現(xiàn)“劍橋分析”獲得海量用戶數(shù)據(jù)后有可能用于其他用途時，應(yīng)該及時告知政府潛在的影響，并盡早通過政府的力量來控制數(shù)據(jù)的擴散和應(yīng)用范圍。

很可惜Facebook沒有及時選擇引入政府處理這一復(fù)雜的事件，從而導(dǎo)致數(shù)據(jù)應(yīng)用范圍失控，自身形象也在媒體曝光后遭受重大損失。

誰該審視自身？

“全球科學(xué)研究”和“劍橋分析”毫無疑問是這次個人信息濫用的罪魁禍?zhǔn)?，理?yīng)受到嚴(yán)厲懲罰。Facebook作為數(shù)據(jù)平臺的管理者，當(dāng)然也負有重要責(zé)任。公眾應(yīng)該從千夫所指Facebook的情緒中清醒過來。

作為一個數(shù)字化時代的公民，保護自己的數(shù)字資產(chǎn)受限是自己的責(zé)任。自己應(yīng)該對哪怕是小范圍發(fā)布個人信息的風(fēng)險都要有清醒認(rèn)識。認(rèn)為這次事件中那30萬授權(quán)用戶只是受害者的觀點是錯誤的。

“劍橋分析”之所以能夠獲取高達近5000萬用戶的信息，就是依靠那近30萬授權(quán)用戶無知無畏的行為——他們向應(yīng)用開放的除了自己的個人信息，還包括自己社交網(wǎng)上所有好友的個人信息和Facebook上的活動，如點贊、評論等。而這些授權(quán)用戶都是社交網(wǎng)絡(luò)的活躍分子，在Facebook上的人均好友數(shù)超過160。于是他們輕率愚蠢的行為讓自己160個以上的好友信息暴露在數(shù)據(jù)抓取工具的面前，最終受害者從30萬躍升到了5000萬。

有人認(rèn)為，F(xiàn)acebook的GraphAPI開放了用戶隱私數(shù)據(jù)訪問權(quán)限，如“我”“動作”“活動”“生日”等，這是它在這次事件中的重要責(zé)任。需要強調(diào)的是，隱私數(shù)據(jù)和可授權(quán)訪問是兩個不同的范疇。就算是隱私數(shù)據(jù)，如果用戶合法授權(quán)，在現(xiàn)有的規(guī)則下也是一樣可以訪問的。也就是說，如果“全球科學(xué)研究”應(yīng)用獲得了相關(guān)用戶授權(quán)，當(dāng)然可以獲取這些隱私數(shù)據(jù)。

現(xiàn)實就是這么殘酷。

近期，李彥宏在一個重要的國家級論壇上說，中國人對隱私問題沒有那么敏感，很多情況下愿意用隱私交換便捷性。這段話引來千夫所指。引發(fā)我們思考的是，在互聯(lián)網(wǎng)時代，我們應(yīng)該像看守著自己的錢包一樣看守自己的數(shù)字資產(chǎn)。你的數(shù)字資產(chǎn)在很大程度上會出賣你的一切。就像警察不可能制止所有偷盜錢包的行為，不論是平臺還是政府監(jiān)管機構(gòu)，都不可能完全封殺竊取個人信息的威脅。

移動互聯(lián)網(wǎng)時代的個人信息管理對各方都是一個全新的挑戰(zhàn)。目前從產(chǎn)業(yè)界、政府到公眾認(rèn)識都沒有形成一套行之有效的監(jiān)管原則和管理方法。

隨著大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能時代的來臨，更多的個人數(shù)據(jù)將會被海量的智能設(shè)備生產(chǎn)出來。從智能攝像頭到聲音采集設(shè)備，再加上各種智能交通與監(jiān)控設(shè)備，每個人將無時無刻不被智能設(shè)備識別、跟蹤、采集信息。當(dāng)這些信息在公眾區(qū)域采集并被加上個人識別特征后，數(shù)據(jù)的所有權(quán)和應(yīng)用范圍就成為新的應(yīng)用和監(jiān)管難題。

以AmazonGo商店為例，客戶在商店內(nèi)的數(shù)字化行為信息到底是Amazon所有還是客戶所有？Amazon是否可以通過信息交易獲取收益？這些都是數(shù)字化世界的新問題。

盡管歐盟制定了嚴(yán)厲的通用數(shù)據(jù)保護條例（GDPR）并將在今年5月生效，但其管理的有效性和對數(shù)據(jù)產(chǎn)業(yè)創(chuàng)新的負面影響目前還有待觀察。個人信息管理面臨的復(fù)雜情況遠遠超出普通大眾的認(rèn)識，這既不是Facebook一家的問題，更不是技術(shù)層面上可以解決的問題。

（作者為科技與互聯(lián)網(wǎng)資深分析師，編輯：謝麗容）