全球最大的社交平臺Facebook正在遭遇一場空前的危機。
日前,一家名為Cambridge Analytica的數(shù)據(jù)分析公司��,在未經(jīng)用戶允許的情況下�,竊取了高達(dá)5000萬名Facebook用戶的個人資料。更為關(guān)鍵的是�,該公司是通過與Facebook的合作而獲取上述信息的,因此�,F(xiàn)acebook被質(zhì)疑對用戶信息管理不善。
3月22日���,F(xiàn)acebook創(chuàng)始人馬克·扎克伯格就此事發(fā)布聲明�,承認(rèn)公司沒有保護(hù)好用戶數(shù)據(jù)���,并表示將通過采取一系列嚴(yán)格的措施以確保不會再發(fā)生類似事件���。
扎克伯格在聲明中指出,F(xiàn)acebook自2014年起加強了第三方開發(fā)者獲取用戶信息的限制���,而此次泄露的信息均來自2014年之前���。同時,F(xiàn)acebook在2015年曾要求Cambridge Analytica公司刪除相關(guān)數(shù)據(jù)���。但事實是�����,Cambridge Analytica沒有按照要求執(zhí)行����。
據(jù)彭博社報道�����,知情人士透露����,美國聯(lián)邦貿(mào)易委員會(FTC)正在調(diào)查Facebook是否違反了它與聯(lián)邦貿(mào)易委員會在2011年簽署的同意法令,允許Cambridge Analytica獲取用戶的個人數(shù)據(jù)���。 在2011年�,F(xiàn)acebook與FTC關(guān)于用戶隱私問題達(dá)成協(xié)議��,其中涉及到第三方應(yīng)用獲取所需用戶信息后�����,可以逾規(guī)獲取所有用戶數(shù)據(jù)等多項問題。在最近的關(guān)于Cambridge Analytica獲取5千萬用戶的個人數(shù)據(jù)的問題上��,F(xiàn)TC正在調(diào)查Facebook是否違反協(xié)議�。此外,歐盟一些議員也要求對Facebook展開調(diào)查��。
360安全專家安揚向21世紀(jì)經(jīng)濟(jì)報道記者表示��,對于Facebook來說���,其最大的責(zé)任是沒有能夠?qū)Φ谌綉?yīng)用做好全面深入的審查��,并且對用戶數(shù)據(jù)的使用也沒有做好監(jiān)管��。
“信任破產(chǎn)”
通過扎克伯格的聲明可以發(fā)現(xiàn)����,數(shù)據(jù)泄露的核心聚焦于第三方應(yīng)用平臺�。2007年,F(xiàn)acebook推出了開放平臺���,允許第三方應(yīng)用接入�,同時���,用戶在用Facebook賬戶登陸應(yīng)用時����,也會授權(quán)這些應(yīng)用使用其個人信息���。
2013年,劍橋大學(xué)的研究人員Aleksandr Kogan在Facebook上開發(fā)出一款性格測試應(yīng)用�����,最終有約30萬用戶進(jìn)行了安裝����。同時,該應(yīng)用除了獲取參與用戶的個人信息外����,還獲取了這些用戶社交好友的信息。這也是報道稱有近5000萬用戶信息遭泄露的原因����。
當(dāng)時Facebook平臺上此類測試應(yīng)用非常常見,用戶也很樂于參與這些性格測驗��。到了2014年,F(xiàn)acebook或許感知到了大量第三方應(yīng)用可能帶來的數(shù)據(jù)安全風(fēng)險�����,便加強了對用戶數(shù)據(jù)的管理��。比如第三方應(yīng)用不能通過某個用戶獲取其社交好友的數(shù)據(jù),同時��,開發(fā)者在獲取任何敏感數(shù)據(jù)前�,都需要經(jīng)過Facebook的批準(zhǔn)。
在這樣的規(guī)則下���,Aleksandr Kogan的應(yīng)用最多只能獲得30萬用戶的信息�。但當(dāng)時����,新規(guī)發(fā)布時,Aleksandr Kogan的應(yīng)用已經(jīng)獲取了大量用戶信息��,與此同時����,F(xiàn)acebook也沒有針對較早發(fā)布的應(yīng)用���,采取相關(guān)措施進(jìn)行數(shù)據(jù)追蹤。
2015年��,F(xiàn)acebook通過《衛(wèi)報》記者了解到���,Aleksandr Kogan向Cambridge Analytica公司分享了其獲得的用戶數(shù)據(jù)����。于是,F(xiàn)acebook禁掉了Aleksandr Kogan的應(yīng)用��,并要求他和Cambridge Analytica公司提供法律文書證明已經(jīng)刪除相關(guān)數(shù)據(jù)信息��。
據(jù)扎克伯格稱����,當(dāng)時��,Aleksandr Kogan和Cambridge Analytica公司均提供了相關(guān)的文件�����。直到泄露事件被曝出時�����,他才了解到這些數(shù)據(jù)信息并沒有被刪除��。扎克伯格認(rèn)為����,這是一起由于“信任破產(chǎn)”而引發(fā)的事件,同時對信任Facebook的用戶造成了傷害���。
而一位業(yè)內(nèi)人士告訴記者��,這實際上是Facebook在快速發(fā)展過程中����,公司管理跟不上而埋下的隱患。據(jù)媒體報道���,Aleksandr Kogan在發(fā)布測試應(yīng)用時����,是以學(xué)術(shù)研究的名義進(jìn)行申請的�,但Facebook在審核之后,并沒有繼續(xù)把關(guān)和追蹤其對用戶數(shù)據(jù)的用途���。
加強第三方應(yīng)用監(jiān)管
針對此次事件��,扎克伯格也表示Facebook將采取一系列措施以防止類似事件再次發(fā)生。
據(jù)悉���,F(xiàn)acebook將調(diào)查所有在2014年之前訪問過大量用戶數(shù)據(jù)的應(yīng)用����,并重點審查那些有可疑行為的應(yīng)用����,對于不配合的開發(fā)者�,F(xiàn)acebook將禁止他們的訪問權(quán)限�。
同時,F(xiàn)acebook還將加強開發(fā)者對用戶數(shù)據(jù)的訪問限制���。比如用戶有3個月沒有訪問某應(yīng)用����,那該應(yīng)用將不能繼續(xù)使用該用戶的數(shù)據(jù)����;同時,F(xiàn)acebook也將限制第三方應(yīng)用對用戶信息的獲取范圍�����,當(dāng)需要獲取更為隱私的數(shù)據(jù)時����,該應(yīng)用需征得用戶同意。
有業(yè)內(nèi)人士分析���,關(guān)于互聯(lián)網(wǎng)行業(yè)的信息泄露�,F(xiàn)acebook事件并非首次。相比此前雅虎的10億用戶資料泄露以及美國信用機構(gòu)Equifax的數(shù)據(jù)泄露��,F(xiàn)acebook此次泄露的并非用戶核心數(shù)據(jù)����,基本是一些用戶性格、喜好等信息�。
但該人士指出,作為全球最大的社交平臺���,F(xiàn)acebook掌握著數(shù)以億計的用戶的數(shù)據(jù)���,而這些數(shù)據(jù)正是其最核心的資產(chǎn)。倘若Facebook對數(shù)據(jù)的安全性都無法把控���,那對Facebook來說���,外界的信任危機所帶來的影響,將遠(yuǎn)遠(yuǎn)大于信息泄露的直接影響�����。
此外���,安揚告訴記者�����,F(xiàn)acebook遇到的問題�����,也是包括中國企業(yè)在內(nèi)的所有互聯(lián)網(wǎng)企業(yè)都可能面臨的問題����。
眾所周知���,當(dāng)下的互聯(lián)網(wǎng)越來越強調(diào)開放性����,幾乎所有的大型互聯(lián)網(wǎng)企業(yè)都推出了開放平臺�����,如何對大量的第三方開發(fā)者進(jìn)行數(shù)據(jù)監(jiān)督�,以避免出現(xiàn)類似Facebook的事件,是所有企業(yè)亟需應(yīng)對的課題�����。
中國社會科學(xué)院大學(xué)副校長林維則告訴21世紀(jì)經(jīng)濟(jì)報道記者,如果第三方應(yīng)用是通過非法手段獲取用戶信息��,那肯定是屬于犯罪�。但是,如何判斷第三方應(yīng)用的獲取信息手段是否非法�,這要取決于其與平臺方的協(xié)議關(guān)系。
但安揚認(rèn)為���,F(xiàn)acebook事件給行業(yè)敲響了警鐘���,平臺和第三方應(yīng)用都應(yīng)該考慮到合作雙方協(xié)議信任破產(chǎn)的情況。這種情況下��,僅僅依靠互聯(lián)網(wǎng)公司或者第三方開發(fā)商的自覺自律是不夠的���。
因此��,安揚給出了自己的建議:首先���,平臺應(yīng)加大用戶數(shù)據(jù)使用的透明度,保證用戶可以隨時對自己的數(shù)據(jù)使用情況進(jìn)行查詢了解�����,保證用戶的知情權(quán)�����、選擇權(quán)����。
其次,互聯(lián)網(wǎng)公司包括開放平臺�,對收集的用戶數(shù)據(jù)信息要進(jìn)行分級分類。這樣一來�,數(shù)據(jù)被使用時,從業(yè)者可以明確區(qū)分哪些數(shù)據(jù)可以公開使用����,哪些不能公開使用。
安揚進(jìn)一步說道�,“針對第三方合作伙伴或者應(yīng)用開發(fā)者,平臺要全面深入審查其對用戶數(shù)據(jù)的使用���,并做好全程監(jiān)督�����。如果對方做不到這點���,最好就不要提供數(shù)據(jù)�����!
