连私信都卖 Facebook的层层谎话下掩藏了多少黑心
导语:《纽约时报》日前发表文章称,有内部文档和采访记录显示,多年来Facebook向全球150多家大企业提供其用户个人数据,所涉及内容远比Facebook之前披露的要多。
以下为文章主要内容:
根据内部文档和采访,多年来Facebook向全球150多家大型企业提供用户个人数据访问权限,所涉及内容远比Facebook之前披露的要多,也更具侵入性。虽然Facebook制定了用户隐私政策,但这些业务合作伙伴却获得了豁免权。
对于这种特殊的安排,《纽约时报》获得的数百页Facebook文档有着详细的记载。这些记录是由Facebook内部的合作关系追踪系统在 2017年生成的,提供了迄今为止有关Facebook数据共享行为的最完整画面。此外,这些记录再次证明,个人数据已成为数字时代最宝贵的商品,在硅谷 内外一些最具影响力的大企业之间进行大规模的交易。
这种数据交换的目的是使每个人都从中受益。在寻求高速增长的同时,Facebook赢得了更多的用户,提高了广告收入。而合作伙伴公司则获得了 使其产品更具吸引力的功能。Facebook用户通过不同的设备和网站与好友保持联系,而Facebook对其22亿用户的个人信息拥有无与伦比的权力, 这种控制权几乎没有透明度或外部监督。
这些记录显示,Facebook允许微软必应(Bing)搜索引擎在未经同意的情况下查看几乎所有Facebook用户还有的姓名,也允许Netflix和Spotify能够阅读Facebook用户的私信。
Facebook还允许亚马逊通过好友(Facebook用户的好友)获取用户的姓名和联系信息,允许雅虎查看好友的帖子,尽管Facebook在几年前曾公开宣布已停止这种类型的分享。
很长一段时间以来,Facebook一直受到一系列隐私丑闻的困扰。今年3月,政治咨询公司剑桥分析(CambridgeAnalytica)不正当地使用Facebook数据构建工具,帮助特朗普总统2016年的竞选活动,由此引发了一系列隐私丑闻。
虽然承认辜负了用户的信任,但Facebook坚称,公司在很久以前就制定了更严格的隐私保护措施。公司CEO马克·扎克伯格(Mark Zuckerberg)今年4月份也向立法人员保证,对于用户在Facebook共享的内容,他们拥有“完全的控制权”。
但事实上,这些文档和对约50名Facebook前员工和企业合作伙伴的采访记录显示,尽管有这些保护措施,Facebook还是允许特定公司 访问其数据。这不禁让人们质疑,Facebook是否违反了2011年与联邦贸易委员会(FTC)达成的一项协议,即禁止Facebook在未经明确许可 的情况下共享用户数据。
总之,这些文件中描述的交易使150多家企业从中受益,其中大多数为科技公司,包括在线零售商和娱乐网站,但也包括汽车制造商和媒体机构。这些记录显示,他们每月申请的数据涵盖数亿人。这些交易最早始于2010年,直至2017年仍在进行中,其中一些在今年仍在生效。
Facebook隐私和公共政策主管史蒂夫·萨特菲尔德(Steve Satterfield)在一次采访中表示,这些合作并未违反用户隐私规定或与FTC签署的协议。萨特菲尔德还补充说,合同要求这些公司要遵守Facebook的政策。
虽然如此,Facebook高管们还是承认了公司在过去一年中的失误。萨特菲尔德说:“我们知道,要重新赢得用户信任,我们还有许多工作要做。 保护用户信息需要更强大的团队、更好的技术和更清晰的政策,这也是我们2018年大部分时间的工作重心。”萨特菲尔德还称,合作关系是“一个重点领 域”,Facebook正在逐步取消其中的许多合作关系。
Facebook一女发言人称,Facebook并未发现其合作伙伴滥用数据的证据。包括亚马逊、微软和雅虎在内的一些大型合作伙伴表示,他们 都以适当的方式使用这些数据,但拒绝讨论共享协议的细节信息。同时,Facebook也承认,对一些合作伙伴的管理不善,允许某些公司在关闭了需要这些数 据的功能后,在很长一段时间内仍可以继续访问Facebook数据。
萨特菲尔德还称,对于大多数合作伙伴,与FTC签署的协议并不要求Facebook在共享数据之前征得用户的同意,因为Facebook认为自 己是合作伙伴的延伸——服务提供商允许用户与其Facebook好友互动。萨特菲尔德同时强调,合作伙伴被禁止将这些个人信息用于其他目 的,“Facebook的合作伙伴不能忽视用户的隐私设置。”
对此,一些数据隐私专家并不认同Facebook的说法,即大多数合作伙伴不受监管要求的约束。他们表示怀疑,FTC是否会对设备制造商、零售商和搜索公司等不同的业务一视同仁。
FTC前首席技术专家阿什坎·索尔塔尼(Ashkan Soltani)说:“唯一的共同点是,它们是合作伙伴关系,在发展或增长方面有利于公司,进入一个他们本来无法进入的领域。”
索尔塔尼和FTC消费者保护部门的3名前员工在接受采访时表示,Facebook的数据共享交易可能违反了协议。曾担任FTC消费者保护局负责 人的戴维·弗拉德克(David Vladeck)说:“这完全是允许第三方在没有被告知或同意的情况下获取数据。我不明白,这种未经同意的数据收集怎么可能是正当的。”
对于这家全球最大的社交网络而言,这些记录的曝光正值Facebook处在一个关键的时期。当前,美国和欧洲的立法者和监管机构均对 Facebook的数据共享提出了质疑,这些问题也一直困扰着Facebook。今年春季,FTC对Facebook是否遵守了之前签署的同意令而展开了 新的调查。与此同时,美国司法部和证券交易委员会(SEC)也在调查Facebook。
如今,Facebook的股价已经下跌,一些股东开始要求扎克伯格辞去董事长一职。还有股东还提起诉讼,指控Facebook高管未能实施有效的隐私保护措施。另外,愤怒的用户们也发起了一场删除Facebook账号的运动。
本月,一个调查互联网虚假信息的英国议会委员会公布了Facebook的一些内部电子邮件。这些邮件披露了Facebook的一些合作关系,其中一家合作伙伴的领导人试图破坏竞争对手,并考虑出售对用户数据的访问权。
随着一次又一次地面临危机,Facebook的批评者,包括一些前顾问和员工,都特别指出,数据共享是一个令人担忧的问题。
Facebook早期投资者罗杰·麦克纳米(Roger McNamee)称:“我认为,在没有得到用户事先同意的情况下,建立数据共享伙伴关系是不合法的。在Facebook改变业务模式之前,任何人都不应该相信Facebook。”
增长引擎
个人数据可以说是21世纪的“石油”,对于能够最有效地提取和提炼个人数据的企业而言,这就是一种价值数十亿美元的资源。美国互动广告局(IAB)的数据显示,到2018年底,预计仅美国公司就将花费近200亿美元来获取和处理消费者数据。
当前,没有几家公司的数据比Facebook及其竞争对手谷歌所拥有的数据更具价值。例如,谷歌的一些热门产品让该公司对数十亿人的日常生活有了更深入的了解。这些数据将允许这两家公司主导数字广告市场。
Facebook从未出售过自己的用户数据,担心用户的反弹,也担心给潜在的竞争对手一种复制其最宝贵资产的方式。相反,这些内部文件显示,它却做了另一件事情:允许其他公司以提高自身利益的方式访问Facebook的部分数据。
当Facebook还是一家年轻企业时,就开始建立数据合作关系。扎克伯格决心将Facebook的服务融入到其他网站和平台中,他相信这可以 避免Facebook过时,还能让该公司避免受到竞争的冲击。每当有企业合作伙伴把Facebook的数据与其自己的在线产品集成起来时,都有助于推动该 平台的扩张,吸引新的用户,促使用户在Facebook上投入更多时间,帮助其增加广告收入。与此同时,Facebook也可以从合作伙伴那里获得关键数 据。
Facebook管理者说,这些合作关系非常重要,所以具体决定都要由高层负责审查,有时是甚至是扎克伯格和COO雪莉·桑德伯格(Sheryl Sandberg)直接负责。虽然许多关系都已经公布,但具体的数据共享方式却通常对外保密。
根据对两名前员工进行的采访,到2013年,就连该公司的中层员工都已经无法轻易掌握Facebook建立的这种合作关系究竟有多少。(与本文 采访的其他30多名前员工一样,这两位前员工要求匿名,因为他们签署了保密协议,或者仍与Facebook高层官员保持联系。)。
因此,他们开发了一种工具,通过技术手段来“开启”和“关闭”特殊访问权限,还可以记录内部所谓的“能力”(capability)——也就是让企业能够获得数据的特权。在某些情况下,这些特权甚至无需征得用户许可。
《纽约时报》评估了该系统生成的270多页报告——这些记录只能反映Facebook的部分交易。从中可以看出,Facebook从多个合作伙伴那里为富有争议的好友推荐工具获取数据,这个工具名为“你可能认识的人”(People You May Know)。
该功能于2008年推出,但由于担心Facebook会因此而深入了解自己在现实世界中的人际关系,所以有很多用户提出反对。不过,这项功能仍 在继续使用。Gizmodo和其他新闻媒体报道了一些引人担忧的案例,例如,这款工具推荐的好友包括与之看过同一名精神病医生的病人,以及久未谋面的家庭 成员,有时甚至还建议骚扰者和他的骚扰对象互加好友。
记录显示,Facebook会反过来利用合作伙伴的联系人名单,借此更加深入地了解人们的关系,向他们推荐更多联系人。Facebook的这些合作伙伴包括亚马逊、雅虎等。
文件中描述的一些数据访问协议只允许与研究公司共享无法确认具体用户身份的信息,或者让游戏开发上能够容纳大量玩家。这些都不会引起隐私问题。 但与另外十几家公司达成的协议却引人担忧。一些协议允许合作伙伴通过用户的好友查看这些用户的联系信息——甚至在这家社交网络因为收到投诉而在2014年宣布剥夺所有应用的这个权限后,依然会发生这种情况。
一直到2017年,索尼、微软、亚马逊和其他一些公司都可以通过Facebook用户的好友获取该用户的电子邮件地址。
记录显示,Facebook还允许Spotify、Netflix和加拿大皇家银行读 取、写入和删除用户的私人消息,并查看同一个对话中的所有参与者。这些特权似乎超出了这些公司将Facebook整合到自家系统中所需的权限。 Facebook承认,它没有把这三家公司中的任何一家当做服务提供商。Spotify和Netflix的发言人表示,这两家公司并不知道 Facebook赋予了它们广泛权限。加拿大皇家银行发言人辩称他们没有这样的权限。
Spotify每月可以浏览超过7000万用户的消息,它至今仍然允许用户通过Facebook Messenger共享音乐。但Netflix和这家加拿大银行不再需要访问消息,因为他们已经停用了与之合并的功能。
并不是只有这些公司才拥有超过其需求的特殊访问权限。雅虎、《纽约时报》和其他公司一直到2017年仍然可以获取Facebook用户的个人信息。
雅虎可以查看用户好友帖子的实时摘要,但与之相关的功能已于2011年关闭。雅虎发言人拒绝详细讨论这一合作关系,但表示该公司没有将这些信息 用于广告宣传。《纽约时报》是这些文件中提到的九家媒体公司之一,它可以访问用户的好友列表,以供一款文章分享应用使用,但该应用已于2011年停用。 《纽约时报》发言人表示,他们不再获取任何数据。
Facebook的内部记录还披露了它跟60多家智能手机、平板电脑和其他设备制造商签订的分享协议的更多信息。《纽约时报》曾在今年6月首次报道了这项协议。
Facebook帮助苹果向Facebook用户隐瞒其设备索要数据的所有痕迹。记录显示,即使用户更改了帐号设置,取消了所有共享设置,苹果设备仍然可以访问该用户的联系人号码和日历条目。
Facebook管理者称,自2010年以来,该公司已在其隐私政策中披露了共享交易。但这些政策中有关服务提供商的内容没有具体说明Facebook与哪些公司共享哪些数据。Facebook隐私主管萨特菲尔德还表示,Facebook的合作伙伴受到“严格控制”。
然而,在监管外部公司如何处理其用户数据时,Facebook的记录并不完美。在剑桥分析案,一位剑桥大学心理学教授在2014年开发了一款应用程序,为这家咨询公司收集数千万Facebook用户的个人数据。
非营利性隐私研究机构World Privacy Forum的执行董事帕姆·迪克森(Pam Dixon)表示,在广泛分享用户信息后,Facebook就很难对这些用户信息加以控制。“它四处传播,”迪克森说,“可以定制,可以输入到一个算法 中,还能根据这些数据做出跟你有关的决策。”
4亿用户暴露
在欧洲,社交媒体公司必须遵守更严格的监管制度。与之不同的是,美国没有通用的消费者隐私法,只要科技公司不误导用户,就可以随意对大多数个人信息展开商业化。负责监管贸易活动的美国联邦贸易委员会(FTC)可以对欺骗客户的公司采取行动。
除了Facebook,FTC还针对涉嫌侵犯隐私一事与谷歌和Twitter达成了协议。
Facebook与监管机构达成的协议源自该公司在数据共享领域开展的早期尝试。2009年末,它改变了当时的4亿用户的隐私设置,使这些用户的一些信息可以被整个互联网访问。之后,该公司与微软和其他合作伙伴分享了这些信息,其中包括用户的位置以及宗教和政治倾向。
Facebook将此称作“即时个性化”,并表示这可以促进互联网更好地发展,让其他公司利用这些信息定制人们在必应等网站上看到的内容。但这一功能招致了隐私维权人士和许多Facebook用户的不满,他们指责这家社交网络未经许可就共享了这些信息。
FTC对此展开调查,并在2011年将隐私政策调整定性为一种欺骗性做法。很快,Facebook管理者就不再在公开场合提及即时个性化,并且与FTC签署了协议。
根据这项协议,Facebook推出了一项“全面隐私项目”,负责审查新的产品和功能。它最初由两位首席隐私官负责监督,他们崇高的头衔彰显了Facebook的郑重承诺。该公司还聘请普华永道每两年对其隐私行为展开一次评估。
但四名直接了解Facebook措施的Facebook前员工表示,隐私项目从一开始就面临着一些内部阻力。他们表示,一些工程师和高管认为隐 私审查阻碍了快速的创新和增长。这些前员工表示,负责协调审查工作的核心团队到2016年约有12人,他们在Facebook这个庞大的组织中四处流动, 针对该公司对待此事的认真程度传达出错乱的信号。
两位前员工说,关键问题在于,很多获得特殊权限的Facebook共享合作伙伴没有受到广泛的隐私项目审查。高管们认为,由于合伙企业受商业合 同的约束,需要遵循Facebook的数据政策,因此它们不需要接受同样程度的审查。在审查或建议修改其中一些数据共享协议时,隐私小组的能力有限,这些 协议是由更高级别的管理者谈判达成的。
Facebook官方表示,隐私团队成员已经就数据共享协议提供了意见,但评估的程度“取决于具体的合作关系和协议起草的时间”。
2014年,Facebook停止了实时个性化功能,并禁止了第三方应用对用户好友信息的访问。然而在一份此前没有被曝光的协议 中,Facebook工程师仍继续允许必应、流媒体音乐服务Pandora和影视评论网站烂番茄从已被停掉的功能中获取大部分的数据。根据《纽约时报》进 行的测试,必应直到去年都可以获得这些数据,而另两家公司更是持续到今年夏季末。
Facebook官方表示,数据共享并不侵犯用户的隐私权,因为协议只允许访问公开数据,但这些数据是Facebook到2009年才公开的。 他们还表示,Facebook允许这3家公司继续访问这些数据的做法是个错误,但拒绝更详细地说明。Pandora和烂番茄的发言人表示,并不清楚自己的 公司获得了任何特别的访问权限。
Facebook也拒绝讨论必应获得的其他权限,包括查看用户所有好友的权限。
微软表示,必应利用这些数据,在微软服务器上建立Facebook用户的资料。他们拒绝提供任何细节,仅仅表示这些信息是用于功能的开发,而不是广告。此外,微软已经删除了这些数据。
合规疑问
对于用户权益保护者来说,用户数据从Facebook流向其他公司带来的问题不仅仅在于Facebook是否遵守了FTC的协议,还涉及FTC在隐私保护监管方面的做法。
在线隐私保护组织“电子隐私信息中心”负责人马克·罗滕伯格(Marc Rotenberg)表示:“Facebook无视用户隐私设置的方式层出不穷。我们完全相信,在2011年时我们已经解决了这个问题。经过了大量努力, 我们将Facebook置于FTC的监督下,但FTC却没有采取行动。”电子隐私信息中心是第一批向联邦监管部门投诉Facebook的机构之一。
根据Facebook的说法,大部分数据合作都适用与FTC协议的豁免条款。该公司辩称,合作伙伴公司是服务提供商,这些公司只在Facebook的指导下、服务Facebook的目的而使用数据,提供的功能是Facebook社交网络功能的延伸。
然而,弗拉德克和FTC其他前官员则表示,Facebook对豁免条款的解释过于宽泛。他们认为,豁免条款的目的是让Facebook可以延续与其他公司类似的日常职能,例如通过互联网收发信息,以及处理信用卡交易,同时不违反禁令。
《纽约时报》今年夏季报道了Facebook与设备制造商的关系。当时,Facebook使用“集成合作伙伴”一词来描述黑莓、华为,以及其他抓取Facebook数据,在智能手机上提供Facebook风格界面的厂商。Facebook表示,所有这些集成合作伙伴都适用服务提供商豁免条款。
随后,Facebook又披露了与其他类企业,例如互联网公司雅虎的数据共享协议。而Facebook也将它们列为集成合作伙伴。Facebook甚至将俄罗斯搜索巨头Yandex重新归类为这样的合作伙伴。
Facebook的记录显示,2017年,Yandex仍然可以获得Facebook平台上的用户唯一识别码,而当时Facebook已经以隐 私保护风险为由停掉了与其他应用的此类数据共享。Yandex发言人表示,该公司并不清楚自己获得了这些数据,也不知道为何Facebook允许这种做法 继续存在。去年,乌克兰信息安全部门指控Yandex将用户数据提供给俄罗斯政府,该发言人也对这样的指控表示否认。
今年10月,Facebook表示,Yandex并非集成合作伙伴。然而到12月初,《纽约时报》准备发表这篇文章之际,Facebook又对国会议员做出了相反的表述。
FTC发言人拒绝评论,该委员会是否赞同Facebook对服务提供商豁免条款的解释。这可能会被纳入FTC正在对Facebook进行的调查中。此外她也拒绝透露,FTC是否收到过Facebook整理的服务提供商合作伙伴完整名录。
然而,联邦监管部门有理由去了解清楚这样的合作,并质疑Facebook是否采取了充分的措施保护用户隐私。根据今年秋季Facebook致俄勒冈州民主党参议员罗恩·威登(Ron Wyden)的邮件,普华永道至少审核了Facebook的部分数据合作。
关于Facebook是否监督合作伙伴的数据使用情况,2013年发给FTC的第一份评估报告只发现了“有限的”证据。这些发现摘录自公开评估报告的副本,而这份评估报告给Facebook的隐私保护项目打了及格分。
威登和其他批评者质疑这些评估报告的有效性。在评估中,FTC实际上是将大部分的日常监督工作外包给了诸如普华永道的公司。与大部分与FTC签 订和解协议的公司一样,Facebook要支付评估报告的费用,并在很大程度上决定评估的范围。因此,这些评估大多局限于Facebook声称已经在内部 执行的隐私保护审查。
目前并不确定,Facebook多么密切地监督自己的数据合作伙伴。Facebook的大部分合作伙伴也拒绝透露,Facebook对它们进行 了什么样的评估或审计。两家从2010年就开始合作的Facebook前伙伴表示,没有发现任何证据,表明Facebook曾对它们进行审计。其中之一是 黑莓,另一家是Yandex。
Facebook隐私和公共政策总监史蒂夫·萨特菲尔德(Steve Satterfield)表示,这些数据共享合作没有违反隐私保护规则,因为合作伙伴提供的功能是Facebook社交网络的延伸。
而Facebook官方还表示,尽管Facebook很少对合作伙伴进行审计,但对它们有着严格的管理。萨特菲尔德说:“这些是紧密接触的合作。”(书聿 李明 李丽)