王煜

“我們有責任保護好用戶的數(shù)據(jù)，如果我們做不到就不配服務(wù)你們?！痹谂e世聲討“泄露用戶數(shù)據(jù)”的聲浪中沉默了數(shù)天之后，F(xiàn)acebook創(chuàng)始人、CEO扎克伯格終于開始在各種媒體上發(fā)表了這樣的聲明，并提出了一系列整改措施。問題是，冰凍三尺非一日之寒，經(jīng)歷此劫，F(xiàn)acebook就能浴火重生了嗎？何況，還有那么多擁有巨量用戶的互聯(lián)網(wǎng)服務(wù)提供商，它們給我們帶來的信息安全隱患，其實一點也不比Facebook少。

信息保護“千瘡百孔”

此次數(shù)據(jù)泄露事件中，劍橋大學(xué)的心理學(xué)教授及數(shù)據(jù)科學(xué)家亞歷山大·考根在2014年開發(fā)出一款性格測試App，通過合法的方式從Facebook取得了5000萬用戶的數(shù)據(jù)，但沒有按照約定用于學(xué)術(shù)研究，轉(zhuǎn)而將數(shù)據(jù)賣給了“劍橋分析”公司，后者進一步主導(dǎo)了現(xiàn)在我們知道的可能操控美國大選的一系列事件。

Facebook稱：考根并沒有將售賣用戶數(shù)據(jù)的事實告知Facebook，當數(shù)據(jù)流向第三方時，也就脫離了Facebook的掌控范圍。

這樣的聲明顯然是“甩鍋”。實際上，公眾對Facebook最大的憤怒就來源于它很早就獲知考根的違規(guī)，但沒有采取到位的補救措施。2015年，F(xiàn)acebook發(fā)現(xiàn)考根把用戶數(shù)據(jù)轉(zhuǎn)賣后，禁掉了他的App，并要求他和劍橋分析公司刪除這些數(shù)據(jù)。關(guān)鍵是，F(xiàn)acebook只是寄了一份刪除數(shù)據(jù)的通知書給考根，希望他在刪除數(shù)據(jù)后在通知書中確認，至于考根和劍橋分析公司有沒有真的這么做，F(xiàn)acebook并未跟蹤，于是釀成如今的災(zāi)難。

扎克伯格公布了一系列整改措施，包括：檢查所有在隱私政策更新以前上架的App，審查可疑行為的應(yīng)用；限制開發(fā)者的數(shù)據(jù)使用權(quán)限，比如在獲取用戶數(shù)據(jù)之后，如果用戶在3個月內(nèi)沒有再次使用該App，F(xiàn)acebook會自動刪除用戶數(shù)據(jù)；重新設(shè)計產(chǎn)品，告訴用戶，哪些App正在獲取隱私；擴大網(wǎng)絡(luò)安全與內(nèi)容審查團隊等。

但公眾對此并不買賬。原因從扎克伯格本身的表態(tài)中可以推測——扎克伯格公開回應(yīng)此次數(shù)據(jù)泄露事件后，在接受CNN采訪時表示：不管是對干涉選舉還是假新聞，“2016年我們沒有做到應(yīng)該做的，沒有把這一系列問題放到重中之重。”他說，之后的法國大選、2018年美國中期選舉、世界各地的選舉中，F(xiàn)acebook已采用或?qū)⒉捎靡恍┤斯ぶ悄芄ぞ邅砼懦龑x舉的干擾?！拔覀兛梢杂萌斯ぶ悄芄ぞ吒玫刈粉欉@些賬號，掃描和觀察到正在發(fā)生什么。作為一個20億人的社區(qū)，我不能保證我們什么都能發(fā)現(xiàn)。但是我能承諾的是，我們會讓那些破壞者做事情盡可能困難。我認為對此我們已經(jīng)做得比以前好得多?！?/p>

正如他的話所暗示的，F(xiàn)acebook此前在保護用戶信息安全上做得實在是不怎么樣。2011年11月，美國聯(lián)邦貿(mào)易委員會就懷疑Facebook在隱私方面欺騙用戶，對其進行了調(diào)查，最終以雙方達成協(xié)議告終。協(xié)議要求，如果Facebook要在隱私設(shè)定范圍之外獲取用戶數(shù)據(jù)，必須經(jīng)過用戶許可。更早的2010年，黑客行為導(dǎo)致Facebook1億多名用戶資料外泄，該黑客表示，自己只用了一條非常簡單的代碼就收集到了總量達2.8G的信息，他這樣做的目的“是讓人們重視保護自己的隱私”。業(yè)界認為數(shù)據(jù)泄露的原因是Facebook的隱私設(shè)置系統(tǒng)過于復(fù)雜，讓用戶在自己并不知情的情況下，就將信息公布給大眾。當時，扎克伯格的回應(yīng)是“相信公司已經(jīng)有了完善的隱私設(shè)置系統(tǒng)”。

另外，F(xiàn)acebook旗下的Messenger、Lifestage等App，都被指出存在用戶信息泄漏的隱患。原Facebook平臺運營經(jīng)理Sandy Parakilas透露，F(xiàn)acebook一直缺乏對第三方開發(fā)者使用數(shù)據(jù)的監(jiān)管，秘密收集數(shù)據(jù)已成慣例。Sandy表示他曾警告過Facebook的高管們，公司對數(shù)據(jù)保護的缺乏可能會造成嚴重后果。但從屢次發(fā)生的泄漏事件來看，F(xiàn)acebook顯然沒有接受這一建議。

前亞馬遜首席科學(xué)家，斯坦福大數(shù)據(jù)教授Andreas Weigend對此評價：“已經(jīng)有很多偽科研機構(gòu)打著科研的名義從Facebook獲取了大量數(shù)據(jù)。Facebook并不是真正在關(guān)心用戶，如果它真的關(guān)心，數(shù)據(jù)泄露之后它就會去解決?！?/p>

說到保護用戶數(shù)據(jù)的漏洞，F(xiàn)acebook“并不孤獨”，國外的互聯(lián)網(wǎng)大企業(yè)幾乎無一幸免，雅虎之前被爆出泄露了高達10億的用戶郵箱密碼數(shù)據(jù)；美國信用機構(gòu)Equifax數(shù)據(jù)泄露事件影響的1.43億名用戶，更需要擔心自己的財產(chǎn)安全，因為泄露的數(shù)據(jù)里包含了姓名、住所、生日、地址和社保號等機密信息。

就連系統(tǒng)封閉，一直鼓吹自己安全性的蘋果公司也逃不掉。2014年蘋果iCloud“艷照門”泄露了好萊塢女星的大量隱私照片，盡管后來肇事黑客承認采用的是偽造官方客服郵箱直接騙取密碼的手段，但其他黑客很快揪出了蘋果在用戶信息上的其他漏洞，這個漏洞可以讓黑客使用腳本程序反復(fù)猜測iCloud的用戶密碼，蘋果既不會強制停止，也不會給正被攻擊的用戶發(fā)出任何警報。

國內(nèi)風景“并不獨好”

國外Facebook們的安全防范“漏洞百出”，國內(nèi)的互聯(lián)網(wǎng)巨頭們做得又如何呢？

2018年剛開年，支付寶年度賬單刷屏朋友圈，但很快人們發(fā)現(xiàn)，支付寶年度賬單第一頁默認勾選“我同意《芝麻服務(wù)協(xié)議》”，如果用戶未取消勾選，將允許支付寶收集用戶的信息，包括用戶保存在第三方的信息。在被曝光后，螞蟻信用迅速進行了道歉，稱這一行為“非常傻，愚蠢至極”，但這一手究竟是有意為之還是無心之失，恐怕很難說清。

2018年1月5日，江蘇省消保委宣布已對百度旗下的幾款A(yù)pp涉嫌違法獲取消費者個人信息及相關(guān)問題提起消費民事公益訴訟，并已獲南京市中級人民法院正式立案。

BAT在這個領(lǐng)域的麻煩向來很多。例如，加拿大多倫多大學(xué)的信息安全研究機構(gòu)Citizen Lab于2016年發(fā)布報告稱， 位居中國移動瀏覽器前列的阿里UC瀏覽器、騰訊QQ瀏覽器和百度瀏覽器的數(shù)據(jù)安全隱患不容小覷。

該報告顯示，這三大瀏覽器收集用戶的搜索項、與用戶精確位置相關(guān)的數(shù)據(jù)以及特定智能手機和 PC 的唯一設(shè)備標識碼。這樣的安全隱患使得數(shù)億用戶的個人信息易于被非法獲取。另外，應(yīng)用升級過程中存在的漏洞可能會令攻擊者在應(yīng)用中嵌入隱藏的間諜軟件或惡意軟件，只是目前還沒有實際發(fā)生網(wǎng)絡(luò)攻擊的報告公布。

Citizen Lab表示，這三大瀏覽器在傳輸數(shù)據(jù)時要么不加密，要么使用了較弱的加密方法。報告稱：“用戶一般意識不到這些風險，不知道這些數(shù)據(jù)正被收集和傳輸，可能也不知道應(yīng)用在升級過程中遭到惡意軟件攻擊后設(shè)備上或許就會被安裝上惡意代碼?！?/p>

如果人們回溯歷史，360攝像頭直播問題是直接把路人的隱私置于眾目睽睽之下；而菜鳥和順豐、京東和天天快遞、華為與騰訊的用戶數(shù)據(jù)之爭中，商家們在“神仙打架”時，廣大用戶的隱私成為最脆弱的、最可能受侵害的對象。

國內(nèi)互聯(lián)網(wǎng)信息提供者對用戶隱私的保護情況究竟如何，我們也能從學(xué)者做的定量實證研究中一窺究竟。上海交通大學(xué)邵國松教授領(lǐng)銜的研究團隊選取了我國500家頗具影響力的網(wǎng)站，對其隱私政策聲明、個人信息保護政策進行分析，考察這些網(wǎng)站是否很好地執(zhí)行了《網(wǎng)絡(luò)安全法》中對用戶信息保護相關(guān)條款。在近日發(fā)布的相關(guān)論文中，結(jié)果并不樂觀。

該研究將500家網(wǎng)站分為政府類、社會組織類、教育類、商業(yè)類這四類，同時在這四類網(wǎng)站中再選取100家可能收集個人婚戀、金融等敏感信息的網(wǎng)站加以分析。研究發(fā)現(xiàn)，幾乎所有的網(wǎng)站都收集個人信息。論文稱：“我們有必要知道這些網(wǎng)站在收集信息的時候，是否較好遵守了《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。法律要求所有網(wǎng)站必須明示收集信息的目的、方式和范疇。這是個硬性要求，集中體現(xiàn)在各個網(wǎng)站的隱私政策聲明（含信息保護政策）是否合規(guī)上。”

論文的統(tǒng)計結(jié)果顯示，大部分網(wǎng)站都沒有把明示原則所要求的三類信息明確告知用戶，尤其是教育類網(wǎng)站在此方面的表現(xiàn)最差，但其收集信息的比例卻最高。

法律規(guī)定，將哪些隱私信息提供給網(wǎng)站，從而獲得哪些定制信息，用戶應(yīng)該有選擇權(quán)，并且能在提供之后還能對其中的某一部分進行選擇性加入和退出；同時，用戶也應(yīng)該有權(quán)刪除或更改在網(wǎng)站上的個人信息。

但該研究的實際結(jié)果是：部分網(wǎng)站隱私政策中包含了選擇性退出機制，但比例都不高。其中，商業(yè)類網(wǎng)站和敏感類網(wǎng)站勉強達到20%以上，其他類型的網(wǎng)站均不超過5%。包含選擇性加入機制的網(wǎng)站比例也不高，除了社會組織類網(wǎng)站超過20%之外，其他類型的網(wǎng)站均不超過6%。大部分網(wǎng)站均表示，注冊該網(wǎng)站就表明已默認將接受相關(guān)推送服務(wù)。

在四類獨立分類并具有隱私政策的網(wǎng)站中，“聲稱用戶有權(quán)刪除其個人信息”這一項，政府類網(wǎng)站的比例最高，達到52%，商業(yè)類網(wǎng)站則為30%，社會組織類則僅為16%。教育類網(wǎng)站中，沒有一個網(wǎng)站提供用戶有權(quán)刪除其個人信息的聲明。敏感網(wǎng)站此項數(shù)據(jù)僅為30%。而“聲稱用戶有權(quán)更正其個人信息”的統(tǒng)計結(jié)果則比前項稍高。

另外讓人遺憾的是，這些被統(tǒng)計的網(wǎng)站里，隱私政策的聲明絕大部分放在網(wǎng)頁底部，并不起眼。

如何可以“不作惡”？

Facebook此次用戶數(shù)據(jù)泄露丑聞曝光后，有用戶在社交媒體上掀起了一場名為“刪除Facebook”的運動，不僅埃隆·馬斯克響應(yīng)，注銷了自己兩家公司SpaceX和Tesla在Facebook的官方主頁，甚至連已被Facebook收購的WhatsApp的聯(lián)合創(chuàng)始人布萊恩·阿克頓也加入此行列。

當然，“刪除Facebook”并不能讓人們徹底放棄社交媒體，也不能解決Facebook們的問題。想要讓這些互聯(lián)網(wǎng)大鱷在保護用戶信息安全上“不作惡”，還得想其他的辦法。

最有力的是法律的頂層設(shè)計。以國內(nèi)為例，2015年7月1日，《國家安全法》實施，其中明確提出了要“加強網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”。2017年6月1日實施的《網(wǎng)絡(luò)安全法》中明確要求“廠商收集和使用用戶信息，需要明示同意，明確披露信息用途、適用范圍、時效等”。國家正通過法律法規(guī)，劃定對用戶隱私保護的范圍和互聯(lián)網(wǎng)公司對用戶數(shù)據(jù)使用的邊際。

不過，我國目前尚未形成對公民個人信息權(quán)利保護的完整法律法規(guī)，法條散落于網(wǎng)絡(luò)安全、消費者權(quán)益保護領(lǐng)域，且多是概括性、原則性的規(guī)定，缺乏震懾力，直接導(dǎo)致商家違法成本低，消費者維權(quán)成本高，商家很難抑制自己盡可能多收集、使用用戶信息的沖動，而消費者面對格式合同只能一路“同意”。

而且，現(xiàn)有的法律條款還有互相沖突的嫌疑。例如，對電子商務(wù)經(jīng)營者能否出售消費者的個人信息，法律至今沒有明確統(tǒng)一的規(guī)定?！毒W(wǎng)絡(luò)安全法》第44條規(guī)定經(jīng)營者不得非法出售個人信息，而《消費者權(quán)益保護法》則規(guī)定經(jīng)營者不得出售個人信息，正在制定中的《電子商務(wù)法》對此也只做了模糊處理。然而，在法律界內(nèi)部，普遍的觀點是個人信息屬于消費者，電子商務(wù)經(jīng)營者出于提供服務(wù)的需要，在征得消費者授權(quán)的前提下可以合理收集使用，但不能出售，因此沒有合法和非法之分。

然后就是行業(yè)的自律。

面對保護用戶隱私問題時，互聯(lián)網(wǎng)科技公司往往會擺出“技術(shù)中立”的理念來為自己辯護。不僅僅是Facebook，搜索引擎上的虛假醫(yī)療廣告、視頻網(wǎng)站用戶上傳的盜版視頻、直播平臺上的低俗內(nèi)容等，都在反復(fù)凸顯同一個問題——技術(shù)是不是中立的，平臺如何制定規(guī)則。

事實是，當這個規(guī)則與商業(yè)利益沖突時，互聯(lián)網(wǎng)企業(yè)基本都選擇了后者。Facebook為什么不斷提示和鼓勵用戶分享個人信息和生活細節(jié)，是因為它要靠這些信息賺錢。目前，F(xiàn)acebook超過90%的收入來自廣告，它每天的廣告收入達幾千萬美元。社交網(wǎng)絡(luò)屬性使得它擁有大量用戶數(shù)據(jù)；用戶數(shù)據(jù)加上算法，能幫助廣告商進行最精準的廣告投放。

當下的大數(shù)據(jù)時代、人工智能時代，數(shù)據(jù)就是科技發(fā)展的推進劑，而用戶信息又是數(shù)據(jù)中的核心，互聯(lián)網(wǎng)企業(yè)必然有收集使用用戶信息的強烈沖動，這個是無法抑制的。問題在于，如何界定哪些數(shù)據(jù)應(yīng)該被使用？哪些不應(yīng)該？不懂技術(shù)的個人用戶又如何做出自我選擇？

2018年3月26日，百度創(chuàng)始人李彥宏在中國高層發(fā)展論壇上關(guān)于用戶隱私保護的一席發(fā)言，意味深長。他說：百度在當下會更加注重隱私問題，中國也在加強法律法規(guī)的建設(shè)，“我想中國人可以更加開放，對隱私問題沒有那么敏感，如果他們愿意用隱私交換便捷性，很多情況下他們是愿意的，那我們就可以用數(shù)據(jù)做一些事情。但我們要遵循一定的原則，如果數(shù)據(jù)會使用者受益，他也愿意，我們就會去做，這是我們的基本原則。這就是什么該做的，什么不該做”。

這或許能代表一部分互聯(lián)網(wǎng)企業(yè)領(lǐng)軍人物的理念。然而關(guān)鍵在于，對于互聯(lián)網(wǎng)企業(yè)，個人用戶到底怎么能判斷是不是該說“愿意”？如果用戶說了“愿意”，企業(yè)會真的把自身利益放于次位，首先為用戶去評估他是不是真的能受益嗎？這樣的平衡權(quán)和判斷權(quán)，若只在企業(yè)手里，恐怕我們看到的不可能是自律。