一個(gè)前員工的爆料，對(duì)因數(shù)據(jù)泄露而陷入危機(jī)的社交巨頭Facebook來(lái)說(shuō)，無(wú)疑是火上澆油。

3月21日，據(jù)英國(guó)媒體《衛(wèi)報(bào)》報(bào)道，原Facebook的平臺(tái)運(yùn)營(yíng)經(jīng)理桑迪·帕拉吉拉斯(Sandy Parakilas)透露，F(xiàn)acebook對(duì)于第三方開(kāi)發(fā)者如何使用數(shù)據(jù)缺乏監(jiān)管，秘密收集數(shù)據(jù)是慣例。

38歲的帕拉吉拉斯現(xiàn)在是Uber的產(chǎn)品經(jīng)理，2011年至2012年，他在Facebook工作期間，主要負(fù)責(zé)監(jiān)管第三方軟件開(kāi)發(fā)商的數(shù)據(jù)泄露，具體工作就是對(duì)開(kāi)發(fā)者的數(shù)據(jù)泄露進(jìn)行調(diào)查，并處理開(kāi)發(fā)者平臺(tái)的隱私問(wèn)題。

他告訴《衛(wèi)報(bào)》，當(dāng)年他曾警告Facebook的高管們，公司對(duì)數(shù)據(jù)保護(hù)的松散做法可能會(huì)導(dǎo)致重大違約。但從眼下已經(jīng)發(fā)生的事來(lái)看，他的上級(jí)顯然沒(méi)有聽(tīng)從他的警告，“這看起來(lái)非常痛苦，因?yàn)槲抑浪麄儽究梢宰柚顾?rdquo;

對(duì)開(kāi)發(fā)者使用數(shù)據(jù)零監(jiān)控

“我擔(dān)心的是，所有Facebook服務(wù)器留給開(kāi)發(fā)人員的數(shù)據(jù)都無(wú)法被Facebook監(jiān)控，所以我們不知道開(kāi)發(fā)人員對(duì)這些數(shù)據(jù)做了什么。” 帕拉吉拉斯說(shuō)道。

帕拉吉拉斯表示，按照Facebook的服務(wù)條款和設(shè)置，公司沒(méi)有使用數(shù)據(jù)的強(qiáng)制執(zhí)行機(jī)制，包括對(duì)外部開(kāi)發(fā)人員的審計(jì)，以確保數(shù)據(jù)沒(méi)有被濫用。

當(dāng)被問(wèn)及Facebook對(duì)外部開(kāi)發(fā)者提供的數(shù)據(jù)有何種控制時(shí)，帕拉吉拉斯回答稱(chēng):“零。什么都沒(méi)有。一旦這些數(shù)據(jù)離開(kāi)了Facebook的服務(wù)器，就沒(méi)有任何控制，也就無(wú)法了解到底發(fā)生了什么。”

帕拉基拉斯指出，他一直認(rèn)為，F(xiàn)acebook的數(shù)據(jù)被傳遞給了外部開(kāi)發(fā)者，“這是一個(gè)黑市”。公司應(yīng)該主動(dòng)“直接審計(jì)開(kāi)發(fā)人員，看看數(shù)據(jù)有什么變化”，他對(duì)公司的不作為感到失望。

帕拉吉拉斯回憶稱(chēng)，F(xiàn)acebook的一位高管曾經(jīng)建議他不要對(duì)數(shù)據(jù)的使用方式了解得太過(guò)深入，并警告稱(chēng):“你真的想看看你會(huì)發(fā)現(xiàn)什么嗎?”帕拉吉拉斯認(rèn)為Facebook是在有意視而不見(jiàn)，“他們覺(jué)得最好不要知道。我發(fā)現(xiàn)那完全是令人震驚和恐懼的”。

事實(shí)上在2017年11月，帕拉吉拉斯就在《紐約時(shí)報(bào)》上發(fā)表文章《我們不能相信Facebook對(duì)自己的監(jiān)管》(We Can’t Trust Facebook to Regulate Itself)，首次公開(kāi)了他對(duì)Facebook隱私問(wèn)題的擔(dān)憂(yōu)。

他在當(dāng)時(shí)的文章中寫(xiě)道：“我從內(nèi)部看到的是，F(xiàn)acebook作為一家公司，優(yōu)先考慮的是如何從用戶(hù)那里搜集數(shù)據(jù)，而不是保護(hù)用戶(hù)信息不被濫用。當(dāng)全世界都在考慮如何處理Facebook在俄羅斯的選舉干預(yù)中扮演的角色時(shí)，它必須正視這段歷史。法律部門(mén)不應(yīng)該允許Facebook自我監(jiān)管，因?yàn)樗粫?huì)。”

帕拉吉拉斯指出，F(xiàn)acebook提供的數(shù)據(jù)越多，它為廣告商創(chuàng)造的價(jià)值就越大。這意味著，公司沒(méi)有任何動(dòng)力去監(jiān)督收集或使用這些數(shù)據(jù)——除非涉及到負(fù)面新聞或監(jiān)管機(jī)構(gòu)。

“幾年來(lái)，F(xiàn)acebook的開(kāi)發(fā)者平臺(tái)成為一個(gè)蓬勃發(fā)展的、流行社交游戲的生態(tài)系統(tǒng)。還記得《開(kāi)心農(nóng)場(chǎng)》(Farmville)和《糖果粉碎傳奇》(Candy Crush)嗎?用戶(hù)同意讓游戲開(kāi)發(fā)者訪問(wèn)他們的數(shù)據(jù)，以換取免費(fèi)的游戲。” 帕拉吉拉斯寫(xiě)道：“但不幸的是，對(duì)于這些游戲用戶(hù)來(lái)說(shuō)，他們通過(guò)Facebook傳遞給外部開(kāi)發(fā)者的數(shù)據(jù)并沒(méi)有得到保護(hù)。一旦數(shù)據(jù)被開(kāi)發(fā)出來(lái)，F(xiàn)acebook就鞭長(zhǎng)莫及了，除非給開(kāi)發(fā)者打電話(huà)，威脅要切斷開(kāi)發(fā)者的訪問(wèn)權(quán)限。”

《衛(wèi)報(bào)》報(bào)道稱(chēng)，F(xiàn)acebook并未對(duì)帕拉吉拉斯最新的說(shuō)法做出直接回應(yīng)。但針對(duì)公司數(shù)據(jù)共享的做法給出了一個(gè)說(shuō)明，稱(chēng)其在過(guò)去5年“顯著改善”。該聲明稱(chēng):“批評(píng)我們?cè)谖迥昵皬?qiáng)制執(zhí)行我們的開(kāi)發(fā)商政策是合理的，但說(shuō)我們沒(méi)有或不關(guān)心隱私是不真實(shí)的。”

危險(xiǎn)的“好友許可”功能

帕拉吉拉斯還指出，他對(duì)Facebook之前允許開(kāi)發(fā)人員訪問(wèn)平臺(tái)上使用應(yīng)用程序使用者朋友的個(gè)人數(shù)據(jù)特別不滿(mǎn)，“因?yàn)檫@些人的朋友不知情也不表示同意”。

這一功能被稱(chēng)為“好友許可”(friends permission)，對(duì)那些從2007年起就在Facebook平臺(tái)上開(kāi)發(fā)小測(cè)驗(yàn)和游戲的軟件開(kāi)發(fā)人員來(lái)說(shuō)，這個(gè)功能非常受歡迎，推動(dòng)了這些小游戲的迅速流行。Facebook在2012年IPO之前的數(shù)年里，這些應(yīng)用程序在Facebook上激增。在當(dāng)時(shí)那個(gè)年代，大多數(shù)用戶(hù)仍在通過(guò)筆記本電腦和臺(tái)式機(jī)訪問(wèn)這個(gè)平臺(tái)。

Facebook通過(guò)這些應(yīng)用程序向開(kāi)發(fā)者收取30%的費(fèi)用，作為回報(bào)，開(kāi)發(fā)者可以訪問(wèn)Facebook用戶(hù)數(shù)據(jù)。

帕拉吉拉斯不知道有多少公司在2014年終止該功能之前，曾向用戶(hù)的好友征求過(guò)許可數(shù)據(jù)。不過(guò)，他相信數(shù)以萬(wàn)計(jì)甚至數(shù)十萬(wàn)的開(kāi)發(fā)者可能會(huì)這樣做。

據(jù)帕拉吉拉斯估計(jì)，“大多數(shù)Facebook用戶(hù)”可以在不知情的情況下通過(guò)應(yīng)用程序，被開(kāi)發(fā)人員獲取了他們的數(shù)據(jù)。

現(xiàn)在Facebook對(duì)第三方獲取數(shù)據(jù)的程度有更嚴(yán)格的協(xié)議。帕拉吉拉斯說(shuō)，當(dāng)他在Facebook工作的時(shí)候，它沒(méi)有充分利用它的執(zhí)行機(jī)制，比如一個(gè)條款，這個(gè)條款使得這家社交媒體巨頭能夠?qū)E用其數(shù)據(jù)的外部開(kāi)發(fā)者進(jìn)行審計(jì)。

他說(shuō)，針對(duì)流氓開(kāi)發(fā)商的法律訴訟或禁止他們?cè)贔acebook上繼續(xù)開(kāi)發(fā)的案例“極其罕見(jiàn)”，“我在那里的時(shí)候，我沒(méi)有看到他們對(duì)開(kāi)發(fā)人員進(jìn)行一次系統(tǒng)的審查。”

在“劍橋分析”事件被曝光以后，F(xiàn)acebook在3月19日宣布，已聘請(qǐng)一家數(shù)字鑒證公司對(duì)“劍橋分析”公司進(jìn)行審計(jì)。

帕拉吉拉斯回憶稱(chēng)，該公司熱衷于鼓勵(lì)更多的開(kāi)發(fā)者為其平臺(tái)開(kāi)發(fā)應(yīng)用程序，“讓開(kāi)發(fā)者對(duì)應(yīng)用程序感興趣的主要方式之一就是讓他們?cè)L問(wèn)這些數(shù)據(jù)”。

在剛進(jìn)入Facebook硅谷的總部后不久，帕拉吉拉斯就被告知，任何封禁應(yīng)用程序的決定，都需要得到CEO馬克•扎克伯格(Mark Zuckerberg)的個(gè)人批準(zhǔn)。該政策后來(lái)放寬了，以方便工作人員更容易地與違規(guī)開(kāi)發(fā)商打交道。

雖然之前的政策是允許開(kāi)發(fā)者訪問(wèn)Facebook用戶(hù)的好友數(shù)據(jù)，但在Facebook的條款和條件下，用戶(hù)可以通過(guò)改變他們的設(shè)置來(lái)阻止這種數(shù)據(jù)共享。

不過(guò)，帕拉吉拉斯依然認(rèn)為這一政策存在問(wèn)題。“公司很清楚，這是一種風(fēng)險(xiǎn)。” “Facebook正在提供未經(jīng)授權(quán)的用戶(hù)的數(shù)據(jù)，并依賴(lài)于人們沒(méi)有閱讀或理解的服務(wù)和設(shè)置。”

正是這一特點(diǎn)被全球科學(xué)研究公司(GSR)利用，并于2014年提供給“劍橋分析”公司。全球科學(xué)研究是由劍橋大學(xué)的心理學(xué)家亞歷山大·科根(Aleksandr Kogan)管理的，他開(kāi)發(fā)了一款針對(duì)Facebook用戶(hù)的性格測(cè)試應(yīng)用。

測(cè)試會(huì)自動(dòng)下載參加測(cè)試的人的朋友的數(shù)據(jù)，表面上是為了學(xué)術(shù)目的。“劍橋分析”公司否認(rèn)，他們知道這些數(shù)據(jù)來(lái)源不正確。并且科根堅(jiān)稱(chēng)他沒(méi)有違法，辯稱(chēng)與Facebook沒(méi)有“密切的工作關(guān)系”。

雖然科根的應(yīng)用程序只吸引了大約27萬(wàn)用戶(hù)(其中大多數(shù)是付費(fèi)參加測(cè)試的)，但該公司還是能夠利用好友權(quán)限功能，快速收集超過(guò)5000萬(wàn)Facebook用戶(hù)的數(shù)據(jù)。

帕拉吉拉斯向《衛(wèi)報(bào)》指出：“科根的應(yīng)用程序是Facebook上最后一批可以訪問(wèn)朋友權(quán)限的應(yīng)用程序之一。”許多其他類(lèi)似的應(yīng)用程序多年來(lái)一直以商業(yè)目的收集類(lèi)似體量的數(shù)據(jù)

2010年的一項(xiàng)學(xué)術(shù)研究基于對(duì)1800個(gè)Facebook應(yīng)用程序進(jìn)行分析，得出的結(jié)論是，約有11%的第三方開(kāi)發(fā)者會(huì)請(qǐng)求用戶(hù)的好友數(shù)據(jù)。

帕拉吉拉斯表示，他不確定為什么Facebook在2014年年中停止允許開(kāi)發(fā)者訪問(wèn)好友數(shù)據(jù)，這大約發(fā)生在他離開(kāi)公司兩年后。他認(rèn)為其中一個(gè)原因可能是Facebook的高管們意識(shí)到，一些最大的應(yīng)用程序正在獲取大量有價(jià)值的數(shù)據(jù)。

帕拉吉拉斯回憶稱(chēng)，在Facebook有一些高管為將數(shù)據(jù)傳遞給其他公司而感到緊張，“他們擔(dān)心大型應(yīng)用程序開(kāi)發(fā)商正在建立自己的社交圖譜，這意味著他們可以看到這些人之間的所有聯(lián)系，擔(dān)心這些公司會(huì)建立自己的社交網(wǎng)絡(luò)。”

“他們把它當(dāng)作公關(guān)活動(dòng)來(lái)對(duì)待，而不是幫助國(guó)家解決國(guó)家安全問(wèn)題”

帕拉吉拉斯表示，他曾在Facebook內(nèi)部進(jìn)行游說(shuō)，要求“采取更嚴(yán)格的方法”來(lái)加強(qiáng)數(shù)據(jù)保護(hù)，但沒(méi)有得到任何支持。他在2012年中，曾經(jīng)交給他的上級(jí)一份PPT，“其中包括Facebook平臺(tái)上用戶(hù)數(shù)據(jù)的漏洞地圖”。

“我列出了那些暴露我們身份，可能對(duì)數(shù)據(jù)進(jìn)行惡意攻擊的不良行為者，并且給出了可能的應(yīng)對(duì)辦法。”帕拉吉拉斯說(shuō)道。

但最終Facebook的無(wú)動(dòng)于衷，促使帕拉吉拉斯在2012年底離開(kāi)了這家公司。“我覺(jué)得公司沒(méi)有認(rèn)真對(duì)待我的擔(dān)憂(yōu)。”

帕拉吉拉斯一直沒(méi)有向公眾透露過(guò)對(duì)Facebook隱私問(wèn)題的擔(dān)憂(yōu)，直到他聽(tīng)到Facebook的律師在2017年末向參議院和眾議院調(diào)查人員提供的關(guān)于俄羅斯試圖影響總統(tǒng)選舉的證詞時(shí)，情況發(fā)生了變化。

他說(shuō):“他們把它當(dāng)作公關(guān)活動(dòng)來(lái)對(duì)待。”“他們似乎完全聚焦在如何限制自己的責(zé)任和風(fēng)險(xiǎn)，而不是幫助國(guó)家解決國(guó)家安全問(wèn)題。”

正是在這一點(diǎn)上，帕拉吉拉斯決定公開(kāi)他的擔(dān)憂(yōu)，在《紐約時(shí)報(bào)》上發(fā)表了評(píng)論文章，稱(chēng)Facebook不能被信任來(lái)監(jiān)管自己。

帕拉吉拉斯在文章中強(qiáng)調(diào)，在一個(gè)非常關(guān)心保護(hù)用戶(hù)的公司，將會(huì)采用強(qiáng)有力的措施來(lái)阻止那些使用數(shù)據(jù)不當(dāng)?shù)拈_(kāi)發(fā)人員。“但當(dāng)我在Facebook的時(shí)候，他們的典型反應(yīng)是這樣的:盡量讓負(fù)面的媒體報(bào)道停下來(lái)，并沒(méi)有真誠(chéng)地努力去落實(shí)安全措施，也不去發(fā)現(xiàn)和制止濫用權(quán)力的開(kāi)發(fā)者。它并不關(guān)心數(shù)據(jù)是如何被使用的。”