一個前員工的爆料，對因數(shù)據(jù)泄露而陷入危機(jī)的社交巨頭Facebook來說，無疑是火上澆油。

3月21日，據(jù)英國媒體《衛(wèi)報》報道，原Facebook的平臺運(yùn)營經(jīng)理桑迪·帕拉吉拉斯(Sandy Parakilas)透露，F(xiàn)acebook對于第三方開發(fā)者如何使用數(shù)據(jù)缺乏監(jiān)管，秘密收集數(shù)據(jù)是慣例。

38歲的帕拉吉拉斯現(xiàn)在是Uber的產(chǎn)品經(jīng)理，2011年至2012年，他在Facebook工作期間，主要負(fù)責(zé)監(jiān)管第三方軟件開發(fā)商的數(shù)據(jù)泄露，具體工作就是對開發(fā)者的數(shù)據(jù)泄露進(jìn)行調(diào)查，并處理開發(fā)者平臺的隱私問題。

他告訴《衛(wèi)報》，當(dāng)年他曾警告Facebook的高管們，公司對數(shù)據(jù)保護(hù)的松散做法可能會導(dǎo)致重大違約。但從眼下已經(jīng)發(fā)生的事來看，他的上級顯然沒有聽從他的警告，“這看起來非常痛苦，因為我知道他們本可以阻止它。”

對開發(fā)者使用數(shù)據(jù)零監(jiān)控

“我擔(dān)心的是，所有Facebook服務(wù)器留給開發(fā)人員的數(shù)據(jù)都無法被Facebook監(jiān)控，所以我們不知道開發(fā)人員對這些數(shù)據(jù)做了什么。” 帕拉吉拉斯說道。

帕拉吉拉斯表示，按照Facebook的服務(wù)條款和設(shè)置，公司沒有使用數(shù)據(jù)的強(qiáng)制執(zhí)行機(jī)制，包括對外部開發(fā)人員的審計，以確保數(shù)據(jù)沒有被濫用。

當(dāng)被問及Facebook對外部開發(fā)者提供的數(shù)據(jù)有何種控制時，帕拉吉拉斯回答稱:“零。什么都沒有。一旦這些數(shù)據(jù)離開了Facebook的服務(wù)器，就沒有任何控制，也就無法了解到底發(fā)生了什么。”

帕拉基拉斯指出，他一直認(rèn)為，F(xiàn)acebook的數(shù)據(jù)被傳遞給了外部開發(fā)者，“這是一個黑市”。公司應(yīng)該主動“直接審計開發(fā)人員，看看數(shù)據(jù)有什么變化”，他對公司的不作為感到失望。

帕拉吉拉斯回憶稱，F(xiàn)acebook的一位高管曾經(jīng)建議他不要對數(shù)據(jù)的使用方式了解得太過深入，并警告稱:“你真的想看看你會發(fā)現(xiàn)什么嗎?”帕拉吉拉斯認(rèn)為Facebook是在有意視而不見，“他們覺得最好不要知道。我發(fā)現(xiàn)那完全是令人震驚和恐懼的”。

事實上在2017年11月，帕拉吉拉斯就在《紐約時報》上發(fā)表文章《我們不能相信Facebook對自己的監(jiān)管》(We Can’t Trust Facebook to Regulate Itself)，首次公開了他對Facebook隱私問題的擔(dān)憂。

他在當(dāng)時的文章中寫道：“我從內(nèi)部看到的是，F(xiàn)acebook作為一家公司，優(yōu)先考慮的是如何從用戶那里搜集數(shù)據(jù)，而不是保護(hù)用戶信息不被濫用。當(dāng)全世界都在考慮如何處理Facebook在俄羅斯的選舉干預(yù)中扮演的角色時，它必須正視這段歷史。法律部門不應(yīng)該允許Facebook自我監(jiān)管，因為它不會。”

帕拉吉拉斯指出，F(xiàn)acebook提供的數(shù)據(jù)越多，它為廣告商創(chuàng)造的價值就越大。這意味著，公司沒有任何動力去監(jiān)督收集或使用這些數(shù)據(jù)——除非涉及到負(fù)面新聞或監(jiān)管機(jī)構(gòu)。

“幾年來，F(xiàn)acebook的開發(fā)者平臺成為一個蓬勃發(fā)展的、流行社交游戲的生態(tài)系統(tǒng)。還記得《開心農(nóng)場》(Farmville)和《糖果粉碎傳奇》(Candy Crush)嗎?用戶同意讓游戲開發(fā)者訪問他們的數(shù)據(jù)，以換取免費(fèi)的游戲。” 帕拉吉拉斯寫道：“但不幸的是，對于這些游戲用戶來說，他們通過Facebook傳遞給外部開發(fā)者的數(shù)據(jù)并沒有得到保護(hù)。一旦數(shù)據(jù)被開發(fā)出來，F(xiàn)acebook就鞭長莫及了，除非給開發(fā)者打電話，威脅要切斷開發(fā)者的訪問權(quán)限。”

《衛(wèi)報》報道稱，F(xiàn)acebook并未對帕拉吉拉斯最新的說法做出直接回應(yīng)。但針對公司數(shù)據(jù)共享的做法給出了一個說明，稱其在過去5年“顯著改善”。該聲明稱:“批評我們在五年前強(qiáng)制執(zhí)行我們的開發(fā)商政策是合理的，但說我們沒有或不關(guān)心隱私是不真實的。”

危險的“好友許可”功能

帕拉吉拉斯還指出，他對Facebook之前允許開發(fā)人員訪問平臺上使用應(yīng)用程序使用者朋友的個人數(shù)據(jù)特別不滿，“因為這些人的朋友不知情也不表示同意”。

這一功能被稱為“好友許可”(friends permission)，對那些從2007年起就在Facebook平臺上開發(fā)小測驗和游戲的軟件開發(fā)人員來說，這個功能非常受歡迎，推動了這些小游戲的迅速流行。Facebook在2012年IPO之前的數(shù)年里，這些應(yīng)用程序在Facebook上激增。在當(dāng)時那個年代，大多數(shù)用戶仍在通過筆記本電腦和臺式機(jī)訪問這個平臺。

Facebook通過這些應(yīng)用程序向開發(fā)者收取30%的費(fèi)用，作為回報，開發(fā)者可以訪問Facebook用戶數(shù)據(jù)。

帕拉吉拉斯不知道有多少公司在2014年終止該功能之前，曾向用戶的好友征求過許可數(shù)據(jù)。不過，他相信數(shù)以萬計甚至數(shù)十萬的開發(fā)者可能會這樣做。

據(jù)帕拉吉拉斯估計，“大多數(shù)Facebook用戶”可以在不知情的情況下通過應(yīng)用程序，被開發(fā)人員獲取了他們的數(shù)據(jù)。

現(xiàn)在Facebook對第三方獲取數(shù)據(jù)的程度有更嚴(yán)格的協(xié)議。帕拉吉拉斯說，當(dāng)他在Facebook工作的時候，它沒有充分利用它的執(zhí)行機(jī)制，比如一個條款，這個條款使得這家社交媒體巨頭能夠?qū)E用其數(shù)據(jù)的外部開發(fā)者進(jìn)行審計。

他說，針對流氓開發(fā)商的法律訴訟或禁止他們在Facebook上繼續(xù)開發(fā)的案例“極其罕見”，“我在那里的時候，我沒有看到他們對開發(fā)人員進(jìn)行一次系統(tǒng)的審查。”

在“劍橋分析”事件被曝光以后，F(xiàn)acebook在3月19日宣布，已聘請一家數(shù)字鑒證公司對“劍橋分析”公司進(jìn)行審計。

帕拉吉拉斯回憶稱，該公司熱衷于鼓勵更多的開發(fā)者為其平臺開發(fā)應(yīng)用程序，“讓開發(fā)者對應(yīng)用程序感興趣的主要方式之一就是讓他們訪問這些數(shù)據(jù)”。

在剛進(jìn)入Facebook硅谷的總部后不久，帕拉吉拉斯就被告知，任何封禁應(yīng)用程序的決定，都需要得到CEO馬克•扎克伯格(Mark Zuckerberg)的個人批準(zhǔn)。該政策后來放寬了，以方便工作人員更容易地與違規(guī)開發(fā)商打交道。

雖然之前的政策是允許開發(fā)者訪問Facebook用戶的好友數(shù)據(jù)，但在Facebook的條款和條件下，用戶可以通過改變他們的設(shè)置來阻止這種數(shù)據(jù)共享。

不過，帕拉吉拉斯依然認(rèn)為這一政策存在問題。“公司很清楚，這是一種風(fēng)險。” “Facebook正在提供未經(jīng)授權(quán)的用戶的數(shù)據(jù)，并依賴于人們沒有閱讀或理解的服務(wù)和設(shè)置。”

正是這一特點(diǎn)被全球科學(xué)研究公司(GSR)利用，并于2014年提供給“劍橋分析”公司。全球科學(xué)研究是由劍橋大學(xué)的心理學(xué)家亞歷山大·科根(Aleksandr Kogan)管理的，他開發(fā)了一款針對Facebook用戶的性格測試應(yīng)用。

測試會自動下載參加測試的人的朋友的數(shù)據(jù)，表面上是為了學(xué)術(shù)目的。“劍橋分析”公司否認(rèn)，他們知道這些數(shù)據(jù)來源不正確。并且科根堅稱他沒有違法，辯稱與Facebook沒有“密切的工作關(guān)系”。

雖然科根的應(yīng)用程序只吸引了大約27萬用戶(其中大多數(shù)是付費(fèi)參加測試的)，但該公司還是能夠利用好友權(quán)限功能，快速收集超過5000萬Facebook用戶的數(shù)據(jù)。

帕拉吉拉斯向《衛(wèi)報》指出：“科根的應(yīng)用程序是Facebook上最后一批可以訪問朋友權(quán)限的應(yīng)用程序之一。”許多其他類似的應(yīng)用程序多年來一直以商業(yè)目的收集類似體量的數(shù)據(jù)

2010年的一項學(xué)術(shù)研究基于對1800個Facebook應(yīng)用程序進(jìn)行分析，得出的結(jié)論是，約有11%的第三方開發(fā)者會請求用戶的好友數(shù)據(jù)。

帕拉吉拉斯表示，他不確定為什么Facebook在2014年年中停止允許開發(fā)者訪問好友數(shù)據(jù)，這大約發(fā)生在他離開公司兩年后。他認(rèn)為其中一個原因可能是Facebook的高管們意識到，一些最大的應(yīng)用程序正在獲取大量有價值的數(shù)據(jù)。

帕拉吉拉斯回憶稱，在Facebook有一些高管為將數(shù)據(jù)傳遞給其他公司而感到緊張，“他們擔(dān)心大型應(yīng)用程序開發(fā)商正在建立自己的社交圖譜，這意味著他們可以看到這些人之間的所有聯(lián)系，擔(dān)心這些公司會建立自己的社交網(wǎng)絡(luò)。”

“他們把它當(dāng)作公關(guān)活動來對待，而不是幫助國家解決國家安全問題”

帕拉吉拉斯表示，他曾在Facebook內(nèi)部進(jìn)行游說，要求“采取更嚴(yán)格的方法”來加強(qiáng)數(shù)據(jù)保護(hù)，但沒有得到任何支持。他在2012年中，曾經(jīng)交給他的上級一份PPT，“其中包括Facebook平臺上用戶數(shù)據(jù)的漏洞地圖”。

“我列出了那些暴露我們身份，可能對數(shù)據(jù)進(jìn)行惡意攻擊的不良行為者，并且給出了可能的應(yīng)對辦法。”帕拉吉拉斯說道。

但最終Facebook的無動于衷，促使帕拉吉拉斯在2012年底離開了這家公司。“我覺得公司沒有認(rèn)真對待我的擔(dān)憂。”

帕拉吉拉斯一直沒有向公眾透露過對Facebook隱私問題的擔(dān)憂，直到他聽到Facebook的律師在2017年末向參議院和眾議院調(diào)查人員提供的關(guān)于俄羅斯試圖影響總統(tǒng)選舉的證詞時，情況發(fā)生了變化。

他說:“他們把它當(dāng)作公關(guān)活動來對待。”“他們似乎完全聚焦在如何限制自己的責(zé)任和風(fēng)險，而不是幫助國家解決國家安全問題。”

正是在這一點(diǎn)上，帕拉吉拉斯決定公開他的擔(dān)憂，在《紐約時報》上發(fā)表了評論文章，稱Facebook不能被信任來監(jiān)管自己。

帕拉吉拉斯在文章中強(qiáng)調(diào)，在一個非常關(guān)心保護(hù)用戶的公司，將會采用強(qiáng)有力的措施來阻止那些使用數(shù)據(jù)不當(dāng)?shù)拈_發(fā)人員。“但當(dāng)我在Facebook的時候，他們的典型反應(yīng)是這樣的:盡量讓負(fù)面的媒體報道停下來，并沒有真誠地努力去落實安全措施，也不去發(fā)現(xiàn)和制止濫用權(quán)力的開發(fā)者。它并不關(guān)心數(shù)據(jù)是如何被使用的。”