从Facebook数据泄露事件看大数据时代的个人信息安全问题

时间:2022-04-29 17:25:18

进入21世纪后,互联网开始大规模普及,线上业务和线上服务也开始逐渐走入人们的生活。尤其在智能手机和移动互联网诞生以后,人们对网络的依赖更是与日俱增。然而,伴随而来的则是涉及个人隐私的信息安全问题。个人一旦与网络接触,难免存在信息泄露的风险。
近年来,数据泄露事件频发,造成的直接损失、间接损失以及社会影响都非常严重。2018年初“Facebook数据泄露事件”再次引发全球范围内关注。据悉,此次信息泄露是Facebook自创建以来最大的用户数据泄露事件之一,而Facebook不仅要吞下“百亿市值蒸发”的苦水,还要面对多国*的质询、大量用户的流失。

以下是对2018年“Facebook数据泄露事件”进行的梳理:

    2018年3月17日,《纽约时报》、《观察者报》、《卫报》同时曝光Facebook在2014年有超过5000万名用户(接近Facebook美国活跃用户总数的三分之一,美国选民人数的四分之一)资料遭Cambridge Analytica公司(以下简称CA公司)非法用来发送政治广告。
    2018年3月19日,受丑闻影响,Facebook股价应声大跌7%,市值缩水360多亿美元。
    2018年3月21日,WhatsApp公司联合创始人Brian Acton在Twitter上发起了#deletefacebook(删除Facebook)运动。大批用户随之效仿,包括特斯拉公司首席执行官Elon Musk、苹果公司联合创始人Steve Wozniak等科技圈名人。
    2018年3月22日,Facebook创始人兼首席执行官Mark Zuckerberg在Facebook上发文,承认Facebook犯错,复盘事件并给出应对措施。随后,在一个下午的时间里他接受了至少4家主流媒体的采访,就Facebook的错误、如何处理以及配合*监管表态。
    2018年3月25日,Mark Zuckerberg在6份英国报纸和3份美国报纸上,为5000万Facebook用户信息被泄露一事道歉。
    2018年3月28日,Facebook宣布今后6个月逐步终止与多家大数据企业合作,以更好地保护用户隐私。
    2018年4月4日,Facebook首席技术官Mike Schroepfer在其官网发布声明,目前共有8700万Facebook用户的个人资料被泄露给了CA公司,这些用户主要集中在美国。这个数字大大超出最初的5000万人。
    2018年4月10日下午,Mark Zuckerberg参加美国国会参议院司法委员会和商业、科学和交通委员会联合举行的听证会,表示Facebook没有在用户数据保护方面做出足够努力,导致出现了CA公司滥用用户数据事件。
    2018年4月11日,Mark Zuckerberg再次参加听证会,面对众议院能源和商务委员会接受长达5小时的连番质询。
    2018年5月15日,《纽约时报》援引美国官员和其他知情人士的说法称,美国司法部和联邦调查局(FBI)正在对CA公司展开调查。
    2018年5月23日,Mark Zuckerberg参加欧洲议会听证会。
    2018年10月25 日,Facebook因该事件被英国信息专员办公室(ICO)处以 50万英镑罚款。

目前这场事件的风波逐渐平息,但对其进行的调查还在继续,事件背后的原委也值得人们深思。整个事件的源头要追溯到10年前的一个心理学研究。2008年,剑桥大学博士研究生David Stillwell和Michal Kosinski开发了一款叫作“MyPersonality”的Facebook应用。这款应用让用户填写不同的心理测量问卷,其中包括来自“大五类人格测试”(包括开放性、严谨性、外向性、怡人性、神经质五类)的大量关于心理的问题,用户完成测试后会收到一份性格分析报告,并被征求是否同意研究人员使用自己的数据。很快,随着越来越多的人参与测试,David Stillwell和Michal Kosinski瞬间便拥有了一个前所未有的庞大数据库,填充着经过心理测试打分的Facebook用户数据。随着模型不断完善,Kosinski证明可以根据平均68个赞(like)对一个人的肤色、性取向、所属党派进行预测,而且准确率分别高达95%、88%、85%。

2014年,一位年轻的助理教授Aleksandr Kogan开始接近Kosinski,声称自己代表一家对Kosinski的研究方法感兴趣的公司进行咨询,并希望可以访问MyPersonality数据库。但Kosinski最终没有接受Kogan的提议。同年,Kogan自己成立Global Science Research公司(后被CA公司收购)与CA公司合作,并设计了一个和MyPersonality类似的Facebook第三方应用——“This Is Your Digital Life”,邀请用户进行测试。当时,共有27万名Facebook用户下载这一应用。借助该应用,Kogan可获取这27万用户及其所有Facebook好友的居住地等信息以及他们“点赞”的内容,因而实际共获取多达5000万用户的数据。这些数据都被用于CA公司的数据分析。CA公司利用收集所得的Facebook用户信息,从用户性格、政治取向等维度建立数据模型,向有关用户投放针对性的政治广告,从而左右他们的投票取向,并在2016年美国大选中协助Donald Trump取胜。

对于CA公司的行径,早在2015年就有媒体进行曝光。2015年《卫报》记者Harry Davies发文报道CA公司未经用户许可使用的大量Facebook用户数据为美国*Ted Cruz提供服务。而Facebook方面则拒绝对此进行评论,只表示正在进行调查。2018年年初,CA公司前雇员Christopher Wylie走到台前揭露CA公司的事迹,Facebook用户数据泄露事件才引起广泛关注。

下面就这一事件进行简要分析:

Facebook公司
1.欠缺对第三方获取用户数据目的的必要审查
本次事件的关键在于,Kogan及其背后的集团获取用户信息的初衷并不是为了学术研究,而是将其用于商业和政治目的。Kogan虽然声称其开发的应用仅用于学术研究,但其并未遵守这一约定。Facebook作为平台的管理者,未能有效审查Kogan获取用户数据的目的,进而导致事件进一步发展。
2.对第三方使用用户数据缺乏有效监控
值得注意的是,Kogan的应用所进行的大规模的数据收集,Facebook虽然在短时间内利用技术手段监测到了该行为,但并没有进行有效的处理,仅在2014年对限制了其对关联用户信息的访问。直至2015年《卫报》曝光后,Facebook才禁止其应用,同时要求Kogan和CA公司删除所有不当获取的数据,并开出证明。本次事件的曝光也从侧面说明Facebook并未对Kogan和CA公司是否实际履行删除义务进行监督。
3. 欠缺网络安全事件的信息公开和处理经验
在本次事件中,正是由于Facebook错过了控制事态恶化的最佳时机,本应于2015年即可公布并予以处理的数据泄露直至2018年才被公众知晓。虽然在事件曝光后扎克伯格公布了诸如追查类似应用、再次收紧第三方应用权限、增强用户告知等预防措施,但上述措施若能在2015年落实,显然事件的危害程度将大大减小。

Kogan及其身后的利益集团
1.缺少基本的工程伦理道德观
作为一名高校教职人员、科研工作者,Kogan至少应该具备基本的工程伦理道德观,但其行为却恰恰证明他并不具备相应素质。他和身后的利益集团视金钱为最高利益,在他们眼中,个人用户的隐私数据只是达到商业目的、获得利益的工具。
2.违背契约精神
Kogan开发的“This Is Your Digital Life”应用声称,在用户同意后,仅将数据用于学术研究。然而Kogan并没有遵守这一约定,而是将其用于商业和政治目的。这不仅严重违背契约精神,甚至可以将其视为一种欺骗。

监管部门
1.惩罚力度过小
联邦贸易委员会(FTC)曾在事件曝光的第一时间宣称会“考虑”对Facebook是否违反2011年签订的和解协议展开调查,视具体情形不排除开出7.1万亿美元的天价罚单。但截至目前,FTC是否展开调查行动,进行到哪一步,甚至事件性质能否被确认为“数据泄露”,目前都再无下文。即便是ICO对Facebook开出的50万英镑罚单,对Facebook每季度上百亿美元的营收而言,也是九牛一毛。
2.执法不严
Facebook早在2014年就得知事件情况,但未采取任何行动。如果该事件能被定性为“数据泄露”,那么Facebook就构成对数据泄露一事未通知用户的违法行为。值得注意的是,美国是该制度立法的先行国,目前联邦和所有50州都有相应法律,但此次对于Facebook,执法部门居然“视而不见”。这种规定上的高标准和施行中的打折扣形成鲜明对比。

从此次事件中,我们应该得到哪些启示呢?

个人用户
1.警惕第三方应用
此次事件中,Facebook用户是在毫不知情的情况下,被当成了政治工具。在信息不对称的前提下,单个用户处于弱势地位,很难保护自己的隐私数据。因此,在选择网络服务时,一定要谨慎,尤其对于第三方应用,应该仔细分辨。
2.提高个人信息保护意识
在2016年的《中国个人信息安全和隐私保护报告》中,当被问及是否“愿意提供个人信息以获得更便利的服务享受”时,53%的人选择了“愿意”。这也充分说明,信息共享带来的便利是客观存在的,在国内更多人会为了获取便利而放弃隐私。但这也注定为个人信息泄露埋下隐患。因此,提高个人信息保护意识、积极掌握防范信息泄露的应对方法,对个人而言非常有必要。

国内企业
1. 保证在取得用户的充分授权后方可向第三方提供相关数据
关于用户个人信息的收集与使用,我国《*网络安全法》(以下称“《网安法》”)规定,网络运营者收集和使用用户信息时遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经客户同意;不得泄露、篡改、毁损收集的用户信息;未经用户同意,不得向第三方提供用户个人信息;采取技术或其他措施确保收集的用户个人信息的安全,防止信息泄露、毁损、丢失;必要时及时处理保证相关信息无法识别特定个人且不能复原。若在相关社交应用和功能中被收集的不仅仅是某一特定用户的个人信息,还包括了其朋友、亲人等关联用户的信息,在向第三方提供时,网络运营者除获本人同意外,还应征得关联账户主体的同意。
2. 强化对信息数据传输过程中的监管和审计
事中安全审计的作用虽然不及事前的风险防范,但可以使得网络运营者及时发现安全隐患并采取相关止损措施。根据《信息安全技术个人信息安全规范》,进行安全审计时,应对隐私政策和相关规程,以及安全措施的有效性进行审计;同时建立自动化审计系统,监测记录个人信息处理活动;审计记录应为安全事件的处置、应急响应和事后调查提供支撑;必要时及时处理审计过程中发现的个人信息违规使用、滥用等情况。
3. 完善网络安全事件的应急预案和信息披露
制定网络安全事件应急预案能够有效加强网络运营者在发生网络安全事件后的应急处置能力。《网安法》规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,网络运营者应采取必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

结语

在如今的大数据时代,线上应用能够为人们提供越来越精准且贴心的服务。但大家享受大数据带来便利的同时,一定把“保护信息”看得与“享受便利”同等重要。用户与技术公司之间的关系、数据与责任,应该是今后着重讨论的话题。这也是时至今日,一个应该被所有人严肃对待的问题。

参考资料:
[1] Bluerasberry. Facebook–Cambridge Analytica data scandal[G/OL]. Wikipedia, (2018-12-20)[2018-12-22]. https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Analytica_data_scandal.
[2] Ekem. Cambridge Analytica[G/OL]. Widipedia, (2018-12-21)[2018-12-22]. https://en.wikipedia.org/wiki/Cambridge_Analytica
[3] Cadwalladr, Carole & Emma Graham-Harrison. Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach[N/OL]. The Guardian, (2018-3-17)[201-12-22]. https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
[4] LAPOWSKY, ISSIE. WHAT DID CAMBRIDGE ANALYTICA REALLY DO FOR TRUMP'S CAMPAIGN?[EB/OL]. Wired Business, (2017-10-26)[2018-12-22]. https://www.wired.com/story/what-did-cambridge-analytica-really-do-for-trumps-campaign/
[5] Davies, Harry. Ted Cruz using firm that harvested data on millions of unwitting Facebook users[N/OL]. The Guardian, (2015-12-11)[2018-12-22]. https://www.theguardian.com/us-news/2015/dec/11/senator-ted-cruz-president-campaign-facebook-user-data
[6] Grassegger, Hannes & Krogerus, Mikael. The Data That Turned the World Upside Down[EB/OL]. VICE, (2018-3-17)[2018-12-22]. https://motherboard.vice.com/en_us/article/mg9vvn/how-our-likes-helped-trump-win
[7] Osborne, Charlie. Facebook must pay UK's ICO £500,000 over Cambridge Analytica scandal[EB/OL]. ZDNET, (2018-10-26)[2018-12-22]. https://www.zdnet.com/article/facebook-must-pay-uks-ico-500000-over-cambridge-analytica-scandal/
[8] 中国青年政治学院互联网法治研究中心&封面智库. 中国个人信息安全和隐私保护报告[R]. 2016-11.