一个前员工的爆料,对因数据泄露而陷入危机的社交巨头Facebook来说,无疑是火上浇油。
3月21日,据英国媒体《卫报》报道,原Facebook的平台运营经理桑迪·帕拉吉拉斯(Sandy Parakilas)透露,Facebook对于第三方开发者如何使用数据缺乏监管,秘密收集数据是惯例。
38岁的帕拉吉拉斯现在是Uber的产品经理,2011年至2012年,他在Facebook工作期间,主要负责监管第三方软件开发商的数据泄露,具体工作就是对开发者的数据泄露进行调查,并处理开发者平台的隐私问题。
他告诉《卫报》,当年他曾警告Facebook的高管们,公司对数据保护的松散做法可能会导致重大违约。但从眼下已经发生的事来看,他的上级显然没有听从他的警告,“这看起来非常痛苦,因为我知道他们本可以阻止它。”
对开发者使用数据零监控
“我担心的是,所有Facebook服务器留给开发人员的数据都无法被Facebook监控,所以我们不知道开发人员对这些数据做了什么。” 帕拉吉拉斯说道。
帕拉吉拉斯表示,按照Facebook的服务条款和设置,公司没有使用数据的强制执行机制,包括对外部开发人员的审计,以确保数据没有被滥用。
当被问及Facebook对外部开发者提供的数据有何种控制时,帕拉吉拉斯回答称:“零。什么都没有。一旦这些数据离开了Facebook的服务器,就没有任何控制,也就无法了解到底发生了什么。”
帕拉基拉斯指出,他一直认为,Facebook的数据被传递给了外部开发者,“这是一个黑市”。公司应该主动“直接审计开发人员,看看数据有什么变化”,他对公司的不作为感到失望。
帕拉吉拉斯回忆称,Facebook的一位高管曾经建议他不要对数据的使用方式了解得太过深入,并警告称:“你真的想看看你会发现什么吗?”帕拉吉拉斯认为Facebook是在有意视而不见,“他们觉得最好不要知道。我发现那完全是令人震惊和恐惧的”。
事实上在2017年11月,帕拉吉拉斯就在《纽约时报》上发表文章《我们不能相信Facebook对自己的监管》(We Can’t Trust Facebook to Regulate Itself),首次公开了他对Facebook隐私问题的担忧。
他在当时的文章中写道:“我从内部看到的是,Facebook作为一家公司,优先考虑的是如何从用户那里搜集数据,而不是保护用户信息不被滥用。当全世界都在考虑如何处理Facebook在俄罗斯的选举干预中扮演的角色时,它必须正视这段历史。法律部门不应该允许Facebook自我监管,因为它不会。”
帕拉吉拉斯指出,Facebook提供的数据越多,它为广告商创造的价值就越大。这意味着,公司没有任何动力去监督收集或使用这些数据——除非涉及到负面新闻或监管机构。
“几年来,Facebook的开发者平台成为一个蓬勃发展的、流行社交游戏的生态系统。还记得《开心农场》(Farmville)和《糖果粉碎传奇》(Candy Crush)吗?用户同意让游戏开发者访问他们的数据,以换取免费的游戏。” 帕拉吉拉斯写道:“但不幸的是,对于这些游戏用户来说,他们通过Facebook传递给外部开发者的数据并没有得到保护。一旦数据被开发出来,Facebook就鞭长莫及了,除非给开发者打电话,威胁要切断开发者的访问权限。”
《卫报》报道称,Facebook并未对帕拉吉拉斯最新的说法做出直接回应。但针对公司数据共享的做法给出了一个说明,称其在过去5年“显著改善”。该声明称:“批评我们在五年前强制执行我们的开发商政策是合理的,但说我们没有或不关心隐私是不真实的。”
危险的“好友许可”功能
帕拉吉拉斯还指出,他对Facebook之前允许开发人员访问平台上使用应用程序使用者朋友的个人数据特别不满,“因为这些人的朋友不知情也不表示同意”。
这一功能被称为“好友许可”(friends permission),对那些从2007年起就在Facebook平台上开发小测验和游戏的软件开发人员来说,这个功能非常受欢迎,推动了这些小游戏的迅速流行。Facebook在2012年IPO之前的数年里,这些应用程序在Facebook上激增。在当时那个年代,大多数用户仍在通过笔记本电脑和台式机访问这个平台。
Facebook通过这些应用程序向开发者收取30%的费用,作为回报,开发者可以访问Facebook用户数据。
帕拉吉拉斯不知道有多少公司在2014年终止该功能之前,曾向用户的好友征求过许可数据。不过,他相信数以万计甚至数十万的开发者可能会这样做。
据帕拉吉拉斯估计,“大多数Facebook用户”可以在不知情的情况下通过应用程序,被开发人员获取了他们的数据。
现在Facebook对第三方获取数据的程度有更严格的协议。帕拉吉拉斯说,当他在Facebook工作的时候,它没有充分利用它的执行机制,比如一个条款,这个条款使得这家社交媒体巨头能够对滥用其数据的外部开发者进行审计。
他说,针对流氓开发商的法律诉讼或禁止他们在Facebook上继续开发的案例“极其罕见”,“我在那里的时候,我没有看到他们对开发人员进行一次系统的审查。”
在“剑桥分析”事件被曝光以后,Facebook在3月19日宣布,已聘请一家数字鉴证公司对“剑桥分析”公司进行审计。
帕拉吉拉斯回忆称,该公司热衷于鼓励更多的开发者为其平台开发应用程序,“让开发者对应用程序感兴趣的主要方式之一就是让他们访问这些数据”。
在刚进入Facebook硅谷的总部后不久,帕拉吉拉斯就被告知,任何封禁应用程序的决定,都需要得到CEO马克•扎克伯格(Mark Zuckerberg)的个人批准。该政策后来放宽了,以方便工作人员更容易地与违规开发商打交道。
虽然之前的政策是允许开发者访问Facebook用户的好友数据,但在Facebook的条款和条件下,用户可以通过改变他们的设置来阻止这种数据共享。
不过,帕拉吉拉斯依然认为这一政策存在问题。“公司很清楚,这是一种风险。” “Facebook正在提供未经授权的用户的数据,并依赖于人们没有阅读或理解的服务和设置。”
正是这一特点被全球科学研究公司(GSR)利用,并于2014年提供给“剑桥分析”公司。全球科学研究是由剑桥大学的心理学家亚历山大·科根(Aleksandr Kogan)管理的,他开发了一款针对Facebook用户的性格测试应用。
测试会自动下载参加测试的人的朋友的数据,表面上是为了学术目的。“剑桥分析”公司否认,他们知道这些数据来源不正确。并且科根坚称他没有违法,辩称与Facebook没有“密切的工作关系”。
虽然科根的应用程序只吸引了大约27万用户(其中大多数是付费参加测试的),但该公司还是能够利用好友权限功能,快速收集超过5000万Facebook用户的数据。
帕拉吉拉斯向《卫报》指出:“科根的应用程序是Facebook上最后一批可以访问朋友权限的应用程序之一。”许多其他类似的应用程序多年来一直以商业目的收集类似体量的数据
2010年的一项学术研究基于对1800个Facebook应用程序进行分析,得出的结论是,约有11%的第三方开发者会请求用户的好友数据。
帕拉吉拉斯表示,他不确定为什么Facebook在2014年年中停止允许开发者访问好友数据,这大约发生在他离开公司两年后。他认为其中一个原因可能是Facebook的高管们意识到,一些最大的应用程序正在获取大量有价值的数据。
帕拉吉拉斯回忆称,在Facebook有一些高管为将数据传递给其他公司而感到紧张,“他们担心大型应用程序开发商正在建立自己的社交图谱,这意味着他们可以看到这些人之间的所有联系,担心这些公司会建立自己的社交网络。”
“他们把它当作公关活动来对待,而不是帮助国家解决国家安全问题”
帕拉吉拉斯表示,他曾在Facebook内部进行游说,要求“采取更严格的方法”来加强数据保护,但没有得到任何支持。他在2012年中,曾经交给他的上级一份PPT,“其中包括Facebook平台上用户数据的漏洞地图”。
“我列出了那些暴露我们身份,可能对数据进行恶意攻击的不良行为者,并且给出了可能的应对办法。”帕拉吉拉斯说道。
但最终Facebook的无动于衷,促使帕拉吉拉斯在2012年底离开了这家公司。“我觉得公司没有认真对待我的担忧。”
帕拉吉拉斯一直没有向公众透露过对Facebook隐私问题的担忧,直到他听到Facebook的律师在2017年末向参议院和众议院调查人员提供的关于俄罗斯试图影响总统选举的证词时,情况发生了变化。
他说:“他们把它当作公关活动来对待。”“他们似乎完全聚焦在如何限制自己的责任和风险,而不是帮助国家解决国家安全问题。”
正是在这一点上,帕拉吉拉斯决定公开他的担忧,在《纽约时报》上发表了评论文章,称Facebook不能被信任来监管自己。
帕拉吉拉斯在文章中强调,在一个非常关心保护用户的公司,将会采用强有力的措施来阻止那些使用数据不当的开发人员。“但当我在Facebook的时候,他们的典型反应是这样的:尽量让负面的媒体报道停下来,并没有真诚地努力去落实安全措施,也不去发现和制止滥用权力的开发者。它并不关心数据是如何被使用的。”
