被武器化的大數據

過去的這個周末，美歐各界被兩篇長篇調查報道炸開了鍋。美國《紐約時報》3月17日發表報道「川普的顧問是如何利用數以千萬的Facebook數據」（How Trump Consultants Exploited the Facebook Data of Millions）。英國《衛報》推出了專題——「劍橋分析公司文檔」（The Cambridge Analytica Files）。

所有報道中的中心線索人物是Christopher Wylie，也就是下圖的紅髮小伙。Christopher Wylie幫助創立了劍橋分析公司，並一直工作到2014年。這位走向前台的揭發者，向外界講述了他以及「劍橋分析」是如何「替班農打造了心理戰工具」的（『I created Steve Bannon』s psychological warfare tool』）。

那整個事件中處於另一核心位置的「劍橋分析」是幹什麼的？據這家公司自己的介紹，其專門向「希望改變聽眾行為」的企業和政治團體提供服務，利用自己手裡掌握的海量信息，能夠有針對性地向聽眾投放宣傳材料。

而「劍橋分析」事實上是另一家英國公司「戰略傳播實驗室」集團的子公司（Strategic Communication Laboratories Group，SCL）。顧名思義，SCL實際上也是干著「劍橋分析」的專業，只不過其面向全球，而「劍橋分析」主要針對美國共和黨提供服務（「to address the vacuum in the US Republican political market」）。

在Christopher Wylie眼中，「劍橋分析」就是文化戰中的武器庫（ 「arsenal of weapons」 in a culture war.）。我們接下來就來了解他為什麼這麼說？

事件主線

川普、班農、數據、文化戰、心理戰、Facebook......這些關鍵詞齊聚，不難看出這故事指向何處。簡單來說，故事主線就是衛報繪製的下圖。

Aleksandr Kogan是劍橋大學心理學教授，但同時又「秘密地」是俄羅斯彼得堡大學副教授，並從俄國政府領取項目資助，研究Facebook用戶的情感狀態。在劍橋大學，Kogan和其同事從事的研究是「如何從Facebook檔案中推知用戶的人格和政治傾向」。Kogan同時是一家公司「環球科學研究」（Global Science Research, GSR）的創立者。

Alexander Nix同時是SCL Elections（SCL中專攻政治傳播的分部）和「劍橋分析」英國分公司的CEO。Kogan的GSR與Nix的SCL有商業協議，GSR出面獲取Facebook的數據。

羅伯特·默瑟（Robert Mercer）是美國對沖基金公司文藝復興科技（Renaissance Technologies）的聯席CEO，億萬富翁，同時也是川普競選總統的主要金主之一。他出資（1500萬美元）與SCL Elections聯合創建了「劍橋分析」。這個公司名稱正是出自於班農的創意。班農本人也曾擔任劍橋分析公司美國總部的副總裁。

為了「洞察目標對象的心理特徵並以此影響他們的行為」，紅髮小伙Christopher Wylie一開始找到劍橋大學心理學系的人。他知道劍橋大學的Psychometrics Centre能夠根據用戶在Facebook上「喜歡」了什麼勾勒出其個性特徵，但該中心拒絕與Christopher Wylie合作。但同期在劍橋大學工作的Kogan教授，其個人對合作抱很大興趣。這是Kogan教授向Wylie發出的一封郵件截圖，非常詳細地列出了能夠被預測的個人特徵類型。Kogan教授還指出，如果有更大的樣本量，更多的特徵預測也不在話下。

說干就干。SCL資助GSR，也就是Kogan教授，開發了一款Facebook APP——「thisisyourdigitallife」。該APP聲稱可以提供個性預測。當然，也不是誰都可都有資格試用這款APP。用戶必須是Facebook用戶，並且是美國選民。下載該APP後，用戶需要通過Facebook帳戶登陸，並同意個人帳號中的「城市」、「點贊」、「好友」等信息被用於「學術研究目的」。注意，不只是自己的信息，還包括好友的信息。

在最開始的試驗中，1000名試用者帶來了16萬的賬戶信息，也就是說平均每名試用者能夠讓GSR掌握160個Facebook用戶的相關信息。最終，27萬人使用了這款APP，讓Kogan教授掌握了超過5000萬用戶的數據！

這些數據再和其他公開的選民信息結合，就能夠真實地在現實生活中定位一個個具體個人，並開始對這些個人就行心理畫像。換句話說，用Facebook北美5000萬用戶的數據，搭建起一個可以剖析美國選民的數據模型，並且能夠針對性地推送千人千面的個性化政治廣告。

據報道，5000萬用戶大約佔北美Facebook總用戶的三分之一，佔美國所有選民人數的四分之一。在2016年美國大選中，總投票人數約為1.3億人。川普獲得的總票數其實比希拉里還少三百萬，但只是因為在幾個人口較多的關鍵州以極其微弱優勢險勝才勉強上位。因此，報道的潛台詞是——如果川普團隊沒有拿到這批海量信息，大選的結果就會改寫。

從數據安全視角看待該事件

首先，Kogan教授獲取數據的方式是Facebook明確允許的，但僅能用於學術研究目的。這也是為什麼在3月17日，Facebook發表官方聲明，宣布禁止SCL和「劍橋分析」獲取其數據。在聲明中，Facebook認為「違規」是發生在Kogan教授將數據給了SCL和「劍橋分析」。也就是數據共享環節，而不是數據收集環節。

這其中，還有一個很有意思的事情。在Kogan教授的App大量地從Facebook上拉取數據時，曾經「觸發了Facebook的內部預警機制」。Facebook在得到「用於學術目的」的回復後，就不再過問。

從這兩點來看，Facebook是不是對「學術研究目的」（以及其他類型的數據業務合作？）的數據收集給了過多的許可權？過多的許可權體現在兩點：

第一，Kogan教授的App要抓取某位用戶數據，獲得了該用戶本人的同意，但是為什麼抓取能夠延伸到該名用戶的朋友的信息？至少這些朋友們從來沒有給出過同意。在Facebook的官方聲明中，Facebook聲稱是用戶朋友的隱私設定所允許的信息，才能被抓取（「as well as more limited information about friends who had their privacy settings set to allow it」），但是用戶的朋友明確知曉在選擇隱私設定時，還要考慮被第三方軟體抓取的情況嗎？等於說，告知是否足夠清晰和完整？

第二，Facebook確實在內部有安全機制，在大量數據被抓取時能夠觸發警報。但是內部的預警是否足夠充分？合法的介面、用戶、許可權，在短時間內爬取海量數據是否符合其他研究人員的行為基線？觸發一次警報後是否應該對該合法用戶持續監控？預警後是否通過簡單的詢問就可以解除警報？等等。

當然，公號君最想指出的是，上述事件體現了關鍵信息基礎設施（CII）的另一類安全風險，一類我們經常忽略的安全風險。

Facebook平台日活數超過20億，掌握如此海量的數據。無論是該平台被「攻擊、侵入、干擾和破壞」，都可能在社會、國家層面產生嚴重後果。記得一個數據，香港700萬人口，有將近500萬人都在用Facebook。因此，把Facebook當成CII沒有任何問題。

對於CII，我們通常關注的是其自身的安全。但是在上文，以及美國媒體報道關於俄羅斯利用facebook平台投放了很多定向廣告影響了大選的事件中，facebook沒有發生任何信息泄露，也就是沒有我們經常強調的CII遭受「攻擊、侵入、干擾和破壞」這樣的安全事故。這也是為什麼在上述事件中，Facebook不認為發生了數據泄露事件。

但很顯然，Facebook確確實實被惡意利用了，對Facebook平台之外的更大的環境造成了嚴重的危害。

Facebook在美國大選問題上飽受指責，原因是美國不少人認為其被俄羅斯利用了。媒體報道，俄羅斯通過第三方在Facebook上購買政治廣告，並定向提供給特定人群，幫助川普當選。注意：在美國，購買、發布政治廣告是合法的，且Facebook盈利的主要模式就是收集、分析個人信息後，對特定人群定向投放廣告。因此，在國會的聽證中，Facebook高管抱怨，其實商業模式是合法的，政治廣告內容是合法的，只不過問題出在了誰買了並要求投放這些廣告。言下之意，讓我來審查誰買了這個廣告，這個問題平台根本做不了。【以下是Facebook高管的原話】

實際上對於這個情況來說，Facebook這個平台及其掌握的數據，在安全性、保密性、完整性三個方面來說，完全沒有問題。問題出在了誰利用了這些數據。由於CII的數據資源肯定不能靜止不動、封存不用，將來一定會遇到類似的問題。

換句話說，平台本身沒有任何安全風險（這是我們主要關注的內容），但是利用平台對外界造成安全危害，這個方面我們關注非常不夠。再由於關鍵信息基礎設施如此重要，就算設施本身沒有被破壞，但是一旦被惡意利用後，很可能造成非常嚴重的後果。

一個是內部視角，即關注平台自身安全，另外一個是外部視角，平台在開展合法業務合作時被惡意利用，對外界造成安全危害。在做CII保護工作時，我們應兩手都要抓，兩手都要硬。

這件事還有很多方面值得挖掘，留待下回分解吧。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！