被數據隱私安全「凌遲」的扎克伯格

【獵雲網（微信號：ilieyun）】2月25日報道（編譯：羅彬傑）

數以百萬計的智能手機用戶向自己手機中的APP坦白了他們最私密的秘密，包括他們想要鍛煉腹部脂肪的時間，或者他們上周末購買的房子的價格。其他一些APP還可以知道用戶的體重、血壓、月經周期或懷孕狀況等。

而大多數人不知道的是，在很多情況下，這些數據是被別人共享的。

《華爾街日報》進行的一項測試顯示，這家社交媒體巨頭在用戶進入許多熱門智能手機APP後幾秒鐘就會從這些APP中收集大量個人信息，即使用戶並沒有與Facebook連接。測試顯示，這些APP經常在沒有任何明顯或具體提示的情況下發送數據。

眾所周知，許多智能手機APP會向Facebook發送用戶何時打開它們的信息，有時還會發送用戶在裡面的行為信息。此前未被報道的是，至少有11個下載量達數千萬次的熱門APP也在分享用戶輸入的敏感數據。調查結果讓一些審查了《華爾街日報》測試的隱私專家感到十分擔憂。

華盛頓和歐洲的監管機構正在對Facebook對待用戶和非用戶信息的方式進行審查。該公司因允許現已倒閉的政治數據公司——劍橋分析公司非法獲取用戶數據而被處以罰款，並因在聲稱已屏蔽了用戶數據後很久仍允許一些公司特別訪問用戶記錄而招致批評。

就應用程序方面而言，《華爾街日報》的測試顯示，即使沒有使用Facebook的賬戶登錄，即使最終用戶不是Facebook的會員，該公司的軟體還是會從很多APP中收集用戶數據。

蘋果公司和Alphabet旗下的谷歌運營著兩家佔主導地位的應用程序商店。這兩家公司不要求其商店的APP公開所有與之共享數據的合作夥伴。用戶可以決定不允許APP訪問某些類型的信息，比如他們的聯繫人或位置。但這些許可權通常不適用於用戶直接提供給APP的信息，有時這些信息反而是最私人的。

在《華爾街日報》的測試中，蘋果iOS系統上最受歡迎的由總部位於加州的Azumio公司生產的心率APP「即時心率：人力資源監控器（Instant Heart Rate: HR Monitor）」在用戶心率被記錄下來後立即將其發送給Facebook。

Flo Health公司的Flo經期和排卵追蹤APP擁有2500萬活躍用戶，測試顯示，它會在用戶經期時或嚮應用表明自己有懷孕意圖時告知Facebook。

測試還顯示，《華爾街日報》母公司新聞集團（News Corp）的子公司Move旗下的房地產應用Realtor.com向這家社交網站發送了用戶查看的房產信息的位置和價格，並指出哪些是用戶最喜歡的。

這些APP都沒有提供任何明顯的方式阻止用戶將這些信息發送到Facebook。

Facebook說，《華爾街日報》的測試發現的一些數據共享似乎違反了它的商業條款，這些條款要求APP開發商不要向它發送有關「健康、財務信息或其他敏感信息」。Facebook還稱，它正在通知被《華爾街日報》點名的APP停止發送用戶可能認為敏感的信息。該公司表示，如果這些APP不遵守規定，它可能會採取額外行動。

Facebook的一名女發言人表示：「我們要求APP開發商向用戶明確他們與我們共享的信息。」

這個問題的核心在於Facebook提供了一個分析工具給開發商，他們可以通過該工具看到用戶的統計信息並針對這些用戶發布相應的Facebook廣告。儘管Facebook的條款允許其將《華爾街日報》披露的數據用於其他目的，但這位發言人說，Facebook並沒有這樣做。

Facebook告訴其商業夥伴，它會使用從APP中收集的客戶數據來個性化Facebook上的廣告和內容，以及進行市場調查等。該公司在2015年申請了一項專利，並於去年獲得批准。該專利描述了從各大APP中獲取的數據將如何存儲在Facebook的伺服器上，在那裡，這些數據可以用來幫助該公司的演算法鎖定廣告目標，並選擇最合適的內容顯示給用戶。

蘋果表示，其指導方針要求APP在收集用戶數據時必須徵得「用戶事先同意」，並採取措施防止第三方未經授權訪問。該公司表示：「當我們聽說任何開發商違反這些嚴格的隱私條款和準則時，我們會迅速展開調查，如果有必要，我們會立即採取行動。」

谷歌的一位發言人拒絕發表評論，只是指出，該公司的政策要求處理敏感數據的APP「公開共享任何個人或敏感用戶數據的當事人的類型」，在某些情況下，還要求APP顯著披露這類信息。

去年6月，Alice Berg開始使用Flo來跟蹤月經，在此之前，她查看了該應用的服務條款。這名25歲的奧斯陸學生表示，她在與APP共享數據方面變得更加謹慎，希望確保自己的數據只有有限的一部分會與Facebook等第三方共享。

現在，Berg說，她可能會刪除這款應用。 「我認為他們非常不誠實，他們只是在對用戶撒謊，尤其是在涉及到如此敏感的事情時。」

Flo Health的隱私政策稱，它不會向第三方供應商發送「有關您標記的月經周期、懷孕、癥狀、筆記和您輸入的其他信息，以及您不選擇與他人共享的信息」。

Flo最初在一份書面聲明中表示，它不會發送「關鍵用戶數據」，而且它發送給Facebook的數據是「非個性化的」，以保護隱私和安全。

然而，《華爾街日報》的測試顯示，敏感信息是通過一個獨特的廣告標識符發送的，該標識符可以與設備或個人資料匹配。Flo的一名女發言人隨後表示，在進行隱私審計期間，該公司將「大幅限制」使用外部分析系統。

Move公司是房地產應用realtor.com的所有者。根據《華爾街日報》的測試，realtor.com向Facebook發送用戶喜歡的房產信息。該公司稱：「我們嚴格遵守所有地方、州和聯邦的要求」，其隱私政策「明確規定了用戶信息的收集和共享方式」。該政策表示，其應用程序收集各種信息，包括用戶感興趣的內容，並可能與第三方共享。但它並沒有提到Facebook。

《華爾街日報》還測試了蘋果iOS商店裡的處理敏感用戶信息類別中最受歡迎的70多個APP。他們使用軟體來監控APP觸發的互聯網通信，包括發送給Facebook和其他第三方的信息。測試發現，至少有11個APP向Facebook發送了有關用戶行為或實際數據的敏感信息。

截至周四，在蘋果美國應用商店的前10大金融應用中，似乎沒有一個向Facebook發送敏感信息，而只有兩個應用沒有發送任何信息。但在該商店排名前15位的健康和健身APP中，至少有6款在信息被收集後立即發送了潛在的敏感信息。

《華爾街日報》委託軟體公司Disconnect對部分APP進行重新測試。該公司為公眾提供管理網路隱私的工具。Disconnect證實了《華爾街日報》的發現，並表示Facebook允許其使用收集到的數據的條款不同尋常。

「這真是一團糟。這完全是獨立於APP本身的功能。」Disconnect的首席技術官Patrick Jackson說，他代表《華爾街日報》分析了這些APP。

《華爾街日報》在測試中使用的軟體無法解讀Android應用程序的流量內容。網路安全公司Defensive Lab Agency的聯合創始人Esther Onfroy進行了另一項測試，結果顯示，至少有一款被《華爾街日報》的曝光的APP——BetterMe：Weight Loss exercise在其安卓版本中，一旦登陸，用戶的體重和身高就會被分享給Facebook。

BetterMe沒有回復《華爾街日報》的電子郵件和社交媒體詢問。2月16日，在與《華爾街日報》接觸過之後，該公司更新了其隱私政策，將用於Facebook分析的一般參考替換為與Facebook分享信息，以此來確定「我們用戶的平均體重和身高，有多少用戶選擇了他們身體的特定問題部位，以及其他互動。」

APP通常集成了稱為軟體開發工具包（SDK）的代碼，幫助開發人員集成某些特性或功能。與APP共享的任何信息也可以與嵌入式SDK的製造商共享。包括Facebook的SDK在內的一系列SDK都能夠幫助APP更好地了解用戶的行為，或收集數據以銷售目標廣告。

Facebook的一名女發言人說，通過SDK在APP之間共享數據是「行業標準做法」。

Facebook的SDK包含在數千個APP中，其中包括一項名為「應用事件(App Events)」的分析服務，它允許開發者查看用戶的趨勢。APP可以告訴SDK記錄用戶所採取的一組標準化操作，例如用戶何時完成購買。APP開發人員還可以定義「自定義應用程序事件」供Facebook捕獲——這就是《華爾街日報》檢測到的敏感信息發送的方式。

Facebook在其網站上說，它使用來自SDK的客戶數據，並結合它收集的其他數據，來個性化廣告和內容，以及「改善Facebook上的其他體驗，包括新聞提要和搜索內容排名功能」。

但這位女發言人說，Facebook沒有使用定製事件，也就是那些可能包含敏感信息的事件。她說，Facebook會自動刪除它可能接收到的一些敏感數據，比如社會安全號碼等。

她說，Facebook目前正在研究如何搜索違反其條款的APP，並建立安全措施，防止Facebook存儲APP可能發送的敏感數據。

隱私律師說，非健康機構收集健康數據在美國大多數州都是合法的，前提是APP和Facebook的服務條款中有充分的信息披露。美國東北大學法學和計算機科學教授Woodrow Hartzog說，美國聯邦貿易委員會對數據共享嚴重偏離用戶預期的情況很感興趣，尤其是在用戶很難找到任何解釋的情況下。

即時心率APP的製造商Azumio的隱私政策稱，它收集包括心率在內的健康信息，並可能向第三方服務提供商和廣告提供商提供一些個人數據。它沒有說任何關於向外部實體提供從其APP中獲取的健康信息的內容，也沒有提到Facebook是否為其中的一個提供商。

該公司首席執行官Bojan Bostjancic在一封電子郵件中說，公司使用Facebook分析系統來分析用戶在APP中的行為，並在隱私政策中披露了第三方的使用情況。但他並沒有回答後續問題。

在與《華爾街日報》取得聯繫後，名為Breethe的冥想APP開發商停止向Facebook發送每個用戶用來登錄該APP的電子郵件地址，以及每次完成的冥想全名。

「顯然，Facebook的商業模式是獨一無二的，不幸的是，我們並沒有像我們應該做的那樣，努力讓我們的數據管理與他們的隱私政策保持一致。」該公司聯合創始人Garner Bornstein說。

在歐盟，對健康或性信息等敏感數據的處理受到更加嚴格的監管。歐盟的新隱私法通常要求企業在收集、處理或共享此類數據時獲得明確的同意，而將同意獲取這些數據作為使用服務的一個條件通常是無效的。

一些看過《華爾街日報》調查結果的隱私專家說，這種做法可能違反了法律。荷蘭內梅亨大學法學教授Frederik J. Zuiderveen Borgesius說：「對於使用敏感數據，APP開發商和Facebook兩者都需要獲得用戶同意，這應該是最基本的要求。」

這位Facebook的女發言人說，其公司遵守了歐盟的隱私法。

Facebook允許用戶關閉其收集來自第三方應用程序和網站的數據來發布有針對性的廣告。但目前沒有辦法阻止該公司收集首要信息，或將其用於其他用途，如檢測假賬戶。本月早些時候，德國最高反壟斷執法機構要求Facebook在未經許可的情況下停止使用這些數據。

Facebook首席執行官馬克?扎克伯格深受其公司收集用戶數據帶來的外界壓力，他去年表示，其公司將創建一個名為「清晰歷史（Clear History）」的功能，讓用戶能夠查看Facebook從APP和網站上收集的關於他們的數據，並將其從Facebook上刪除。該公司表示，它仍在進一步開發相關技術，使該功能的實現成為可能。

來自移動APP的數據可能很有價值。廣告買家說，由於Facebook對用戶行為的洞察，當營銷人員尋找運動愛好者或在希望在市場上購買一輛新跑車的用戶時，它能比大多數其他公司為他們的投資提供更好的回報。但相應的，這類廣告每次點擊的成本也更高。

這也是Facebook收入飆升的部分原因。研究公司eMarketer預計，Facebook今年將佔全球3330億美元數字廣告市場的20%。

不過，在一次討論該公司最近收益的電話會議上，首席財務長David Wehner指出，投資者應該意識到，蘋果和谷歌可能會加強對APP的隱私控制。他說，這種可能性是「我們在2019年監測的持續風險」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！