“剑桥分析”之所以能够获取高达近五千万用户的信息,得利于那三十万授权用户的无知无畏的行为——他们轻率愚蠢的行为让自己160个以上的好友信息暴露在数据抓取工具的面前,最终受害者从三十万跃升到了五千万。
(资料图来自网络)
Facebook现在进入到了一个痛苦的阶段。这个痛苦的阶段并不是最近几天“剑桥分析”公司(Cambridge Analytica LLC)被爆出和Facebook相关的丑闻才开始的。早在特朗普当选美国总统前后,就有各种传言谈到俄罗斯通过干预社交媒体的内容来影响互联网用户的投票决策。
2017年12月,知名的互联网分析公司CBInsights发布的报告显示,最近十年以来评价最负面的高科技巨头中Facebook高居榜首。有近六成的被访者对Facebook的评价最为负面,而第二名亚马逊只有11%。
这次“剑桥分析”公司涉嫌利用来自Facebook的数据影响多国大选,进一步强化了公众和媒体对于Facebook的“恶魔”形象。个人隐私、资本、暴利、干预政治,各种夺人眼球的标签被贴在了Facebook的头上。那么Facebook到底做了什么突破认知底线的恶行呢?我们从数据范围、数据获取、Facebook能做什么和数据应用四个环节分析一下这个事件的来龙去脉以及Facebook需要承担的责任。
Facebook并未泄露未被授权发布的个人隐私
Facebook本质上只是一个公告板,基于社交关系链接的个人公告板。每个人都拥有在自己的公告板上发布信息的权力,同时可以与他人建立好友关系并获取对方发布的信息。Facebook创立之初的设计,就是用户自我发布自我管理。
Facebook提供了多种粒度的个人信息开放控制手段供用户选择发布信息的范围。不管是所有人可见,还是好友可见,用户都很清楚自己在Facebook上发布的信息是面向公众或部分公众的。
其中如果包含了个人隐私的话,也是用户自己主动向特定对象或不特定对象公开的。被授权访问这些个人信息的对象完全可以将此信息传播到更大的范围,而这往往是平台难以约束的。就如同用户在微博里绑定了第三方应用并授权它以自己的名义发布微博,结果应用以用户的名义发布了应用推广一样,这和微博平台本身是没有关系的。
从社交网络平台出现以来,大众对于个人信息的发布经常是处于无知并且无畏的态度。举例来说,个人性取向是一个非常敏感的个人信息,但绝大部分用户在使用社交网络时对公开个人性取向却并不避讳。一些年轻人甚至选择Facebook作为他们正式出柜的宣言。他们将Facebook上的性取向改为对“男性”或对“女性”有兴趣并设置公开显示,这在线下场合往往是很少见到的。用户对发布如此个性化的敏感信息都如此轻率,对其它个人信息的态度可想而知。
Facebook上有没有应该受系统严格保护的用户隐私数据呢?当然有。用户使用Facebook的时间、地点、设备信息,用户在Facebook上的浏览行为与私信,都是用户使用Facebook产生的且未对外发布的信息。
从目前的报道来看,“剑桥分析”没有获得任何超范围授权的用户发布的信息,真正没有被授权发布的个人隐私信息也并没有流出Facebook。
政府一起背锅
社交媒体平台为了提供更多的差异化服务,会提供程序访问公开信息的接口,以鼓励第三方在获取用户授权的前提下抓取用户信息,并基于用户信息提供有针对性的服务。我们在微博微信上使用的各种非官方小工具,都是这样性质的服务。
“剑桥分析”的数据提供方“全球科学研究”公司正是依靠Facebook提供的合法途径,通过制作个人性格测试应用吸引了超过三十万用户向其开放授权,从而获取了这三十万用户和其社交关系上所有好友公开发布的信息,共计牵涉到近五千万Facebook的注册用户。
用户授权真实有效,数据获取通过官方渠道,Facebook对于第三方应用的管理原则也是目前互联网行业通用的方式。
换句话说,此次事件被定义为个人隐私数据泄露是很牵强的,因为数据完全是遵循当时的管理框架下被“全球科学研究”获取的。如果Facebook最终被政府认定造成了个人隐私数据泄露,那么这个泄露也完全和技术无关,而是管理原则和监管方式不当造成的。
管理原则和监管方式不当完全是Facebook的责任吗?其实政府也需要一起背锅。
2017年8月,美国联邦法院裁定全球最大的职业社交平台领英(LinkedIn)不得屏蔽第三方初创公司通过网络爬虫抓取用户的公开信息。领英作为全球最大的职业社交平台,拥有超过5亿个注册用户。其中的大部分用户出于职业需要会发布自己的教育背景、职业经历及职业人脉网络,而且信息真实度极高。这些有巨大影响力社交平台出于信息保护和防止滥用的目的屏蔽第三方公司的网络爬虫,却被美国联邦法院最终判定为非法。
结合Facebook的案例来看,恰恰说明了美国政府自身对社交网络上用户信息的保护与监管原则都是混乱和自相矛盾的。
对于社交网络和其上的海量数据,无论是社交平台本身、用户、第三方使用者和政府,都没有充分意识到其中蕴含的巨大能量。公众一旦意识到了这一点,那就一定需要寻找恐惧情绪发泄的“替罪羊”,这也是Facebook被公众和媒体强烈批评的核心原因。
Facebook能做什么?
2014年开始,Facebook要求第三方应用在抓取已授权用户社交关系上的好友公开信息时,同时必须得到被抓取好友的授权。但“剑桥分析”所使用的应用在2013年发布,也就是新规则生效前就完成了用户授权和数据抓取的工作。2014年及以后出现的严格授权只是让”剑桥分析”无法进一步获取更新的数据。Facebook认识到了第三方应用抓取用户数据的潜在风险,并力图加以约束,但数据流出已经既成事实。
面对用户发布个人隐私数据和授权第三方应用访问时的轻率,Facebook能够做的只是充分告知和严格审核。一旦第三方应用满足了授权要求,用户数据转移到了第三方应用那里,Facebook就已经失去了管理和控制的能力。
Facebook并没有做什么极端跨越行业准则和道德底线的事情。它只是收集了客户发布的信息,存储客户的社交关系,并提供给经过授权的公众和第三方使用。它在数据安全管理方面并不比其它社交平台更差。
只是在个人信息泛滥的今天,Facebook成为了最易于遭受攻击的目标。不论是社交平台、用户还是政府,对于如何管理个人信息以避免潜在的滥用风险,到今天都没有找到公认的简单有效的管理手段。在未来相当长的一段时间内,这个问题一直都将是整个社会走向数字化信息化的挑战。
我认为Facebook唯一可以被指责的,就是发现“剑桥分析”获得海量用户数据后有可能用于其它用途时,应该及时告知政府潜在的影响,并尽早通过政府的力量来控制数据的扩散和应用范围。
很可惜Facebook没有及时选择引入政府处理这一复杂的事件,从而导致数据应用范围失控,自身形象也在媒体曝光后遭受重大损失。
跌落神坛
基于海量数据收集分析和相关的策略应用对于社会的全面影响早已存在,这次被曝光的“剑桥分析”的数据分析应用方式只是震惊了公众,但对于数据分析行业内部人士看来完全不足为奇。
“剑桥分析”只是使用了近二十年以来商业上普遍使用的客户分群技术,然后按照分群结果打上标签,并对每个群设计最优的影响策略,传播要点和最有效的传播途径。事实上,大部分商业公司就是通过类似的技术在影响着每个人的日常选择。
只是“剑桥分析”针对特定的政治用途和获取的数据设计了全新的客户特征模型,并依赖于互联网与线下数据的结合找到了有效的个性化信息传播途径,最终改变的是每个人的另一种选择—大选投票给谁。
通过数据分析和社交网络影响政治领域也并不是俄罗斯或者是“剑桥分析”最早的创造。早在2006年奥巴马开始为自己第一次美国总统选举做准备时,就已经把目光投向了刚刚成长起来的Facebook,并开始通过互联网树立自己别具一格的政治形象。奥巴马甚至聘请了Facebook的联合创始人克里斯·休斯担任2008年总统竞选团队的在线组织主管,进行互联网和社交网络数据的深入分析。《纽约时报》的评论文章甚至把社交网络描述为美国总统大选的第二战场。
雷同的数据来源、相似的分析手段,一模一样的应用领域,其实数据分析和社交网络介入政治十年前就已经出现了。
几乎同样的事件为什么以前被认为是互联网高效率的体现,而这次却被认为是个人信息滥用和丑闻?
只因为这次利用数据分析影响政治的使用对象有可能是特朗普或者是俄罗斯,再加上公众对被社交媒体操控的深刻恐惧,导致公众有如此大的反响。再加上媒体的推波助澜以及部分事实被有意无意的歪曲和放大,最终导致Facebook沦落到千夫所指的地步。
谁该审视自身?
最应该审视自身的当然是“全球科学研究”和“剑桥分析”那些交易并滥用个人信息的企业和机构。但在此事中那三十万向个人性格测试应用授权的用户也应该审视自己轻易授权数据访问的愚蠢行为。
我们在手机上安装应用的时候,有时会发现应用申请访问手机的通讯录,这是需要谨慎对待的操作。对于智能手机来说,通讯录早就不是只存放电话号码那么简单了,里面可能会有好友的电子邮件、微信号、生日备注甚至家庭住址。对于支持和邮件系统同步的智能手机来说,更是可以一键把全部好友信息导入到手机通讯录中。如果某人在手机上授权不明应用访问自己的通讯录,那就是把所有好友的个人信息置于危险境地。在这种情况下发生的数据泄露,除了恶意应用外,主要的责任就是在用户本身,而与手机平台本身无关。
当然,不是每个人的知识水平都能够认识到这一点。但是很不幸,这些知识已经成为个体生活在数字化社会的常识,不了解这些常识就会受到惩罚。
“剑桥分析”之所以能够获取高达近五千万用户的信息,就是依靠那三十万授权用户的无知无畏的行为——他们向应用开放的除了自己的个人信息,还包括自己社交网上所有好友的个人信息和Facebook上的活动,如点赞、评论等。而这三十万授权用户都是社交网络的活跃分子,在Facebook上的人均好友数超过160。于是他们轻率愚蠢的行为让自己160个以上的好友信息暴露在数据抓取工具的面前,最终受害者从三十万跃升到了五千万。
在互联网时代,我们应该像看守着自己的钱包一样看守自己的数字资产。要知道,你的数字资产在很大程度上会出卖你的一切。就像警察不可能制止所有偷盗钱包的行为,不论是平台还是政府监管机构,都不可能完全封杀窃取个人信息的威胁。如果公众自己都不能在这次Facebook事件中很好的反思应该承担的责任并吸取教训,而是把所有罪责都推向Facebook,那么未来类似的“个人信息泄露”还会不断地发生。
随着大数据、物联网和人工智能时代的来临,更多的个人数据将会被海量的智能设备生产出来。从智能摄像头到声音采集设备,再加上各种智能交通与监控设备,每个人将无时无刻不被智能设备识别、跟踪、采集信息。当这些信息在公众区域采集并被加上个人识别特征后,数据的所有权和应用范围就成为新的应用和监管难题。
以Amazon Go商店为例,客户在商店内的数字化行为信息到底是Amazon所有还是客户所有?Amazon是否可以通过信息交易获取收益?这些都是数字化世界的新问题。
在整个世界全面数字化的未来,要想防止数据分析在各个领域包括政治领域的全面渗透与应用是不可能的。我们要考虑的是如何通过监管手段降低数据分析和未来的人工智能的负面因素的影响,使其在可控的范围内,并摸索出一条行之有效的监管之路。全面数字化时代的个人信息应该如何被管理以发挥效能并降低滥用的风险,不只是像Facebook这样的社交平台面临的挑战,更是各国政府必须解决的监管难题。
*本文来源于【财经】,特约撰稿人 李军/文 谢丽容/编辑,2018年03月24日