《消费者报告》:Facebook和你的隐私
Facebook集中在隐私控制上的行为就像“一个魔术师,用右手挥舞着明亮的彩色手帕,所以左手就像隐形了一样。从消费者的观点来说,Facebook致命的设计错误不是‘约翰’能看见‘比利’的数据,而是Facebook对于接入用户数据的端口不加控制,无视所谓的隐私设置”。即使那些调整了设置的用户,还是会惊讶他们的数据依然能被别人看到。
——哥伦比亚大学法学教授伊本·莫格伦
《消费者报告》(Consumer Reports)
图为最新的2012年第6期美国《消费者报告》杂志,封面标题意为“保护你的隐私”。该杂志是美国权威消费者杂志。
如果你正在读这篇文章,而你又有Facebook主页,那这是件好事。有超过1.5亿美国人已经在使用Facebook,而且这个数字每天还在不断增长,因为Facebook让你更容易与朋友、家庭和同事保持联系,发现新鲜的内容,分享照片,鼓吹事业,了解趣事。
所以,Facebook和其他社交网络收集海量高度敏感的信息,并且比以往那些传统收集用户信息的公司传播起来更快更广泛。这听起来很棒,它能帮你找到老同学,或者推送一些你正想购买的产品的广告。但是有多少你的信息被真正收集起来?是如何运用的?是否会落入不法之徒之手?
为了找到答案,我们联系了Facebook并且采访了20多位专家,包括安全专家、隐私顾问、APP开发者,以及隐私滥用的受害者。
我们查阅了个人、学术和政府相关研究,还有Facebook错综复杂的隐私政策。我们调查了2002户使用Facebook的家庭,其中1340户为活跃用户,然后我们期望通过这些数据来估测美国整体情况。
6个值得关注的地方
我们调查中发现了一些值得关注的地方,包括:
一些用户分享信息太多。
我们估计,有480万人用Facebook告诉大家某天要去哪里(对小偷来说是种暗示),还有470万人“赞”Facebook某个有关健康状况或者治疗的页面(可能被那些卖保险的人利用)。
一些用户不设置隐私控制。
大约1300万用户表示,他们从不设置,或者根本就不知道Facebook有隐私工具。28%的用户与所有用户分享他们的大部分或是全部内容,而不仅仅是朋友们。
Facebook收集的数据比你想象的多。
例如,你是否知道当你每次浏览一个带有Facebook“赞”按钮的网页时,Facebook都能获得相应的报告,即使你自己不去点击这个按钮,或者你还没有登录Facebook账户,甚至你压根就没注册过。
你数据分享的程度远超出你的预期。
即使你设定信息只能被你朋友看见,如果一个用户正在使用Facebook的App,则此人可以将你的数据在你不知情的情况下,传送给第三方。
法律保护不健全。
美国互联网隐私法律比欧洲以及其他国家的弱,所以对于社交网络收集到的有关你的信息,你要求查看和控制个人信息的法律权利很少。
问题还在增加。
11%使用Facebook的家庭用户表示,他们过去遇到了问题,类似有人不需要得到允许就能登录进账户,甚至被威胁过。我们推测大约有700万家庭遇到类似问题,比上一次增加了三成。
一些问题是因为用户糟糕的选择而引起的。但也有证据显示,用户在对待Facebook时更小心翼翼。25%的用户说,他们故意填错个人信息以保护身份,2年前该比例只有10%。其他的问题则是由Facebook收集数据的方式引发的,包括如何管理和包装这些隐私控制,你的数据很有可能在你不希望分享的情况下被个人或者公司看到。
Facebook发言人安德鲁·诺耶斯称,公司对待隐私和安全问题很严谨。诺耶斯拿出了一个去年由公司创始人马克·扎克伯格写的一篇文章,“我们每天真的进行上亿万次的隐私检查,确保我们能保证只给那些你愿意与其分享的人浏览内容。”Facebook也正在努力回应一些关切,即便到此文发表时,Facebook宣布将提供用户更广的权限来记录自己过去Facebook的操作记录。
但是一些批评人士担忧,正是有这种海量的个人信息的存在,需要有额外的保护和控制。“上次我发现,一些大企业不能是因为他们的创始人发明了一些新的、能盈利的隐私搜索工具,而去侵犯一些已经被广泛认可的基础权利,而这正是过去几年发生在隐私权益上的问题。”Common Sense Media创始人詹姆斯·斯泰尔说道。
本文中,我们检视这两个观点中的距离,到底哪一方是事实所在。我们关注Facebook是因为它是全球最大的社交网络,拥有8亿用户,远远高于Google+和LinkedIn。Facebook也已经宣布将进行。我们所发现的一些极具吸引力的内容,也有令人不安的。但无论如何都值得你去了解,如果你想更好地保护自己的隐私。
社交网络在重写社会规则
有一点是肯定的:Facebook和其他社交网络正在改变这个现代社会运行的方式,并在“重写”社交法则,Facebook首席运营官谢莉·桑德伯格如此表示。
例子很多。Facebook最近与美国劳工部以及一些机构合作,帮助雇主与求职者联系在一起,开发系统让其招工广告更容易传播。在今年飓风席卷美国中西部和德州时,动物的照片贴满了Facebook,帮助那些家庭找回丢失的宠物。网络还帮助现役军人与家人保持联系,一名在阿富汗服役的美国国民警卫军甚至找到了未来的妻子,还通过网络关注自己新出生女儿的每日动态。现在数百万人在Facebook上表达自己对于政府以及企业的看法。
Facebook还促进商业。去年母亲节前夕,1-800-Flowers.com网站通过让母亲们使用“赞”按钮来表示自己的喜好,大大提高了其鲜花销量。有超过1800万人在得知其朋友浏览了或者“赞”一个品牌的主页后,也做了相同的事情。这就是为什么有这么多机构在Facebook开设主页。例如在《消费者报告》的页面上,我们与专家进行实时对话,分享文章,让读者为文章挑刺。我们同样也在Facebook上购买广告,告诉用户我们的相关活动。
像这样的广告让Facebook保持盈利。企业使用你的数据帮助广告主投放一些你认为有用的广告。例如,你“赞”旧金山49人的页面(一支橄榄球球队),或者仅仅是发表了有关足球的评论。当你看到一些足球折扣票、球迷装备促销等广告时别感到意外。
Facebook不与广告商分享你的信息,除非得到你的允许。如果你点击了某个广告,买了一些产品,广告主很显然会知道你是谁。即便是仅仅“赞”某个品牌主页,企业还是会自动向你账户里发一些邮件。这些帮助Facebook在过去两年营收几乎翻了5倍,达到2011年的37亿美元。
这种收入模式与扎克伯格表述的“让世界更开放,联系更紧密”的想法不谋而合。你分享越多的信息,Facebook了解你越多,精准广告也就变得越强大。
隐私专家担忧,Facebook的商业模式与用户的兴趣背道而驰。“Facebook有目的地削弱隐私概念,谎称用户想分享自己的所有信息。”数字民主中心(CDD)创始人杰弗·切斯特说道。
其他人,像知名博主罗伯特·斯考伯嘲笑这种担忧,“我Facebook账户上的所有内容都是公开的,我不担心隐私问题,因为越是分享有关自己和我感兴趣内容,Facebook就越能给我带来所想要的内容。是的,不少人因为在Facebook上发表言论而失去了工作,但是你也可以最终找到工作,搭建各种伟大的联系,如果你分享了你的激情。”
不同标准的隐私政策
不同国家之间对待隐私的态度各不相同。
在欧洲,企业在收集用户数据前必须告知消费者,消费者也有权获得并修正自己的个人信息。欧盟最近甚至提出了更为严格的政策,要求在收集数据前,必须明确“opt-in”内容(编注:即除非消费者同意,否则企业不能采取各类行动。通常内容是处于opt-out状态,除非消费者反对收集,否则企业将继续收集各类信息)。
而在美国,虽然有个强大的联邦隐私法律来保护你的个人财政和健康数据,但美国人却很少有权去查阅以及掌控那些自己在社交网站上分享的信息。
在不同的保护下,值得去问Facebook到底保留了哪些你的数据。直到最近,这还是很难,即便是Facebook工具“下载你的信息”,也只是覆盖了你的一份信息。
我们知道这些很大程度上要感谢一名24岁的奥地利法学学生,马克斯·施雷姆斯。去年,他成功地从Facebook都柏林办公室拿到了一份其个人信息的完整拷贝,Facebook都柏林办公室主要负责美国和加拿大以外的用户。施雷姆斯很惊讶地发现,在其过去3年长达1222页的个人数据中,不仅有那些他曾经删除的状态和信息,包括一些敏感的私人信息,还有他已经删除的E-mail地址,以及从朋友列表中移除的好友名字。
施雷姆斯成立一个名为Europe-v-Facebook.org的组织,张贴他和别人从Facebook处拿到的经过编辑的拷贝。他的文件中有57种个人信息的类别,包括登录时间和带有经纬度的地理位置。
根据波士顿警方在调查菲利普·马可夫(编注:此人被控谋杀按摩女郎,之后在监狱中自杀)期间公布出来的文件显示,Facebook同样收集美国用户的详细信息。马可夫的Facebook文件包括了其张贴的个人信息和状态、数页的照片、每次登录的具体时间和IP地址,还有他的朋友列表。
施雷姆斯在其发给爱尔兰信息保护委员会(IDPC)的文件中投诉称,“几乎没有政府机构或者企业能够成功获得如此多的个人敏感信息。”IDPC将在7月对Facebook做出评估,在其是否给予欧洲用户更大的控制个人信息的权利上,Facebook是否有所改进。
Facebook最近已经在向这个方面靠拢,虽然用户依然不能获得所有的信息。Facebook称,先会在欧洲和加拿大推出扩展数据,之后再是美国。
虽然提高隐私控制会受欢迎,但一些观察者认为这解决不了核心问题。支持下放数据分享权力的哥伦比亚大学法学教授伊本·莫格伦担忧,Facebook集中在隐私控制上的行为就像“一个魔术师,用右手挥舞着明亮的彩色手帕,所以左手就像隐形了一样。从消费者的观点来说,Facebook致命的设计错误不是‘约翰’能看见‘比利’的数据,而是Facebook对于接入用户数据的端口不加控制,无视所谓的隐私设置”。即使那些调整了设置的用户,还是会惊讶他们的数据依然能被别人看到。
App存在隐私风险
你个人数据泄露的一种途径就是通过Facebook游戏和各种App。无论何时你打开运行,它将获得你的公开信息,例如你的名字、性别和个人照片,还有你的朋友列表,即便你没有将这个朋友列表公开。如果还给予App一定的权限,它能穿透更深,甚至看到你朋友与你分享的信息,除非他们在自己的隐私设置里设置了不允许通过App分享。
结果就是,除非你已经小心翼翼地设置了隐私控制,一个运行App的朋友可以在你不知情的情况下获取你的信息。麻烦的是,我们的调查只发现37%的Facebook用户称自己通过隐私设置限定有多少信息可以通过App来查看。
美国佛罗里达州的安全咨询公司Secure Ideas的安全顾问凯文·约翰逊称,Facebook只是检视网页App开发者的基本情况。约翰逊开发App并对其安全性进行测试。开发一个App的条件是,一个通过验证的Facebook账户,包括手机号码或者信用卡号。企业也很少检查源代码。
Facebook反驳称,对于存在过失的App一直保持警惕性,“我们有专门的小组来检查存在风险的App,确保我们解决了最大的风险隐患,而非只在其第一次发布时做一个草率的检查。”Facebook发言人称,“我们还有严格的自动运行系统,在不法之徒接入用户数据前就能检查到。”
这些App在Facebook一个试验型的页面上运行,能帮助开发者开发用户工具。但是用户也通过另一种形式的App,即智能手机上的App分享数据。
例如Highlight,这款由Math Camp开发的App,利用Facebook资料中你同意公开的内容,通过你的GPS数据记录你的旅行信息。它会“悄悄”地在你手机里运行,直到它检测到另一个附近的人也在使用这个App。但它起作用时,它会显示周边的人的情况,还会显示你的资料照片、共同的朋友以及你分享的内容。斯考伯发现App在帮他获取联系时显得很有用,例如在他听音乐会时。但是一些隐私专家担忧,这种App也能助长类似于悄悄尾随和其他的反社会行动。
巨大的生物统计学数据库
隐私批评人士还指向了Facebook的一项新技术——标签建议,即用脸部技术扫描你的照片。这种系统侦测照片中的人脸,并为每一张脸计算特别的数字标志,基于一些像眼睛形状,眼睛、耳朵和鼻子之间的距离等特征,然后试图将这张脸与某个具体的用户联系起来。
标签建议用这种系统搜索你上传的朋友照片,如果找到一个,它会建议你“标上”朋友的名字,主要是为了方便你加标签,更好地分享照片。
当去年标签建议启用时,Facebook并未告知用户,引来了争议。用户可以选择关闭,但首先他们必须注意到标签建议已经启用。“如果这个新功能像Facebook所说的那样有用,那应该自动生效,而不是靠用户去激活。”美国国会议员爱德华·马基去年6月说道。Facebook立刻做出了回应,让标签建议的短信提示更醒目。自动被打上标签的用户可以接收到通知,并可以自己解除标签或让朋友这么做,或者可以禁止该功能。
又一次,批评人士认为,问题不在于通知用户,而是一个公司现在控制了如此多的生物统计学数据。Facebook目前已经拥有超过600亿张照片,且每天以2.5亿张的速度增加。而最近Facebook收购Instagram,意味着将增加更多的照片到这个数据库中。
去年,卡内基梅隆大学研究者做了一个实验显示,用户使用一些尚未商用的面部识别软件或许远未有Facebook的这么有效,但依然能够将用户Facebook账户中的照片与婚恋网站上的相匹配。
除了知道用户的长相之外,Facebook还保留着用户浏览其他网页的记录,这些通过“赞”和“推荐”等类似按钮来实现。除了报告你的浏览外,带有“赞”按钮的页面会发出你浏览的时间和IP地址,无论你有没有点击。Facebook承认,即便当用户已经退出后仍然会记录。如果你登录进了Facebook,它还会收集更多的数据。
Facebook表示,还会从那些不是Facebook用户以及从未浏览过Facebook网页的人群中搜集数据。这引起了监管部门的注意,因为IP地址可以像犯罪现场的DNA一样。伊利诺伊理工大学肯特法学院教授罗伊·安德鲁斯表示,有着足够的信息点与你IP地址相连可以确认你的身份。
2011年11月,德国的监管者发现Facebook用户的类似的信息被收集长达两年时间,甚至当该账户处于不活跃状态时。Facebook表示,的确需要加强安全,但德国监管者拒绝了这种说法。双方都表示愿意对话,但Facebook称,没有用户的允许,不会分享这些数据,并会在90天删除或者匿名这些数据。IDPC去年总结称,Facebook从第三方网页获取的信息没有被用于广告或者盈利。
雇主、保险公司和国税局
都在关注着社交网络
一些对于隐私最大的威胁与科技没有关系,但与一些糟糕的判断有关,例如什么信息应该贴出来?给谁看?这里是一些利用这种信息的组织:
决策者。保险公司、雇主和一些行政人员有时会利用社交媒体评估其他人。例如,他们会转向类似Social Intelligence这样的机构,从Facebook和其他社交网络收集公开信息,例如性感的照片或者视频、种族主义的评论、违法的证据等。报道称,有69%的人事部门基于社交媒体的评估而拒绝了申请者。
“我们现在可以收集购买习惯、地理信息、社交媒体和网络用途或者更多。”服务于保险商和金融服务的市场研究咨询公司Novarica在其最近的一份报告中写道,“我们的电子轨迹已经被数字化、程序化、标准化和模型化,并打算出售。对个体来说,听起来有点吓人,但对于企业来说这是一个绝佳的机会。”
事实是,保险商从社交媒体中挖掘商业机会的这种情况,应该给Facebook用户带来警醒,一些用户通常公开贴出自己的医疗和健康状况信息。
对于那些即将升入大学的学生来说也是一样。去年,美国教育培训服务机构开普兰(KTP)发现,四分之一的招生处官员检视了申请者的Facebook账户或者其他社交网络账户。12%的人说,他们找到了一些影响申请成功的隐私,包括类似像酗酒的照片,这些在年轻人的页面上已经很常见。
政府调查人士。美国国税局(IRS)可以查看在Facebook上的公开信息,作为协助调查纳税人的一部分。根据电子前沿会(EFF)2009年获得一份培训指南,这份指南里提供了一个例子,读起来像“宋飞正传”(Seinfeld)的一个桥段:一位IRS官员得知他正在调查的一位纳税人是名喜剧演员,该演员上传了一段视频宣传其此前以及未来的表演。这提醒了该官员可以联系演员此前表演场地的相关人士,问到当时支付给演员多少钱,或者可以直接去以后表演场地找。
但喜剧演员至少可以因一点而放松:指南禁止探员与纳税人“成为朋友”以获取信息。但在美国移民局(USCIS)为欺诈检查和国土安全办公室(FDNS)官员写的备忘录中却不是,FDNS的官员试图找到移民欺诈。“许多人接受网络朋友,这些朋友自己甚至都不认识。”该备忘录说道,这给FDNS提供了一个极为有利的条件来观察这些嫌疑人的日常生活。
敌人或者罪犯。去年9月,一位与凯文·乔力有过节的人进入了这位顾问的Facebook主页,并进行了一次破坏性的攻击。乔力称,此人下载了他的资料图片,用他名字创建了一个假账户,并与他Facebook上的朋友建立了联系。然后这位渗透者在其假账户中置入淫秽语言,每天向乔力的朋友、家人和商业伙伴发送粗俗的色情短信。
尽管乔力立刻举报了该假账户,但依然花了近一个月的时间和数次与Facebook之间E-mail交流,来注销该账户。“我不敢相信花了这么久来解决此事。”乔力说,“像我这样的处境,当有人的账户被人专业性的破坏后,Facebook与你交流的方式就是通过E-mail,我从没与一个真正的人交谈过。”
与这个例子相反的是,去年,一个安全漏洞让人从马克·扎克伯格的账户中窃取了许多私人照片并将其公开在照片分享网站Imgur上,而这个漏洞仅花了一天就修复完毕。Facebook称,通过让用户使用在线工具来与客服沟通,公司能比用呼叫中心处理更多的用户相关请求。
即使你拥有Facebook的朋友,偶尔也会成为一种风险。我们估计,大约有2000万美国Facebook用户在个人安全领域,对他们的所有朋友感到不自在。一些是因为他们与其中部分朋友不够好,或者因为他们足够了解朋友,知道这些朋友的判断力有多差。
隐私支持者呼吁更好保护
在Facebook与美国联邦交易委员会(FTC)去年达成协议后,Facebook不能不正当利用消费者的隐私或者安全信息。Facebook还被要求在未获得用户许可前,不得随意更改用户隐私设置。消费者联盟,已经称赞了该措施,称其传达了“一个强烈的信号,就是公司必须遵守向消费者承诺的隐私规则”。
一些隐私保护者认为做得还不够。电子隐私信息中心(EPIC)呼吁消费者加入到要求FTC改变Facebook因素政策的诉求中。EPIC还要求Facebook提供完整接入用户所有数据的方式,停止未经用户同意就创建面部识别档案,停止秘密追踪用户网络踪迹,未来20年中,每两年公布一次FTC要求的隐私审查结果。
消费者联盟要求一个全国性的隐私立法,以让所有公司执行相同的标准,并告诉消费者不在网络上追踪;还支持奥巴马总统办公室要求结合产业和隐私团体,为如何收集用户数据并使用设定明确的标准。
抛开正式的政府监管不谈,Facebook可以采取很多步骤来更好地保护用户。例如,它可以修复一个安全隐患,我们大概在两年前就发现,允许用户设置很弱的密码,包括一些6字词典词语。它还可以帮助用户阻止一些不经意的分享信息,通过更显著的警告或者改变默认的观众群等。Facebook还可以加紧它对于App的监管,对于重要的用户问题给予更快速反应,类似像凯文·乔力这样的。
但到这一刻来临时,最好的建议来自华盛顿信息安全机构SANS Institute的讲师Ed Skoudis,“最大化你的隐私设置,但即便如此,假设你在Facebook上做任何事情,还是可以被你的朋友、母亲、孙子、雇主、保险商和政府看见。”
儿童在Facebook上的进展
13岁以下的孩童不允许使用Facebook,从调查中,我们推测去年Facebook大约关闭了80万个有关账户。
但是依然有560万的未成年人拥有账户,Facebook上有80万的未成年人曾经被威胁过或者遭受到其他形式的网络恐吓。
我们的调查显示,那些知道自己不满13岁的子女使用Facebook的父母大部分都不与子女讨论上述威胁,或者与子女成为“好友”,最多有三分之一的父母一点也不关注自己孩子账户的情况。
目标:11至13岁的孩子。在我们调查中,最缺乏警觉的父母是那些子女不满13岁但又在Facebook上有账户的。“最易成为目标的孩子是那些11岁至13岁的,因为他们更天真,而且更不愿意和成人交流这些。”宾夕法尼亚检察官办公室发言人尼尔斯·弗雷德里克森说道,其儿童犯罪部门最近指控了53岁的威廉姆·安斯沃斯,此人使用虚假的Facebook账户引诱数百名11岁上下的女孩,这些女孩的主页都显示自己在家里或者学校遇到了麻烦,很脆弱。安斯沃斯据称向这些女孩索要裸照之后发生性行为。他自己辩称无罪。
调查人员询问了超过30名女孩,几乎大部分人都称自己与疑犯交流时没有或者很少告知其父母,大多数人使用手机或者其他移动设备,让父母监管变得很困难。
难以找到的解决方式。美国儿童网络隐私保护法(COPPA)规定未经父母许可,任何网页不得收集、使用和披露儿童的个人信息。FTC去年提议为一些以儿童为主导的网页需要作出改变,包括采用一些方法以获得父母的许可。这在今年年底将做出最终决定。
但是新的规则没有要求网页必须有像Facebook这样多样化的听众,从而尝试验证开设账户的用户的年龄。
伊利诺大学芝加哥分校最近公布的一项研究显示,超过80%的父母称,不知道他们的未成年子女何时已经注册了Facebook。这个研究意味着,最好有一个同样适用于成年人和小孩的标准,否则如果有双重标准,小孩很有可能会假装自己比实际年龄大。
杰弗·切斯特,这位儿童隐私倡议者希望FTC和国会考虑另外一个不同的选择。他认为,Facebook应该创立一个为13岁以下儿童开设的部门,并要加入opt-in功能(除非父母同意),这和COPPA的要求相符。
我们向Facebook询问这种情况的可能性,“我们将自己视为一个改革者,相信是时候将注意力集中在如何保护儿童在Facebook以及其他网络上的安全,而不是把他们排除在外。”Facebook发言人在E-mail中写道。
你能做什么。如果你的孩子想要加入Facebook,你要坚持孩子必须与你成为“朋友”,监督你孩子的行为,确保他们真正了解他们的“朋友”,并设置只有“朋友”才能浏览他们的页面。
毕竟,这都是你的信息
Facebook称,会很快给予用户获得以下信息的权限,以及以前他们没有披露过的。
·登录Facebook的时间和日期
·每次使用的IP地址
·朋友对你的请求
·面部识别数据
·此前使用过的名字
·当你登录进Facebook后搜索以及浏览的网页
·“Poke”信息
九种保护你的方式
Facebook提供了很多隐私控制,但用好很难。根据咨询公司思睿高(Siegel+Gale)的研究发现,相比典型的银行信用卡条约或者政府部门的通知,Facebook和谷歌的隐私政策更难以理解。谷歌大力推行的新政策是如此之难懂,以至于研究者“发现几乎不可能写出一个适当的问题来测试读者的理解能力”。Facebook的工具也是模糊不清。
这里有一些建议:
在你输入前,思考一下。即使你删除了一个账户(Facebook要花一个月时间),一些信息依然能留在Facebook的电脑中长达90天。
经常性的检查。每个月,检查你所浏览的页面,如果有必要,审视每一个隐私设置。
保护基本信息。为个人资料的类别进行浏览设置,类似你所在的镇或者雇主。记住:与朋友的朋友分享信息,很有可能将之暴露于数万人目光下。
知道你保护不了什么。你的名字和资料照片是公开的。要保护你的身份,就不要用照片或者用一张不露脸的照片。
“不公开”你的网页。为你之前所有的状态设置为,仅朋友可见。
关闭“标签建议”。如果你不想要Facebook自动识别你照片中的人脸,那就在隐私设置中关掉。这些信息将被删除。