前員工爆料臉書像黑市：秘密收集數據是慣例，對開發者零監控

一個前員工的爆料，對因數據泄露而陷入危機的社交巨頭Facebook來說，無疑是火上澆油。

3月21日，據英國媒體《衛報》報道，原Facebook的平台運營經理桑迪·帕拉吉拉斯（Sandy Parakilas）透露，Facebook對於第三方開發者如何使用數據缺乏監管，秘密收集數據是慣例。

38歲的帕拉吉拉斯現在是Uber的產品經理，2011年至2012年，他在Facebook工作期間，主要負責監管第三方軟體開發商的數據泄露，具體工作就是對開發者的數據泄露進行調查，並處理開發者平台的隱私問題。

他告訴《衛報》，當年他曾警告Facebook的高管們，公司對數據保護的鬆散做法可能會導致重大違約。但從眼下已經發生的事來看，他的上級顯然沒有聽從他的警告，「這看起來非常痛苦，因為我知道他們本可以阻止它。」

對開發者使用數據零監控

「我擔心的是，所有Facebook伺服器留給開發人員的數據都無法被Facebook監控，所以我們不知道開發人員對這些數據做了什麼。」 帕拉吉拉斯說道。

帕拉吉拉斯表示，按照Facebook的服務條款和設置，公司沒有使用數據的強制執行機制，包括對外部開發人員的審計，以確保數據沒有被濫用。

當被問及Facebook對外部開發者提供的數據有何種控制時，帕拉吉拉斯回答稱:「零。什麼都沒有。一旦這些數據離開了Facebook的伺服器，就沒有任何控制，也就無法了解到底發生了什麼。」

帕拉基拉斯指出，他一直認為，Facebook的數據被傳遞給了外部開發者，「這是一個黑市」。公司應該主動「直接審計開發人員，看看數據有什麼變化」，他對公司的不作為感到失望。

帕拉吉拉斯回憶稱，Facebook的一位高管曾經建議他不要對數據的使用方式了解得太過深入，並警告稱:「你真的想看看你會發現什麼嗎?」帕拉吉拉斯認為Facebook是在有意視而不見，「他們覺得最好不要知道。我發現那完全是令人震驚和恐懼的」。

事實上在2017年11月，帕拉吉拉斯就在《紐約時報》上發表文章《我們不能相信Facebook對自己的監管》（We Can』t Trust Facebook to Regulate Itself），首次公開了他對Facebook隱私問題的擔憂。

他在當時的文章中寫道：「我從內部看到的是，Facebook作為一家公司，優先考慮的是如何從用戶那裡搜集數據，而不是保護用戶信息不被濫用。當全世界都在考慮如何處理Facebook在俄羅斯的選舉干預中扮演的角色時，它必須正視這段歷史。法律部門不應該允許Facebook自我監管，因為它不會。」

帕拉吉拉斯指出，Facebook提供的數據越多，它為廣告商創造的價值就越大。這意味著，公司沒有任何動力去監督收集或使用這些數據——除非涉及到負面新聞或監管機構。

「幾年來，Facebook的開發者平台成為一個蓬勃發展的、流行社交遊戲的生態系統。還記得《開心農場》（Farmville）和《糖果粉碎傳奇》（Candy Crush）嗎?用戶同意讓遊戲開發者訪問他們的數據，以換取免費的遊戲。」 帕拉吉拉斯寫道：「但不幸的是，對於這些遊戲用戶來說，他們通過Facebook傳遞給外部開發者的數據並沒有得到保護。一旦數據被開發出來，Facebook就鞭長莫及了，除非給開發者打電話，威脅要切斷開發者的訪問許可權。」

《衛報》報道稱，Facebook並未對帕拉吉拉斯最新的說法做出直接回應。但針對公司數據共享的做法給出了一個說明，稱其在過去5年「顯著改善」。該聲明稱:「批評我們在五年前強制執行我們的開發商政策是合理的，但說我們沒有或不關心隱私是不真實的。」

危險的「好友許可」功能

帕拉吉拉斯還指出，他對Facebook之前允許開發人員訪問平台上使用應用程序使用者朋友的個人數據特別不滿，「因為這些人的朋友不知情也不表示同意」。

這一功能被稱為「好友許可」(friends permission)，對那些從2007年起就在Facebook平台上開發小測驗和遊戲的軟體開發人員來說，這個功能非常受歡迎，推動了這些小遊戲的迅速流行。Facebook在2012年IPO之前的數年裡，這些應用程序在Facebook上激增。在當時那個年代，大多數用戶仍在通過筆記本電腦和台式機訪問這個平台。

Facebook通過這些應用程序向開發者收取30%的費用，作為回報，開發者可以訪問Facebook用戶數據。

帕拉吉拉斯不知道有多少公司在2014年終止該功能之前，曾向用戶的好友徵求過許可數據。不過，他相信數以萬計甚至數十萬的開發者可能會這樣做。

據帕拉吉拉斯估計，「大多數Facebook用戶」可以在不知情的情況下通過應用程序，被開發人員獲取了他們的數據。

現在Facebook對第三方獲取數據的程度有更嚴格的協議。帕拉吉拉斯說，當他在Facebook工作的時候，它沒有充分利用它的執行機制，比如一個條款，這個條款使得這家社交媒體巨頭能夠對濫用其數據的外部開發者進行審計。

他說，針對流氓開發商的法律訴訟或禁止他們在Facebook上繼續開發的案例「極其罕見」，「我在那裡的時候，我沒有看到他們對開發人員進行一次系統的審查。」

在「劍橋分析」事件被曝光以後，Facebook在3月19日宣布，已聘請一家數字鑒證公司對「劍橋分析」公司進行審計。

帕拉吉拉斯回憶稱，該公司熱衷於鼓勵更多的開發者為其平台開發應用程序，「讓開發者對應用程序感興趣的主要方式之一就是讓他們訪問這些數據」。

在剛進入Facebook矽谷的總部後不久，帕拉吉拉斯就被告知，任何封禁應用程序的決定，都需要得到CEO馬克?扎克伯格(Mark Zuckerberg)的個人批准。該政策後來放寬了，以方便工作人員更容易地與違規開發商打交道。

雖然之前的政策是允許開發者訪問Facebook用戶的好友數據，但在Facebook的條款和條件下，用戶可以通過改變他們的設置來阻止這種數據共享。

不過，帕拉吉拉斯依然認為這一政策存在問題。「公司很清楚，這是一種風險。」 「Facebook正在提供未經授權的用戶的數據，並依賴於人們沒有閱讀或理解的服務和設置。」

正是這一特點被全球科學研究公司（GSR）利用，並於2014年提供給「劍橋分析」公司。全球科學研究是由劍橋大學的心理學家亞歷山大·科根(Aleksandr Kogan)管理的，他開發了一款針對Facebook用戶的性格測試應用。

測試會自動下載參加測試的人的朋友的數據，表面上是為了學術目的。「劍橋分析」公司否認，他們知道這些數據來源不正確。並且科根堅稱他沒有違法，辯稱與Facebook沒有「密切的工作關係」。

雖然科根的應用程序只吸引了大約27萬用戶(其中大多數是付費參加測試的)，但該公司還是能夠利用好友許可權功能，快速收集超過5000萬Facebook用戶的數據。

帕拉吉拉斯向《衛報》指出：「科根的應用程序是Facebook上最後一批可以訪問朋友許可權的應用程序之一。」許多其他類似的應用程序多年來一直以商業目的收集類似體量的數據

2010年的一項學術研究基於對1800個Facebook應用程序進行分析，得出的結論是，約有11%的第三方開發者會請求用戶的好友數據。

帕拉吉拉斯表示，他不確定為什麼Facebook在2014年年中停止允許開發者訪問好友數據，這大約發生在他離開公司兩年後。他認為其中一個原因可能是Facebook的高管們意識到，一些最大的應用程序正在獲取大量有價值的數據。

帕拉吉拉斯回憶稱，在Facebook有一些高管為將數據傳遞給其他公司而感到緊張，「他們擔心大型應用程序開發商正在建立自己的社交圖譜，這意味著他們可以看到這些人之間的所有聯繫，擔心這些公司會建立自己的社交網路。」

「他們把它當作公關活動來對待，而不是幫助國家解決國家安全問題」

帕拉吉拉斯表示，他曾在Facebook內部進行遊說，要求「採取更嚴格的方法」來加強數據保護，但沒有得到任何支持。他在2012年中，曾經交給他的上級一份PPT，「其中包括Facebook平台上用戶數據的漏洞地圖」。

「我列出了那些暴露我們身份，可能對數據進行惡意攻擊的不良行為者，並且給出了可能的應對辦法。」帕拉吉拉斯說道。

但最終Facebook的無動於衷，促使帕拉吉拉斯在2012年底離開了這家公司。「我覺得公司沒有認真對待我的擔憂。」

帕拉吉拉斯一直沒有向公眾透露過對Facebook隱私問題的擔憂，直到他聽到Facebook的律師在2017年末向參議院和眾議院調查人員提供的關於俄羅斯試圖影響總統選舉的證詞時，情況發生了變化。

他說:「他們把它當作公關活動來對待。」「他們似乎完全聚焦在如何限制自己的責任和風險，而不是幫助國家解決國家安全問題。」

正是在這一點上，帕拉吉拉斯決定公開他的擔憂，在《紐約時報》上發表了評論文章，稱Facebook不能被信任來監管自己。

帕拉吉拉斯在文章中強調，在一個非常關心保護用戶的公司，將會採用強有力的措施來阻止那些使用數據不當的開發人員。「但當我在Facebook的時候，他們的典型反應是這樣的:盡量讓負面的媒體報道停下來，並沒有真誠地努力去落實安全措施，也不去發現和制止濫用權力的開發者。它並不關心數據是如何被使用的。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！