Facebook事件發生是用戶太無知無畏了！

在國內許多對Facebook事件的討論中，有一種觀點認為：其實那30萬用戶給了同意，所以導致自己連同朋友的信息被收集。而且被收集的都是5000萬Facebook用戶自願公開的數據，既然公開了，那收集和利用又何罪之有？

上述觀點集中體現在《財經》的這篇文章——【Facebook數據泄露事件的謊言與真相，誰最該反思】

在這篇文章中，作者如是說：

「劍橋分析」的數據提供方「全球科學研究」公司正是依靠Facebook提供的合法途徑，通過製作個人性格測試應用吸引了超過三十萬用戶向其開放授權，從而獲取了這三十萬用戶和其社交關係上所有好友公開發布的信息，共計牽涉到近五千萬Facebook的註冊用戶。用戶授權真實有效，數據獲取通過官方渠道道，Facebook對於第三方應用的管理原則也是目前互聯網行業通用的方式。

作者還說：

「Facebook提供了多種粒度的個人信息開放控制手段供用戶選擇發布信息的範圍。不管是所有人可見，還是好友可見，用戶都很清楚自己在Facebook上發布的信息是面向公眾或部分公眾的。其中如果包含了個人隱私的話，也是用戶自己主動向特定對象或不特定對象公開的。被授權訪問這些個人信息的對象完全可以將此信息傳播到更大的範圍，而這往往是平台難以約束的。」

「劍橋分析」的數據提供方「全球科學研究」公司正是依靠Facebook提供的合法途徑，通過製作個人性格測試應用吸引了超過三十萬用戶向其開放授權，從而獲取了這三十萬用戶和其社交關係上所有好友公開發布的信息，共計牽涉到近五千萬Facebook的註冊用戶。

作者提出，劍橋大學教授Kogan製作的app是抓取了公開數據，而美國的判例，特別是Linkedin vs. HiQ案件中，美國法院要求Linkedin不得阻止HiQ抓取公開數據，因此，政府現在又有什麼理由來指責Kogan教授抓取數據呢？而且就算Kogan不抓取，劍橋數據分析公司去抓取了，又和HiQ公司又有何本質區別？所以憑什麼雙重標準？

因此「結合Facebook的案例來看，恰恰說明了美國政府自身對社交網路上用戶信息的保護與監管原則都是混亂和自相矛盾的。」

總結一下：作者的基本邏輯是，首先，Kogan教授的APP明確獲得了用戶共享信息的授權。其次，Kogan教授的APP抓取的是Facebook用戶主動在Facebook上發布的數據，既然用戶敢在社交平台上發布，就必需清清楚楚地知道風險和後果，能夠看到這些數據的人（無論是好友可見，還是所有人可見）都可能再二次傳播數據。

綜合上述兩點：Kogan教授的App拿著30萬用戶的授權，然後把這30萬用戶的個人信息抓取了；又由於這30萬用戶的朋友的信息，無論是設置了好友可見（即對這30萬用戶可見），還是所有人可見（自然包括Kogan教授的App），Kogan教授的APP由於有這30萬用戶的授權，爬取這些用戶的朋友的數據沒毛病。所以，拿到這5000萬人信息的行為，根本沒毛病。

因此，問題的癥結是這30萬人。所以，作者有了如下的論斷：

「劍橋分析」之所以能夠獲取高達近五千萬用戶的信息，就是依靠那三十萬授權用戶的無知無畏的行為——他們嚮應用開放的除了自己的個人信息，還包括自己社交網上所有好友的個人信息和Facebook上的活動，如點贊、評論等。而這三十萬授權用戶都是社交網路的活躍分子，在Facebook上的人均好友數超過160。於是他們輕率愚蠢的行為讓自己160個以上的好友信息暴露在數據抓取工具的面前，最終受害者從三十萬躍升到了五千萬。

我想，任何人在發表評論之前，基本的功課還是要做的，得先把事實搞清楚。到底Kogan的APP是通過什麼通道數據的？Facebook在其中的角色又是什麼？

首先，在【從扎克伯格的公開聲明看數據保護和流動問題】中，扎克伯格自己承認，不應該以用戶的同意，來替代用戶的朋友對自己個人數據的控制。所以這點，在這篇文章中不再討論。

重點應該關注的是Facebook平台向第三方app開放的介面——圖譜API（Graph API）。Kogan的APP獲取數據絕對不是上文所說的什麼刮取（scrape）在用戶放在自己頁面上的信息，而是通過Facebook專門對外開放的數據介面。

這是上文的第一個事實錯誤。因此，Linkedin vs. HiQ的案例對此次Facebook事件是不相關的。因為Linkedin案例涉及直接在網頁上的數據爬取或者刮取，而非通過API介面的數據獲取。

對於圖譜API，Facebook自己是這麼介紹的：

大家注意到頁面最後一句話——「一般來說，您可以使用節點獲取有關特定對象的數據，使用連線獲取與單個對象關聯的對象集合，使用欄位獲取有關單個對象或集合中每個對象的數據。」通過這句話，應該很容易理解為什麼能通過用戶的同意，來獲得用戶的朋友的數據了吧？

換句話說，用戶在頁面上能夠控制「自己可見」、「好友可見」、「所有人可見」這樣的設置，這是第一個層面。但是在API合作中，Facebook允許第三方app獲取的數據欄位範圍，完全是另外一個層面上的事情。上文把這兩件事情混淆，是第二個事實錯誤。

接下來我們來看Facebook在API形式的數據合作中的角色。先回顧扎克伯格自己的聲明：

第一階段：

2014年前，生態中的第三方app能在較大範圍內訪問Facebook的數據。這也是Kogan的App獲得5000萬用戶數據的時期，對應Graph API 1.0.

第二階段：

2014年，Facebook對平台進行重新設計（changing the entire platform），嚴格限制了生態中的app能夠訪問的用戶數據範圍。也就是收緊了介面。也就是下圖中2014年4月30日上線的Graph API 2.0.

在2014年的架構變動中，Facebook還要求生態中第三方app上線前，開發者如果收集個人敏感信息，需要首先獲得Facebook的同意。

對於第三方App已經獲得的數據，Facebook原本僅是在管理規定中要求：除非取得同意，否則不得再次共享。

那麼，Graph API 1.0能夠獲得用戶朋友的哪些數據呢？據國外學者的研究，類型非常廣泛：

包括：關於我、動作、活動、生日、登錄時間、教育、事件、遊戲、群組、居住地、興趣、喜歡、地點、筆記、上線狀態、標籤、照片、問答、關係、宗教/政治、生活狀態、訂閱、網站、工作歷史。（About me, actions, activities, b-day, check-ins, education, events, games, groups, hometown, interests, likes, location, notes, online status, tags, photos, questions, relationships, religion/politics, status, subscriptions, website, work history）

《財經》的該篇文章中還指出：

「Facebook上有沒有應該受系統嚴格保護的用戶隱私數據呢？當然有。用戶使用Facebook的時間、地點、設備信息，用戶在Facebook上的瀏覽行為與私信，都是用戶使用Facebook產生的且未對外發布的信息。從目前的報道來看，「劍橋分析」沒有獲得任何超範圍授權的用戶發布的信息，真正沒有被授權發布的個人隱私信息也並沒有流出Facebook。」

而第三方APP是能通過Graph API 1.0，獲得《財經》該篇文章中所謂的隱私數據的。這是第三個事實性錯誤。

究其原因，《財經》該篇文章的作者弄錯了事實。首先，Kogan的app是通過API介面獲取數據，而非爬取Facebook頁面。既然是通過API，也就是必需要Facebook的同意授權才行。

其次，能夠從API中拿到哪些數據，Facebook是絕對主導的。這也是為什麼扎克伯格自己說，2014年Facebook自己說收緊了介面。

再次，用戶能夠控制自己頁面上的信息對誰可見，但是並不能決定Facebook通過API對外共享哪些數據。這根本是兩件事情。

我想通過這三點，讀者不難搞清楚到底Facebook要不要反思，還是如《財經》該篇文章的作者所說的，是我們這些用戶太「無知無畏」了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！