再談Facebook“泄露門”:其實Facebook這次教了我們很多
還記得《唐人街探案2》里兇手是如何鎖定受害者的嗎?
我們在這部電影中除了看到小鮮肉劉昊然和老臘肉王寶強這對經(jīng)典CP,還有兇手通過醫(yī)療數(shù)據(jù)記錄的受害人的生辰八字,甚至五行屬性等數(shù)據(jù)和信息,就輕而易舉地對受害人實施了攻擊。
(圖片來源于網(wǎng)絡)
大數(shù)據(jù)時代下,個人隱私和數(shù)據(jù)安全隱患正在牽動著大眾敏感的神經(jīng)。“數(shù)據(jù)金礦”的另一面意味著,企業(yè)更加有責任保護會員及用戶數(shù)據(jù)安全。個人信息泄露風險的增加,以及公眾恐慌情緒的發(fā)酵,使得企業(yè)一旦發(fā)生類似信息泄露事件,即可能受到毀滅性影響。
曾經(jīng)有一句很經(jīng)典的話:在互聯(lián)網(wǎng)上,沒人知道你是一條狗。
但現(xiàn)在的局面似乎不是這樣了。
人們很容易就能知道你姓甚名誰,從基本的水電煤繳費、網(wǎng)絡購物、外賣打車,到精準的個性化廣告,互聯(lián)網(wǎng)不僅承包了你當下的吃喝玩樂,甚至還可能影響你的未來。
毫無疑問,基于個人信息數(shù)據(jù)的利用極大地提高了我們工作、生活、娛樂等的便利性。但同時也意味著:與用戶個人數(shù)據(jù)相關的任何一家企業(yè)都面臨潛在的數(shù)據(jù)風險。
扎克伯格的煎熬
就在過去的幾周里,因數(shù)據(jù)泄露丑聞,全球最大社交網(wǎng)站Facebook的首席執(zhí)行官馬克?扎克伯格在兩次國會聽證會上被“拷問”了10個小時。其數(shù)千萬用戶數(shù)據(jù)遭第三方數(shù)據(jù)公司違規(guī)濫用,這些數(shù)據(jù)被用于推送政治廣告,影響美國大選、英國脫歐等重大政治事件。
因違背了用戶協(xié)議,侵犯了用戶隱私,F(xiàn)acebook正在承受一系列嚴峻后果:
公司遭到大眾輿論的強烈批評和抵制!
推特上掀起“刪除 Facebook”運動!
股票市值兩天內(nèi)縮水500億美金!
接受來自美國 FTC、英國國會,未來或更多國家、組織機構的調(diào)查!
面臨約市值4 倍的超兩萬億天價罰金!
而這些可能還遠沒有結束......
“泄露門”源起
Facebook“泄露門”被稱作是其成立以來面臨的最大危機、目前最嚴重的數(shù)據(jù)泄露事件,可是它并非是一起突發(fā)的偶然事件,而是源自于企業(yè)內(nèi)部數(shù)據(jù)管理的漏洞。
事件起因追溯至2014年,一位叫做Aleksandr Kogan的劍橋大學學者與劍橋分析(Cambridge Analytica)公司合作,開發(fā)了一款名為“this is your digital life”的性格測試應用,發(fā)布在Facebook上。
這一應用是通過有償征集的方式,很快就有大約27萬用戶參加測試,錄入了自己的姓名、興趣愛好等信息。最關鍵的是,在問卷的最后,有一個小小的授權,授權應用不僅可以獲得用戶自己的信息,還包括用戶好友的資料。
就是通過這個授權,應用實際上抓取了5000萬用戶的數(shù)據(jù)!劍橋分析公司通過對掌握的大量用戶數(shù)據(jù)進行分析,進而選擇最合適的政治廣告進行精準投放,最終幫助特朗普贏得2016年美國大選。
特朗普本人可能都不信
總統(tǒng)當了這么久
當年大選的那點事還能被翻出來
在本次事件中,F(xiàn)acebook是合法收集用戶個人信息,第三方應用“this is your digital life”也是通過Facebook平臺的第三方應用規(guī)則,合法地從Facebook平臺以“共享”的模式收集用戶個人信息。
但是,“this is your digital life”并沒有按照Facebook的平臺規(guī)則合法地使用用戶個人信息,而是擅自將用戶個人數(shù)據(jù)提供給了劍橋分析公司。而劍橋分析公司,無疑是在未獲得用戶同意及關于轉讓授權的前提下,非法獲取了這些數(shù)據(jù)。
顯然,第三方應用“this is your digital life”及其背后的劍橋分析公司是這次事件的始作俑者,但Facebook對此也有不可推卸的責任。
Facebook的漏洞
從合規(guī)角度上看,F(xiàn)acebook其實一直在收緊關于用戶隱私數(shù)據(jù)的政策,包括對第三方入駐平臺的管理政策。但是因為流于形式或內(nèi)部缺乏有力監(jiān)管和追責機制,這些措施并沒有真正起效。
Facebook要求第三方應用在抓取已授權用戶社交關系上的好友公開信息時,同時必須得到被抓取好友的授權,但這一步驟從上述事件中來看可能并沒有得到實施,或者存在漏洞。
此外,在第三方應用入駐時,F(xiàn)acebook已經(jīng)通過簽署協(xié)議的形式禁止第三方應用向其他平臺提供其從Facebook平臺合法獲取的用戶數(shù)據(jù),并針對第三方應用部署了在出現(xiàn)大規(guī)模收集用戶個人信息數(shù)據(jù)時的監(jiān)控機制并對其目的進行追查。但后來Facebook發(fā)現(xiàn)向劍橋分析公司提供數(shù)據(jù)的第三方應用存在大規(guī)模收集用戶個人信息數(shù)據(jù)的行為時,僅在得到一個“用于研究”的答復后,便沒有再進行追查,就應用開發(fā)者是否真正刪除數(shù)據(jù)也并沒有進行監(jiān)督和審計。
這些監(jiān)管上的不足也在第一場聽證會上得到驗證。在聽證會上,扎克伯格重申,F(xiàn)acebook正在針對大約1萬個應用展開全面調(diào)查,并表示如果發(fā)現(xiàn)任何應用不正當?shù)靥幚頂?shù)據(jù),將對其加以封鎖。同時表示,需要在監(jiān)管整個生態(tài)系統(tǒng)的問題上采取更加積極的立場。而未來總會有“一個版本”的Facebook服務將是免費的。換而言之,這意味著未來Facebook可能會推出收費版的服務。
Facebook教科書
在號稱“史上最嚴”的歐盟《通用數(shù)據(jù)保護條例》(GDPR)即將生效之際,這樣一起損失慘重的數(shù)據(jù)泄露事件,可以說是給全世界的企業(yè)敲響警鐘:我們該怎么做,才能避免成為下一個Facebook?
Facebook也身體力行地向世界展示了它的應對辦法,各大企業(yè)可以借此完善自己的數(shù)據(jù)保護措施,防微杜漸。
增加數(shù)千名內(nèi)容審查人員;
對 Facebook 廣告投放、內(nèi)容發(fā)布規(guī)則的修改和完善;
對APP數(shù)據(jù)和定向廣告的安全措施的完善;
對應用程序API進行一系列修改;
定向廣告對廣告商增加注意反歧視政策的提示;
發(fā)布了一份 8000 字的內(nèi)容指南,對以往模糊的可發(fā)布內(nèi)容范圍作了較為明確的規(guī)定,禁止用戶發(fā)布暴力相關、非醫(yī)療藥物等交易信息。
Facebook多次重申,其首要任務是對“使用Facebook平臺的個人、開發(fā)者和企業(yè)”的數(shù)據(jù)保護。
而在此前,為了挽回用戶信任,F(xiàn)acebook設立了“舉報數(shù)據(jù)濫用獎金”,鼓勵用戶舉報App開發(fā)商濫用數(shù)據(jù)的行為,并在 9 家英美報紙上包下整版,以白底黑字的形式刊登扎克伯格的道歉信,還發(fā)布了一支名為“Facebook Here Together” 的視頻廣告。
你的數(shù)據(jù)安全嗎?
Facebook“泄露門”只是冰山一角。近年來,國內(nèi)外均發(fā)生多起嚴重的信息數(shù)據(jù)安全事件。
國外如Target 1.1億顧客數(shù)據(jù)失竊;Linked In賬戶信息被售賣。
國內(nèi)如京東內(nèi)部員工涉嫌竊取50億條用戶數(shù)據(jù);順豐內(nèi)部人員泄漏用戶數(shù)據(jù);支付寶年度賬單默認允許收集用戶信息并供第三方使用;攜程、滴滴等互聯(lián)網(wǎng)公司相繼被爆出利用其掌握的大數(shù)據(jù)殺熟......
你的外賣信息正在被泄露!
甚至網(wǎng)上有人公開叫賣餓了么、美團等外賣平臺的用戶信息,涉及姓名、住址、電話等十分詳盡的個人隱私,令人震驚!
(圖片來源于網(wǎng)絡)
個人信息數(shù)據(jù)一旦泄露,無論對數(shù)據(jù)源的提供者(比如消費者或擁有一手用戶數(shù)據(jù)的企業(yè)),中間環(huán)節(jié)的數(shù)據(jù)獲取、存儲、管理、分析等服務提供者,還是各類數(shù)據(jù)使用者,都將造成威脅。
特別是對互聯(lián)網(wǎng)企業(yè)而言,平臺數(shù)據(jù)規(guī)模一般較大,一旦泄露往往使企業(yè)聲譽受損,關乎生死存亡!需要重點防范!
網(wǎng)上能搜到的數(shù)據(jù)只占數(shù)據(jù)總量的20%,還有80%在企業(yè)手中。
——李彥宏 · 百度CEO
對信息數(shù)據(jù)安全和個人隱私的保護,除了政府監(jiān)管,還有賴于行業(yè)的自律,包括建立及完善平臺的監(jiān)管制度和技術,企業(yè)內(nèi)部有持續(xù)有力的自我監(jiān)督和追責機制等。
相比歐美互聯(lián)網(wǎng)公司的數(shù)據(jù)監(jiān)管,中國互聯(lián)網(wǎng)公司相對具有較大的空間,但是隨著相關法律法規(guī)的出臺和完善,對企業(yè)的要求及標準也將提高。
《中國網(wǎng)絡安全法》對個人信息保護有著明確規(guī)定:任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。網(wǎng)絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。此外,對于向他人出售或者提供公民個人信息情節(jié)嚴重的,將對相關責任人處有期徒刑,并處罰金。
《個人信息安全規(guī)范》今年5月1日起開始實施,“個人信息”及“敏感信息”的法律定義和范疇都得到了更加明確的界定,而對于一直處于監(jiān)管灰色地帶的“數(shù)據(jù)畫像”的合法授權及要求、敏感信息數(shù)據(jù)的用戶授權及許可等也有了具體規(guī)范。
細分行業(yè)規(guī)范操作及條例也相繼出臺,最新發(fā)布的《快遞暫行條例》規(guī)定,泄露用戶信息最高可罰10萬元。
企業(yè)數(shù)據(jù)泄露風險成因復雜,既有外部攻擊,也有內(nèi)部泄露;既有技術漏洞,也有管理缺陷;既有新技術新模式觸發(fā)的新風險,也有傳統(tǒng)安全問題的忽視。
在大數(shù)據(jù)時代的今天,民眾對個人信息和隱私的保護意識提升,企業(yè)應首先確保自身合法合規(guī),避免像Facebook一樣造成重大的經(jīng)濟損失及無法估量的聲譽影響。
這次Facebook“泄露門”事件理應是各類企業(yè)的前車之鑒,企業(yè)應當積極從中總結經(jīng)驗教訓,在GDPR到來之前,在國內(nèi)相關政策法規(guī)不斷完善前,搭建起自己的數(shù)據(jù)安全屏障。
Webpower權益申明
Webpower中國區(qū)版權所有,轉載請注明出處
更多營銷資訊,歡迎關注微信公眾號Webpower威勃龐爾(微信號:webpowerasia)
評論
評論
推薦評論
暫無評論哦,快來評論一下吧!
全部評論(0條)