Facebook 資料洩漏事件始末

5 月 3 日，Facebook 資料洩漏醜聞主角之一的劍橋分析公司宣告破產。其官方宣告寫道：「大量的負面報道使得該公司的幾乎所有客戶和資料供應商都離它而去」，且該公司仍然堅稱其員工的行為是合法的。儘管如此，這份宣告並不妨礙大家對該公司的厭惡和唾棄。顯然，這個掛著響亮名頭的公司犯了眾怒，此番牆倒眾人推的下場也不難預料。

1、Facebook 使用者的隱私資料是怎樣被洩漏的？

讓我們將時鐘撥回到 2013 年，一位來自劍橋大學的資料科學家 Aleksandr Kogan 開發了一個名叫 “This is your digital life” 的性格測試軟體。他以學術研究的名義在 Facebook 使用者群裡招募自願者參加性格心理測試。當時約有 27 萬人自願透過使用該軟體提供自己的資料供「學術研究」之用。但令這些自願者萬萬沒有想到的是，根據當時 Facebook 服務條款的約定，自願者在提供自己資料的同時也將好友們的資料全數上交了，而躺槍的好友們甚至壓根就不知道有這麼一個軟體的存在。更糟糕的是 Kogan 轉身就將這些資料交給了劍橋分析，千萬級別的使用者資料便這樣落到了一個商業公司的手裡。

2、影響範圍

到底有多少人的資料被洩漏到目前為止也是各說不一。根據《紐約時報》的報道，有 5000 萬用戶的資料被洩漏。而據 Facebook 的說法，受到影響的使用者數可能多達 8700 萬，其中 7000 萬左右來自美國本土。劍橋分析則宣告其「只」獲取了 3000 萬用戶的資料。

3、Facebook 的反應

2015 年，《衛報》的一篇關於美國參議員 Ted Cruz 涉嫌非法使用社交網路個人資料影響選舉的報道引起了 Facebook 的注意，公司也發現了 Kogan 和劍橋分析違規使用資料的行為。但令人遺憾的是，Facebook 僅僅是讓他們將資料全部刪除，並未真正核實這些資料是否得到了妥善處置。劍橋分析表面上答應了刪除要求，結果可想而知，這些資料根本就沒有被刪除哪怕一個位元組，完好無損地保留在劍橋分析的伺服器上。

直到 2018 年 3 月，幾家重量級媒體根據劍橋分析前員工 Christopher Wylie 的爆料，詳細揭露了該公司受僱於各類團體或個人利用非法收集的 Facebook 使用者資料對大量使用者進行心理性格側寫，並在特定人群精準投放政治廣告宣傳進而影響投票人投票意向的行為。這類行為覆蓋全球各類投票選舉，其中就包括英國脫歐公投和美國總統大選。

至此，真相大白，受害使用者怒了，各國政府怒了，那麼這時的 Facebook 什麼態度呢？呵呵，恭喜你猜對了，它也出離憤怒了。在國會聽證會上，馬紮同學說他被劍橋分析欺騙了，他犯了錯，真心感到 Sorry 。馬紮同學，早知今日何必當初啊，在這凳子上坐 5 個小時不大好受吧！

Facebook仍在跟蹤使用者開啟的應用程式，即使他們沒有Facebook帳戶。這影響至少61％的測試應用程式，根據新的GDPR法律，這可能是非法的。儘管有嚴格的審查和新的隱私法律，一項新的研究表明，許多最流行的Android應用程式仍在向Facebook傳送使用者資料。無論使用者是否登入或甚至擁有Facebook帳戶，都會發送此資料。當應用程式開啟時，使用者可以選擇退出或啟用隱私設定之前，會立即傳送資料。

Privacy International進行了這項研究，發現他們測試的應用程式中至少有61％將此資料傳送到Facebook。有問題的資料包含有關應用程式的開啟方式，開啟時間，開啟方式以及使用應用程式的時間的詳細資訊。由於獨特的Google廣告ID（AAID）與資料一起傳送，即使使用者沒有Facebook帳戶，Facebook也可以對使用者進行分析。

例如，如果有人開啟“Indeed”應用程式，他們很可能正在找工作。如果有人開啟“Qibla Connect”應用程式，他們可能是伊斯蘭信仰者。其他測試的應用程式包括Duolingo，Kayak，Shazam，Spotify，TriPadvisor，Yelp等。完整列表可在此處獲得。

Facebook的Cookie政策列出了非Facebook使用者可以選擇退出的兩種方法，但Privacy International確定他們並沒有真正改變傳送給Facebook的資料。

雖然使用者開啟的應用程式資料可能看似無害，但Facebook可以將其與透過其他方式收集的資料相結合，以建立非常詳細的個人廣告配置檔案。問題不在於應用程式本身，而在於Facebook的Android SDK，開發人員使用它來製作應用程式。

6月28日，Facebook聲稱他們更新了他們的Android SDK，以便為此事件記錄新增延遲，這隻會在使用者同意後傳送資料。但是許多最受歡迎的應用都使用舊版本的SDK，沒有此隱私功能。此更新甚至不會禁用有問題的SDK初始化訊息，並且應用程式仍在傳送資料。

Privacy International無法確定Facebook如何使用這些資料，因為他們對這些問題不是很透明。無論如何，Facebook還有很多解釋工作要做。