从上周末开始,Facebook(又双叒叕)成为新闻头条。涉及5000万用户的“数据门”被《纽约时报》和《卫报》揭开,引发舆论哗然。一些媒体添油加醋称“脸书要完”,而Facebook的股价确实也已经跌去超过10%。

不过,这次事件并不是我们之前常见的“数据被黑”、“用户资料泄漏”。它的内核更加微妙——有人会认为,Facebook其实没什么明显过错,它成为众矢之的有点冤;也有人认为,Facebook应该承担主要责任。从对这次事件的分析中,我们可以触及人类迈入大数据时代之后面临的一些核心难题。

究竟发生了什么?是数据泄露吗?

率先揭露此事件的《卫报》,在上周六的报道中使用的标题是:“Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach”(五千万Facebook用户资料在一次重大数据泄漏中被剑桥分析公司获得)。

这里有一个非常关键的词:data breach(数据泄漏)。据《连线》杂志报道,Facebook要求《卫报》不要在报道中使用这个说法,同时在公司自己的博客上也旗帜鲜明地表示:把这次事件说成是“数据泄漏”是完全错误的。

为什么Facebook会如此抗议对这个词的使用?因为这个词一般指的是:网站的安全漏洞被黑客攻破,用户的密码、信用卡号等隐私数据被盗。

但是在这次事件中,这五千万人的数据根本不是被攻破偷走的,而是被人大摇大摆地从大门走进去拿走的。

整个过程并不复杂,也没什么高科技——

2013年,剑桥大学学者、俄罗斯裔美国人Aleksandr Kogan开发了一个app。他向Facebook公司申请:通过Facebook的平台连接这则app,获取使用这则应用的用户的数据。他表示,获取的数据将仅仅用做学术用途。

Aleksandr Kogan

这个app叫做“thisismydigitallife”,其实就是一个心理测试。不过,在回答测试题之前,用户需要同意这则应用获取他们以及他们好友的数据。

有27万人使用了这个app,他们都同意了这个app获取自己的数据。因为他们同时也同意了这个app抓取朋友的数据(他们的个人资料、发布的内容、点赞评论等),所以Kogan最后获得了五千万人的数据。

Kogan把数据交给了商业属性的剑桥分析公司,违反了最初的学术使用承诺。Facebook了解到之后,要求Kogan和剑桥分析公司删除数据。Kogan和剑桥公司表面上答应,但是私下并没有删除。

以上就是核心事实。至于这五千万人的数据对川普胜选有没有产生影响?现在看来应该没有,因为川普竞选团队和剑桥分析公司都表示,并没有在竞选的时候使用这个数据库,他们用的是共和党传统的选民资料库。更何况,这批数据是2013年收集的,比较过时了。剑桥分析是一家从广告公司起家的机构,擅长吹牛,试图把全球各地的政治投票结果都说成自己的功劳,但是一些业内人士却认为他们只是个笑话,是水变油的大忽悠。

Facebook 有责任吗?

周三,扎克伯格在沉寂了几天之后终于公开发声,承认“我们也犯下了一些错误”,但是他的声明并不像是完全的道歉,而是强调公司已经做了很多事情。

他表示,其实在2014年的时候,Facebook平台就已经更改了规则,不再允许第三方应用获取用户好友的数据。也就是说,Facebook在2013年的时候允许第三方开发者获取好友数据,Kogan在这个规则下获取了几千万人的数据;但是一年之后,规则改了,大家就没法再这样做了。

后来,Facebook要求Kogan和剑桥公司删除数据并提交证明,他们也提交了(据称所谓的证明只是在纸上打个勾而已)。只不过,小人难防。而Facebook也没有花费资源去确保数据真的已经被删除。

所以,Facebook在这个事件中的具体责任主要在两点:

一是2014年之前,对用户数据开放得过多,导致很容易被滥用。第三方开发者可以轻易获取大量用户数据,其中用户好友数据是未经这些好友本人同意的。不过Facebook在2014年的时候已经将这个漏洞堵上了。

二是没有确保Kogan获取的数据只用于学术,也没有去查他到底有没有删除数据。

数据门背后的核心问题

事件并不复杂,也并没有《纸牌屋》那样的戏剧性。但是我们能从事件中看到更深的东西。

正如学者Zeynep Tufekci所言,这次事件的确不是技术意义上的数据泄漏,但它比数据泄漏更加“细思恐极”,因为它几乎可以说是Facebook商业模式的必然后果。

这种商业模式的本质就是:获取用户数据,把用户的背景、工作、收入、个性、爱好等等个人信息尽量收集完整,甚至从其他渠道(比如银行)购买补充数据,变得“比你自己更懂你”;然后,把这些信息卖给广告商、竞选团队等,让它们可以更精准地投放广告,影响用户的想法和行为。

这种模式不是Facebook独有。它已经成为全世界许许多多互联网公司的基础商业模式。你现在手机里装的app,也许大多数都建立在这种商业模式的基础上。所以说,用户数据已经成为今天互联网的基础资源,就像石油一样。

很难说这种商业模式有错。但是,当数据成为石油的时候,我们就会看到很多为了争夺石油而违反伦理界限的行为。最典型的,就是用“坑蒙拐骗”的方式诱导你交出数据。

要使用一个app?好的,请你在注册的时候同意我们的用户协议。这些协议一般都巨长且难懂,没有人真的会去仔细阅读,而且你不同意就用不了这个app,所以你只能乖乖点击同意,并不知道协议里面已经写了:你的所有数据都可以被开发这个app的公司获取、使用、共享给别人。

就算是简洁明了地告诉你:我们会收集你的头像、地址、状态等信息,你点击了同意,也不一定就是真正的“知情同意”。因为你并不知道自己的这些数据会被怎样使用,是会被用作向我推荐淘宝商品呢,还是被用作向我发送黑希拉里的广告?还是被一个声称做科研的人卖给了一个政治咨询公司?你只有在对数据的使用有着完整的了解之后点击同意,那才是真正的“知情同意”。

按照这样的标准,现在我们同意交出的数据,几乎全都是被“坑蒙拐骗”出去的。

但是问题的另一面是:如果真的要实现这样完全的知情同意,门槛非常高。互联网公司也会自辩说:只有让我们多了解你,我们才能给你提供更个性化的服务,让你享有更多的便利呀。

在知情同意和便利之间,的确存在着明显的张力。另外,用户数据也可以发挥重要的科研用途,所以Kogan一开始也是打着学术的旗号去找Facebook要数据的。如果禁止这些互联网公司获取和分享用户数据,那么科研事业也会遭遇很大的打击。

正如Facebook首席安全官Alex Stamos所说,“想要让人人享有隐私、匿名、选择,同时又让坏人得不到这些数据?并不存在这样神奇的数字乌托邦。”

在这个以数据为基础的互联网时代,我们需要在隐私、便利、商业、公共、科研等多种价值之间作出权衡。此前,公众对数据隐私、知情同意等问题了解得太少,天平过于倾向互联网公司那一端,用户几乎毫无招架之力。现在,随着一次次这样的丑闻被曝光,天平正逐渐发生变化。

「现在我们交出的数据,几乎都是『坑蒙拐骗』出去的。」让更多人了解这个问题,并行动起来

这次事件之后,美国和欧洲的不少政客已经表达了强烈的关注。互联网企业可能将会面临严格的监管。

欧洲在监管科技公司方面一直比美国更加积极和严格。从今年5月25日开始,欧盟数据保护条例《General Data Protection Regulation》将会生效。这项法案将给予用户更大的权利,对互联网公司作出更多的限制。

法案生效后,互联网公司必须用清晰、简洁的方式告知用户:将会收集和使用具体哪些用户数据,是姓名、地址,还是IP地址、点赞评论?同时,互联网公司还必须告知用户:为什么要收集这些数据,这些数据会不会被用来形成你的“用户画像”。此外,用户可以有权访问互联网公司收集的数据,有权修改不准确的数据,也有权限制算法的干预。

也就是说,这项法案要推动的是真正的知情同意。

在美国,针对科技公司的政策一向更为放任,短期内可能不会见到类似法案的出台。这几天被讨论最多的一项法案草案,也只是要求在互联网平台投放的政治广告必须披露更多的信息——谁出钱投放的,和候选人什么关系。但是我们可以看到,大致的走向同样是对科技公司进行更多的监督,毕竟它们拥有可以搅动整个社会的力量。

事到如今,已经连续陷入各类争议事件的扎克伯格是否委屈?他当然可以说:我不是坏人,我知道我的产品有漏洞、可能被坏人利用,可是当我在哈佛寝室里开发这个产品的时候,压根想不到这么多啊!

如果Facebook依然只是一些哈佛学生的玩物,那么大家自然不会去关注其中的各种漏洞和问题。但当Facebook已经成为千千万万人生活中必不可少的存在,成为主要的新闻获取平台,成为商家和政客的必争之地,我们只能说:能力越大,责任越大,小扎享有了巨大的商业成功和影响力,同时也就必须承担起自己的社会责任。

万维网之父Tim Bernes-lee在推特上发表了一系列评论,他说:“我可以想象,当扎克伯格发现自己创造的东西被人滥用、乱用的时候,他心里有多绝望(我自己有时候也有同样的感受)。”

同时,他以前辈的口吻对扎克伯格说:没关系,你可以把它修好的。虽然不容易,但是只要你和政府、倡议团体、学者、用户合作,大家是可以一起确保这个平台为人类服务的。

他还对亿万互联网用户说:“我可能发明了万维网,但是你们共同造就了它今天的模样。我们可以共同塑造一个更好的网络——用户们可以做的是,关心自己的数据,那是你自己的东西,告诉公司和政府,你的数据很重要。”

在一片错愕和紧张的情绪中,万维网之父给出了乐观的声音。但这种乐观并非从天而降的,它建立在更多人意识到这个问题的重要性、更多人行动起来的基础之上。