数以百万计的智能手机用户向自己手机中的 App 坦白了他们最私密的秘密, 包括他们想要锻炼腹部脂肪的时间, 或者他们上周末购买的房子的价格. 其他一些 App 还可以知道用户的体重, 血压, 月经周期或怀孕状况等.
而大多数人不知道的是, 在很多情况下, 这些数据是被别人共享的.
《华尔街日报》进行的一项测试显示, 这家社交媒体巨头在用户进入许多热门智能手机 App 后几秒钟就会从这些 App 中收集大量个人信息, 即使用户并没有与 Facebook 连接. 测试显示, 这些 App 经常在没有任何明显或具体提示的情况下发送数据.
众所周知, 许多智能手机 App 会向 Facebook 发送用户何时打开它们的信息, 有时还会发送用户在里面的行为信息. 此前未被报道的是, 至少有 11 个下载量达数千万次的热门 App 也在分享用户输入的敏感数据. 调查结果让一些审查了《华尔街日报》测试的隐私专家感到十分担忧.
华盛顿和欧洲的监管机构正在对 Facebook 对待用户和非用户信息的方式进行审查. 该公司因允许现已倒闭的政治数据公司 -- 剑桥分析公司非法获取用户数据而被处以罚款, 并因在声称已屏蔽了用户数据后很久仍允许一些公司特别访问用户记录而招致批评.
就应用程序方面而言,《华尔街日报》的测试显示, 即使没有使用 Facebook 的账户登录, 即使最终用户不是 Facebook 的会员, 该公司的软件还是会从很多 App 中收集用户数据.
苹果公司和 Alphabet 旗下的谷歌运营着两家占主导地位的应用程序商店. 这两家公司不要求其商店的 App 公开所有与之共享数据的合作伙伴. 用户可以决定不允许 App 访问某些类型的信息, 比如他们的联系人或位置. 但这些权限通常不适用于用户直接提供给 App 的信息, 有时这些信息反而是最私人的.
在《华尔街日报》的测试中, 苹果 iOS 系统上最受欢迎的由总部位于加州的 Azumio 公司生产的心率 App"即时心率: 人力资源监控器(Instant Heart Rate: HR Monitor)" 在用户心率被记录下来后立即将其发送给 Facebook.
Flo Health 公司的 Flo 经期和排卵追踪 App 拥有 2500 万活跃用户, 测试显示, 它会在用户经期时或向应用表明自己有怀孕意图时告知 Facebook.
测试还显示,《华尔街日报》母公司新闻集团 (News Corp) 的子公司 Move 旗下的房地产应用 Realtor.com 向这家社交网站发送了用户查看的房产信息的位置和价格, 并指出哪些是用户最喜欢的.
这些 App 都没有提供任何明显的方式阻止用户将这些信息发送到 Facebook.
Facebook 说,《华尔街日报》的测试发现的一些数据共享似乎违反了它的商业条款, 这些条款要求 App 开发商不要向它发送有关 "健康, 财务信息或其他敏感信息".Facebook 还称, 它正在通知被《华尔街日报》点名的 App 停止发送用户可能认为敏感的信息. 该公司表示, 如果这些 App 不遵守规定, 它可能会采取额外行动.
Facebook 的一名女发言人表示:"我们要求 APP 开发商向用户明确他们与我们共享的信息."
这个问题的核心在于 Facebook 提供了一个分析工具给开发商, 他们可以通过该工具看到用户的统计信息并针对这些用户发布相应的 Facebook 广告. 尽管 Facebook 的条款允许其将《华尔街日报》披露的数据用于其他目的, 但这位发言人说, Facebook 并没有这样做.
Facebook 告诉其商业伙伴, 它会使用从 App 中收集的客户数据来个性化 Facebook 上的广告和内容, 以及进行市场调查等. 该公司在 2015 年申请了一项专利, 并于去年获得批准. 该专利描述了从各大 App 中获取的数据将如何存储在 Facebook 的服务器上, 在那里, 这些数据可以用来帮助该公司的算法锁定广告目标, 并选择最合适的内容显示给用户.
苹果表示, 其指导方针要求 App 在收集用户数据时必须征得 "用户事先同意", 并采取措施防止第三方未经授权访问. 该公司表示:"当我们听说任何开发商违反这些严格的隐私条款和准则时, 我们会迅速展开调查, 如果有必要, 我们会立即采取行动."
谷歌的一位发言人拒绝发表评论, 只是指出, 该公司的政策要求处理敏感数据的 App"公开共享任何个人或敏感用户数据的当事人的类型", 在某些情况下, 还要求 App 显著披露这类信息.
去年 6 月, Alice Berg 开始使用 Flo 来跟踪月经, 在此之前, 她查看了该应用的服务条款. 这名 25 岁的奥斯陆学生表示, 她在与 App 共享数据方面变得更加谨慎, 希望确保自己的数据只有有限的一部分会与 Facebook 等第三方共享.
现在, Berg 说, 她可能会删除这款应用. "我认为他们非常不诚实, 他们只是在对用户撒谎, 尤其是在涉及到如此敏感的事情时."
Flo Health 的隐私政策称, 它不会向第三方供应商发送 "有关您标记的月经周期, 怀孕, 症状, 笔记和您输入的其他信息, 以及您不选择与他人共享的信息".
Flo 最初在一份书面声明中表示, 它不会发送 "关键用户数据", 而且它发送给 Facebook 的数据是 "非个性化的", 以保护隐私和安全.
然而,《华尔街日报》的测试显示, 敏感信息是通过一个独特的广告标识符发送的, 该标识符可以与设备或个人资料匹配. Flo 的一名女发言人随后表示, 在进行隐私审计期间, 该公司将 "大幅限制" 使用外部分析系统.
Move 公司是房地产应用 realtor.com 的所有者. 根据《华尔街日报》的测试, realtor.com 向 Facebook 发送用户喜欢的房产信息. 该公司称:"我们严格遵守所有地方, 州和联邦的要求", 其隐私政策 "明确规定了用户信息的收集和共享方式". 该政策表示, 其应用程序收集各种信息, 包括用户感兴趣的内容, 并可能与第三方共享. 但它并没有提到 Facebook.
《华尔街日报》还测试了苹果 iOS 商店里的处理敏感用户信息类别中最受欢迎的 70 多个 App. 他们使用软件来监控 App 触发的互联网通信, 包括发送给 Facebook 和其他第三方的信息. 测试发现, 至少有 11 个 App 向 Facebook 发送了有关用户行为或实际数据的敏感信息.
截至周四, 在苹果美国应用商店的前 10 大金融应用中, 似乎没有一个向 Facebook 发送敏感信息, 而只有两个应用没有发送任何信息. 但在该商店排名前 15 位的健康和健身 App 中, 至少有 6 款在信息被收集后立即发送了潜在的敏感信息.
《华尔街日报》委托软件公司 Disconnect 对部分 App 进行重新测试. 该公司为公众提供管理网络隐私的工具. Disconnect 证实了《华尔街日报》的发现, 并表示 Facebook 允许其使用收集到的数据的条款不同寻常.
"这真是一团糟. 这完全是独立于 APP 本身的功能."Disconnect 的首席技术官 Patrick Jackson 说, 他代表《华尔街日报》分析了这些 App.
《华尔街日报》在测试中使用的软件无法解读 Android 应用程序的流量内容. 网络安全公司 Defensive Lab Agency 的联合创始人 Esther Onfroy 进行了另一项测试, 结果显示, 至少有一款被《华尔街日报》的曝光的 App--BetterMe:Weight Loss exercise 在其安卓版本中, 一旦登陆, 用户的体重和身高就会被分享给 Facebook.
BetterMe 没有回复《华尔街日报》的电子邮件和社交媒体询问. 2 月 16 日, 在与《华尔街日报》接触过之后, 该公司更新了其隐私政策, 将用于 Facebook 分析的一般参考替换为与 Facebook 分享信息, 以此来确定 "我们用户的平均体重和身高, 有多少用户选择了他们身体的特定问题部位, 以及其他互动."
App 通常集成了称为软件开发工具包 (SDK) 的代码, 帮助开发人员集成某些特性或功能. 与 App 共享的任何信息也可以与嵌入式 SDK 的制造商共享. 包括 Facebook 的 SDK 在内的一系列 SDK 都能够帮助 App 更好地了解用户的行为, 或收集数据以销售目标广告.
Facebook 的一名女发言人说, 通过 SDK 在 App 之间共享数据是 "行业标准做法".
Facebook 的 SDK 包含在数千个 App 中, 其中包括一项名为 "应用事件(App Events)" 的分析服务, 它允许开发者查看用户的趋势. App 可以告诉 SDK 记录用户所采取的一组标准化操作, 例如用户何时完成购买. App 开发人员还可以定义 "自定义应用程序事件" 供 Facebook 捕获 -- 这就是《华尔街日报》检测到的敏感信息发送的方式.
Facebook 在其网站上说, 它使用来自 SDK 的客户数据, 并结合它收集的其他数据, 来个性化广告和内容, 以及 "改善 Facebook 上的其他体验, 包括新闻提要和搜索内容排名功能".
但这位女发言人说, Facebook 没有使用定制事件, 也就是那些可能包含敏感信息的事件. 她说, Facebook 会自动删除它可能接收到的一些敏感数据, 比如社会安全号码等.
她说, Facebook 目前正在研究如何搜索违反其条款的 App, 并建立安全措施, 防止 Facebook 存储 App 可能发送的敏感数据.
隐私律师说, 非健康机构收集健康数据在美国大多数州都是合法的, 前提是 App 和 Facebook 的服务条款中有充分的信息披露. 美国东北大学法学和计算机科学教授 Woodrow Hartzog 说, 美国联邦贸易委员会对数据共享严重偏离用户预期的情况很感兴趣, 尤其是在用户很难找到任何解释的情况下.
即时心率 App 的制造商 Azumio 的隐私政策称, 它收集包括心率在内的健康信息, 并可能向第三方服务提供商和广告提供商提供一些个人数据. 它没有说任何关于向外部实体提供从其 App 中获取的健康信息的内容, 也没有提到 Facebook 是否为其中的一个提供商.
该公司首席执行官 Bojan Bostjancic 在一封电子邮件中说, 公司使用 Facebook 分析系统来分析用户在 App 中的行为, 并在隐私政策中披露了第三方的使用情况. 但他并没有回答后续问题.
在与《华尔街日报》取得联系后, 名为 Breethe 的冥想 App 开发商停止向 Facebook 发送每个用户用来登录该 App 的电子邮件地址, 以及每次完成的冥想全名.
"显然, Facebook 的商业模式是独一无二的, 不幸的是, 我们并没有像我们应该做的那样, 努力让我们的数据管理与他们的隐私政策保持一致." 该公司联合创始人 Garner Bornstein 说.
在欧盟, 对健康或性信息等敏感数据的处理受到更加严格的监管. 欧盟的新隐私法通常要求企业在收集, 处理或共享此类数据时获得明确的同意, 而将同意获取这些数据作为使用服务的一个条件通常是无效的.
一些看过《华尔街日报》调查结果的隐私专家说, 这种做法可能违反了法律. 荷兰内梅亨大学法学教授 Frederik J. Zuiderveen Borgesius 说:"对于使用敏感数据, APP 开发商和 Facebook 两者都需要获得用户同意, 这应该是最基本的要求."
这位 Facebook 的女发言人说, 其公司遵守了欧盟的隐私法.
Facebook 允许用户关闭其收集来自第三方应用程序和网站的数据来发布有针对性的广告. 但目前没有办法阻止该公司收集首要信息, 或将其用于其他用途, 如检测假账户. 本月早些时候, 德国最高反垄断执法机构要求 Facebook 在未经许可的情况下停止使用这些数据.
Facebook 首席执行官马克 • 扎克伯格深受其公司收集用户数据带来的外界压力, 他去年表示, 其公司将创建一个名为 "清晰历史(Clear History)" 的功能, 让用户能够查看 Facebook 从 App 和网站上收集的关于他们的数据, 并将其从 Facebook 上删除. 该公司表示, 它仍在进一步开发相关技术, 使该功能的实现成为可能.
来自移动 App 的数据可能很有价值. 广告买家说, 由于 Facebook 对用户行为的洞察, 当营销人员寻找运动爱好者或在希望在市场上购买一辆新跑车的用户时, 它能比大多数其他公司为他们的投资提供更好的回报. 但相应的, 这类广告每次点击的成本也更高.
这也是 Facebook 收入飙升的部分原因. 研究公司 eMarketer 预计, Facebook 今年将占全球 3330 亿美元数字广告市场的 20%.
不过, 在一次讨论该公司最近收益的电话会议上, 首席财务长 David Wehner 指出, 投资者应该意识到, 苹果和谷歌可能会加强对 App 的隐私控制. 他说, 这种可能性是 "我们在 2019 年监测的持续风险".
来源: http://news.51cto.com/art/201902/592478.htm