“劍橋分析”之所以能夠獲取高達近五千萬用戶的資訊，得利於那三十萬授權使用者的無知無畏的行為——他們輕率愚蠢的行為讓自己160個以上的好友資訊暴露在資料抓取工具的面前，最終受害者從三十萬躍升到了五千萬。

（資料圖來自網路）

Facebook現在進入到了一個痛苦的階段。這個痛苦的階段並不是最近幾天“劍橋分析”公司(Cambridge Analytica LLC)被爆出和Facebook相關的醜聞才開始的。早在特朗普當選美國總統前後，就有各種傳言談到俄羅斯通過干預社交媒體的內容來影響網際網路使用者的投票決策。

2017年12月，知名的網際網路分析公司CBInsights釋出的報告顯示，最近十年以來評價最負面的高科技巨頭中Facebook高居榜首。有近六成的被訪者對Facebook的評價最為負面，而第二名亞馬遜只有11%。

這次“劍橋分析”公司涉嫌利用來自Facebook的資料影響多國大選，進一步強化了公眾和媒體對於Facebook的“惡魔”形象。個人隱私、資本、暴利、干預政治，各種奪人眼球的標籤被貼在了Facebook的頭上。那麼Facebook到底做了什麼突破認知底線的惡行呢？我們從資料範圍、資料獲取、Facebook能做什麼和資料應用四個環節分析一下這個事件的來龍去脈以及Facebook需要承擔的責任。

Facebook並未洩露未被授權釋出的個人隱私

Facebook本質上只是一個公告板，基於社交關係連結的個人公告板。每個人都擁有在自己的公告板上釋出資訊的權力，同時可以與他人建立好友關係並獲取對方釋出的資訊。Facebook創立之初的設計，就是使用者自我釋出自我管理。

Facebook提供了多種粒度的個人資訊開放控制手段供使用者選擇釋出資訊的範圍。不管是所有人可見，還是好友可見，使用者都很清楚自己在Facebook上釋出的資訊是面向公眾或部分公眾的。

其中如果包含了個人隱私的話，也是使用者自己主動向特定物件或不特定物件公開的。被授權訪問這些個人資訊的物件完全可以將此資訊傳播到更大的範圍，而這往往是平臺難以約束的。就如同使用者在微博裡綁定了第三方應用並授權它以自己的名義釋出微博，結果應用以使用者的名義釋出了應用推廣一樣，這和微博平臺本身是沒有關係的。

從社交網路平臺出現以來，大眾對於個人資訊的釋出經常是處於無知並且無畏的態度。舉例來說，個人性取向是一個非常敏感的個人資訊，但絕大部分使用者在使用社交網路時對公開個人性取向卻並不避諱。一些年輕人甚至選擇Facebook作為他們正式出櫃的宣言。他們將Facebook上的性取向改為對“男性”或對“女性”有興趣並設定公開顯示，這線上下場合往往是很少見到的。使用者對釋出如此個性化的敏感資訊都如此輕率，對其它個人資訊的態度可想而知。

Facebook上有沒有應該受系統嚴格保護的使用者隱私資料呢？當然有。使用者使用Facebook的時間、地點、裝置資訊，使用者在Facebook上的瀏覽行為與私信，都是使用者使用Facebook產生的且未對外發布的資訊。

從目前的報道來看，“劍橋分析”沒有獲得任何超範圍授權的使用者釋出的資訊，真正沒有被授權釋出的個人隱私資訊也並沒有流出Facebook。

政府一起背鍋

社交媒體平臺為了提供更多的差異化服務，會提供程式訪問公開資訊的介面，以鼓勵第三方在獲取使用者授權的前提下抓取使用者資訊，並基於使用者資訊提供有針對性的服務。我們在微博微信上使用的各種非官方小工具，都是這樣性質的服務。

“劍橋分析”的資料提供方“全球科學研究”公司正是依靠Facebook提供的合法途徑，通過製作個人性格測試應用吸引了超過三十萬使用者向其開放授權，從而獲取了這三十萬使用者和其社交關係上所有好友公開發布的資訊，共計牽涉到近五千萬Facebook的註冊使用者。

使用者授權真實有效，資料獲取通過官方渠道，Facebook對於第三方應用的管理原則也是目前網際網路行業通用的方式。

換句話說，此次事件被定義為個人隱私資料洩露是很牽強的，因為資料完全是遵循當時的管理框架下被“全球科學研究”獲取的。如果Facebook最終被政府認定造成了個人隱私資料洩露，那麼這個洩露也完全和技術無關，而是管理原則和監管方式不當造成的。

管理原則和監管方式不當完全是Facebook的責任嗎？其實政府也需要一起背鍋。

2017年8月，美國聯邦法院裁定全球最大的職業社交平臺領英(LinkedIn)不得遮蔽第三方初創公司通過網路爬蟲抓取使用者的公開資訊。領英作為全球最大的職業社交平臺，擁有超過5億個註冊使用者。其中的大部分使用者出於職業需要會發布自己的教育背景、職業經歷及職業人脈網路，而且資訊真實度極高。這些有巨大影響力社交平臺出於資訊保護和防止濫用的目的遮蔽第三方公司的網路爬蟲，卻被美國聯邦法院最終判定為非法。

結合Facebook的案例來看，恰恰說明了美國政府自身對社交網路上使用者資訊的保護與監管原則都是混亂和自相矛盾的。

對於社交網路和其上的海量資料，無論是社交平臺本身、使用者、第三方使用者和政府，都沒有充分意識到其中蘊含的巨大能量。公眾一旦意識到了這一點，那就一定需要尋找恐懼情緒發洩的“替罪羊”，這也是Facebook被公眾和媒體強烈批評的核心原因。

Facebook能做什麼？

2014年開始，Facebook要求第三方應用在抓取已授權使用者社交關係上的好友公開資訊時，同時必須得到被抓取好友的授權。但“劍橋分析”所使用的應用在2013年釋出，也就是新規則生效前就完成了使用者授權和資料抓取的工作。2014年及以後出現的嚴格授權只是讓”劍橋分析”無法進一步獲取更新的資料。Facebook認識到了第三方應用抓取使用者資料的潛在風險，併力圖加以約束，但資料流出已經既成事實。

面對使用者釋出個人隱私資料和授權第三方應用訪問時的輕率，Facebook能夠做的只是充分告知和嚴格稽核。一旦第三方應用滿足了授權要求，使用者資料轉移到了第三方應用那裡，Facebook就已經失去了管理和控制的能力。

Facebook並沒有做什麼極端跨越行業準則和道德底線的事情。它只是收集了客戶釋出的資訊，儲存客戶的社交關係，並提供給經過授權的公眾和第三方使用。它在資料安全管理方面並不比其它社交平臺更差。

只是在個人資訊氾濫的今天，Facebook成為了最易於遭受攻擊的目標。不論是社交平臺、使用者還是政府，對於如何管理個人資訊以避免潛在的濫用風險，到今天都沒有找到公認的簡單有效的管理手段。在未來相當長的一段時間內，這個問題一直都將是整個社會走向數字化資訊化的挑戰。

我認為Facebook唯一可以被指責的，就是發現“劍橋分析”獲得海量使用者資料後有可能用於其它用途時，應該及時告知政府潛在的影響，並儘早通過政府的力量來控制資料的擴散和應用範圍。

很可惜Facebook沒有及時選擇引入政府處理這一複雜的事件，從而導致資料應用範圍失控，自身形象也在媒體曝光後遭受重大損失。

跌落神壇

基於海量資料收集分析和相關的策略應用對於社會的全面影響早已存在，這次被曝光的“劍橋分析”的資料分析應用方式只是震驚了公眾，但對於資料分析行業內部人士看來完全不足為奇。

“劍橋分析”只是使用了近二十年以來商業上普遍使用的客戶分群技術，然後按照分群結果打上標籤，並對每個群設計最優的影響策略，傳播要點和最有效的傳播途徑。事實上，大部分商業公司就是通過類似的技術在影響著每個人的日常選擇。

只是“劍橋分析”針對特定的政治用途和獲取的資料設計了全新的客戶特徵模型，並依賴於網際網路與線下資料的結合找到了有效的個性化資訊傳播途徑，最終改變的是每個人的另一種選擇—大選投票給誰。

通過資料分析和社交網路影響政治領域也並不是俄羅斯或者是“劍橋分析”最早的創造。早在2006年奧巴馬開始為自己第一次美國總統選舉做準備時，就已經把目光投向了剛剛成長起來的Facebook，並開始通過網際網路樹立自己別具一格的政治形象。奧巴馬甚至聘請了Facebook的聯合創始人克里斯·休斯擔任2008年總統競選團隊的線上組織主管，進行網際網路和社交網路資料的深入分析。《紐約時報》的評論文章甚至把社交網路描述為美國總統大選的第二戰場。

雷同的資料來源、相似的分析手段，一模一樣的應用領域，其實資料分析和社交網路介入政治十年前就已經出現了。

幾乎同樣的事件為什麼以前被認為是網際網路高效率的體現，而這次卻被認為是個人資訊濫用和醜聞？

只因為這次利用資料分析影響政治的使用物件有可能是特朗普或者是俄羅斯，再加上公眾對被社交媒體操控的深刻恐懼，導致公眾有如此大的反響。再加上媒體的推波助瀾以及部分事實被有意無意的歪曲和放大，最終導致Facebook淪落到千夫所指的地步。

誰該審視自身？

最應該審視自身的當然是“全球科學研究”和“劍橋分析”那些交易並濫用個人資訊的企業和機構。但在此事中那三十萬向個人性格測試應用授權的使用者也應該審視自己輕易授權資料訪問的愚蠢行為。

我們在手機上安裝應用的時候，有時會發現應用申請訪問手機的通訊錄，這是需要謹慎對待的操作。對於智慧手機來說，通訊錄早就不是隻存放電話號碼那麼簡單了，裡面可能會有好友的電子郵件、微訊號、生日備註甚至家庭住址。對於支援和郵件系統同步的智慧手機來說，更是可以一鍵把全部好友資訊匯入到手機通訊錄中。如果某人在手機上授權不明應用訪問自己的通訊錄，那就是把所有好友的個人資訊置於危險境地。在這種情況下發生的資料洩露，除了惡意應用外，主要的責任就是在使用者本身，而與手機平臺本身無關。

當然，不是每個人的知識水平都能夠認識到這一點。但是很不幸，這些知識已經成為個體生活在數字化社會的常識，不瞭解這些常識就會受到懲罰。

“劍橋分析”之所以能夠獲取高達近五千萬用戶的資訊，就是依靠那三十萬授權使用者的無知無畏的行為——他們嚮應用開放的除了自己的個人資訊，還包括自己社交網上所有好友的個人資訊和Facebook上的活動，如點贊、評論等。而這三十萬授權使用者都是社交網路的活躍分子，在Facebook上的人均好友數超過160。於是他們輕率愚蠢的行為讓自己160個以上的好友資訊暴露在資料抓取工具的面前，最終受害者從三十萬躍升到了五千萬。

在網際網路時代，我們應該像看守著自己的錢包一樣看守自己的數字資產。要知道，你的數字資產在很大程度上會出賣你的一切。就像警察不可能制止所有偷盜錢包的行為，不論是平臺還是政府監管機構，都不可能完全封殺竊取個人資訊的威脅。如果公眾自己都不能在這次Facebook事件中很好的反思應該承擔的責任並吸取教訓，而是把所有罪責都推向Facebook，那麼未來類似的“個人資訊洩露”還會不斷地發生。

隨著大資料、物聯網和人工智慧時代的來臨，更多的個人資料將會被海量的智慧裝置生產出來。從智慧攝像頭到聲音採集裝置，再加上各種智慧交通與監控裝置，每個人將無時無刻不被智慧裝置識別、跟蹤、採集資訊。當這些資訊在公眾區域採集並被加上個人識別特徵後，資料的所有權和應用範圍就成為新的應用和監管難題。

以Amazon Go商店為例，客戶在商店內的數字化行為資訊到底是Amazon所有還是客戶所有？Amazon是否可以通過資訊交易獲取收益？這些都是數字化世界的新問題。

在整個世界全面數字化的未來，要想防止資料分析在各個領域包括政治領域的全面滲透與應用是不可能的。我們要考慮的是如何通過監管手段降低資料分析和未來的人工智慧的負面因素的影響，使其在可控的範圍內，並摸索出一條行之有效的監管之路。全面數字化時代的個人資訊應該如何被管理以發揮效能並降低濫用的風險，不只是像Facebook這樣的社交平臺面臨的挑戰，更是各國政府必須解決的監管難題。

*本文來源於【財經】，特約撰稿人 李軍/文 謝麗容/編輯，2018年03月24日