臉書執行長佐克柏在美國參眾兩院長達十個小時的聽證會連續搶了全世界媒體三天版面。即使在上班,我也一共 live 聽了四個小時。我的結論是大部分問題都沒有打中要害,幾乎所有的回答都是不痛不癢。所以除了極少佐克柏數無法或不敢公開回答的,大部分都是白問。
不過佐克柏誠懇有禮的作風,加上他那張與一百多位對科技似乎一竅不通的老先生老太太們對峙的娃娃臉,讓大家很自然地選擇同情他,而認為他已經過關。美國坊間的媒體對這件事以報導居多,深入分析居少。當然也有不少媒體把討論焦點放在佐克柏的西裝和領帶。不過我要提醒大家的是如果你看過奧斯卡得獎名片 Social Networks 你應該知道佐克柏是如何一路爬升到今天的地位。他並不是外表看來那麼天真無邪。你我都只是臉書的商品
去年我曾經買過臉書的廣告。我必須承認他們的針對性市場策略非常有魅力。一般網路廣告平均點擊率大約是 0.5%。我的點擊率是 3%。理由很簡單,傳統的網路廣告是亂槍打鳥。臉書的廣告是來自你我親自告訴他你喜歡什麼東西。我們一年365天無時無刻無怨無悔地提供自己一切的資訊,交給臉書讓他轉換成財富 –– 每年四百億美金的財富。臉書對你的瞭解比你自己還要多。
過去作為純粹的臉書使用者,雖然知道這些,這項事實對我來說只是不痛不癢。我們很容易一直誤以為臉書是偉大的慈善事業。一直到自己掏腰包付錢給臉書,我才發現他們其實不慈善。我的代價是每點擊一次美金六毛錢。區區兩百次點擊,已經花掉我一百多美元。每次有人點擊的時候我都是高興中帶著心驚肉跳。當我看著點擊數慢慢上升,臉書對我的收費也跟著上漲的時候,我才深深體會到為什麼臉書會成為市值五千億美金的超級企業。當然我永遠不知道點擊的到底有多少人買了我們樂團演唱會的票,我只是深切感受到全球 22 億用戶並不是他們的客戶,而是他們的免費勞工,是他們的無本商品。
三個層次的用戶資安問題
臉書的資安其實有三個層次。可是大部分的討論焦點都在前面兩個層次打轉。在聽證會上佐克柏曾經多次很技巧地把答案模糊化,在不痛不癢的兩個層次之間來回周轉。我認為前面兩個層次根本沒有必要討論。因為一切合情合理合法。這三個層次是:
1. 用戶可以自由設定自己的隱私
2. 客製化廣告深入到每一個用戶的屏幕上
3. 第三方開發的軟體可以直接登堂入室讀取用戶個資
聽證會上佐克柏不斷重複用戶可以自由設定自己的隱私。這句話他只誠實了一半,那就是這項功能只有對一般使用者有效。也就是他只對人類的眼睛有效。臉書不會讓你看到不該看到的。對於第二和第三個兩個層次,隱私設定完全沒有作用。隱私設定是給人看的,不是給電腦看的。上面第二和第三個層次都跟人無關。這一點我知道,也同意。當你 post 你喜歡吃巧克力,並指明只有自己的朋友才看得到這項訊息時,你應該了解臉書廣告的演算法,和第三方開發的軟體並不受這項隱私設定的影響。
第二個層次也是普通常識。廣告商買廣告並不代表他可以看得到個資。他們看到的只是統計數字,廣告點擊率和一共欠臉書多少錢。他們不可能知道是哪些人點擊了他的廣告。這背後的媒介是臉書內部的伺服器和演算法。也就是唯一知道你我隱私的不是 「人」,而是臉書內部的機器。這一點我相信大部分人都不會有太多意見。沒有廣告收入臉書就不可能存在。所以這個層次討論到此就可以跳過。
問題出在第三個層次
臉書面臨最大的挑戰就是他們在第三個層次犯規。他們是有前科的累犯。這裡我們談論到的是 PII (Personally Identifiable Information) 也就是個資。
這個層次的嚴重性是因為第三方軟體所取得的資料都是連名帶姓的的個人資料,而且取得的方式是由臉書提供的介面,也就是工程師俗稱的 API。目前得知能夠經過這樣的管道,取得個人隱私的軟體多達幾萬件。佐克柏輕描淡寫地說他們錯在太信任這些軟體開發者。這就好像你把自家大門鑰匙複製一百份交給一百個陌生人,然後天真地告訴全世界你相信他們的誠實。更天真的是,發現資料被盜取之後臉書要求他們把資料消除,沒有經過查證之下又再一次相信一個曾經背叛他的人。
他們說原先提供介面給這位大學教授是為了研究之用。沒想到後來大學教授把資料出賣。如果只是為了研究用,提供的應該只是統計數據,不能也沒有必要提供個資。目前我們知道外流的資料包括姓名住址電話個人喜好及檔案照片。當然後面還跟著一大堆其他的數據。
如果臉書使用全球性的代碼連結,那麼就沒有隱私的問題,因為只有臉書內部的電腦才知道這些代碼的意義。對於外面的世界,每一個人只是一串長達32位數字的編碼,後面跟著才是查詢資料的人有興趣的統計數字。
這種開放介面給軟體開發者用大數據做分析,而不連接到個資的做法在矽谷非常普遍。提醒一下,企業這樣做也並不是出於慈善。使用 API 介面也是要付費的。你我所有的資料都不斷重複地被出賣,這已經不是新鮮事。當然如果我的角色只是一串代碼外加一堆統計數據,我並不會在乎。臉書這次引爆的劍橋分析事件並非如此。他們准許陌生人利用他們提供的管道,直接拿取肉眼可以辨認的個人資料。
挑戰才剛開始
2011 年臉書就曾經因為一再違反個資保護法被美國聯邦公平交易委員會 FTC 判了為期二十年的留校察看。FTC 在2011年的判決𥚃,一共列舉臉書七大罪狀,其中一條是將個資在用戶完全不知情的狀況下,提供給第三方開發者。很不幸這條指控在這麼多年後顯然完全沒有改進。另一條明顯違規的是如有個資外洩,臉書必須立即通知 FTC。當然他們並沒有。佐克柏的說詞是他認為對方已經把資料刪除,案子已經擺平。
在那份臉書簽名同意改善的判決書中提到,如果二十年內再犯會處以 「每一個帳號四萬美元」的重罰。
國會是立法單位,無權制裁臉書。他們聽證只是為了以後的立法做改善。聯邦公平交易委員會是執法單位。雙方七年前訂有契約,這種挑戰不是憑著佐克柏的誠懇與那張無辜的娃娃臉就可以脫身的。每一個違規帳戶罰款是四萬美元 … 劍橋分析一共出賣了八仟七佰萬的帳號,如果認真執行的話,臉書將會從地球上消失。
FTC 在國會聽證之前就已經開始著手深入調查這件事。不久之後他們就會約談佐克柏。那才是臉書惡夢的開始。身為代表國家的執法單位,面對矽谷高科技業最有指標性的違規案,FTC 不太可能雷大雨小草草結案。這是他們殺雞儆猴的最好機會,否則後患無窮。
國會聽證只是開胃前菜。FTC 日後的傳喚才是臉書生死存亡的關鍵。如何面對白紙黑字的契約,如何避免毀滅性的重罰 … 我相信這些才是令臉書背後律師團寢食難安的下一個挑戰。
不過他們的噩夢可能還不止於此。美國的司法單位很可能也會開始著手調查臉書內部高階主管是否有涉及違法案件。如果有的話那就不是罰錢可以了事的。司法調查之後,隨之而來的還會有集體民事訴訟要求臉書對外洩的八仟七佰萬用戶賠償。我相信很多民間的律師已經在摩拳擦掌。這種集體訴訟十之八九都是庭外和解。在美國我們常常會莫名其妙接到一些賠款支票,那就是所謂的 class lawsuit – 如果是受害人,你不必費神控告,自然會有律師主動為所有名單上的受害人提出集體訴訟。你只要坐收漁利就可以。
八仟七佰萬人 … 這個民事賠償金額可能又是一個天文數字。
保護個資正確的做法
個資保護是浩大的工程。正確的做法是跟個人有關的所有資料要全部打散,分開儲存在不同的資料庫裡,用兩道防火牆隔開,只有認可的 IP 和指令才可以接受。這些支離破碎的資訊只能用全球性獨特的代碼 GUID來連結。
全球性獨特代碼是微軟發明,由 32 位數的阿拉伯數字和字母隨機組成。你可以把全球所有的人及物品都賦予一個代碼而永遠不會重複。而這個代碼只有在它產生的電腦環境裡才有意義。也就是臉書可以憑著我獨特的代碼,在他們的內部找到我的姓名住址電話等等,可是離開了臉書的電腦,那個代碼只是一行資料的代號,沒有任何其他意義。當臉書必須對外提供有關我的數據的時候,它應該只是提供我的代碼,後面是我去過哪些地方買過什麼東西,上過哪些餐館。這些都 OK。至於所有的個資,都只能在臉書內部處理 – 比方在我生日那天送出針對性的廣告,推薦我住家附近的好餐館 … 這些也都 OK。
問題今天他們撈過界准許應該只有在內部流通的個資直接往外送,而且沒有通知當事人,事發後又沒有立刻通知 FTC。這個致命的問題在一百多位國會議員中只有幾個人提出,而且佐克柏只做了擦邊球式的回答。
佐克柏在聽證會上受到英雄式的注視,也受到一般民眾的同情。網路上有人拿出國會議員無厘頭的問話來彰顯他們對科技的無知。但是我相信佐克柏完全不會有任何勝利感。他的頭也許暫時過了,下一關面對 FTC 的聽證,身子還未必過得了。
封面圖片來源: CNN
