也來罵臉書好了

最近罵 facebook 很夯,而且不斷來到新高點,隨便找幾篇:

不過類似的評論已經出現很久了,去年九月就有了這篇: Facebook’s war on free will

然後還有衛報最新力作 Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach

各方終於要開始表示擔憂調查跳船(後來又澄清說不跳)啦。

我反而認為有些描述和理解過於誇大了,現在所報導關於臉書的大部分負面新聞,不過是臉書本來的運作方式罷了,人們只是現在才開始關心。

以最新的 Cambridge Analytica 消息來說,他們不過是利用了一個應用程式,向使用者詢問能不能取得他們的資料,然後真的取得了他們的資料。碰巧,早期臉書的 API 允許開發商拿到授權使用者的朋友的資料, CA 就拿這些資料來分析。(當然有另一個合理說法是說臉書故意不關閉這個 API 來吸引開發者)這樣的資料使用模式,怎麼會是報導中所稱的「Data breach 資料外洩」呢?一點都沒有外洩,反而是使用者自己同意釋出這些資料的。

當然,在這個案例當中,臉書仍然有錯,錯在並未詳細說明使用者同意第三方開發者使用資料之後可能的風險。(但使用者知識也大概低落至於壓根不知道什麼叫做「授權第三方開發者取得個人資料」吧,從台灣的新聞報導,講得好像開心農場是臉書的一部分一樣)

現今的使用者仍然對這樣的資料請求缺乏戒心,更缺乏理解,科技公司不斷說「相信我們!提供你的個資,我們會好好保護,為你帶來方便!」,然後使用者就按同意了。

我覺得以這個使用者使用科技前不詳加瞭解的模式,未來還是會在同樣的模式下被科技公司所剝削。

不過我想,這是大眾運作的常態,在接觸新科技的時候,從來不會去瞭解背後的原理,只想著新科技的方便,等到大家開始發現新科技的負面影響、剝削人的一面的時候,科技公司早就賺飽飽了。

我從以前就不喜歡 Facebook ,然而原因與現在的人們不同,我反而覺得,現在人們反對臉書的原因,是因為他們現在才開始意識到這個商業模式真正的運作方式,這個商業模式是內稟的、天生的,這個公司(或者說產業)從誕生至今就是以這個模式運作的,本身並沒有錯,錯、該罵的地方在於關於這項科技的商業模式和運作原理,公司從來沒有投入足夠的資源去說明(甚至惡意不公開),讓人們充分理解他們選擇使用的後果,然而使用者們也沒有投入適當的心力去設法瞭解這個商業模式和運作原理。

我會說,科技的使用者應該要負起更多的責任去瞭解他們所使用的科技,而不是一開始什麼都沒有想,為了開心農場就加入,然後現在再來抱怨臉書侵犯他們的個人隱私。我瞭解現在的狀況並非如此,甚至反而是歷史上大多數科技普及進程中自然進行的模式,並且人性也不是這樣的,大多數人不會去思考自己的選擇,就算他們要開始思考自己的選擇,在科技領域來說,相關資訊還是非常的不透明,也缺乏普及、一般人能夠瞭解的說明來源(例如科普媒體)。

在這個科技普及進程裡面,科技公司也缺乏誘因去仔細說明他們的科技,更別說教導人們「恰當」使用科技,畢竟,如果跟使用者說「在使用我們產品以前請仔細考慮以下事項」,誰還會想要使用你的產品啊。現在的「創新創業」模式講求的破壞性創新、早期的高成長,被產業和大眾視為理所當然,然而這樣的高成長,我認為必須要仰賴這種使用者對底層科技的不瞭解(而這些不瞭解造成了剝削)才能達成。那些使用者條款、設定選項,對於新創企業的用途也都只是在於使用者抱怨,或是受到批評的時候,讓他們可以說「哦我們有提供這個選項啊」、「我們的條款裡面已經有寫了,請使用者使用前詳細閱讀條款再決定是否使用」。

然而,在這個一方想要賺錢,另一方不求甚解的狀況下,主要會蒙受損害、被剝削的,只有使用者而已。使用者若不自己多花一點心力去瞭解所使用的科技,會受害的也只是自己而已。

使用者從頭到尾並未仔細思考自己註冊、提供資料所帶來的後果,一開始什麼都沒想就加入臉書,現在則是發現臉書使用資料的方式跟自己想像的不同,然後就開始抵制。這次大家開始意識到臉書某種程度上是惡意的而開始離開,這是件好事,但我總覺得使用者如果持續在使用科技的時候不多加思考,以後還是會以同樣的模式被其他科技公司「背叛」。

以現在大眾傳播的模式,我猜臉書又會成為千古罪人,沒有人會注意到 Instagram, Google, Whatsapp, Apple 等等,這一堆科技公司都是使用同樣的模式在賺錢和運作的—— data exploitation 。

還看到有人開了競賽說要建一個更好的臉書替代品,我覺得有點諷刺,現在使用者們從來不想要像是 email 這樣的開放系統,只想要一個最大的公司,信任他們,給他們所有的資料,可以提供他們最好最方便的服務,而且當然要是免費的。或者說,使用者永遠都是要又要馬兒跑得快又要馬兒不吃草,然而這本來就是不可能的事情嘛,唯一達到「馬兒跑得快又不吃草」的方法,就只有欺騙使用者囉。

現在有篇廣泛流傳的文章《如何防止臉書偷走我們的一切》,我想要指出文中一些與原始報導有出入的地方:

事件爆發後越來越多新的進展曝光,包括將臉書用戶數據賣給Cambridge Analytica的其實是臉書總部裡的心理醫生Joseph Chancellor,而Facebook的一名員工Parakilas也向衛報爆料他的主管如何下封口令,以掩蓋這起醜聞。

這段文字讀起來像是臉書公司自己將用戶資料賣給 CA,然而其實不是,在衛報的原始報導中是這麼說的:

Joseph Chancellor was one of two founding directors of Global Science Research (GSR), the company that harvested Facebook data using a personality app under the guise of academic research and later shared the data with Cambridge Analytica.

He was hired to work at Facebook as a quantitative social psychologist around November 2015, roughly two months after leaving GSR, which had by then acquired data on millions of Facebook users.

Chancellor is still working as a researcher at Facebook’s Menlo Park headquarters in California, where psychologists frequently conduct research and experiments using the company’s vast trove of data on more than 2 billion users.

所以說,收集資料的是 GSR 公司,收集的方式是利用他們開發的 thisisyourdigitallife 臉書第三方應用程式,並且告知使用者將會把他們的資料用於「學術用途」。後來將資料賣給 CA 的不是臉書,而是 GSR ,而這個資料販賣已經違反臉書的平臺條款,然而臉書也並沒有去進行查核,事實上一旦使用者授權第三方從臉書伺服器取得他們的用戶資料,資料一傳輸到第三方伺服器,臉書就幾乎沒有辦法檢核資料是否被合理使用,即使在發現違反平臺條款的使用的時候,也沒有什麼方法可以防止用戶的資料外洩。從衛報原文中也看不出來 GSR 把資料賣給 CA 是在 Joseph 離開前還是離開後。總之 Joseph 離開後就去臉書工作了。所以整件事應該是說「臉書的員工之前所創辦的公司把該公司收集到的使用者資料賣給了 CA」。

再來,Joseph Chancellor 是劍橋大學心理系的博士後研究助理,有社會心理學博士學位,但是以台灣的標準而言不算是「心理醫生」,但中文作者翻譯誤將有 Ph.D 的 Dr. 翻譯為「心理醫生」。

然後,我也找不到「Facebook的一名員工Parakilas也向衛報爆料他的主管如何下封口令,以掩蓋這起醜聞」在任何報導中的相關文句,最接近的是 Parakilas 在華盛頓郵報的投書

Here’s an example of how an investigation into one such issue played out during my time at the company: In late 2011, it was revealed that an app called Klout was creating “ghost” profiles of children. These public profiles were not created or authorized by the children and were reportedly based on friend data from adults who had authorized the Klout app. As the lead for platform data protection issues, I had to call the leadership of Klout and ask whether it was violating any Facebook policies, because we couldn’t see what it was actually doing with the data. The leadership swore it was not in violation. I reiterated the importance of following the policies, and that was the end of our call. Facebook took no further action, and Klout continued to access Facebook data, though it turned off the ghost profiles feature.

While Klout was an unusual case because the alleged violation was publicly visible, other less visible data protection issues happened regularly during my tenure. Facebook had the following tools to deal with these cases: It could call the developer and demand answers; it could demand an audit of the developer’s application and associated data storage, a right granted in the platform policies; it could ban the developer from the platform; it could sue the developer for breach of the policies, or it could do some combination of the above. During my 16 months at Facebook, I called many developers and demanded compliance, but I don’t recall the company conducting a single audit of a developer where the company inspected the developer’s data storage. Lawsuits and outright bans were also very rare. I believe the reason for lax enforcement was simple: Facebook didn’t want to make the public aware of huge weaknesses in its data security.

Concerned about the lack of protection for users, in 2012 I created a PowerPoint presentation that outlined the ways that data vulnerabilities on Facebook Platform exposed people to harm, and the various ways the company was trying to protect that data. There were many gaps that left users exposed. I also called out potential bad actors, including data brokers and foreign state actors. I sent the document to senior executives at the company but got little to no response. I had no dedicated engineers assigned to help resolve known issues, and no budget for external vendors. Facebook’s users were being protected by whatever external partnerships I was able to strike without having to pay those partners. The only time my team got any attention was when negative articles appeared in the press.

簡單來說,臉書的上層主管只是冷處理了這件事情,並沒有「下封口令」,以當時的狀況來說,他所回報的東西其實都是相對小事,像臉書這樣的公司根本不會去處理。

參考資料

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s