臉書洩露個資是「疏失」還是「欺騙」?聯邦公平交易委員會的重罰似乎給了答案

臉書對於使用者隱私的保護一直是說一套做一套,可是夜路走多了總會碰上鬼。聯邦公平交易委員會FTC上禮拜總算開鍘,重罰臉書50億美元。

臉書CEO佐伯格去年在國會聽證會上道歉,說臉書在資安問題上疏失,未能及時提出有效的防範措施。為此他誠摯地說了「對不起,我錯了!這完全是我一個人的責任。」當時他那張天真無邪的臉孔加上誠懇的語句,的確讓很多人認為臉書在這件事情上已經過關。

可是聯邦公平交易委員會FTC並不這麼想。

是疏失還是欺騙 ?

7月24日FTC為了臉書未能遵守2012年訂定的承諾而判罰50億美元。這次天文數字的判定與劍橋分析醜聞案無關,而是自2012年簽定協議以來,臉書為了提高針對性廣告效率,一再動手腳欺騙使用者,而蓄意違反資安。

儘管佐伯格去年在國會上道歉的時候用的是「不夠周全」(we “didn’t have a broader view”),但FTC 用的卻是「欺騙」(deceive)這個字。

FTC這個判例是空前絕後。過去在資安史上最重的判例,就是2013 年聯合徵信公司Equifax個資被駭案2.75億美元的判例。再早以前就是Uber 1.48億美元的判例。這次50 億的判例是高於前例近乎20倍殺雞儆猴的天價。Equifax和Uber的案例都可以推給疏失,因為他們是被駭。可是臉書的例子被認定是欺騙,是主動的犯意,不是疏失。

FTC羅列臉書數項罪名,其中包括在隱私設定上,沒有明確告知使用者設為「只限朋友」的個資,也有可能會被分享給第三方的軟體開發者,以及即使設定為最嚴格的「只限我自己」,個資仍會透過朋友的App分享出去等等。不過這些都可以算是疏失。但最重的兩項罪名,是無法用疏失2字就可以脫身的。

1.臉書在2014年,為了提升個資的保護層次,要求使用者提供手機號碼以用於兩段式登入。當時他們明確地表明這項資訊絕對不會用於其他任何用途。但是他們說一套做一套,這些手機號碼後來通通被用於客製化廣告。

2.2018年臉書推出臉部辨識新功能。當時在使用者條文裡說的是,這項「自動Tag功能」只有在用戶主動做了知情的選擇之後才會生效。這在業界叫 opt-in (加入)。但實際功能推出的時候,他們卻把所有使用者都先預設為加入- 除非你改變隱私設定,把自動Tag關閉。這叫做 opt-out (退出)。

也就是說臉書先假設你願意加入,如果不願意你可以退出。所以全美國有6千萬人自動被臉書加入,而毫不知情。

Opt-in和Opt-out的區別

Opt-in和 Opt-out是網路公司在涉及個人隱私的時候,最常玩弄的花言巧語。所謂opt-in 就是使用者必須主動表示同意加入才算數。Opt-out 剛好相反,使用者必須主動表示退出才成立。但是因為大部份的人都不會表示意見,所以這就成為一張非常容易操弄的牌,正反兩面都可以打。

比方網站要把你的資料賣給第三方,而法律規定必須得到使用者同意。這時候網站可以有兩種做法,第一種是告訴你同意的話可以選擇加入(opt-in)。這是合乎道德的正規做法,也是歐盟個資保護法要求的做法。這個做法的意義就是如果無作為,就表示不同意。

第二種比較小人的做法,就是告訴你不同意的話,可以選擇退出(opt-out)。也就是無作為就表示自動同意。

當然,臉書不只是玩弄兩面手法,而根本是打著羊頭賣狗肉—條文裡說的明明是opt-in,但實際卻採用opt-out。這是百分之百的欺騙。

上面這一項就連你我都可能曾經成為受害人。我從不Tag別人,也不喜歡別人Tag我。可是曾幾何時,常常在毫不知情的情況下,莫名其妙地被人家Tag。Tag 我的人並非有意,只是不知道如何取消。

反過來說,每次我Post 照片時,臉書也會自動精準地把照片上的朋友全部Tag起來,而且把消除功能藏在很不明顯的地方。記得當時每次碰到這個情況都覺得很懊惱,害我還得花工夫把那些自動標籤全部一一消除。這些被自動貼標籤的人,極少有人是主動選擇opt-in的,相信大部份人都跟我一樣完全不知情。可是當時大多數人驚訝的,是臉書人臉辨識的準確性,而不是他們未經同意就分享生理個資。

如果你也曾有這種經歷的話,那你也是受害人。

50億收買了一場重大欺騙案的真相

FTC和臉書在2012年的合約其實非常簡明– 總結起來只有一句話,那就是臉書必須實踐對於資安的承諾,不可表裡不一,而且分享使用者資料前,也必須先得到使用者主動的同意。基本上這裡指的就是Opt-in。沒想到臉書在條文上是做到了,實際卻是表裡不一。

所以這50億罰款就是針對上面兩項欺騙行為而來。其中關於臉部辨識新功能欺騙使用者的條文,竟然是在佐伯格國會聽證會之後的再犯。所以一般認為佐伯格在國會那次楚楚動人的承諾全部是謊言。

FTC這次的判決也許出手很重,但有些分析家認為臉書可能在偷笑。他們算是撿到了便宜,FTC也算是賤賣了一場重大的欺騙案。

就在7月24號判決書出爐的當天, 臉書也公布了季報。他們第二季營收是166億美元, 比去年同期成長了28%。第二天股票也跟著漲了2.5元。這個判決對他們似乎毫無影響。2018年臉書全年的營收是560億,50億罰金不到全年營收的9%。也許不遵守規定所帶來的利潤還超過罰金。

另外很重要一個差別就是簽署了這項罰則,FTC 就等於放棄這個案子的追訴權。如果把案子帶入法庭,可能還會揭發更多內幕,兩大欺騙案也許只是冰山的一角。FTC 等於是抓了小的放了大的。這個判例是以3票對2票通過。投反對票的兩位委員並不是認為臉書無罪,而是認為這樣等於以金錢廉價收買了真相。

其中一位叫邱波(Chopra)的委員事後接受訪問的時候說,他非常懷疑佐伯格在這些醜聞中所扮演的角色。他認為這筆罰款正中臉書的下懷。50億對FTC也許是一筆曠世巨款,可是對臉書也許是一筆偷笑的好交易。臉書等於用50億美元收買了真相。

總之這個案子就到此為止,背後的主謀到底是誰,臉書又還有多少其他的陽奉陰違,世界可能永遠不會知道。

當然FTC這次雖放了大尾的,他們在合約裡也預留了伏筆。那就是佐伯格必須每一季都向FTC提出一次書面報告,詳列臉書對個資保護的具體進展。更精彩的是,如果以後再犯,FTC將對佐伯格本人提出民事賠償並「追究刑事責任」。

佐伯格兩個月前才在北加州著名的度假勝地太浩湖買了總價5,600萬美元的超級別墅。一旦入住了那樣的湖邊天堂,誰都不想改變未來的生活環境,而冒著搬進牢裡的風險。也許這個刑事責任的威脅對臉書和對全球10億的使用者來說都是件好事。

故事到此並沒有完全結束,因為緊接著FTC又對臉書的反托拉斯展開調查。這件事的後續發展也許也會很精彩。

至於那筆50億的天價賠償,將來全部都會收歸美國國庫,像你我這樣受害的使用者一毛也拿不到。

責任編輯:陳慶徽
核稿編輯:黃雅苓

作者簡介:

鱸魚

在翻譯出版了18本當代文學名著之後,鱸魚決定跟別人一樣出國唸電腦,到了矽谷做了工程師。糟糕的是他竟然做得很成功,讓他一直不想覺悟。現在兜了一圈,他又回頭開始寫作。鱸魚以敏銳的觀察力來看世界所看不到的矽谷人與矽谷事,以詼諧感人的敘事能力,告訴世界矽谷並不是你想的那樣。