Facebook创始人兼CEO马克·扎克伯格(Mark Zuckerberg)
北京时间10月18日下午消息,据国外媒体今日报道,《华尔街日报》的调查发现,在社交网站Facebook上,许多最热门的应用一直都在将用户的身份信息——实际上,是提供了用户姓名的访问权,在某些情况下还会提供用户好友姓名的访问权——发送给数十家广告和互联网研究公司。
影响广泛
这一问题影响到了数千万使用Facebook应用的用户,包括那些采用了最严格隐私设置的用户。这种行为违反了Facebook的规定,并且再度引发了外界对Facebook是否有能力保障用户身份信息安全的质疑。
在此之前,很多企业都在创建用户信息的详细数据库,希望借此追踪用户的网络活动,而本次的调查也与这一问题相关。目前还不清楚这种违规行为始于何时。上周日,一名Facebook发言人表示,该公司正在采取措施“大力限制”用户个人信息的曝光。
该发言人说:“Facebook用户的ID有可能会被用户的互联网浏览器或应用无意泄露。”他还表示,只是知道一个ID“并不能获准访问任何Facebook用户的隐私信息”。他还补充道,该公司将推出新的技术,解决《华尔街日报》所发现的问题。
“我们的技术系统一直都辅之以强有力的政策执行,而且我们还将继续依赖这两种措施来确保人们可以控制自己的信息。”该发言人说。
应用是一种软件,可以为Facebook的5亿名用户提供游戏,并帮助他们彼此分享信息。《华尔街日报》发现,全部10款最热门的Facebook应用都在将用户的ID提供给外部企业。
这些应用是根据美国市场研究公司Inside Network统计的月用户量排名挑选出来的,其中包含了Zynga的社交游戏《FarmVille》、《德州扑克》(Texas HoldEm Poker)和《FrontierVille》。《FarmVille》月独立用户高达5900万人。在这10款应用中,包括《FarmVille》在内的三款应用一直都向外部企业发送用户好友的个人信息。
多数应用都不是Facebook开发的,而是由独立软件公司开发的。在《华尔街日报》将这一消息告知Facebook后,有些应用已经无法使用。至于这些应用无法使用的具体原因,目前尚不清楚。
生存基石
被泄露的信息是Facebook赖以生存的基石:Facebook为每位用户分配的独立ID号。由于Facebook的用户ID是Facebook资料的公开部分,任何人都可以使用一个ID号查找到对应的用户姓名,即使该用户将所有的Facebook信息都设置为隐私。而对于其他用户而言,外界则可以借助Facebook ID查看对应的用户分享的所有公开信息,包括年龄、住址、职业和照片。
《华尔街日报》所测试的应用都会将Facebook的ID号发送给至少25家广告和数据公司,其中部分企业还会通过追踪用户的网上活动来建立资料库。
网络追踪行为的辩护者认为,由于采用了匿名方式,因此这种监视行为并无害处。但在本次调查中,《华尔街日报》发现,一家名为RapLeaf的数据搜集公司将通过应用获得的Facebook用户ID信息与其自家的互联网用户数据库联系到一起,并对外出售。除此之外,RapLeaft还将获得的Facebook用户ID发送给其他12家企业。
RapLeaf表示,这种发送行为是无意之举。该公司业务开发副总裁约耳·朱伊特(Joel Jewitt)说:“我们并非有意为之。”
Facebook表示,该公司此前曾经“采取措施……大幅限制RapLeaf使用任何Facebook相关数据的能力。”
即使获得用户许可,Facebook仍然禁止应用开发商向外部广告和数据公司发送用户数据。《华尔街日报》的发现表明,在将这一政策落实到Facebook的55万款应用的过程中,将面临巨大的挑战。
屡遭诟病
《华尔街日报》的这一发现是Facebook面临的最新挑战,该公司最近几年因为修改隐私政策,曝光更多用户信息而屡遭批评。《华尔街日报》今年春天发现,当用户点击一个广告时,Facebook某些情况下会将用户的ID号码发送给广告公司。Facebook随后停止了这一行为。
Facebook发言人称:“与我们今年春天在Facebook.com上成功解决的问题相比,这一问题的技术挑战更为复杂。但是我们仍将致力于解决该问题。”
这一隐私问题的曝光正值Facebook本月为用户提供更多应用控制权之际。在此之前,隐私保护激进人士就曾表示,应用将成为用户隐私控制的一大潜在漏洞。10月6日,Facebook创建了一个控制面板,使得用户可以看到哪些应用正在访问他们的哪类信息。例如,当一款应用访问用户的“基本信息”(包括用户ID和姓名)时,系统就会发出提示信息。然而,该控制面板却不会对用户好友的应用访问其信息的类别进行细化。
Facebook应用将Facebook转化成为一个各类活动的枢纽,从玩游戏到建立家谱。应用还被认为是Facebook拓展其网络用途的一种重要方式。该公司表示,每月有70%的用户使用应用。
对于Facebook而言,应用还成为了除广告以外的又一大收入来源。Facebook出售的虚拟货币可以被用于支付游戏费用。
在遭到加拿大隐私委员(Canadian Privacy Commissioner)调查后,Facebook今年6月对应用的访问权进行了限制,只允许其访问用户资料的公开部分,除非用户给予额外的授权。加拿大隐私委员会随后也对此表示满意。在此之前,应用可以获取用户访问过的任何数据,包括详细的资料以及有关用户好友的信息。
关闭应用
目前还不清楚那些向外发送Facebook ID号的应用开发商是否知道他们的产品存在这一问题。这些应用都采用了普通的网络标准,也就是所谓的“referer”。当用户点击了一个链接时,该标准会将用户此前浏览的最后一个网页的地址发送出去。在Facebook和其他社交网站中,referer可以暴露用户的身份。
Facebook表示,该公司已经停用了数千个违反其政策的应用。但究竟有多少案例涉及将用户信息发送给营销公司,目前还不清楚。
Facebook似乎已经关闭了部分被《华尔街日报》发现的发送用户ID的应用,包括几款由LOLapps Media开发的产品。LOLapps Media由风险投资公司资助,融资总额约为400万美元。该公司的应用包括每月的活跃用户为350万的Gift Creator和每月活跃用户为140万的Quiz Creator,以及Colorful Butterflies和Best Friends Gifts。
自上周五以来,当用户访问这几款应用时,要么会收到错误信息,要么就直接返回Facebook主页。
Facebook发言人说:“我们已经立刻采取措施,停用了所有违反我们政策的应用。”
LOLapps Media发言人拒绝对此置评。
企业回应
向外发送Facebook ID的应用有可能也已经违反了他们自己的隐私政策以及行业标准。按照行业标准,在未经用户许可的情况下,网站不应当分享可确定用户身份的信息,广告主也不应当收集这类信息。例如,Zynga就在隐私政策中表示,该公司“不会向第三方广告公司提供可确定个人身份的信息”。
一名Zynga发言人说:“Zynga拥有严格的政策,不会将可确定个人身份的信息发送给任何第三方团体。我们希望与Facebook配合,改进网络技术,以便让用户可以控制他们的信息。”
在《华尔街日报》的调查中,对Facebook用户信息使用最广泛的企业是RapLeaf。这家总部位于旧金山的企业会根据用户的网络活动整理并出售用户的个人资料。
《华尔街日报》发现,部分LOLapps应用以及Family Trees应用都会将Facebook的ID号发送给RapLeaf。根据RapLeaf的官方信息,该公司随后则会将这些ID号与该公司此前整理的个人资料结合到一起。RapLeaf随后还会把这些信息植入到名为“cookie”的互联网追踪文件中。
RapLeaf表示,在将信息植入到cookie中并与精准广告商分享这些信息前,该公司已经删除了用户姓名。然而《华尔街日报》发现,RapLeaf将Facebook用户ID发送给了其他12家广告和数据公司,包括谷歌旗下的Invite Media。
这12家企业都表示,他们并没有收集、存储或使用这些信息。
Family Tree的开发商Familybuilder发言人伊雅·尼克拉耶夫(Ilya Nikolayev)通过电子邮件表示:“Familybuilder的公司政策是对任何实际、潜在、现有或以前的企业合作伙伴、关系、用户详细信息以及任何类似的信息保密。至于该报道提到的除Familybuilder以外的企业,我们不会发表更多评论。”(鼎宏)