刪臉書,有用嗎?──從影響 5 千多萬用戶的「劍橋分析」竊資案,看網路時代如何保障個資

刪臉書,有用嗎?──從影響 5 千多萬用戶的「劍橋分析」竊資案,看網路時代如何保障個資

上周二(3月20日)我在 BBC 新聞看到一位粉紅頭髪男子的専訪,他是政治顧問公司「劍橋分析」(Cambridge Analytica)的前員工 Christopher Wylie,正在電視上向全世界爆料他以前的老闆,如何盜用 5,000 多萬個臉書用戶個資,再利用數據分析的結果,試圖在 2016 年的美國總統大選中,左右選民的意見。

Christopher Wylie 在専訪中指出,「劍橋分析」利用劍橋大學教授 Aleksandr Kogan 創造的一個 personality app(人格測試 app,有點類似心理測驗的問卷調查),在臉書上竊取使用過該 app 的用戶個資,以及「這些用戶的臉友」的個資——也就是説,即使你本身根本不知道這個 app 的存在,只要你的臉書上有一個朋友曾使用過它,你的個資就在不知不覺中被竊取了,而你可能至今還被蒙在鼓裡!

Cambridge Analytica 以這種方法,在短時間迅速取得大量臉書用戶的個資後,再比對有使用 personality app 者的作答內容與其個資的關聯──譬如 30 歲以上的男性用戶大多選擇「A」答案,40歲以上的女性大多數選的是「B」答案──除了藉此分析這些用戶的政治傾向,也進而推測他們臉友的政治立場。接著再於臉書上投放特定廣告,以及偏頗或不中立的政治新聞,企圖影響這些人的投票行為。

所有在網路上看到的新聞,都是經由「篩選」過的?

Christopher Wylie 認為,這是對民主制度的一大挑戰:因為這些選民「以為」他們看到的資訊是中立的,也相信自己的投票決定是建立在客觀地搜集資訊後,理性評估的結果。殊不知這些他們以為公正可信的新聞或消息,其實是有心人士刻意「餵養」的內容。他在専訪結尾,還很戲劇化地做了一個結論,承認自己「從不相信任何從網路上看到的新聞」,因為所有的新聞都是被「篩選」過的,目的是型塑我們的意見和思考方向。

消息一出,全球許多臉書用戶或是驚恐、或是憤怒,紛紛表示要刪除臉書,即使在 3 月 21 日臉書創辦人祖克柏(Mark Zuckerberg)鄭重道歉,並說明會更努力防止類似事件再次發生後,「刪臉書」的聲浪仍然未退燒,而 Facebook 的股價也在持續下跌中

除了刪臉書,網路上也掀起一股討論如何保護個資的熱潮,其中一篇文章建議大眾「少貼文、少分享,以及最重要的,收回對粉絲專頁的讚,以減低臉書嘗試要了解你這個人的可能性」

但我想問的是,這樣真的就可以杜絕網路巨擘們這些「Big Brothers」直接、或間接的「監視」嗎?就算刪了臉書,還有其他的社群媒體;就算完全不用任何社群媒體,你能不用 Google 嗎?只要你還持續使用搜尋引擎,業者就有辦法從你搜尋過的關鍵字、瀏覽過的網頁等蛛絲馬跡中,拼湊出你這個人大概的生活風格、消費習慣,以及你和那些區域有地緣關系,你的社交網絡大概聚集在哪個階層,而你關心的議題又是哪些。


祖克柏接受 CNN 專訪,談臉書用戶個資洩漏一事。

用戶資料即商機,個資暴露的弊與利

在網路發達的時代,作為一個使用者,我認為人人要有一個自覺:免費的應用程式之所以不收費,正是因為「用戶」就是它們最想要販賣的商品──當你在社群媒體上的曝露自己的性別、年齡、職業、喜好⋯⋯,分享美食照片、旅遊景點,或提出對一個議題的想法時,這些行為其實都是向社群媒體提供「商機」,成為它們投放廣告時的數據資料庫;而你在貪圖搜尋引擎的便利時,也應該了解這些搜尋結果不是 100% 中性,它們其實是搜尋引擎在分析你過去的搜尋歷史後,所得到的綜合產物;你認為 Apple Watch 幫你記録運動習慣與睡眠模式,是很方便又有助於健康的產品,然而誰能和你保證,當這資料被送到雲端後,不會在未來的某一天成為保險公司或醫療機構的行銷數據?

所以當你決定要使用搜尋引擎、在社群媒體公開分享意見、買一支 Apple Watch 或類似產品時,其實在某種程度上,你已經在不知不覺中向這位「Big Brother」透露了自己的 personal data,往好處想,你看到的都是「Big Brother」為你「量身打造」的資訊,但是「量身打造」不代表公正、客觀、正確、或是你需要的,反而可能讓你看不到事實的全貌,或是誘導你產生不必要的消費欲望。

網路行銷圈都在談的「GDPR」

歐盟作為一個保障歐盟人民福祉的組織,早在 1995 年就意識到個資保護的重要性,但隨著網路日益發達,網路世界個資外洩的情形,已經以舊制度與法規完全追不上的速度在發展,於是打從去年(2017年)起,新的歐盟個資法《General Data Protection Regulation》(簡稱 GDPR)就在醞釀,預計今年 5 月正式上路,而且即使英國將在明年脫歐,但由於新法生效時間是在正式脫歐前,加上英國與許多歐盟國家有商業往來,英國還是必須遵守這個讓歐洲行銷産業「聞風喪膽」的新制度。

説「聞風喪膽」或許有點誇張,但的確從去年底起,英國整個行銷圈都在談 GDPR :我幾乎天天都會收到關於 GDPR 的論壇、workshop、webinar 等的 email,而我們公司也在去年 12 月初就請到專攻 GDPR 的律師所來幫全體同仁做培訓,如此嚴陣以待的最主要原因,是新制度即將取代舊法案《EU Data Protection Directive 1995》和《Data Protection Act 1998》,罰款更從目前的 50 萬英鎊提高到 2,000 萬歐元(約新台幣 7.23 億元)──也就是説新法上路後,如果一間公司違法使用消費者個資,將面臨高到可能讓公司倒閉的罰款!

圖/GDPR 官網截圖

為了保護個資被濫用或盜用, GDPR 規定任何企業在搜集個資時必須以下 6 大原則:

1. 公平與合法(Fair and lawful): 意即必須取得當事人的同意,而徵求同意的文字必須要容易理解且不能有暗示性,譬如「如果你不希望我們不再停止寄送促銷信件給你,請不要在下方欄位打勾(If you would like us to no longer continue to stop not sending you marketing emails, please indicate YES by not ticking the box below)」這種邏輯復雜、誘導性強的文字,在新法上路後將成爲歴史。

2. 目的限制(Purpose limitation):搜集個資必須要有針對性的目的,且必須向當事人說明目的是什麽。

3. 儲存限制(Storage limitation):個資的搜集過程與儲存必須符合安全規定,譬如以安全性高的 FTP 傳送個資,而不是用風險性高的 email 方式寄送。

4. 資料限制(Data limitation):只蒐集和目的有關的必要個資,最小化需要搜集的個資範圍。

5. 正確且是最新的(Accurate and up to date):過時或不正確的個資必須加以刪除。

6. 機密性/誠實(Confidentiality/integrity):必須保密,無正當理由不得將個資洩露給第三方。

法律只是最後一道防線,消費者自覺是關鍵

從以上 6 個原則可以看出,歐盟努力要讓搜集個資的程序變得更透明,除了需要徴求當事人的同意,也必須說明需要這些個資的目的。此外,為了防止個資在網上傳送的過程中遭駭,新法也嚴格規定了傳送與儲存個資的方式,當然,最能展現歐盟杜絶個資被濫用的決心,莫過於那被提高了將近 40 倍的天價罰款。

距離 GDPR 正式上路只剩一個多月的時間,雖然歐洲的行銷行業似乎已經做好最高戒備,以各種配套措施應變未來的政策,配合更嚴格的制度,但法律畢竟只是彌補缺陷的最後一道防線──

作為網路時代的閲聽人、使用者與消費者,如何自我提高保護個資的意識、培養媒體識讀的素養,相信才是這個問題的治本之道。

執行編輯:HUI
核稿編輯:張翔一

Photo Credit:Flickr@Anthony Quintano CC BY 2.0

未來人才行前準備