4月2日,法国、英国、荷兰等六个欧洲国家的监管机构决定对Google才去联合行动,要求后者修改隐私政策,使其符合欧洲的法律。就在此前一天,Google的隐私总监阿尔玛•惠顿(Alma Whitten)宣布将从公司退休;业界猜测,Google持续受到隐私问题的困扰让她离开公司的主要原因。
这不禁让人想起互联网隐私的话题近日在国内引发的争议。春节过后,先是360产品被指责存在隐私安全问题,紧接着315晚会曝光网易邮箱以及多家网络广告联盟侵犯用户隐私,这个话题一时间成为互联网行业的焦点。
事实上,互联网隐私的争议不仅存在于中国,Google、微软、Facebook、苹果、雅虎等美国巨头以及许多创业公司都曾因隐私问题遇到麻烦,其中一些遭遇了来自各方的谴责甚至是觉得罚款。
上传用户通讯录,Path遭到罚款
今年2月1日,移动社交网络创业公司Path决定接受美国联邦贸易委员会(FTC)开出的一笔80万美元的罚单,并同意在未来20年内,每两年接受一次隐私政策方面的评估。双方达成的和解协议宣告了该公司持续近一年的隐私风波宣告终结。
上线于2010年的Path是一个亲人和密友之间的私密社交应用,它凭借出色的交互体验以及精准的产品定位迅速走红,2011年2月成功融资850万美元,去年四月又融资4000万美元,估值达到2.5亿美元。不过,去年初,这家公司因为被指责侵犯用户隐私而陷入了巨大的漩涡。
发现问题的是一位名叫阿伦•塔姆比(Arun Thampi)的新加坡开发者。他在自己的一篇博客中称,iOS版的Path会将他的整个通讯录上传到Path的服务器上:“我的通讯录落到了Path的手中”。而且在他印象中,Path并没有通过任何方式征求他的许可。
就在事发之前的几天,Path刚刚宣布用户数突破200万,这使其成为移动互联网领域的“当红炸子鸡”。因此这篇博客发布之后很快在技术圈中传播开来,进而在科技界引发轩然大波,几乎所有的西方主流科技网站都对这一事件做了报道。
Path的创始人兼CEO大卫•莫林(Dave Morin)迅速通过官方博客发表了道歉声明。“我们犯了个错误。”他承认为更准确地向用户推荐亲人和密友的账号,Path上传了用户的联系人信息,并表示已经删除此前收集的所有联系人信息;在新版中将提供选项,让用户选择是否将手机中的通讯录上传至服务器。
Path的投资人、科技博客TechCrunch的创始人迈克•阿灵顿(Michael Arrington)也撰文为该公司辩解,以Facebook掌握着大量用户联系人信息为例,称许多用户早已知道自己的通讯录被分享、储存和利用,但并不十分在意。
但他们没能阻止事件进一步发酵。美国媒体将矛头从Path转向苹果,质疑后者严格的审核体系为何没能防止这样的行为——据说苹果CEO库克之后曾将莫林叫到苹果总部“训话”,而苹果也的确做出了改进,要求应用在获取用户的位置、通讯录等信息之前必须征求用户同意。此外,更多有类似行为的应用也遭到曝光。
3月下旬,两位众议员发表了公开信,要求包括Path在内的34款应用的开发者说明他们收集了哪些用户信息,以及如何利用这些信息。在这样的情况下,FTC不得不介入调查。
随着调查得深入,FTC发现Path不仅未经许可上传用户通讯录,更严重的是他们没能阻止13岁以下的儿童注册Path账号并输入身份信息,这违反了《儿童在线信息保护法》(COPPA)。该法案规定,互联网运营商在收集儿童信息时必须明确取得其监护人的同意;许多网站为了避免这一复杂的工作,干脆直接禁止13岁以下用户注册。然而Path没有采取任何措施,FTC称至少有3000名儿童受到影响。
除了罚款和定期接受检查,FTC还要求Path删除所有儿童用户在未经许可的情况下分享的信息,并调整隐私政策。“与Path的协定说明无论技术怎样演变,FTC都将持续保证美国人的隐私,”FTC的主席乔•莱博维茨(Jon Leibowitz)在宣布处罚决定后的新闻发布会上表示。
在经过了与FTC的协商后,Path决定接受处罚:“我们希望分享我们的经验和教训,提醒行业内的其他人确保服务完全符合像COPPA这样的规定的重要性。”
FTC:隐私争议的关键角色
不仅是这次Path引发的隐私争议,在历次关注度较高的互联网隐私争议事件中,都不会缺少FTC的身影。
成立于1914年的FTC是美国政府的一个独立机构,主要任务是反垄断和保护消费者权益,包括他们的隐私权不受侵犯。FTC拥有调查和执法的权利,同时还会对消费者和企业进行教育,扩大有关法律和政策的影响力。当企业涉嫌侵犯隐私时,FTC有权对相关企业展开公开或不公开的调查;如发现违法情况,可以与公司协商进行相应的处罚,若无法达成一致则可以向法院起诉。
许多互联网公司都曾经因为隐私问题遭受过FTC的处罚,其中不乏Google和Facebook这样的巨头。
事实上,FTC历史上最大一笔罚单便开给了Google。由于绕过苹果Safari浏览器的隐私设置给拒绝被追踪的用户安装Cookies用于优化广告投放,去年8月,Google被处以2250万美元的罚款。罚款数额如此巨大的原因之一是Google在隐私问题上连续犯错,FTC不得不加大处罚力度——就在2011年,Google刚刚因为一次更大的隐私争议与FTC达成过和解。
这起著名的隐私争议来自于其2010年初发布的一款不成功的社交产品——Google Buzz。它与Gmail整合在一起,并与Google Reader关联,用户可以通过它直接与Gmail联系人分享信息。然而,令Google始料未及的是,大量用户并不希望和自己的邮件联系人分享最新动态,原因是这些联系人并非自己的“好友”。由于Google未做详细说明便将Buzz添加到了Gmail中,而且Buzz会自动将Gmail用户的常用联系人公开,许多用户遭遇了麻烦。
一位网名为“Harriet Jacobs”中东女性在自己的博客中痛骂Google。她过去习惯于通过一个私人的Gmail联系她的男友和母亲,但她的Gmail常用联系人中还有曾虐待过她的前夫和在现实中仇视她的人;过去她可以很好地将这些人区分开来,然而突然上线的Buzz却在没有任何提示的情况下让她的前夫可以查看她通过Reader分享给她男友的评论,包括她如今的住址和工作地点。她无法阻止其他人通过Buzz对她的关注,甚至在她关闭Buzz之后,她也无法阻止她的前夫查看她Reader中的信息。“我的隐私顾虑不是老生常谈,它和我的人生安全密切相关,”她在博客里写道。
在大批用户愤怒的抗议声中,Google不得不为Buzz的隐私政策道歉,并调整了Buzz的默认设置,让Gmail联系人不再自动在Buzz中关联。然而由于Gmail用户量巨大,Buzz的隐私错误波及甚广,Google的致歉不足以平息抗议的声音。先是公益研究机构“电子隐私信息中心”向FTC抗议Buzz泄露隐私、违反Google的隐私政策和有关法律,随后,11名国会议员联名要求FTC对Buzz侵犯用户隐私进行调查。
FTC自然不会袖手旁观。经过了近一年的调查,FTC在2011年3月底宣布认定Google违反其隐私政策,要求Google完善隐私政策,并在未来20年内接受常规性的独立第三方隐私审查。Google承认在Buzz上犯下的错误,并接受处罚;而Buzz这个“不得人心”的产品也在上线一年多之后便被Google放弃。
与Google类似,Facebook也因为隐私问题被FTC要求在未来20年内接受独立第三方隐私审查,起因是2009年的一次隐私设置调整。
此前,Facebook可以通过隐私设置选择对哪些用户公开所在地、性别、关注的公共主页、自己的好友网络等信息。然而在当年12月的调整之后,设置选项被取消,这些信息变成了公开信息,不仅用户的Facebook好友可以查看,任何人都可以浏览。
Facebook希望用这种方式让用户更方便的查找到自己想要联系或交往的人,而不是一个与其重名的用户;他们也提前数月宣布了这一调整计划,希望让用户有所准备。然而由于这是Facebook一次单方面的调整,没有征求用户同意,宣传力度也有所欠缺,对于大多数用户来说,隐私调整是突然来临的;很多人对此毫无准备,他们过去认为是私密的信息一夜之间暴露在了所有人的面前。尤其是一些在现实中可能遭遇歧视的弱势群体,例如艾滋病患者,随着他们的好友网络和关注的公共主页的公开,他们希望隐藏的身份可能因此被Facebook上的好友获知,这将严重影响他们的正常生活。
尽管得到了许多用户的支持,但这次调整仍很快引发了全球性的抗议,媒体、专家学者、非政府组织和众多普通以各种方式谴责Facebook的做法。压力之下,Facebook恢复了隐藏这些个人信息的选项,但没有提供对特定用户公开这些信息的选项。这样的做法显然无法令反对者满意。在很多人看来,如果Facebook可以不受约束地随意改动隐私政策,那么谁也无法保证这家公司不会将更多原本被视为隐私的信息公开。
在隐私保护组织的敦促下,FTC很快介入了对这起事件的调查,不过最终的和解协议至到近两年后才达成;尽管没有做出罚款,但FTC要求Facebook未来调整隐私策略时必须征得用户的同意,这减轻了用户对于Facebook再次做出类似举动的担忧。
作为一个有执法权的政府部门,FTC在隐私争议中及时介入调查,避免了当事企业、用户、媒体与民间组织间发生长期的口水战,而它基于调查做出的决定也为互联网企业的行为划定了红线,防止企业利用新技术钻“旧”法律的空子。
相对宽松的隐私政策
尽管美国有《电子通信隐私法》、《儿童在线信息保护法》等与网络隐私相关的法案,有FTC这样负责处理网络隐私争议的专门机构,媒体和民众也有着较强的隐私保护意识,这些都对互联网公司在牵涉用户隐私的行为上做出了限制;但另一方面,与隐私保护较为严格的欧洲相比,美国在网络隐私方面的政策相对宽松。正因为如此,互联网公司能够才能够更好地为用户提供个性化服务,同时网络广告也得益日益壮大的产业,从资金上为互联网行业的发展提供重要基础。
一个典型的例子是近来在国内备受关注的Cookies,事实上它正是由美国网景公司的程序员卢•蒙特利(Lou Montulli)发明的。长期以来,美国并没有明确的法律限制互联网公司对Cookies的使用,加上多数浏览器一直也都将允许Cookies(包括第三方Cookies)作为默认设置,只要用户没有主动选择禁止Cookies,互联网公司以及广告联盟就可以使用Cookies记录用户的信息。
正是在Cookies的帮助下,亚马逊可以记录用户对书籍的搜索和浏览信息,进而向用户推荐感兴趣的书籍。Google利用Cookie记录用户访问和搜索的数据,进而为用户提供更符合需求的个性化搜索结果。至于Facebook,有用户发现自己即便从该网站注销,自己的行为依然被其Cookies跟踪,不过Facebook很快发表声明否认了这个说法。
Cookies对于互联网产业最大的贡献是广告。无论是雅虎、Google还是Facebook都通过Cookies记录用户的访问习惯,对广告做个性化优化,提升广告价值,进而获取更多的广告收入。
不仅展示广告和搜索广告,甚至在邮箱中也可能看到这样的个性化广告。熟悉Gmail的用户都知道,在收件箱的上方的文字广告位和邮件右侧的图片广告位都可能会出现与用户的邮件内容相关的广告,这是否意味着Google“偷看”了用户的邮件?
Google对这类广告做了明确的解释,称收件箱中的邮件内容的确会影响到Gmail上的广告,但“广告匹配完全是自动进行的”。类似的情况,只要服务商明确告知用户哪些数据会被收集,并给予用户停止这类行为的选择权,就并不违法。
相对而言,引发较大争议的是第三方Cookies,即来自于用户当前访问的网站以外的第三方网站的Cookies,而这样的Cookies主要来自于广告联盟。欧盟在2002年制定的电子隐私法令中便要求网站在通过Cookies记录用户信息前必须告知搜集的数据及使用目的,并征得用户同意;英国和加拿大更是明确禁止第三方Cookies;而美国则长期没有明确限制Cookies的法案。直到2011年前后,才有国会议员提出一些列限制第三方Cookies的法案,但很快遭到了互联网公司的抵制,没能获得实施。
当然,缺少限制并不意味着广告商或广告联盟可以滥用Cookies;如果违反用户意愿搜集信息,或存在明显的欺骗、诱导等行为,这些企业还是会遭受处罚。FTC对Google开出的天价罚单便是典型案例。
另一方面,浏览器厂商的态度也决定着Cookies的应用范围。从早期的网景到后来的IE、Firefox、Chrome等,默认的设置都是允许第三方Cookies,这也是网络广告行业发展的重要基础;如果微软在IE中默认禁止第三方Cookies,很难想象今天的互联网行业会是怎样的格局。
在主流浏览器中唯一采取不同态度的使Safari,它从2003年起便将“禁止追踪”作为默认设置,iPhone版的Safari也做了同样的设置。不过对于广告联盟来说,PC互联网仍是最主要的盈利渠道,而Safari在PC端所占份额较低,因此并未造成很大的影响。
不过去年,微软宣布在IE 10中将“禁止追踪”作为默认设置,则引起了轩然大波。由于IE仍占据着极大的市场份额,一旦IE 10得到普及,这一做法会使得导致第三方Cookies覆盖的用户大幅减少。外界将这一行为解读为微软试图限制网络广告市场的“巨无霸”Google,然而这却引起了整个网络广告行业的一直谴责。
微软没有屈服于压力,仍以保护隐私为由在IE 10中做出了这个重要的改动;更令广告联盟们不满的是,Mozilla基金会也于近日宣布将追随微软的脚步,新版的Firefox浏览器默认禁止第三方Cookies。
与国内一样,Cookies在美国的争议仍旧会持续;但这样的争议更多存在于企业之间,普通用户无需为此过分担心。一个由政府、立法机构、企业、社会组织、媒体和普通用户共同构筑相对完善的隐私体系,既能够尽可能保护用户的隐私、让侵犯用户隐私的企业受到处罚,又能够尽量避免隐私保护对互联网行业发展的过分限制,美国在这个方面值得快速发展中的中国互联网学习。
(本文刊登于《电脑报》2013年第13期,有改动。)
发表评论
要发表评论,您必须先登录。