香港股市 已收市

Google 曾泄露數十萬名Google+用戶數據

Google 行政總裁皮查伊聽取了有關不通知用戶計劃的簡報。 圖片來源:DAVID PAUL MORRIS/BLOOMBERG NEWS

據知情人士和《華爾街日報》(The Wall Street Journal)取得的文件,Google曾泄露數十萬名Google+社交網絡用戶的私人數據,並在今年春季選擇不披露這個問題,原因之一是擔憂這樣做會招致監管審查,並造成聲譽受損。

作為對該事件的一個回應,這家Alphabet Inc. (GOOG)旗下子公司於周一(2018年10月8日)宣布了一系列數據隱私措施,其中包括永久性關閉Google+的所有消費者功能。此舉動實際上是對2011年推出旨在挑戰Facebook Inc. (FB)的Google+帶來致命一擊,Google+被視為Google近年失敗產品之一。

據《華爾街日報》取得的文件和知情人士,該社交網站上的一個軟件漏洞讓外部開發者有可能在2015年至2018年3月期間獲得Google+私人資料數據,2018年3月內部調查人員發現並解決了這個問題。《華爾街日報》取得的由Google法律和政策工作人員撰寫並與高管分享的一份備忘錄警告透露,披露這一事件可能會「立即引發監管關注」,並被與Facebook向數據公司Cambridge Analytica泄露用戶資訊一事進行比較。

知情人士表示,在一個內部委員會作出決定後,Google 行政總裁皮查伊(Sundar Pichai)聽取了有關不通知用戶計劃的簡報。

知情人士稱,Google+關閉計劃是Google對私隱做法進行廣泛評估的一部分,該評估確認了該公司需要加強對幾種主要產品的控制。Google的聲明表示,將限制外部開發者訪問Android智能手機和Gmail的用戶數據的權限。今次涉及Google+的事件,顯示出該公司如何努力協調以避免其處理用戶資訊的方式受到公眾審視,特別是在監管機構和消費者隱私團體發起行動,要求掌控數十億人個人數據的諸多科技巨頭對它們的這種權限負起責任的時候。

這種混亂可能會讓Google的私隱保護工作受到詬病,因為Google曾公開承諾,該公司不容易發生像Facebook那樣的數據處理失當事件。此外,Google正設法規避美國政府實施的對該公司不利的監管,此事可能會讓這方面的角力更複雜。皮查伊最近同意在未來幾周內到國會作證。

Google發言人在聲明中表示:「每當用戶數據可能受到影響的時候,我們都會比法律要求更進一步,使用若干以用戶為中心的標準,來決定是否提供通知。」他表示﹐在權衡是否要披露該事件時﹐Google考慮的是「我們是否能準確識別要通知的用戶﹐是否有任何濫用資訊的證據﹐是否存在開發者或用戶能夠採取的應對措施。在這個問題上這些條件都沒有達到。」

來自法律和政策員工的內部備忘錄指出﹐該公司沒有發現任何外部開發者濫用這些數據的證據﹐但承認其沒有辦法知道確切情況。其中一位員工表示﹐遭泄露的個人資料數據包括全名、電郵地址、出生日期、性別、頭像、居住地、職業和婚姻狀況;不包括電話號碼、電郵地址資訊、以往發貼、私信或任何其他類型的通訊數據。

Google透過逾130個不同的公共渠道向外部開發者提供用戶數據﹐這些公共渠道被稱為應用程式接口﹐或API。這些工具通常要求獲得用戶許可才能訪問任何資訊﹐但偽裝成應用開發者的不法分子可能會濫用這些工具訪問敏感個人資訊。據聽取了情況介紹的人士透露,Google內部成立了一個私隱問題工作小組,代號為Project Strobe,近幾個月對該公司的API進行了一次全公司範圍的審核。這些人士表示,該小組是由100多位工程師、產品經理和律師組成。

Google在周一發布的博文中透露,該公司計劃嚴格控制通過API向外部開發者提供的數據。並表示將不再允許大部分外部開發者訪問Android手機上的SMS即時消息、通話記錄以及某些形式的聯繫人數據,Gmail只會允許少數開發者繼續為該電郵服務構建插件。Google在今年早些時候受到了限制開發者訪問Gmail權限的壓力,因之前《華爾街日報》(The Wall Street Journal)的一次調查發現,開發者通常會利用免費的電郵應用程式誘使用戶取消其收件箱的訪問權限,而不明確說明哪些數據會被收集。在某些情況下,這些應用開發公司的員工為了改進軟體算法甚至還閱讀了用戶的實際郵件內容。

這些即將進行的調整證明谷歌在對數據隱私進行更大範圍的反思,過去該公司對於外部應用如何在徵得用戶同意情況下訪問他們的數據所施加的限制相對較少。對API的訪問限制將打擊一些開發者,這些開發者在幫助Google打造海量應用程式方面發揮了重要作用。

Strobe小組審查發現的上述Google+數據問題產生的原因是,Google為幫助應用開發者訪問一系列數據的API存在一個漏洞,這些數據包括個人資料和聯繫人資訊,受影響的包括同意使用他們應用的用戶以及與這些用戶在Google+上有聯繫的人。開發者獲得用戶授權後,可以收集用戶在Google+個人資料中輸入的任何數據。

根據上述備忘錄以及兩名聽取相關情況簡報的人士,今年3月份,Google發現Google+還允許開發者檢索一些用戶從未打算公開的數據。這些人士透露,由於API的一個漏洞,開發者可以收集他們用戶朋友的資料數據,即便這些數據在Google的私隱設置中明確標記為不公開。

其中一位知情人士表示,今年3月下旬的兩周時間內,Google進行了測試,以確定上述漏洞的影響。這位知情人士稱,Google發現,外部開發者可能訪問過496,951名用戶曾與朋友分享的個人資訊。該知情人士表示,這些個人數據可能被濫用的用戶包括G Suite的付費用戶。G Suite是一套旨在提供效率的工具,內容包括 Google Docs和 Google Drive。G Suite的客戶包括企業、學校和政府機構。

上述兩位聽取了相關情況介紹的知情人士表示,因為 Google只保留了有限的活動日誌,所以無法確定哪些用戶受到了影響以及哪些類型的數據可能被不當收集了。這一漏洞自2015年就已存在,目前不清楚在此期間是否有更多用戶可能受到影響。

這些知情人士表示, Google認為,至多有438個應用程式之前可獲取上述未經授權的Google+數據,在測試了一些相關應用程式並檢查是否有任何相關外部開發者曾遭投訴後,Strobe調查人員確定,這些外部開發者看起來都不可疑。該備忘錄指出, Google確定這些數據曾被做過什麼處理的能力有限,因為該公司對為其開發應用的外部公司沒有審計權。上述知情人士稱, Google沒有致電或訪問任何外部開發公司。

據上述知情人士表示,是否通知用戶這個問題被交給 Google私隱和數據保護辦公室(Privacy and Data Protection Office)判斷,這是一個由負責私隱相關重大決定的產品高管組成的委員會。這些知情人士表示,內部律師當時認為,從法律上看 Google並不需要向公眾披露這件事,因為公司並不清楚開發人員可能掌握了哪些數據,而且按照該委員會的看法,即便發出通知,也無法給終端用戶帶來任何可行的益處。

據了解相關流程的一名知情人士透露,這個決定並未將法律和政策團隊提供的備忘錄納入考量,但可以看出,公司內部就如何處理此事存在分歧。這份文件顯示, Google高層知道披露事件會帶來嚴重後果。該備忘錄透露,在Cambridge Analytica醜聞爆發過程中,Google始終保持置身之外,但如果披露此事件,很可能令公司和Facebook一同承受壓力,甚至取代Facebook成為焦點。這份備忘錄還表示,如果披露這起事件,皮查伊肯定要去國會作證。

確定一家公司是否必須將潛在數據泄露問題通知用戶涉及一系列因素。Shook, Hardy & Bacon LLP律師Al Saikali表示,美國沒有數據外泄通知方面的聯邦法規,因此企業需要根據標準各異的州法律具體判定。Saikali不屬於任何黨派。Saikali表示,許多公司不會在姓名和出生日期被訪問時通知用戶,但有些公司則會發出通知。他說,一些公司甚至會在不清楚相關數據是否被訪問的情況下通知用戶。Saikali說,他處理的案件中有50%屬於主觀判斷。他指出,只有大概一半的幾率可以得到確鑿證據,證明圖謀不軌者確實訪問了用戶資訊。

5月生效的歐洲《通用數據保護條例》(General Data Protection Regulation, 簡稱GDPR)規定,公司必須在發現數據泄露問題的72小時內向監管機構報告,否則將面臨最高為全球營收2%的罰款。Saikali表示,根據GDPR的規定,可能通過Google API泄露出的資訊將屬於個人資訊範疇,但這一問題是在3月份被發現的,當時還不會被納入歐洲監管範圍。

Saikali表示,由於決定不公開這一事件,Google可能亦會面臨集體訴訟。他說,原告將主張Google在本案中知情不報;這本身就足以勾起律師的興趣。

Google在與G Suite應用程式付費用戶的合同中告訴客戶,公司將「迅速、無不當延誤地」通知他們涉及其數據的任何事件,並將「迅速採取合理措施,最大限度地減少傷害」。但是,此條款可能不適用於Google +個人資料數據,即使這些數據屬於G Suite客戶。

撰文:Douglas MacMillan / Robert McMillan

(本文版權歸道瓊斯公司所有,未經許可不得翻譯或轉載。)

更多精彩文章:

中國股市大跌,投資者情緒悲觀

國際刑警組織主席孟宏偉辭職,此前中國稱他正在接受調查

美國對華關稅並非短期策略

美國土安全部:無理由懷疑蘋果等公司否認服務器遭中國入侵的表態

中美關稅交鋒升級之際 中國再度降准提振經濟

 

 

更多追蹤報導
Google+爆個資外洩 上線7年壽終正寢
谷歌控追蹤手機用戶 美民眾提出集體訴訟
谷歌首坦承「蜻蜓」計畫 助中國建黑名單
歐盟要擴大「被遺忘權」谷歌跳出來反對
科技公司說需要用戶個資 庫克:不要相信

______________

對於這個社會大小事有話想說?歡迎各界好手來發聲!快投稿Yahoo論壇!