3月2日消息，據外媒報道，對于那些患上高度敏感疾病的人，比如艾滋病或者阿片成癮，他們可能都會竭力保守秘密。同時，這些人想要得到些幫助或與志同道合的人交談，于是在Facebook上誕生了為有健康問題的人建立的支持群組，讓人們可以坦率地表達自己的想法。 但是，如果當我們認為自己處于保密Facebook群里，但實際上個人隱私卻無法得到安全保護時，那會怎么樣?如果營銷人員可以很容易地了解這些人的診斷以及他們的姓名、電子郵件地址、位置和其他識別信息，情況會怎樣?

科技項目經理、乳腺癌檢測倡導者安德里亞·唐寧(Andrea Downing)，在過去的兩年里始終試圖向人們警告這種令人擔憂的前景。唐寧是Facebook私人群組的管理員，該群組幫助那些基因突變導致她們陷入乳腺癌和卵巢癌風險的女性。2018年，她開始擔心個人數據泄露，比如影響多達8700萬Facebook用戶的劍橋分析公司(Cambridge Analytica)濫用數據丑聞，這種情況可能會發生在醫療領域。

唐寧回憶自己當初的想法時說：“這個領域的問題比報道的要多得多，我一直期待其他人會站出來，但沒有人這樣做。”唐寧認為，她所在的BRCA姐妹會中的女性也可能面臨類似的風險，她們分享了非常敏感的信息，包括乳房切除手術的照片。因為他們的群在Facebook上被歸類為封閉群組，所以成員的個人信息應該只對其他成員可見。

唐寧打電話給名叫弗雷德·特羅特(Fred Trotter)的網絡安全研究員，后者說他證實了她的懷疑。特羅特說，他在封閉的Facebook群組的隱私設置中發現了一個漏洞，允許開發人員、營銷人員和其他人下載數千種疾病和癥狀的Facebook群組成員名單，從匿名酗酒者到性侵犯幸存者都有。

特羅特說，在沒有更多信息的情況下，很難證明是否有第三方開發商利用了這個所謂的漏洞。他稱：“在不到一個小時的時間里，我就掌握了非常私密的個人信息，可以用來針對這些女性。在某些情況下，她們甚至不會將這些信息告訴自己的丈夫。”

向FTC投訴FB漏洞

特羅特認為，唐寧擔心的隱私泄露事件，規模“可能比劍橋分析公司丑聞大幾個數量級”。在一次采訪中，他說，因為這個漏洞會存在于所有被標記為“封閉”的Facebook群組中，它影響的人數將遠遠超過那起丑聞。在那起丑聞中，劍橋分析公司獲取了數百萬美國人的個人數據。

此外，特羅特指出，所謂的漏洞影響可能會更嚴重，因為醫療數據對公司的價值很高，而且惡意行為者將敏感信息用于非法目的的可能性很高。需要明確的是，特羅特與唐寧并沒有指出第三方竊取和出售用戶在Facebook上大規模分享的健康數據的具體確鑿證據。但他們確實聲稱，擁有Facebook開發者賬戶的用戶與特定醫療診斷相關的可識別信息可能在特定時間內被訪問。

特羅特與唐寧仍然對此感到擔憂，盡管他們表示，當Facebook改變其設置時，所謂的健康數據漏洞在2018年被修復。Facebook在2018年7月接受采訪時表示：“我們最近對封閉式群組設置進行了修改，沒有任何隱私漏洞。”但Facebook的女發言人承認，在修復之前，網絡開發者確實可以訪問所有封閉群組的成員名單。

Facebook表示，僅僅是一個封閉的健康群組的成員并不構成健康披露風險，它正在投資于向用戶提供關于群組隱私設置的更清晰信息，特別是關于健康群組的信息。不過，唐寧和特羅特已向聯邦貿易委員會(FTC)提出申訴，辯稱Facebook有義務保護健康群組的成員名單，而且它未能向用戶披露這一所謂的漏洞。

如果FTC發現Facebook違反了其健康規定，投訴可能會讓Facebook承擔數十億美元的潛在罰款。它還提出了令人擔憂的問題，即用戶在社交平臺上的個人健康信息是否安全。

始于想幫助患癌女性

在某種程度上，唐寧成為健康隱私斗士的旅程始于許多年前。當時她才三歲，母親被診斷出患有遺傳性癌癥。她說：“我最早的很多記憶都不知道我媽媽是否能存活下來。”幸運的是，她的母親活了下來。

2004年，唐寧從德克薩斯大學奧斯汀分校畢業后搬到了舊金山，并在云計算服務公司Salesforce找到了工作。當她25歲的時候，她得知自己的BRCA1基因發生了突變，這表明她患乳腺癌的可能性高達87%，患卵巢癌的可能性高達60%。這個消息使她大吃一驚。突然，她發現自己正走向與曾祖母、祖母以及母親相同的命運，她們都曾患癌。

唐寧轉向互聯網尋找其他具有相同基因突變的人。2012年，她成為Facebook上名為BRCA姐妹會的群組的管理員，主持了一個論壇，為1萬多名被診斷出患有危及生命的BRCA突變風險的女性提供建議和鼓勵。在那些親密的社區里，女性們分享她們的痛苦，交換可以拯救生命的信息。唐寧說：“當醫療體系對我不起作用時，這些人成了我的精神支柱。我們有共同的身份，這是我重要的一部分。”

但在2018年初，令人不安的消息浮出水面，劍橋分析公司在2016年總統競選期間利用從數百萬Facebook用戶那里竊取的數據，制作具有高度針對性的政治廣告。丑聞曝光后，唐寧開始質疑她所在的群組是否真的是個安全的空間。唐寧發現，可以使用瀏覽器擴展下載她所在封閉Facebook群組中所有女性的姓名、雇主、地點和電子郵件地址。自那以后，該瀏覽器擴展已停止。

然后，唐寧打電話給她在生物技術圈子里認識的特羅特，要求利用他的專業知識給予幫助。特羅特創立了名為CareSet Systems的醫療技術公司，并為空軍做過網絡安全工作。特羅特稱，他也可以很容易地下載BRCA姐妹會的成員名單，以及唐寧找到的相同的識別信息。這意味著Facebook上每個封閉群組的成員(不僅僅是健康群組)的隱私都可能受到攻擊。

特羅特說：“我以出售醫療數據為生。如果這是合乎道德的，我早就這么做了。”唐寧表示：“任何未經同意的人都可以盜取這些名單。”他擔心營銷人員和保險公司可能會利用用戶在他們認為是安全的地方發布的個人健康信息。她和特羅特還擔心潛在的危險可能會超越醫療領域。例如，在一個同性戀被定為刑事犯罪的國家，政府可能會識別封閉的LGBT Facebook群組成員。

向FB示警并提交投訴

2018年5月29日，唐寧和特羅特向Facebook提交了一份長達30頁的漏洞報告。他們寫道：“我們在Facebook的群組系統中發現了一個漏洞。這個漏洞可能會被利用，導致生命損失。”他們詳細說明了惡意行為者可能會以多種方式利用這些信息，來潛在地勒索那些極力保守秘密的人，或者仇恨團體可能會以受到迫害的宗教少數群體為目標。

特羅特指出，他很驚訝網絡安全專家沒有更早地發現這個漏洞。他說：“有許多人在這個(領域)擁有正式認證，但他們已經錯過了十多年。”在最初的一些懷疑之后，特羅特說，他現在已經花了無數個周末與唐寧一起確認問題并尋求解決方案。但Facebook回復了他們的提供的報告，并辯稱唐寧的發現并不是一個漏洞。

Facebook的代表告訴他們：“我們不認為這是產品中的隱私或安全問題。那些擔心自己在群組中的成員身份被其他人看到的人可以干脆不使用群組產品，或者可以將他們的使用限制在秘密群組中。有些人可能有合法的理由想要創建具有與我們今天提供的功能不同的功能集的群組。如果人們對自己在一個群體中的成員隱私感到困惑，這是一種不幸的情況，我們致力于尋找減少此類事件發生的方法。”

六個月后，特羅特和名叫大衛·哈洛(David Harlow)的律師向FBC提交了一份43頁的起訴書，指控Facebook沒有妥善保護其私人群組中的健康數據。共同簽署訴狀的人還包括哈佛大學生物醫學信息學高級講師馬特·梅(Matt May)，他曾擔任奧巴馬總統的“精準醫學”計劃顧問，他有個患有罕見遺傳病的兒子。

在2018年12月的起訴書中，這些人聲稱，Facebook有義務披露其封閉健康群組涉嫌侵犯個人健康信息的行為，但其未能做到這一點。他們認為，根據FTC的定義，這樣的Facebook群組構成了“個人健康記錄”，因此應該根據嚴格的保密要求進行監管。起訴書承認，Facebook最近對其平臺進行的某些改變已經解決了一些所謂的隱私缺陷，但這些改變并沒有完全解決問題。

起訴書還指控Facebook允許第三方訪問私人健康社區的成員名單，在某些情況下，這一舉動“與Facebook用戶做出的具體隱私決定背道而馳”。它還聲稱Facebook違反了FTC的規定，以“不公平、欺騙性和誤導性的方式”解釋隱私政策以分組用戶。

Facebook尚未對特羅特的FTC投訴做出正式回應，Facebook發言人拒絕了有關該投訴的置評請求。FTC的發言人稱，該機構不能對其調查發表評論，并稱FTC對在長達一年的調查后與Facebook達成的和解協議感到“滿意”，但如果發現有關新違規行為的新信息，這項協議不會阻止他們繼續調查并采取適當行動。

FB鼓勵其用戶加入群組

Facebook首席執行官馬克·扎克伯格(Mark Zuckerberg)長期奉行的戰略之一是，吸引數億用戶加入該平臺所稱的“有意義”的群組，這些群組圍繞共同的經歷或興趣建立起來。這些可能是為新父母、愛狗人士或有健康問題的人準備的。扎克伯格在2017年Facebook社區峰會上發表演講時表示：“如果你被診斷出患有一種罕見疾病，你可以加入某個群組，與世界各地患有這種疾病的人聯系，這樣你就不會孤軍奮戰。”

不難想象，來自Facebook健康群組的支持將如何拯救生命。假設有人被診斷出患有一種罕見的癌癥，可以加入一個Facebook健康群組來獲取更多信息。另一位成員可以向他介紹一項甚至連醫生都不知道的尖端臨床試驗。

但是，那些在Facebook上與其他患者的對話真的是私人的嗎?Facebook始終將其用戶可以在該平臺上加入的群組貼上標簽，并以三個隱私等級命名：開放、封閉和秘密。任何人都可以看到或加入“開放”群組。Facebook的用戶可以看到一個“封閉”的群組，但在沒有邀請的情況下不能看到其中的帖子或加入。在用戶接受管理員的邀請加入之前，他們根本看不到“秘密”群組。

Facebook健康戰略負責人羅尼·齊格博士(Roni Zeiger)在接受采訪時表示，該平臺專注于為其健康群組添加隱私功能。他不愿透露到底有多少患者加入了Facebook上的封閉或秘密健康群組，但他表示，每天都有“數百萬人”使用該平臺與“數以萬計”的公共和私人健康群組中的其他人聯系。

齊格說：“我們一直在與會員和管理員以及醫療保健服務提供者交談，以找出如何更好地支持這些群體。人們的共識是，如果有更好的隱私設置，他們可以得到更好的支持。”他補充說，Facebook Health的大部分工作都受到唐寧和其他人提供的“有用”反饋的推動。他還強調了Facebook今年春天宣布的一項調整，該調整將允許健康群組中的用戶聯系群組管理員，這樣她就可以匿名向該群組提問。

然而，齊格拒絕回答有關所謂漏洞的具體問題。相反，Facebook的一位女發言人強調Facebook管理自動數據收集或“抓取”的服務條款。Facebook的政策禁止開發者(除非事先獲得該平臺的批準)進行數據抓取，并規定第三方實體不允許出售他們通過這種方式獲得的任何數據。

FB采取措施加強用戶隱私控制

唐寧說，目前還不清楚BRCA姐妹會或其他Facebook健康群組的數據是否被收購并出售給外部各方。Facebook沒有回應有關這些數據是否被出售的置評請求。

2018年4月，Facebook限制了群組對應用編程接口(API)的訪問，這限制了外部開發人員為該群組構建軟件的權限。作為這些變化的一部分，應用程序不能再訪問群組的成員列表，需要Facebook和管理員的許可才能訪問封閉和秘密群組的內容。這意味著唐寧和特羅特發現的洞已經被有效地堵住了。

Facebook還在2018年改變了封閉群組的隱私設置，包括允許成員超過5000人的群將其設置從“秘密”更改為“封閉”。Facebook表示，這些變化提高了這些群組成員的隱私。

但據FTC網站稱，Facebook沒有遵循數據泄露的聯邦報告程序，該程序要求收集人們健康信息的實體在發現數據泄露后60天內通知FTC、所有受影響的美國人，在某些情況下還包括媒體。如果一家公司未能做到這一點，FTC的規則規定，每次違規最高可處以43280美元的罰款。

就Facebook而言，它并不承認群組成員身份構成了一種健康披露。如果發生入侵，就會觸發通FTC的需要。前FDA首席信息官、哈佛大學教員埃里克·佩拉克斯利斯(Eric Perakslis)表示，他認為唐寧和特羅特的擔憂是有道理的。他說：“當唐寧和其他人登錄Facebook的時候，會得到明顯的前期好處。直到后來，大多數人才意識到他們可能會把自己置于危險之中。”

對于那些生病并拼命尋找答案和安慰的人來說，在線社交網絡就像是一條重要的生命線。佩拉克斯利斯說：“如果你的孩子生病了，你實際上并不在意自己是否被黑客攻擊。但由于這些健康群組可能容易受到攻擊，對Facebook來說，最明智的做法可能是簡單地放棄醫療群組。這將是降低風險的一種即時方式，畢竟任何電視網都可以推出其他節目。”

但Facebook受到越來越多的抨擊。2019年4月，扎克伯格宣布Facebook將重新強調隱私原則，包括加密、安全數據存儲和私人互動。他說：“坦率地說，我知道我們現在在隱私方面的聲譽并不是最好的，但我致力于做好這件事。”但到2019年中期，似乎每個人都在Facebook上加大對隱私問題的關注。

2019年7月，根據劍橋分析公司濫用數據丑聞曝光的情況，FTC對Facebook處以50億美元罰款。該機構表示，這筆罰款“解決了FTC在2019年6月12日之前已知的所有消費者保護索賠”，是該監管機構歷史上最大的一筆罰款。10月份，紐約州總檢察長利蒂夏·詹姆斯(Letitia James)宣布，47個州的總檢察長支持對Facebook進行多州反壟斷調查，聲稱該公司“可能將消費者數據置于風險之中”。

10月15日，在電子隱私信息中心(Electronic Privacy Information Center)起訴反對FTC的和解協議“不夠充分”后，倡導消費者利益的公共利益律師事務所公眾公民訴訟集團(Public Citizen Litigation Group)援引唐寧和特羅特的指控提交了一份友好訴狀，里面稱：“對健康或類似敏感數據的利用可能會將消費者置于侵犯隱私和其他傷害的風險中，營銷者和詐騙者可以利用病人和照顧者，利用他們的弱點牟利或進行騷擾。”

在案情摘要中，律師們辯稱，針對Facebook的50億美元罰款可能依然不夠，這沒有考慮到發生的所有違規行為。在一份回應文件中，FTC辯稱，50億美元的和解協議確實解決了Facebook可能犯下的與健康相關的失誤，并要求社交媒體平臺為涉及健康信息的新產品或修改后的產品或服務“準備隱私審查聲明”。

11月5日，Facebook披露，它已經發現并修復了一個漏洞，這個問題允許其一些應用合作伙伴繼續訪問群組成員的信息，比如姓名和頭像，即使在2018年4月做出改變之后也是如此。唐寧和特羅特表示，這個問題與他們發現的所謂漏洞相似，但并不完全相同。

Facebook平臺合作主管康斯坦丁諾斯·帕帕米爾蒂亞迪斯(Konstantinos Papamiltiadis)稱：“盡管我們沒有看到濫用的證據，但我們將要求他們刪除可能保留的任何群組成員數據，我們將進行審計以確認這些數據已被刪除。”

Facebook表示，該指令發給了“大約100家可能訪問過這些信息的合作伙伴”，并指出實際獲得這些數據的合作伙伴數量較少。第二天，加州總檢察長澤維爾·貝塞拉(Xavier Becera)宣布，他的辦公室正在調查Facebook侵犯隱私的行為。

特羅特說，這些類型的行動對于控制一家歷來重視快速增長而不是用戶隱私的公司是必要的。他指出：“Facebook只有在受到公開批評后才會限制隱私。一旦發生災難，他們就會通過道歉了事兒。”

打造后FB時代未來

如今，唐寧與身為科學家的丈夫以及他們的4歲兒子住在舊金山灣區。在過去的一年半里，她選擇退出硅谷的全職帶薪工作，轉而將所有精力集中在成立Light Collective上，這是一個非營利性組織，幫助同行支持團體在互聯網上建立安全的人際聯系。

他們的最終目標是將她的健康組織BRCA姐妹會從Facebook上移除。但由于這個擁有1萬多名成員的群組如此龐大，而Facebook又擁有強大的社交壟斷地位，這幾乎是一個不可能完成的壯舉。這個群組十年的共同歷史都被困在了這個平臺上。

特羅特和唐寧發現的主要漏洞已被打了補丁。營銷人員或其他人不再可能在Facebook上下載私人健康群組的成員名單，但不清楚第三方可能在多大程度上利用了所謂的漏洞。不過特羅特說，漏洞曾經存在的事實仍然是一個重大的擔憂。

在2019年9月的一篇博客文章中，特羅特寫了一篇關于Facebook群組成員其余隱私風險的更新。他認為，其中之一是，雖然非成員不能看到群組的成員名單，但私人群組的成員卻可以。這可能會刺激惡意行為者使用虛假用戶賬戶加入私人健康群組并獲取數據。

Facebook拒絕對特羅特的最新指控置評。但在去年11月發布的一份報告中，Facebook表示，它致力于打擊“尋求造成傷害”的虛假用戶和賬戶，并發現“許多此類虛假賬戶被用于垃圾郵件活動，并有經濟動機。”Facebook正在提高識別和屏蔽虛假賬戶的能力。

盡管如此，考慮到他們持續的擔憂，唐寧及其團隊認為他們別無選擇，只能遷移到另一個更私密的平臺上。11月初，BRCA姐妹會開始籌款，幫助他們構建后Facebook時代的未來。他們的目標是“宣布獨立，保護隱私，并發展自主管理他們生成的數據和內容的權利。”

唐寧說，他們計劃這樣做的一種方式是建立一個“數據信托會”，類似于幾個世紀以來公共土地和養老基金的管理方式。她希望BRCA姐妹會能利用這種方式從Facebook中分離出來，并為其他患者社區提供一個模式。她還稱：“我們需要擁有自己數據的權利。重要的是要知道，我分享的東西是用來造福于自己的，而不是用來針對我的。”(騰訊科技審校/金鹿)

關鍵詞：