你是否有过这样的经验?上一分钟在网上搜索一家日本酒店,下一分钟就在面簿上看到那家酒店的广告,以及日本相关的旅游资讯。
难道谷歌和面簿懂得“读心术”?
原来,秘密就藏在一种叫“micro-targeting”(精准投放)的技术里,而很少人真正了解背后的实际操作过程。
在浏览网站和下载应用时,我们到底把哪些个人资料交到了对方手中?对方又会利用这些资料做些什么?zaobao.sg为你整理最常见的5大疑问!
1.用面簿或谷歌账户登录其他网站,是否安全?
每次在一个网站注册账户,或下载新应用,就要记住一个新密码,你是否觉得很麻烦?
允许人们使用社交媒体账户来登录其他网站的“关联登录”(social login)就这样应运而生。
面簿在2008年推出了“Facebook Connect”服务(后改称“Facebook Login”),谷歌则在2013年推出“Google+ Sign In”。
目前很多商家都选择使用与面簿或谷歌的“关联登录”,因为它能让商家在更多关联网站上搜集用户数据,从而制定更精确的营销策略,同时也能向用户的朋友推广产品。
用户和社交媒体也从中获利:用户可在社交媒体即时分享自己在其他网站购买的新产品或服务;谷歌和面簿则能在更多商家网站上展示自己的品牌,也更了解你在其他网站上的一举一动。
用户管理软件公司Gigya去年针对全球700个品牌的5800万“关联登录”次数展开调查。
结果显示,使用面簿登录其他网站的用户,占了总数的62%。
第三方网站不会知道你的主要账户用户名和密码,因为整个登录和认证过程,都是由谷歌或面簿管理。
不过,这样的做法是否更安全?
科技研究顾问公司Ecosystm首席分析师莫滕森(Claus Mortensen)分析说:“这等于把所有鸡蛋放在同一个篮子里。如果有一天你的主要账户被黑客侵入,你在其他网站上的资料也无法幸免。因此,你一定要确保这个主要账户是安全的。你可以考虑采用“双重认证”(two-factor authentication)登录方式,在输入用户名和密码时,还必须输入一项额外信息,可以是一道认证题(答案只有你自己知道),或是一则含有认证码的手机简讯。”
也许你确信谷歌能保证你的私人邮箱的安全,但你能否相信一些学生编写的游戏应用?一旦这些应用的授权用户名单遭到窃取或外泄,你的电邮内容很有可能全部暴露出来,当中甚至可能有你的银行账单、和各种私人信息。
因此,莫滕森也建议,如果觉得某个网站或应用很可疑,最好不要用面簿或谷歌账户登录。如果某个网站需要你的银行账号或身份证号码等资料,最好另设账户和密码。
2.我到底交出了哪些个人数据?
你有没有算过,你的手机和电脑里有几个游戏应用?
当你沉迷于这些游戏时,你可能已经在无意间拱手交出应用开发商最梦寐以求的东西——个人数据。
新加坡管理大学信息系统学院副教授丁旭华受访时说:“天下没有白吃的午餐。面簿和谷歌看似为用户提供免费服务,但实际上,人们是在用自己的生活、友谊和个人兴趣作为交换。”
那么,面簿和谷歌到底掌握了我们的哪些个人数据?
从表面上看,当你注册面簿账户时,你只需要提供基本的个人资料。不过,往更深一层挖掘,你会发现,从你加入面簿的那天起,你每天在面簿上的一举一动都被完整记录下来了:
- 到访过的地方
- 出席过的活动
- 点击过的广告
- 所有的聊天记录
- 登录面簿的IP地址
- 点赞、转载、留言过的每一个贴文、照片、视频
- 朋友圈的动态(在哪一天接受了哪位朋友的邀请,或删除了哪一位朋友)
很多用户不知道,其实面簿早在2010年就推出一项功能,让用户可以备份在面簿上发布过的所有内容:
登录面簿后,在屏幕右上角的“设置”(Settings)选择“账户设置”(General Account Settings),页面下方会出现“下载你的面簿数据副本”(Download a copy of your Facebook data)。点击“开始下载文档”(Start My Archive)后,面簿就会在短短几分钟内,把备份数据的压缩档案(.zip)寄到你的电邮。
在压缩档案的“HTML”文档中点击“ads”,甚至可以看到那些可能掌握了你个人数据的广告商家名单!
谷歌收集的用户数据,则可以分成三大类:
- 你的个人资料:姓名、性别、出生日期、所在国家、电话号码、电邮地址和密码
- 你创建的信息:电邮、文件、日历、上载过的照片和视频、朋友圈的联络方式
- 你做过的事情:搜索过的事物、到访过的网站、观赏过的视频、点击过的广告、所在位置、登录谷歌的IP地址
当你使用智能手机的谷歌地图搜索路线时,导航系统也可以精准地掌握和记录你的行踪,并且在你抵达目的地后,要求你点评刚刚到访过的店家。
虽然面簿和谷歌都在网站上开诚布公地注明所收集的用户数据,但一想到自己的一举一动,时时刻刻都被“跟踪”和“监视”着,是否令你不寒而栗?
3.谁在使用我的数据?
数据是面簿和谷歌的核心商业模式。当你在社交网站上点赞、分享内容时,其实一些数据公司和广告商家已经在暗中收集这些数据,并借此分析你的个人喜好。
新加坡国立大学计算机科学系副教授叶福泉指出:“面簿高达99%的营收都来自广告,因此它们必须利用用户的个人身份和兴趣等大数据,来帮助广告商家投放一些比传统广告更精准、更有效的社交广告。而对这些广告商家来说,最有价值的数据,就是你浏览网站和搜索引擎的记录。”
市场营销顾问公司Kepios创始人肯普(Simon Kemp)受访时说:“即使你只是漫无目的地在刷手机,你在哪一则贴文停留多久,面簿和谷歌都一清二楚,并且有所记录。”
以电脑来说,最直接也最常见的方式就是,网站会利用“识别用户文件” (cookie) 来“追踪”用户的在线状态和购物习惯,并把这些数据跟广告商家分享,“在对的时候投放对的广告给对的用户”。
肯普解释说:“当一个商家想要在面簿上推销肥皂,面簿就必须收集大量的用户数据,包括你喜欢的颜色、味道和卫生习惯。这样一来,商家就可以在你的面簿上投放一则关于肥皂的互动性小故事来加强你的购买欲望,而不单单只是投放一张普通肥皂的照片。”
肯普还指出,就连表情符号(emoji)也是一种数据。“如果你常用‘笑脸符号’,网站就会把你解读为一个乐观、友善、平易近人的用户,并且向你投放多一些游戏应用或户外活动的广告。”
不过,可以放心的是,对这些网站来说,你我只不过是一系列的代号,并没有真实姓名和脸孔。一切都是电脑演算法在幕后进行,几乎没有真人在操作。
4.怎样的数据收集或使用,是非法的行为?
2014年之前,面簿上的第三方应用开发商在得到用户的允许后,不但能获取用户的个人资料,同时也能搜集到用户朋友圈的个人资料。
这就是为什么,在近日爆出的“剑桥分析”面簿事件中,剑桥大学心理学教授科根(Aleksandr Kogan)开发的性格测试应用“thisisyourdigitallife”明明只有30万用户参与测试,最后却能获得约5000万用户个人资料。
科根获得用户数据的途径是合法的,但他却以非法的手段,私下把数据发给了“剑桥分析”(Cambridge Analytica),如今被指影响了2016年美国总统选举结果。
面簿明确规定,第三方应用开发商必须在获得用户的同意后,才可以使用它们的个人资料,而且不得出售或转让这些数据给其他的公司。广告商家和数据公司也必须遵循以上规定。
律师蓝国庆受访时指出:“原则上来说,用于学术研究的数据,应该只用于学术研究,不应把数据任意转介。尤其当涉及到商业机构,更是要谨慎处理。”
科技研究顾问公司Ecosystm首席分析师莫滕森则表示:“目前每个国家的法规和惩罚力度都各有不同。广告商家利用个人数据投放精准广告,在美国被视为‘数码营销’,是完全合法的,在欧洲却被视为‘非法的数据交易’。”
目前,在本地现有法律下,只有“个人资料保护法令”(Personal Data Protection Act,简称 PDPA)规定商家在收集和使用个人资料时,必须征求消费者或客户的同意。
今年5月25日起,欧盟将针对保护数据采取新的举措 “一般数据保护条规” (General Data Protection Regulation,简称 GDPR)。
在新举措下,世界上任何一家处理欧盟客户数据的公司,都必须公开他们搜集、储存和处理用户数据的方式。欧盟用户也可以向任何一家公司申请他的个人数据副本,并要求这家公司删除个人数据。违例公司将面对欧盟的严厉制裁,罚款额高达2000万美元,或公司年度营业额的4%。
莫滕森认为这是个值得借鉴的指标:“GDPR旨在把个人数据的控制权还给用户,让用户可以审查、修改和删除他们的个人数据。面簿也必须让用户知道他们的数据如何被使用,这样一来会有更高的透明度,面簿也能获得用户更大的信任。”
5.怎么避免成为资料外泄的受害者?
在面簿分享生活片段、下载第三方游戏应用,已经成了许多人的日常动作。如果你担心个人资料外泄,就通过这些设定来保护自己吧!
面簿的某些应用,会在用户的互联网浏览器中加入追踪程序(tracker)来收集用户信息。在关闭应用后,这个追踪程序还是会继续监测用户的浏览习惯。
新加坡管理大学信息系统学院副教授丁旭华建议:“你可以安装插件(add-ons),如“Privacy Badger”和“Disconnect”这类追踪程序拦截器(tracker blocker)。你也可以安装广告拦截器(Ad Blocker),防止含有恶意软件的广告在暗中搜集用户资料。”
新加坡国立大学计算机科学系副教授叶福泉观察到,多数用户在下载新应用时,往往在没有细读的情况下,就直接在“同意并接受使用条款”的格子里打勾。
“当用户面对一连串书面化的术语时,会理所当然地以为自己已经明白了授权条例,却常常会忽略个人数据被冒用的风险。在下载或注册任何应用时,必须细读服务条款和隐私条款,面簿和谷歌的条款不时会更新。如果你无法接受对方使用个人资料的方式,最好不要下载。”
莫滕森建议定期查看和调整面簿的设置,看看自己提供了哪些个人资料给这些第三方应用。
“如果某些应用已经很久没用,或看起来很可疑,就应该马上删除。另外,用户也不宜下载太多第三方应用,因为多数的应用,无论是趣味问答或性格测试游戏,都会要求面簿开放授权某些用户数据,而我们不知道这些数据量有多大。”
面簿创办人兼总裁扎克伯格(Mark Zuckerberg)也在星期三(4月4日)表示,面簿旗下的20亿用户中,有大部分用户的个人页面资料,在未经许可的情况下可能被他人使用。
“显然我们之前对防止滥用的重视做得不足,忽略了人们其实可以使用这些工具造成伤害。”
面簿接下来将采取更多措施,包括限制应用开发商所能获取的用户资料、要求应用开发商与用户签署协议才可以使用数据,以及推出新功能,确保用户清楚了解自己授权哪个应用获取他们的数据。
本地个人资料外泄事件簿
- 去年,私人召车服务公司优步(Uber)的云端数据库遭黑客入侵,导致全球约5700万名乘客和司机的个人资料被盗取,本地约38万名乘客和司机受影响,是本地最严重的资料外泄事件。本地一名用户的转账卡资料遭盗用在国外乘搭优步,付了上千元的车资。优步支付了10万美元赎金给黑客,作为要求黑客删除所有个人资料和保守秘密的条件。
- 同样在去年,共享脚踏车业者oBike在五个国家的用户资料遭外泄,外泄资料包括用户姓名、手机号码和电邮地址。本地少于0.1%的用户受影响。oBike说,问题出在公司应用软件接口(API)的缺口,这个接口主要允许用户通过应用,在社交媒体上跟朋友分享行程或推荐oBike平台。
赞