金小桃强调患者信息保护重要性，要以脸书信息泄露为鉴

“惊天泄露：他们窃取了 5000 万脸书用户数据诱导选票！”

“美国再爆惊天大丑闻！窃取五千万脸书用户数据，为了操纵人心！”

新闻看进去，居然还在讲两年前的总统大选，据说一个名不见经传的小公司，一举盗取了脸书 5000 万个用户的信息，并以此操控了美国大选结果。

到底是怎么一回事？我们梳理了一下脸书数据失窃一事。

脸书事件时间线

脸书数据是如何被盗取的？

2014年，有些脸书用户收到了这样一个邀请，下载一个应用，做一个心理测试，就可以随机拿到$2~$5 的红包。虽然大多数人路上看见一块钱也未必会去捡，但是本着网上一分钱也要抢的原则，还是争先恐后地去做了测试。当然这个测试门槛不低，必须是美国公民，而且需要朋友众多。最后有近 30 万幸运的美国人拿到了这笔 “巨款”。

这个测试的设计者就是前文提到的剑桥大学心理系研究员库甘，他的这款 “我的数字化生活” 应用背后的原理是前文提到剑桥研究小组的科研结果。这个号称的测试其实私底下悄悄地收集了大量的脸书用户个人信息。说到这里不得不提及脸书的缺省隐私设置。根据缺省值，脸书用户信息是朋友的朋友可见。翻译成白话就是当某用户同意提供某些信息的时候，除非他的朋友特别声明自己不愿分享信息，否则朋友信息也可以一并收集。

于是库甘凭借着初始那三十万人的许可，一举拿到了脸书 5000 万用户的信息。

一般情况下，脸书是不允许这种用户数据收集。当然任何时候都有例外，脸书的例外情况是，允许学术研究性质的信息收集。

库甘在短短几周的时间里从脸书扒下了海量数据，激活了脸书的安全警报。脸书发信问讯，获知是为了 “学术研究” 以后，也就没有在意。

这样也行？!

就好比有人在偷银行，保安过去询问，小偷回复 “在装修呢”，保安就走开了？

然而库甘可不是在进行什么学术研究。他此时已经怀揣了剑桥分析的银子。记得用户得到的红包吗？那就是用剑桥分析的订金支付的。库甘拿到这些信息以后，结合自己设计的心理测试的结果，外加一些从另外渠道买来的相关数据，用大数据分析建模分类，最后打包发给了剑桥分析。

剑桥分析通过脸书应用采集用户数据行为，以及采集数据的手段都违反了脸书的使用条例。明明说好只有我做测验，为啥暗搓搓地把我的老底给摸了，还把我的七大姑八大姨都给牵扯进来了？！最后我连同七大姑八大姨一古脑卖给了政客 A、B 还有 C！剑桥分析被起诉一点不冤。

这次收集的数据，说起来一点也不敏感，以至于脸书至今否认这是一场数据失窃，因为真正敏感的用户密码并未泄露。教授收集的不过是用户名，所在地，和一些无关紧要的点赞信息（就是那个你在朋友圈看见谁发的文章有意思，随便点的一个赞）。可是，这些都是全面公开谁都能看得到的信息。就靠这点信息，还能做出花来？

剑桥分析就能！政治竞选里用上选民数据分析完全不是个新鲜事。剑桥分析引以为豪的是，他们不是常规的从人口学的层面上给选民分类，他们采用了心理分析的方法，从行为预测上给选民分类，精准打击到个人，把传统的竞选方法秒成渣，这一切用到的不过是最不起眼，完全公开的点赞。

库甘根据大家的点赞记录，把这些用户精细分类。这些类别不仅包括了一个人的政治立场，也涵盖了对此人性格的分析以及如何在选举中照方抓药的对策。用户的政治倾向分析出来，竞选过程中，就可以通过精准的广告投放，影响这个人的选择。

比如倾向民主党的人，尽量发让他对民主党候选人失望的消息，最好不要去选举。

倾向共和党的人，则可以发一些激动人心打鸡血的文章。

……

竞选本身我们不予置评，但有一件事很清楚，在网络无所不在，社交媒体铺天盖地的今天，我们所拥有的隐私会越来越少，总有一天，我们醒来发现，人工智能比自己还懂自己。在大数据的覆盖下，每个人终将无所遁形。

脸书数据泄露敲响警钟 用户信息安全需置于最高关注点

根据新华社报道，27万Facebook（脸书）用户2014年下载脸书平台上一款个性分析测试的应用软件，应用软件开发者将这些用户及其脸书好友共计5000万人的数据卖给剑桥分析公司。用户信息泄露的消息近期传出后，美国和英国的监管机构都表示准备对脸书公司和剑桥分析公司展开调查。脸书创始人扎克伯格在一份声明中承认，公司在此事上“犯了错误”，他承诺将采取一系列措施来应对相关问题。

在互联网特别是移动互联网已经成为大家生活的一部分的时候，Facebook的信息“泄露”事件引发的全球性影响也对我们国内互联网平台和用户的信息安全敲响了警钟。

用户信息安全已成“世界难题”

在今年1月，南方日报对市面上45款APP进行了实测，统计数据显示，八成APP默认访问电话和位置信息，而被APP“收割”回来的信息则成为了制作大数据与人工智能的原材料，更因为较高的精准度变成网络黑色产业链的源头。

2017年6月1日，《网络安全法》在我国正式实施，但是关于个人信息安全的问题依然屡屡发生。“根源其实在执法环节。去年开始与个人信息泄露相关的犯罪事件频出，相关部门才加大了执法力度，今年支付宝账单事件让这一话题再度发酵，引发工信部约谈蚂蚁金服、百度、今日头条三家企业。”在IT与知识产权律师赵占领看来，个人信息用途与安全监管已经是世界难题，“在国内，处理个人信息过度收集的执法部门涉及网信办、工信部、通管局等，如果涉及电商还要工商局等部门协助，执法主体较多也容易导致分工混乱。”

保护用户信息安全应成互联网行业责任

今年全国“两会”期间，全国政协委员、360创始人周鸿祎就带来了《关于用户隐私信息保护“三原则”的提案》，周鸿祎建议进一步完善网络安全法，对用户数据保护进行更清晰的定义，制定用户隐私信息保护“三原则”：即明确用户数据信息是用户个人资产；保障用户对数据信息使用的知情权、选择权；用户与互联网公司存在服务契约关系，互联网公司有义务、有责任保护用户数据信息安全。

而腾讯总裁兼执行主席刘炽平在日前举行的财报沟通会上也就Facebook事件公开回应表示，腾讯一向将用户的安全放在最高关注点，“这是集团的责任，（如此）才能取得用户的信任”。刘炽平表示，旗下的微信社交媒体，只允许讯息于私人朋友圈子内传送，不会输出予不认识人士。微信内删除的讯息，也不会有任何复制版本留下。

“对于用户数据而言，首先要保证在收集后要在一个生态或者一个公司甚至一个产品里使用，而不再通过交换之类的方式‘往外走’。其次是有一些敏感的用户数据，我都不敢收集上来，其实不是不敢用，而是怕没用好给泄露了。”搜狗CEO王小川在接受南方日报记者采访时表示，在用户数据的利用和保护上，数据泄露是风险最大的一件事情，因此需要通过一个生态和一个公司在产品里画个边界，保证这个数据没有被交换出去。

国内网民个人信息威胁主要来自两大方面

“目前，国内网民个人信息威胁主要来自两个大的方面。”360安全专家在接受南方日报记者采访时表示，一方面用户自身可能在参与一些网络调查、连接公共场所WiFi、遭遇钓鱼网站等情况下，造成了自身信息被不法分子获取；另一方面，用户在使用互联网公司服务时提交了很多个人信息数据，但由于互联网公司安全措施不到位导致数据泄露，甚至也有内鬼盗卖导致数据泄漏的情况。

据全球最大的网络共享平台WiFi万能钥匙发布的《2017年中国公共WiFi安全报告》显示，2017年全国风险热点数量占总热点数量比例为0.8295%，尽管连接风险热点概率不足1%，但由于连接公共WiFi的用户基数大、频次高，建议用户谨慎对待，提高安全意识。WiFi万能钥匙首席安全官龚蔚在接受采访时就表示，当用户不慎遭遇风险时，日常用户行为会遭遇干扰，个人信息也面临泄露的威胁。