据知情人士透露,谷歌公开了去年春天数十万用户的私人数据,然后选择不在今年春天披露这个问题,部分原因是由于担心会这样做会引起监管审查并导致声誉受损。 “华尔街日报”审查的事件和文件。
人们说,作为对此事件的回应的一部分,Alphabet Inc.计划宣布一系列数据隐私措施,其中包括永久关闭Google+的所有消费者功能。此举有效地将最后的一笔钉在2011年推出的产品的棺材中,以挑战Facebook Inc.,并被广泛视为谷歌最大的失败之一。
获取有关政治,政策,国家安全等方面的新闻和分析,并将其发送到你的收件箱
根据有关此事件的文件和人员,社交网站中的软件故障使得外部开发人员可以在2015年至2018年3月期间访问私人Google+个人资料数据,此时内部调查人员发现并修复了该问题。由谷歌法律和政策工作人员编写并与高级管理人员共享的备忘录审核的备忘录警告说,披露此事件可能会引发“立即监管利益”,并邀请Facebook将用户信息泄露给数据公司Cambridge Analytica进行比较。
知情人士说,在内部委员会达成该决定后,首席执行官桑达皮采向他介绍了不通知用户的计划。
据知情人士称,计划关闭Google+是对谷歌隐私实践进行更广泛审查的一部分,该审查已确定公司需要对几种主要产品实施更严格的控制。据知情人士称,该公司周一在一份声明中表示,该公司预计将减少外部开发人员对Android智能手机和Gmail用户数据的访问权限。
涉及Google+的一集(此前尚未报道过)显示了该公司为避免公众审查如何处理用户信息所做的共同努力,特别是在监管机构和消费者隐私团体指控科技巨头对其负责的时候。他们掌握着数十亿人的个人数据。
在公开保证它不像那些遭遇Facebook的数据失误那样容易受到影响之后,这个混乱有可能让谷歌对隐私视而不见。这也可能使谷歌在华盛顿避免不利监管的企图复杂化。 Pichai先生最近同意在未来几周内在国会作证。
谷歌发言人在一份声明中说:“每当用户数据受到影响时,我们就会超出我们的法律要求,并在确定是否提供通知时应用几个关注用户的标准。”
在权衡是否披露事件时,该公司考虑“我们是否能准确识别用户通知,是否有任何滥用证据,以及开发商或用户是否有任何行动可以采取回应,”他说。 “这里没有达到这些阈值。”
法律和政策工作人员的内部备忘录表示,公司没有证据表明任何外部开发人员滥用数据,但承认无法确切知道。公开的个人资料数据包括全名,电子邮件地址,出生日期,性别,个人资料照片,居住地,职业和关系状况;其中一人说,它不包括电话号码,电子邮件,时间线帖子,直接消息或任何其他类型的通信数据。
Google通过130多种不同的公共渠道(称为应用程序编程接口或API)向外部开发人员提供用户数据。这些工具通常需要用户的许可才能访问任何信息,但是可以被冒充app应用程序开发者的不道德行为者误用,以获取对敏感个人数据的访问权限。
据知情人士透露,最近几个月在谷歌内部组建的一个代号为Project Strobe的隐私专责小组已对该公司的API进行了全公司审计。知情人士说,该小组由100多名工程师,产品经理和律师组成。
据知情人士透露,在周一公布的预告中,谷歌计划通过API限制其向外部开发商提供的数据。该公司将停止让大多数外部开发人员访问Android手机上的SMS消息数据,呼叫日志数据和某些形式的联系人数据,而Gmail只允许少数开发人员继续为电子邮件服务构建附加组件,人们说。
在华尔街日报检查发现开发人员通常使用免费电子邮件应用程序来阻止用户放弃访问其收件箱而无需明确说明他们收集的数据时,谷歌面临着在今年早些时候限制开发人员访问Gmail的压力。在某些情况下,这些应用程序公司的员工已经阅读了人们的实际电子邮件,以改进他们的软件算法。
即将到来的变化证明了谷歌对数据隐私的更大反思,过去这一点对外部应用如何访问用户数据的限制相对较少,只要这些用户允许。限制对API的访问会伤害一些帮助Google构建大量有用应用程序的开发人员。
作为Strobe审核的一部分而发现的Google+数据问题是Google创建的API中的一个漏洞,该API旨在帮助应用开发者访问有关注册使用其应用的用户的个人资料和联系信息,以及他们在Google+上与之关联的人。当用户授予开发者权限时,开发人员可以收集他们在Google+个人资料中输入的任何数据。
今年3月,Google发现Google+还允许开发人员检索一些从未打算公开分享的用户的数据,根据该备忘录和两位有关此事的人员说。人们说,由于API中的错误,开发人员可以收集用户朋友的个人资料数据,即使这些数据在Google的隐私设置中明确标记为非公开。
一位知情人士表示,在3月下旬的两周时间内,谷歌进行了测试,以确定该漏洞的影响。该人士说,它发现有496,951名用户与朋友共享私人资料数据可能会让外部开发人员访问这些数据。该人士表示,其中一些数据遭遇潜在滥用的个人包括支付G Suite用户,这是一套生产力工具,包括Google Docs和Drive。 G Suite客户包括企业,学校和政府。
两位知情人士说,由于该公司保留了一组有限的活动日志,因此无法确定哪些用户受到影响以及哪些类型的数据可能被错误收集。该错误自2015年以来就存在,目前尚不清楚是否有大量用户在此期间受到影响。
据知情人士称,谷歌认为多达438个应用程序可以访问未经授权的Google+数据。据人们说,Strobe调查人员在测试了一些应用程序并检查是否有任何开发人员之前有过对他们的投诉后,确定没有一个开发人员看起来很可疑。该备忘录称,该公司确定数据所做工作的能力有限,因为该公司对其开发人员没有“审计权”。据知情人士透露,该公司没有与任何开发商联系或访问。
人们说,是否通知用户的问题出在谷歌的隐私和数据保护办公室之前,该办公室负责监督与隐私相关的关键决策的高级产品主管。
据知情人士透露,内部律师表示,法律并未要求谷歌向公众披露此事件。知情人士表示,由于该公司不知道开发商可能拥有哪些数据,该组织也不相信通知用户会给最终用户带来任何可行的好处。
一位知情人士表示,法律和政策工作人员的备忘录不是决定的一个因素,但反映了内部对如何处理此事的不同意见。
该文件显示,谷歌官员知道披露可能会产生严重后果。该备忘录称,揭露这一事件可能会“导致我们在Facebook旁边甚至代替Facebook而成为焦点,尽管在整个剑桥Analytica丑闻中一直受到关注。”它“几乎可以保证Sundar将在国会作证。”
一系列因素决定了公司是否必须通知用户潜在的数据泄露事件。 Shook,Hardy&Bacon LLP的律师Al Saikali表示,美国没有联邦违规通知法,因此公司必须在不同标准的国家法律拼凑而成。他不隶属于任何一方。
Saikali先生说,虽然许多公司不会通知用户是否有访问名称和出生日期,但有些公司会这样做。他说,即使不清楚有问题的数据是否被访问,一些公司也会通知用户。 “我工作的案例中有百分之五十是判决,”他说。 “只有大约一半的时间你会得到确凿的证据,证明这个坏人确实获取了信息。”
欧洲的“通用数据保护条例”于今年5月生效,要求公司在72小时内通知监管机构违规情况,最高罚款为全球收入的2%。 Saikali先生说,可能通过谷歌API泄露的信息将构成GDPR下的个人信息,但由于问题是在3月份发现的,因此不会受到欧洲法规的保护。
Saikali先生说,谷歌也可能因其不披露此事件的决定而面临集体诉讼。 “原告告诉我们的故事是,谷歌在这里知道一些事情并隐藏起来。这本身就足以让律师垂涎三尺,“他说。
在与G Suite应用的付费用户签订的合同中,Google会告知客户,他们会“及时,毫不拖延地”通知他们任何涉及他们数据的事件,并“及时采取合理措施以尽量减少伤害。”这一要求可能不适用于Google+但是,个人资料数据即使属于G Suite客户。
