據知情人士透露,谷歌公開了去年春天數十萬用戶的私人數據,然後選擇不在今年春天披露這個問題,部分原因是由於擔心會這樣做會引起監管審查並導致聲譽受損。 「華爾街日報」審查的事件和文件。
人們說,作為對此事件的回應的一部分,Alphabet Inc.計劃宣布一系列數據隱私措施,其中包括永久關閉Google+的所有消費者功能。此舉有效地將最後的一筆釘在2011年推出的產品的棺材中,以挑戰Facebook Inc.,並被廣泛視為谷歌最大的失敗之一。
獲取有關政治,政策,國家安全等方面的新聞和分析,並將其發送到你的收件箱
根據有關此事件的文件和人員,社交網站中的軟體故障使得外部開發人員可以在2015年至2018年3月期間訪問私人Google+個人資料數據,此時內部調查人員發現並修復了該問題。由谷歌法律和政策工作人員編寫並與高級管理人員共享的備忘錄審核的備忘錄警告說,披露此事件可能會引發「立即監管利益」,並邀請Facebook將用戶信息泄露給數據公司Cambridge Analytica進行比較。
知情人士說,在內部委員會達成該決定後,首席執行官桑達皮采向他介紹了不通知用戶的計劃。
據知情人士稱,計劃關閉Google+是對谷歌隱私實踐進行更廣泛審查的一部分,該審查已確定公司需要對幾種主要產品實施更嚴格的控制。據知情人士稱,該公司周一在一份聲明中表示,該公司預計將減少外部開發人員對Android智能手機和Gmail用戶數據的訪問許可權。
涉及Google+的一集(此前尚未報道過)顯示了該公司為避免公眾審查如何處理用戶信息所做的共同努力,特別是在監管機構和消費者隱私團體指控科技巨頭對其負責的時候。他們掌握著數十億人的個人數據。
在公開保證它不像那些遭遇Facebook的數據失誤那樣容易受到影響之後,這個混亂有可能讓谷歌對隱私視而不見。這也可能使谷歌在華盛頓避免不利監管的企圖複雜化。 Pichai先生最近同意在未來幾周內在國會作證。
谷歌發言人在一份聲明中說:「每當用戶數據受到影響時,我們就會超出我們的法律要求,並在確定是否提供通知時應用幾個關注用戶的標準。」
在權衡是否披露事件時,該公司考慮「我們是否能準確識別用戶通知,是否有任何濫用證據,以及開發商或用戶是否有任何行動可以採取回應,」他說。 「這裡沒有達到這些閾值。」
法律和政策工作人員的內部備忘錄表示,公司沒有證據表明任何外部開發人員濫用數據,但承認無法確切知道。公開的個人資料數據包括全名,電子郵件地址,出生日期,性別,個人資料照片,居住地,職業和關係狀況;其中一人說,它不包括電話號碼,電子郵件,時間線帖子,直接消息或任何其他類型的通信數據。
Google通過130多種不同的公共渠道(稱為應用程序編程介面或API)向外部開發人員提供用戶數據。這些工具通常需要用戶的許可才能訪問任何信息,但是可以被冒充app應用程序開發者的不道德行為者誤用,以獲取對敏感個人數據的訪問許可權。
據知情人士透露,最近幾個月在谷歌內部組建的一個代號為Project Strobe的隱私專責小組已對該公司的API進行了全公司審計。知情人士說,該小組由100多名工程師,產品經理和律師組成。
據知情人士透露,在周一公布的預告中,谷歌計劃通過API限制其向外部開發商提供的數據。該公司將停止讓大多數外部開發人員訪問Android手機上的SMS消息數據,呼叫日誌數據和某些形式的聯繫人數據,而Gmail只允許少數開發人員繼續為電子郵件服務構建附加組件,人們說。
在華爾街日報檢查發現開發人員通常使用免費電子郵件應用程序來阻止用戶放棄訪問其收件箱而無需明確說明他們收集的數據時,谷歌面臨著在今年早些時候限制開發人員訪問Gmail的壓力。在某些情況下,這些應用程序公司的員工已經閱讀了人們的實際電子郵件,以改進他們的軟體演算法。
即將到來的變化證明了谷歌對數據隱私的更大反思,過去這一點對外部應用如何訪問用戶數據的限制相對較少,只要這些用戶允許。限制對API的訪問會傷害一些幫助Google構建大量有用應用程序的開發人員。
作為Strobe審核的一部分而發現的Google+數據問題是Google創建的API中的一個漏洞,該API旨在幫助應用開發者訪問有關註冊使用其應用的用戶的個人資料和聯繫信息,以及他們在Google+上與之關聯的人。當用戶授予開發者許可權時,開發人員可以收集他們在Google+個人資料中輸入的任何數據。
今年3月,Google發現Google+還允許開發人員檢索一些從未打算公開分享的用戶的數據,根據該備忘錄和兩位有關此事的人員說。人們說,由於API中的錯誤,開發人員可以收集用戶朋友的個人資料數據,即使這些數據在Google的隱私設置中明確標記為非公開。
一位知情人士表示,在3月下旬的兩周時間內,谷歌進行了測試,以確定該漏洞的影響。該人士說,它發現有496,951名用戶與朋友共享私人資料數據可能會讓外部開發人員訪問這些數據。該人士表示,其中一些數據遭遇潛在濫用的個人包括支付G Suite用戶,這是一套生產力工具,包括Google Docs和Drive。 G Suite客戶包括企業,學校和政府。
兩位知情人士說,由於該公司保留了一組有限的活動日誌,因此無法確定哪些用戶受到影響以及哪些類型的數據可能被錯誤收集。該錯誤自2015年以來就存在,目前尚不清楚是否有大量用戶在此期間受到影響。
據知情人士稱,谷歌認為多達438個應用程序可以訪問未經授權的Google+數據。據人們說,Strobe調查人員在測試了一些應用程序並檢查是否有任何開發人員之前有過對他們的投訴後,確定沒有一個開發人員看起來很可疑。該備忘錄稱,該公司確定數據所做工作的能力有限,因為該公司對其開發人員沒有「審計權」。據知情人士透露,該公司沒有與任何開發商聯繫或訪問。
人們說,是否通知用戶的問題出在谷歌的隱私和數據保護辦公室之前,該辦公室負責監督與隱私相關的關鍵決策的高級產品主管。
據知情人士透露,內部律師表示,法律並未要求谷歌向公眾披露此事件。知情人士表示,由於該公司不知道開發商可能擁有哪些數據,該組織也不相信通知用戶會給最終用戶帶來任何可行的好處。
一位知情人士表示,法律和政策工作人員的備忘錄不是決定的一個因素,但反映了內部對如何處理此事的不同意見。
該文件顯示,谷歌官員知道披露可能會產生嚴重後果。該備忘錄稱,揭露這一事件可能會「導致我們在Facebook旁邊甚至代替Facebook而成為焦點,儘管在整個劍橋Analytica醜聞中一直受到關注。」它「幾乎可以保證Sundar將在國會作證。」
一系列因素決定了公司是否必須通知用戶潛在的數據泄露事件。 Shook,Hardy&Bacon LLP的律師Al Saikali表示,美國沒有聯邦違規通知法,因此公司必須在不同標準的國家法律拼湊而成。他不隸屬於任何一方。
Saikali先生說,雖然許多公司不會通知用戶是否有訪問名稱和出生日期,但有些公司會這樣做。他說,即使不清楚有問題的數據是否被訪問,一些公司也會通知用戶。 「我工作的案例中有百分之五十是判決,」他說。 「只有大約一半的時間你會得到確鑿的證據,證明這個壞人確實獲取了信息。」
歐洲的「通用數據保護條例」於今年5月生效,要求公司在72小時內通知監管機構違規情況,最高罰款為全球收入的2%。 Saikali先生說,可能通過谷歌API泄露的信息將構成GDPR下的個人信息,但由於問題是在3月份發現的,因此不會受到歐洲法規的保護。
Saikali先生說,谷歌也可能因其不披露此事件的決定而面臨集體訴訟。 「原告告訴我們的故事是,谷歌在這裡知道一些事情並隱藏起來。這本身就足以讓律師垂涎三尺,「他說。
在與G Suite應用的付費用戶簽訂的合同中,Google會告知客戶,他們會「及時,毫不拖延地」通知他們任何涉及他們數據的事件,並「及時採取合理措施以盡量減少傷害。」這一要求可能不適用於Google+但是,個人資料數據即使屬於G Suite客戶。
