Move公司是房地产应用realtor.com的所有者。根据《华尔街日报》的测试,realtor.com向Facebook发送用户喜欢的房产信息。该公司称:“我们严格遵守所有地方、州和联邦的要求”,其隐私政策“明确规定了用户信息的收集和共享方式”。该政策表示,其应用程序收集各种信息,包括用户感兴趣的内容,并可能与第三方共享。但它并没有提到Facebook。
《华尔街日报》还测试了苹果iOS商店里的处理敏感用户信息类别中最受欢迎的70多个APP。他们使用软件来监控APP触发的互联网通信,包括发送给Facebook和其他第三方的信息。测试发现,至少有11个APP向Facebook发送了有关用户行为或实际数据的敏感信息。
截至周四,在苹果美国应用商店的前10大金融应用中,似乎没有一个向Facebook发送敏感信息,而只有两个应用没有发送任何信息。但在该商店排名前15位的健康和健身APP中,至少有6款在信息被收集后立即发送了潜在的敏感信息。
《华尔街日报》委托软件公司Disconnect对部分APP进行重新测试。该公司为公众提供管理网络隐私的工具。Disconnect证实了《华尔街日报》的发现,并表示Facebook允许其使用收集到的数据的条款不同寻常。
“这真是一团糟。这完全是独立于APP本身的功能。”Disconnect的首席技术官Patrick Jackson说,他代表《华尔街日报》分析了这些APP。
《华尔街日报》在测试中使用的软件无法解读Android应用程序的流量内容。网络安全公司Defensive Lab Agency的联合创始人Esther Onfroy进行了另一项测试,结果显示,至少有一款被《华尔街日报》的曝光的APP——BetterMe:Weight Loss exercise在其安卓版本中,一旦登陆,用户的体重和身高就会被分享给Facebook。
BetterMe没有回复《华尔街日报》的电子邮件和社交媒体询问。2月16日,在与《华尔街日报》接触过之后,该公司更新了其隐私政策,将用于Facebook分析的一般参考替换为与Facebook分享信息,以此来确定“我们用户的平均体重和身高,有多少用户选择了他们身体的特定问题部位,以及其他互动。”
APP通常集成了称为软件开发工具包(SDK)的代码,帮助开发人员集成某些特性或功能。与APP共享的任何信息也可以与嵌入式SDK的制造商共享。包括Facebook的SDK在内的一系列SDK都能够帮助APP更好地了解用户的行为,或收集数据以销售目标广告。
Facebook的一名女发言人说,通过SDK在APP之间共享数据是“行业标准做法”。
Facebook的SDK包含在数千个APP中,其中包括一项名为“应用事件(App Events)”的分析服务,它允许开发者查看用户的趋势。APP可以告诉SDK记录用户所采取的一组标准化操作,例如用户何时完成购买。APP开发人员还可以定义“自定义应用程序事件”供Facebook捕获——这就是《华尔街日报》检测到的敏感信息发送的方式。
Facebook在其网站上说,它使用来自SDK的客户数据,并结合它收集的其他数据,来个性化广告和内容,以及“改善Facebook上的其他体验,包括新闻提要和搜索内容排名功能”。
但这位女发言人说,Facebook没有使用定制事件,也就是那些可能包含敏感信息的事件。她说,Facebook会自动删除它可能接收到的一些敏感数据,比如社会安全号码等。
她说,Facebook目前正在研究如何搜索违反其条款的APP,并建立安全措施,防止Facebook存储APP可能发送的敏感数据。
隐私律师说,非健康机构收集健康数据在美国大多数州都是合法的,前提是APP和Facebook的服务条款中有充分的信息披露。美国东北大学法学和计算机科学教授Woodrow Hartzog说,美国联邦贸易委员会对数据共享严重偏离用户预期的情况很感兴趣,尤其是在用户很难找到任何解释的情况下。
即时心率APP的制造商Azumio的隐私政策称,它收集包括心率在内的健康信息,并可能向第三方服务提供商和广告提供商提供一些个人数据。它没有说任何关于向外部实体提供从其APP中获取的健康信息的内容,也没有提到Facebook是否为其中的一个提供商。
该公司首席执行官Bojan Bostjancic在一封电子邮件中说,公司使用Facebook分析系统来分析用户在APP中的行为,并在隐私政策中披露了第三方的使用情况。但他并没有回答后续问题。
在与《华尔街日报》取得联系后,名为Breethe的冥想APP开发商停止向Facebook发送每个用户用来登录该APP的电子邮件地址,以及每次完成的冥想全名。
“显然,Facebook的商业模式是独一无二的,不幸的是,我们并没有像我们应该做的那样,努力让我们的数据管理与他们的隐私政策保持一致。”该公司联合创始人Garner Bornstein说。
在欧盟,对健康或性信息等敏感数据的处理受到更加严格的监管。欧盟的新隐私法通常要求企业在收集、处理或共享此类数据时获得明确的同意,而将同意获取这些数据作为使用服务的一个条件通常是无效的。
一些看过《华尔街日报》调查结果的隐私专家说,这种做法可能违反了法律。荷兰内梅亨大学法学教授Frederik J. Zuiderveen Borgesius说:“对于使用敏感数据,APP开发商和Facebook两者都需要获得用户同意,这应该是最基本的要求。”
这位Facebook的女发言人说,其公司遵守了欧盟的隐私法。
Facebook允许用户关闭其收集来自第三方应用程序和网站的数据来发布有针对性的广告。但目前没有办法阻止该公司收集首要信息,或将其用于其他用途,如检测假账户。本月早些时候,德国最高反垄断执法机构要求Facebook在未经许可的情况下停止使用这些数据。
Facebook首席执行官马克?扎克伯格深受其公司收集用户数据带来的外界压力,他去年表示,其公司将创建一个名为“清晰历史(Clear History)”的功能,让用户能够查看Facebook从APP和网站上收集的关于他们的数据,并将其从Facebook上删除。该公司表示,它仍在进一步开发相关技术,使该功能的实现成为可能。
来自移动APP的数据可能很有价值。广告买家说,由于Facebook对用户行为的洞察,当营销人员寻找运动爱好者或在希望在市场上购买一辆新跑车的用户时,它能比大多数其他公司为他们的投资提供更好的回报。但相应的,这类广告每次点击的成本也更高。
这也是Facebook收入飙升的部分原因。研究公司eMarketer预计,Facebook今年将占全球3330亿美元数字广告市场的20%。
不过,在一次讨论该公司最近收益的电话会议上,首席财务长David Wehner指出,投资者应该意识到,苹果和谷歌可能会加强对APP的隐私控制。他说,这种可能性是“我们在2019年监测的持续风险”。