從沒在臉書按過同意，上傳照片卻被自動標註...臉書破紀錄罰金背後的真實謊言

臉書洩露個資是「疏失」還是「欺騙」？聯邦公平交易委員會的重罰似乎給了答案

臉書對於使用者隱私的保護一直是說一套做一套，可是夜路走多了總會碰上鬼。聯邦公平交易委員會FTC上禮拜總算開鍘，重罰臉書50億美元。

臉書CEO佐伯格去年在國會聽證會上道歉，說臉書在資安問題上疏失，未能及時提出有效的防範措施。為此他誠摯地說了「對不起，我錯了！這完全是我一個人的責任。」當時他那張天真無邪的臉孔加上誠懇的語句，的確讓很多人認為臉書在這件事情上已經過關。

可是聯邦公平交易委員會FTC並不這麼想。

是疏失還是欺騙 ？

7月24日FTC為了臉書未能遵守2012年訂定的承諾而判罰50億美元。這次天文數字的判定與劍橋分析醜聞案無關，而是自2012年簽定協議以來，臉書為了提高針對性廣告效率，一再動手腳欺騙使用者，而蓄意違反資安。

儘管佐伯格去年在國會上道歉的時候用的是「不夠周全」(we “didn’t have a broader view”)，但FTC 用的卻是「欺騙」（deceive）這個字。

FTC這個判例是空前絕後。過去在資安史上最重的判例，就是2013 年聯合徵信公司Equifax個資被駭案2.75億美元的判例。再早以前就是Uber 1.48億美元的判例。這次50 億的判例是高於前例近乎20倍殺雞儆猴的天價。Equifax和Uber的案例都可以推給疏失，因為他們是被駭。可是臉書的例子被認定是欺騙，是主動的犯意，不是疏失。

FTC羅列臉書數項罪名，其中包括在隱私設定上，沒有明確告知使用者設為「只限朋友」的個資，也有可能會被分享給第三方的軟體開發者，以及即使設定為最嚴格的「只限我自己」，個資仍會透過朋友的App分享出去等等。不過這些都可以算是疏失。但最重的兩項罪名，是無法用疏失2字就可以脫身的。

1.臉書在2014年，為了提升個資的保護層次，要求使用者提供手機號碼以用於兩段式登入。當時他們明確地表明這項資訊絕對不會用於其他任何用途。但是他們說一套做一套，這些手機號碼後來通通被用於客製化廣告。

2.2018年臉書推出臉部辨識新功能。當時在使用者條文裡說的是，這項「自動Tag功能」只有在用戶主動做了知情的選擇之後才會生效。這在業界叫 opt-in (加入)。但實際功能推出的時候，他們卻把所有使用者都先預設為加入- 除非你改變隱私設定，把自動Tag關閉。這叫做 opt-out (退出)。

也就是說臉書先假設你願意加入，如果不願意你可以退出。所以全美國有6千萬人自動被臉書加入，而毫不知情。

Opt-in和Opt-out的區別

Opt-in和 Opt-out是網路公司在涉及個人隱私的時候，最常玩弄的花言巧語。所謂opt-in 就是使用者必須主動表示同意加入才算數。Opt-out 剛好相反，使用者必須主動表示退出才成立。但是因為大部份的人都不會表示意見，所以這就成為一張非常容易操弄的牌，正反兩面都可以打。

比方網站要把你的資料賣給第三方，而法律規定必須得到使用者同意。這時候網站可以有兩種做法，第一種是告訴你同意的話可以選擇加入（opt-in）。這是合乎道德的正規做法，也是歐盟個資保護法要求的做法。這個做法的意義就是如果無作為，就表示不同意。

第二種比較小人的做法，就是告訴你不同意的話，可以選擇退出（opt-out）。也就是無作為就表示自動同意。

當然，臉書不只是玩弄兩面手法，而根本是打著羊頭賣狗肉—條文裡說的明明是opt-in，但實際卻採用opt-out。這是百分之百的欺騙。

上面這一項就連你我都可能曾經成為受害人。我從不Tag別人，也不喜歡別人Tag我。可是曾幾何時，常常在毫不知情的情況下，莫名其妙地被人家Tag。Tag 我的人並非有意，只是不知道如何取消。

反過來說，每次我Post 照片時，臉書也會自動精準地把照片上的朋友全部Tag起來，而且把消除功能藏在很不明顯的地方。記得當時每次碰到這個情況都覺得很懊惱，害我還得花工夫把那些自動標籤全部一一消除。這些被自動貼標籤的人，極少有人是主動選擇opt-in的，相信大部份人都跟我一樣完全不知情。可是當時大多數人驚訝的，是臉書人臉辨識的準確性，而不是他們未經同意就分享生理個資。

如果你也曾有這種經歷的話，那你也是受害人。

50億收買了一場重大欺騙案的真相

FTC和臉書在2012年的合約其實非常簡明– 總結起來只有一句話，那就是臉書必須實踐對於資安的承諾，不可表裡不一，而且分享使用者資料前，也必須先得到使用者主動的同意。基本上這裡指的就是Opt-in。沒想到臉書在條文上是做到了，實際卻是表裡不一。

所以這50億罰款就是針對上面兩項欺騙行為而來。其中關於臉部辨識新功能欺騙使用者的條文，竟然是在佐伯格國會聽證會之後的再犯。所以一般認為佐伯格在國會那次楚楚動人的承諾全部是謊言。

FTC這次的判決也許出手很重，但有些分析家認為臉書可能在偷笑。他們算是撿到了便宜，FTC也算是賤賣了一場重大的欺騙案。

就在7月24號判決書出爐的當天, 臉書也公布了季報。他們第二季營收是166億美元， 比去年同期成長了28%。第二天股票也跟著漲了2.5元。這個判決對他們似乎毫無影響。2018年臉書全年的營收是560億，50億罰金不到全年營收的9%。也許不遵守規定所帶來的利潤還超過罰金。

另外很重要一個差別就是簽署了這項罰則，FTC 就等於放棄這個案子的追訴權。如果把案子帶入法庭，可能還會揭發更多內幕，兩大欺騙案也許只是冰山的一角。FTC 等於是抓了小的放了大的。這個判例是以3票對2票通過。投反對票的兩位委員並不是認為臉書無罪，而是認為這樣等於以金錢廉價收買了真相。

其中一位叫邱波（Chopra）的委員事後接受訪問的時候說，他非常懷疑佐伯格在這些醜聞中所扮演的角色。他認為這筆罰款正中臉書的下懷。50億對FTC也許是一筆曠世巨款，可是對臉書也許是一筆偷笑的好交易。臉書等於用50億美元收買了真相。

總之這個案子就到此為止，背後的主謀到底是誰，臉書又還有多少其他的陽奉陰違，世界可能永遠不會知道。

當然FTC這次雖放了大尾的，他們在合約裡也預留了伏筆。那就是佐伯格必須每一季都向FTC提出一次書面報告，詳列臉書對個資保護的具體進展。更精彩的是，如果以後再犯，FTC將對佐伯格本人提出民事賠償並「追究刑事責任」。

佐伯格兩個月前才在北加州著名的度假勝地太浩湖買了總價5,600萬美元的超級別墅。一旦入住了那樣的湖邊天堂，誰都不想改變未來的生活環境，而冒著搬進牢裡的風險。也許這個刑事責任的威脅對臉書和對全球10億的使用者來說都是件好事。

故事到此並沒有完全結束，因為緊接著FTC又對臉書的反托拉斯展開調查。這件事的後續發展也許也會很精彩。

至於那筆50億的天價賠償，將來全部都會收歸美國國庫，像你我這樣受害的使用者一毛也拿不到。

責任編輯：陳慶徽
核稿編輯：黃雅苓

作者簡介：

鱸魚

在翻譯出版了18本當代文學名著之後，鱸魚決定跟別人一樣出國唸電腦，到了矽谷做了工程師。糟糕的是他竟然做得很成功，讓他一直不想覺悟。現在兜了一圈，他又回頭開始寫作。鱸魚以敏銳的觀察力來看世界所看不到的矽谷人與矽谷事，以詼諧感人的敘事能力，告訴世界矽谷並不是你想的那樣。