Facebook及MySpace隐私保护现漏洞

　　信息泄露

　　虽然Facebook、MySpace以及其他几家社交网站都曾经承诺，在未经用户允许的情况下，不会与第三方分享用户隐私信息，但这些企业都已经将一些可以用来确定用户姓名和其他个人信息的数据发送给广告公司。

　　多数企业都为这种行为辩护，但借助这种方式，当用户点击广告时，广告主就可以看到用户的姓名或ID号及其对应的个人资料。在媒体对该问题提出质疑后，Facebook和MySpace都已经做出了更改。到周四早间，Facebook已经重新编写了部分存在问题的代码。

　　广告公司可以通过社交网站获取一些相关信息，并借此找到用户资料。根据网站以及用户隐私设置的不同，这些资料有可能会包含用户的真实姓名、年龄、家乡以及职业。

　　国外媒体目前已经确定了几家收取这类数据的大型广告公司，包括谷歌旗下的DoubleClick以及雅虎旗下的Right Media。但这些企业均表示，并没有注意到这些来自社交网站的数据，也没有使用这些数据。

　　行业现状

　　在互联网世界中，获取用户点击广告时所处的页面地址对于广告主而言是非常普遍的现象。通常而言，他们除了可以获得一串由字符和数字组成的网址外，无法追踪到个人。但在社交网站中，这些网址通常都会包含用户名，广告主则可借此追踪到用户的资料页面，从而获取完整的个人信息。

　　伍斯特理工学院(Worcester Polytechnic Institute)计算机科学教授克雷格·威尔斯(Craig Wills)专门对这一问题进行了研究。他表示，多数社交网站都没有对网址中的用户名和ID号进行模糊处理。

　　这些网站或许已经违反了他们自己制定的隐私政策和行业规定。这些规定通常都禁止在未经用户许可的情况下分享用户数据，并禁止广告主收集可确认用户身份的个人信息。广告公司和互联网公司之所以推出这些政策，是为了免受政府监管。

　　这一问题的发生正值以Facebook为代表的社交网站的隐私保护行为面临来自用户、隐私拥护者以及立法者越来越多的关注之际。

　　与此同时，立法者也计划通过法律手段来管理网站对用户信息的收集行为，以及定位广告对这类信息的利用方式。

　　除了Facebook和MySpace以外，Live Journal、Hi5、Xanga和Digg等网站也会将被访问页面所属用户的用户名或ID号发送给广告公司。Twitter也会将一些包含用户名的网址发送出去。

　　早有警告

　　对于多数社交网站而言，刊登广告的资料页面的所有者未必是点击该广告的人。但是Facebook却比其他网站更进一步，在某些情况下，该网站不仅会将点击广告的用户姓名发送出去，还会将被访问页面所属的用户姓名发送出去。通过了解用户所点击的广告，广告主就可以了解到该用户的兴趣。

　　专门研究互联网广告的哈佛商学院助理教授本·埃德尔曼(Ben Edelman)对7家网站的代码进行了研究。他说，在Facebook修正这一问题之前，“如果你正在查看你的资料页面并点击了一个广告，就等于告诉了这名广告主你是谁。” 埃德尔曼还表示，他已于周四致信美国联邦贸易委员会，要求该机构对Facebook的行为进行调查。

　　在AT&T实验室和伍斯特理工学院去年8月联合发表的一篇论文中，研究人员首次对可以识别用户身份的个人数据的分享行为进行了探讨。这篇论文对包括Facebook、Twitter和MySpace在内的12家社交网站的行为进行了评估，并且发现了许多种可以帮助外部企业访问用户数据的方法。但该论文当时并未引发太多关注。

　　撰写该论文的研究人员表示，他们已经与相关网站取得了联系，部分网站也已证实此事。但是9个月后的今天，这一问题依然存在。

Facebook回应

　　这一问题对Facebook而言尤其重要，原因有二：该公司已经开始催促用户公开更多个人信息;该网站要求用户使用实名注册。

　　Facebook发言人承认该公司已经将数据发送给广告公司，使得对方可以了解到点击广告的用户的真实姓名。在国外媒体与Facebook取得联系后，该网站表示，已经对网站进行了修改，从向外发送的数据中删除了可以确定用户身份的代码。

　　该发言人称：“我们最近意识到这一问题：如果用户在网站上采取特殊的路径，广告主就有可能看到用户点击了自己的资料之后又点击了一个广告。我们发现这一问题后已经尽快进行了修正。”

　　Facebook表示，该网站的行为现在已经与整个互联网广告行业的准则一致。该公司发言人说：“这可能会包含被访问页面所属用户的ID，但并不包含点击广告的用户ID。我们不会考虑(分享)这种可确定用户身份的个人信息，而且我们的政策也不允许广告主在未经用户允许的情况下收集用户信息。”

　　Facebook还表示，该公司已经开始对更改后的文本格式进行测试，以便确保不会与广告主分享任何用户名或ID号。

　　其他网站态度

　　MySpace、Hi5、Digg、Xanga和Live Journal认为，他们的用户名或ID号并不属于可以确定用户身份的个人信息，因为与Facebook不同，他们不要求用户进行实名注册。他们还表示，由于他们只是将广告所在页面所属的用户名发送出去，而不会发送点击广告的用户名，因此广告主除了可以知道广告所在页面的网址外，无法获得其他数据。

　　MySpace在声明中表示，该网站只会分享用户注册时所使用的用户名，而且保证只允许第三方访问那些已经被用户公开的信息。尽管如此，MySpace的一名发言人还是表示：“目前正在部署一种方法，以便对所有发送给广告主的网址中包含的‘FriendID’进行模糊处理。”

　　Twitter发言人表示，当用户从任何一个网页点击链接时，都会发送网址。她说：“这只是互联网和浏览器的工作方式。”

　　尽管Digg表示，当用户点击广告并将数据分享给外部广告主之前，已经将用户名隐藏，但当用户访问个人资料页面时，仍然会将用户名发送给广告主。Digg首席收入官查斯·爱德华兹(Chas Edwards)说：“这是你所访问的网页的数据，而不是访客自己的数据。”

　　广告公司则表示，他们无法控制网站向他们发送哪些数据。谷歌发言人在声明中说：“谷歌并不希望以任何方式使用网址中有可能包含的任何用户名或ID。”

　　雅虎副总裁兼隐私主管安·图斯(Anne Toth)说：“我们禁止客户向我们发送可以确定用户身份的个人信息。我们已经告知他们，我们不想要这些信息。他们不应当再向我们发送这些信息。如果的确存在这种情况，我们也不会查看这类数据。”