2016年10月19日 星期三

Tagged under:

網路與媒體|貪圖谷歌免費帳號惹禍、學童個資外洩?我想問問《鏡週刊》:你們真的看過後台長什麼樣子嗎


圖、文/黃郁棋 

難得今天放假,心情正好,結果看見了《鏡週刊》一篇荒謬的文章,忍不住想多嘴幾句。這篇文章的標題是這樣的:「貪谷歌免費帳號惹禍 柯文哲害35萬學童個資外洩」。姑且不論文章合理與否,我想針對本文提到的幾個指控,試著幫Google平反一下:

一、內文第二段提到:「Google收集學童個人資料後,再轉賣或運用在廣告上謀利」。


首先,我就「收集個人資料」來談一下:

我們必須先釐清一個關鍵問題:學童在開教育版帳號的時候,是否要強制交付個資給Google?剛好我也是「Google教育版」的使用者之一,在我的印象中,Google並沒有強制要求我填寫真實的「個資」,它是容許我亂填的。

我回頭查了一下自己的帳號資料,莞爾一笑:


沒錯,Google得到的關於我的「資料」,只有「性別」與「暱稱」以及「學校信箱」而已。我的姓名打「逗比叔叔」,也是可以通過的。

另外,很巧的是,我同樣是Google Apps for Business的管理員,我給大家看一下,想要利用Google的服務在你的網域底下開新帳號,後台長什麼樣子:


嗯是的你沒看錯!只要填入「姓名」(可亂填)跟「帳號」,就可以開一個新的帳號了。什麼生日、地址、電話、性別、年齡、血型、婚姻狀況、祖宗十八代都不是必要資料。我很懷疑,《鏡週刊》記者究竟有沒有認真研究過Google教育版、甚至自己申請使用過?

好吧,我們再回頭來談談,什麼是「個資」呢?根據《個人資料保護法》的定義如下:

「個人資料,指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

換句話說,就算你不輸入個資,一樣可以使用Google教育版服務,只要你的學校願意幫你開通。因此,我合理懷疑《鏡周刊》該篇文章所說的「收集個資」的可信度,如果Google並沒有強制要求學生的個資,那整篇文章的大前提根本就不存在了。

(說到這邊,感謝東華大學,我愛東華雖然好山好水好無聊,可是Google Apps for Education可是擁有「無限大」的空間呢,炒雞好用。)


再來,我們談談Google對於使用者資料的使用(非個資,而是你的使用記錄)。

熟悉科技的人都會明白,「轉賣」跟「用來做廣告投放」是完全不一樣的兩個概念,前者在未經使用者同意下轉賣「個人資料」是明顯的違法行為,就我所知,Google並沒有這樣做、不敢這樣做,更不會這樣做。

誰會把自己最寶貴的資料,賣給競爭對手、削弱自己實力?(是的,你的資料對Google來說是最寶貴的)


再來是「運用在廣告上謀利」這件事。對一般的Google使用者來說(非教育版),Google確實會透過Gmail、搜尋引擎、瀏覽器Cookie追蹤、Chrome瀏覽器的使用記錄,來進行廣告的「精準投放」。例如你想去日本京都、搜尋了很多京都相關資料,並且收到飛往京都的電子機票,Google很可能就會推訂房網站的廣告給你。

不過,要注意一點哦:Google在做這件事的時候,從頭到尾「不知道你是誰」,它只是就你的使用記錄,給予相對應的推薦服務而已。這個在法律上其實是沒有什麼問題的,就好比你使用Facebook的時候,Facebook工程師也不知道你是誰,但是它依舊可以從你的瀏覽習慣、按讃習慣,選擇推送哪些文章給你看,一樣道理。

至於Google教育版用戶,在2014年的時候Google就曾經宣佈:「Google全面移除教育版Google Apps 廣告,不再掃瞄學生Gmail。」只要你是使用教育版帳號,基本上Gmail是不可能出現廣告的,想開啟也沒辦法,這部分我也確認無誤。

二、一名「不願具名的資安專家」到底是誰



首先,我還真找不到可以填寫「家長職業」的欄位耶?這位資安專家說對的只有一點:你的使用行為會納入大數據資料庫。但是Google會「轉賣給不同廠商牟利」嗎?前面提過了,就我所知,並沒有。如果Google打算開始賣,請通知我,我要讓公司快點去買。

三、內文提及,使用Google帳號會有「個資洩漏的風險」


基本上,當你打開電腦、手機,連上網路,就已經曝露在個資洩漏的風險當中了,而Google是目前市面上對於資安保護特別重視的公司。說難聽一點:你學校自己架的Email,個資洩漏、被駭的風險,比放在Google要危險太多太多了。

更別提,Google的帳號有提供「兩階段驗證」功能,這更讓帳號被駭的機率大幅度的下降。我沒看過哪一所學校的學校信箱,有提供學生兩階段驗證的?

四、最後,我想談談「網路數據被拿去使用」這件事

你知道嗎,當你在看這篇文章的時候,你的數據資料已經被非常多單位拿去了。首先,如果你是用Safari看文章,那蘋果電腦公司得到了你的使用記錄;如果你是使用Chrome看文章,那Google公司得到了你的使用數據。


你使用Android、iOS的時候,也會回傳數據;你使用Facebook的時候,Facebook也會拿你的「使用習慣」、「隸屬族群」來進行廣告投放。就算你都不使用這些軟體、網站、服務,你所使用的電信業者(中華電信、台灣大哥大、遠傳這些)也擁有你的數據資料;你使用的銀行知道你的存款金額、你的信用卡刷卡習慣。

當你使用一個服務的時候,「數據反過來被使用」已經無所不在。《鏡傳媒》那篇文章所提到的,唯一值得討論的東西,應該是「被遺忘權」吧!不過,很顯然這並不是該文的討論重點。

不知道這樣子說,算不算有幫Google平反到呢,呵呵。當然,我知道有人會懷疑,台北市政府是否有私下給Google任何資料?還是他們只單純簽約、並沒有給任何學生個資?這個在確切證據出現前,實在無法討論。

補充:有朋友提醒,台北市跟Google合作的G Suite for Education教育方案,好像有消息說是「強迫學生註冊」,也就是它並未經過使用者自行註冊這個動作,帳號就直接啟用了。

甚至還有消息說,台北市教育局是透過第三方單位(據說是某經營台北市小學公佈欄的公司)接洽註冊事宜。

我剛剛跟幾個人聊過之後,總算搞清楚了前因後果。

一、Google跟台北市政府的合約,今年六月才簽訂,其實根本還沒開始使用。目前討論的爭議,根本就不存在。
 
二、有些家長反應「沒簽到同意書」小朋友就開始用Google教育版,這個其實跟本次簽的合約無關。而是學校「自己主動跟Google申請」這個服務,然後又沒有做到「未成年學生家長同意書簽署」的動作。

簡單講,Google躺著也中槍就是了。