紙包不住火！Google+爆個資外洩 上線7年終收攤

▲社群網站Google+捲入個資外洩風暴，數十萬用戶資料曝光，Google宣布個人版Google+將走入歷史。（圖／翻攝自Android Police推特）

繼臉書後，社群網站Google+也捲入個資外洩風暴，數十萬用戶資料曝光，Google因此宣布個人版Google+將走入歷史。華爾街日報報導，Google半年前發現問題卻不公開。

根據Google工程部副總裁史密斯（Ben Smith）今天發表的部落格文章，Google今年啟動「閃光燈計畫」（Project Strobe），稽查第三方開發商存取Google帳戶和Android裝置資料的情況，結果發現Google+應用程式介面（API）存有重大漏洞。

Google因此決定放棄個人版Google+，給予用戶10個月時間下載並轉移資料，預定明年8月完全停止服務。Google+終止消費端功能後，未來只會開放給企業客戶，供企業內部交流使用。

Google+於2011年6月上線，被視為Google挑戰臉書（Facebook）的產品，但人氣始終比不上臉書。華爾街日報報導，Google上述決定形同為Google+棺材釘上最後一根釘子。

報導援引Google內部文件及知情人士指出，2015年至2018年3月期間，一項軟體問題讓外部開發商有機會存取Google+用戶個資。Google法律人員撰寫的備忘錄警告，若公布這起事件，可能「立即引起主管機關注意」，外界也會拿來和臉書個資外洩事件比較，Google聲譽恐受影響。

知情人士說，Google內部委員會今年春季決定不通知Google+用戶，Google執行長皮查伊（Sundar Pichai）也獲知相關計畫。

▲Google曾對保證不會捲入個資外洩醜聞，如今Google維護隱私的成效恐被打上問號。（圖／取自pixabay）

報導指出，主管機關與隱私權倡議團體主張科技巨擘應為數十億用戶個資負起責任之際，這起事件顯示，Google極力避免讓個資處理情況成為公眾關注焦點。

Google曾對外保證，不太會像臉書那樣捲入個資外洩醜聞，如今Google維護隱私的成效恐被打上問號，更可能危及Google避免華府加強監管的工作。

史密斯在文中寫道，用戶資料可能受影響時，Google以多項衡量標準決定是否通知用戶，「我們能否精確辨識應告知的用戶、是否有個資遭濫用的證據、開發商或用戶是否有可採取的因應措施，就這起事件而言，前述門檻都沒有達到。」

內部備忘錄指出，Google未掌握外部開發商濫用個資的證據，但無法確知是否毫無濫用情事。知情人士表示，Google+可能外流的用戶資料包括全名、電郵地址、出生日期、性別、大頭照、居住地、職業和感情狀態；電話號碼、電郵訊息、貼文、私訊和其他通訊資料未曝光。

Google為方便外部開發商協助擴充應用程式，透過逾130個API讓外部開發商存取用戶個資。開發商通常需要取得用戶同意，但風險在於不肖分子可能假扮程式開發商，取得並濫用敏感個資。

Google今天宣布，將終止外部開發商存取Android手機簡訊、通話紀錄和部分形式通訊錄資料的權限，Gmail也只會開放極少數廠商繼續為這套電郵服務開發擴充功能。

華爾街日報7月報導，Google讓數百家外部開發商，掃描數百萬註冊使用購物比價、自動化旅遊規劃等郵件相關服務的Gmail用戶收件匣。這些開發商訓練電腦甚至人工閱覽Gmail用戶郵件，Google卻疏於管理。

社群網站臉書洩漏用戶個資鬧得滿城風雨，Google旗下電子郵件服務Gmail也被踢爆開後門，讓第三方軟體開發商檢閱數百萬用戶的收件匣內容，用戶隱私蕩然無存。

Google一年前曾說，將不再用旗下電腦掃描Gmail用戶收件匣，為個人化廣告蒐集資訊。Google當時表示，希望用戶「對Google竭盡所能維護隱私和安全保有信心」。

但華爾街日報訪談數十名電郵相關程式開發與資料公司的在職與前任員工發現，Google持續讓數百家外部軟體開發商，掃描數百萬註冊使用購物比價、自動化旅遊規劃等郵件相關服務的Gmail用戶收件匣。這些開發商訓練電腦甚至人工閱覽Gmail用戶郵件，Google卻疏於管理。

▲這些開發商訓練電腦甚至人工閱覽Gmail用戶郵件，Google卻疏於管理。（圖／取自pixabay）

其中一家開發商名為Return Path。這家公司掃描超過200萬的用戶收件匣，為行銷商蒐集個資。這些用戶是透過Gmail、微軟（Microsoft）或雅虎（Yahoo ）的電郵服務，註冊使用Return Path夥伴網絡任一款免費應用程式。

掃描工作一般交由電腦，每天分析約1億封郵件。知情人士透露，兩年前左右，Return Path員工為協助訓練公司軟體，曾閱覽約8000封原始郵件。

另一家Gmail開發商Edison Software的執行長柏納（Mikael Berner）坦承，員工曾為公司閱覽和整理電郵的行動應用程式開發新功能，人工檢閱數百名用戶的郵件。

Return Path的競爭對手eDataSource前技術長羅德（Thede Loder）表示，讓員工閱覽用戶郵件，對蒐集這類資料的公司來說有如家常便飯。他說，eDataSource工程師編寫和改進軟體演算法時，偶爾會檢閱郵件，「有些人可能覺得這是見不得人的秘密，但現實就是如此。」

Return Path或Edison都未明確詢問用戶他們能否閱覽郵件，但兩家公司都說，使用者協議涵蓋這項行為，他們對有權閱覽用戶郵件的員工制定嚴格規範。

Google的開發商協議，明文禁止在未經用戶明確同意的情況下，讓其他任何人接觸用戶個人資料。Google制定的規則，也禁止程式開發商製作用戶個資副本，並存在資料庫中。但多家開發商表示，Google沒有認真落實相關規定。

Google表示，只將資料提供給審核通過的外部開發商，而且用戶必須明確同意，開發商才有郵件存取權。Google在書面聲明中說，只有在用戶要求並許可的特殊情況下，如調查程式錯誤或違規情形，Google員工才會閱覽用戶郵件。

但報導指出，外部開發商能自由處理用戶個資顯示，Google與其他科技巨擘即使宣稱加強保護隱私，暗地裡仍開後門給監督規範不同的其他廠商。

臉書（Facebook）多年來讓外部開發商取得用戶個資，今年東窗事發，重創臉書形象。目前沒有跡象顯示，Return Path、Edison和其他Gmail外掛程式開發商像臉書那樣濫用個資，但隱私維權人士和許多科技業高層表示，開放郵件資料存取權，恐釀成類似臉書的個資外洩風暴。

對想把個資用於行銷和其他用途的企業來說，取道電子郵件深具吸引力，因為電郵包含購物史、旅遊行程、財務紀錄和個人通訊。資料探勘公司常在未敘明個資蒐集種類和用途的情況下，利用免費程式和服務，引誘用戶開放收件匣的存取權限。

根據市場研究公司comScore，Gmail擁有14億用戶；全球電郵活躍使用者中，將近2/3擁有Gmail帳戶。