上有政策，下有对策：Facebook和谷歌这样规避GDPR准则

随着GDPR的实行，使不少互联网产品商和服务商不得将数据收集和使用透明化，这给不少产品开发商带来了阵痛，上有政策，下有对策，挪威消费者委员会发现Facebook和谷歌竟自己偷偷打了“麻药”。

据挪威消费者委员会（后文简称“委员会”）报告，Facebook和谷歌正在开发“黑暗模式”（黑暗模式是指通过精心设计具有诱导性的界面，可能会引导用户做出有悖真实想法的选择），促使用户同意分享更多数据。

“如果在这种情况下的‘同意’是明确的、知情的和自由的，我们怀疑这是否符合默认数据保护和设计数据保护的原则。”

根据GDPR法则，欧盟公民必须保留知道正在处理他们数据的权利以及获取数据的权利。GDPR要求任何在欧盟开展业务的公司与人进行交互并处理数据，以获得用户对其数据的每种可能用途的明确同意。虽然Facebook和Google已经遵守GDPR法律，要求他们告知最终用户数据使用情况和条件，但他们也正在采取措施影响用户分享更多数据的同时而不触犯规定。委员会指出，“措施多种多样，例如通过混淆产品的全部价格，使用带有歧义的文字表达，或者调整用户习惯的功能按钮位置。”

委员会在4月和5月体验并核查了Facebook和谷歌的服务，发现Facebook和谷歌通过默认设置、措辞和图片来误导消费者对数据隐私的误解，使消费者的隐私选项缺乏便利度。

其中突出问题是默认设置，相比提供服务，GDPR要求默认设置不允许更多的数据收集。委员会认为在GDPR规则范围内，Facebook和谷歌查看数据的设置并非默认私人化。

无论是Facebook还是谷歌，用户必须主动访问网页或隐私信息中心，才能根据来自第三方的数据关闭广告。尽管Facebook和谷歌都有默认设置，这些默认设置已经预先选定至“最不需要隐私保护的程度”。

所有的服务都通过定位和视觉提示的结合来推动用户接受数据收集。然而，从长远看Facebook和谷歌却需要大量的步骤来限制数据收集。委员会表示，两家公司在研究GDPR的数据隐私政策时，都实施了给用户选择“采用或不采用”的方法。例如，在Facebook的GDPR弹出式页面上，如果用户点击“我接受”的备用框，它会引导他们进行另一种选择 - 表示他们可以返回并接受条款或删除其帐户。与此同时，当用户试图退出谷歌的GDPR弹出窗口的个性化广告时，他们被告知他们将失去屏蔽或屏蔽某些广告的能力。

WhiteHat Security的安全经理Jeannie Warner对此评论道，“GDPR很重要，因为它赋予公民权利，确保他们的数据可以从公司的系统中删除……开发人员不是隐私律师。他们希望用户不断分享信息。”

目前Facebook暂未回应媒体。谷歌的一位发言人表示:“多年来，我们一直在改进我们的数据控制，以确保人们能够轻松理解和使用他们拥有的工具。”研究社区和用户的反馈，以及大量的用户界面测试，能帮助我们反映用户的隐私偏好。例如，仅在上个月，我们就改进了广告设置和谷歌账户信息和控件。

如今各方对错难以用单一标准衡量，但由问题不难看出GDPR给厂商们带来的挑战并不小，但一刀切是否会带来更多问题呢？普通用户对自己的数据信息用途足够了解吗？如果一味压制，对数据的需求是否会在重压之下催生更肆虐的信息倒卖？撤除限制，公民的权利还是得不到保障，信息安全问题又刻不容缓，数据保护似乎比人们想象中更难。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。