【2018臺灣雲端大會直擊】HITCON CTF駭客競賽負責人剖析：不只是刪帳號或擋應用，臉書事件該注意的事跟你想的不一樣

劍橋分析違法濫用臉書8700萬筆用戶資料，試圖用廣告在美國總統大選中影響選民立場，引起全球關注，更讓臉書因涉及資料外洩而遭撻伐，劍橋分析更因此而宣布破產。臉書資料外洩事件在全球餘波盪漾，人人害怕個資在無意中被存取甚至被用來操弄，甚至有許多如何避免臉書個資外洩的報導，甚至是刪除臉書的言論出現。對此，HITCON CTF駭客競賽負責人李倫銓今天在iThome 2018臺灣雲端大會主題演講上，提出不同看法。他認為，並非刪掉臉書帳號或是解除可疑臉書程式就好，更值得注意的是臉書演算法的精確度，因為它的影響力已經達到不容輕忽的地步。

美國參議院司法委員會及商業、科學暨運輸委員會所聯合舉行了聽證會，要求臉書創辦人暨執行長Mark Zuckerberg提出解釋。而在許多媒體報導當中，都在嘲笑議員們提出笨問題，李倫銓認為，議員們並不是胡亂提出問題，不了解社群網路，而是想知道臉書的廣告投放精準度以及蒐集資料的範圍，並且提出反諷，希望臉書未來可以避免此類事件再發生，而且其實議員們都看過臉書提出的報告書內容，他們已經知道這個平臺能達到多麼驚人的影響力，提問只是為了證實。

李倫銓進一步提到，像劍橋分析這樣的政治顧問公司，其業務範圍也包含選舉操作，基本上做電話訪問、街頭問卷，都在合理範圍內，但他們選擇做了心理測驗App放在臉書上，分析出容易受影響的人，再製造假新聞，對他們精準投放選舉廣告，企圖帶風向影響選民立場，就是濫用平臺。

他提到，容易被操控的人格有幾種特性，包含對自己沒自信、認為自己缺點多、習慣討好人、負面情緒高、不懂拒絕人，這些從分析中被認定為容易搖擺的人，可能遍布在每一階層，無關年紀、性別、政黨，都可能被民調公司鎖定，成為他們在臉書投放選舉廣告的族群。

針對平臺濫用的狀況，李倫銓認為使用者通常防範不了，對於在平臺散播假新聞、操控風向的人，應該是要由平臺業者去規範，避免這樣的生態出現。為此，臉書在4月7日提出新的政治廣告透明政策，未來任何政治候選人或是政治議題，若要投放廣告在臉書平臺，必須加註「政治廣告」標籤，且須說明廣告費用是由誰支付，且未取得臉書授權前，廣告主不得刊載政治廣告，這麼做就是為了要遏止外來的政治干預。李倫銓認為，政治廣告標籤將會是全世界的趨勢，未來將連帶其它平臺也往此方向進行規範。

而在臉書F8用戶大會前，Mark Zuckerberg也預告，臉書未來幾個月將加入隱私控管功能Clear History，允許用戶清除上網紀錄，用戶可以看到他們在臉書上點選的網站、廣告，以及使用的app，並自行決定從帳號中刪除這些資訊，而且還能設定關閉儲存這些資訊的功能。他也承諾，未來臉書會用AI去偵測煽動性言論，但因為有難度，所以要透過AI技術，成熟分辨合理的政治表達和仇恨性的毀謗言論，還需要5年以上的時間。

李倫銓觀察到，在臉書資料授權爭議事件之後，他們在使用者授權的作法變得更為精細，而其他應用服務也追隨這樣的潮流。包括手機作業系統iOS、Android，也都更加強對隱私的重視。他舉例，在Android 6.0之後，把權限分為兩大類型，一般權限與危險權限，照相機、行事曆、位置、聯絡人等資料，都屬於危險權限。當使用者在執行應用程式時，如果程式碼中存取了危險權限，第一次會出現請求權限的對話框，要求使用者授權，主動給予警示。「使用者對於隱私資料的使用就像Baby一樣，無時無刻都要照顧他們，資料的使用不能只有告知，而要做到更細膩的管理。」李倫銓說道。

他也呼籲，使用者在臉書或在任何網站、App、應用系統，所點過的讚、看過的粉絲頁或網頁、看過的影片、曾開啟的檔案，即便在過去已經授權出去，任何平臺、作業系統廠商都應該能讓使用者有回頭檢視，以及自行刪除的能力，要讓使用者能掌握自己的隱私資料，像是網頁Cookie、廣告識別碼（Identifiers for Advertisers，IDFA）。而這也是歐盟5月25日即將正式實施的通用資料保護規則（GDPR）所要求的重點，而且要做得越細膩越好。李倫銓強調，對於各平臺、作業系統的廠商來說，IT技術要往前走，也必須做出這樣的機制。

最後，李倫銓更認為，未來取得使用者的資料授權，要明確告知使用者，包括使用資料的時間、範圍、要拿去做什麼事情，要用到何種資料。他說，要做到這樣的地步，才是好的平臺與作業系統。他也強調，使用者要保有資料操控權的意識，明白誰都不能拿走自己的個人資料，若有人要使用隱私資料，就必須得到使用者的明確授權。