大家都忽略了关于FaceApp的关键点

最近几周，有很多文章都在讨论被广泛宣传的隐私问题 FaceApp, 这款应用使用人工智能(AI)和增强现实算法来拍摄FaceApp用户上传的图像，并允许用户以各种方式对其进行修改. 以下是一些非常现实的风险和担忧, 在FaceApp之外的大多数应用中都存在吗, 包括:

1. 民族国家之间的联系(这里指的是俄罗斯)
2. 不加掩饰，不受限制的第三方共享您的个人数据
3. 使用条款允许FaceApp无限制地使用你的照片
4. 您的数据将永远存在……可能在许多不同的地方
5. 这些应用程序的数据被用于监控
6. 来自应用程序的数据用于分析
7. 应用程序正在以欺凌和/或造成精神痛苦的方式使用
8. 使用图像对您的帐户进行身份验证
9. 你的形象很容易被用在深度造假视频中
10. 类似的应用程序正在传播恶意软件

我可以继续说下去，但这应该能让你对所涉及的风险范围有一个很好的了解. 这里有一个重要的关键点，不在这个列表中，在我读过的三四打关于这个话题的文章中没有被强调过:FaceApp的骚动凸显了一个长期存在的问题，这个问题在隐私政策的制定方式上变得越来越糟糕.

从隐私政策到反隐私政策的演变
我从2002年开始教授隐私管理课程. 我强调的一个主题是，组织在其网站隐私政策中言行一致的重要性, 不要使用误导和模糊的语言来限制隐私保护，增加与第三方的共享. (隐私 policies are also often referenced as privacy notices; for the purposes of this article, 把它们看作是同一件事.组织不应该使用隐私政策作为消除个人隐私保护的一种方式. 美国联邦贸易委员会(FTC)实际上在5月份发布了一份详细阐述这些问题的实质性报告, 2000, 题为, 《澳门赌场官方软件》.” The advice within this report is as valid today as it was back then; in many ways even more so.

联邦贸易委员会的报告中提出的一个关键点强调，有必要为收款提供明确性, 的使用及披露, 和选择有关, 个人资料. 联邦贸易委员会对网站隐私政策的研究结果特别强调了三个重要的问题领域:

1)使用矛盾的语言;
2) offering unclear descriptions of how consumers can exercise choice; and
3)包括随时变更政策可能性的声明.

从2000年到2010年左右，我看到许多网站实际上试图解决这些问题. 这在当时的信息安全和隐私会议上是一个相当热门的话题, 在此期间，我发表了关于在隐私政策中解决隐私问题的主题演讲和课程, 然后在组织内实现支持控制，以满足这些隐私政策的遵从性.

2011年前后发生了什么? 一场完美的反隐私风暴，涉及越来越多地使用 搜索引擎优化 (SEO)，包括在网站及其隐私政策中传播欺骗性声明, 全球大众对社交媒体网站和博客的使用也大幅增加. 在过去的十年里，这导致了成千上万的头条新闻，表明越来越多的非友好隐私做法被纳入其中. 紧随其后的是与几乎所有类型的设备集成的应用程序, 服务器, 社交媒体网站和云服务. 在这些领域取得成功, 在搜索中排名最高, 收集最多的个人数据，随后货币化, 获得最多的点赞, 并通过与尽可能多的其他组织合作和共享数据来获得最大的在线放大, 营销手段包括创造性地(实际上是欺骗性地)修改隐私政策. 这在很大程度上导致了为什么当前发布的许多隐私政策在其撰写方式上倾向于大多数反隐私, 通常以允许与尽可能多的其他第三方共享尽可能多的数据的方式.

FaceApp的隐私政策问题
在FaceApp发布的隐私政策中有许多模糊和有问题的地方; 花点时间读一读. 明白我的意思了吧? 让我们考虑一下 “我们可能与之分享您的信息的各方” 特别是章节.

• FaceApp可以分享无限类型和数量的你的信息(所有类型) 这些公司在法律上属于FaceApp所属的同一集团, 或成为该集团的一部分(“附属公司”).” 这些业务包括什么? FaceApp的隐私政策中没有这么说.
• 再深入挖掘一下，根据 FaceApp条款页面在美国，FaceApp的“指定代理”是“Wireless Lab Ltd .”.，地址是在俄罗斯的圣彼得堡. 我没有在Wireless Lab Ltd .上找到隐私政策或使用条款. 页面. 很有趣的是，他们的电子邮件联系方式被列为 info@faceapp.com. 所以，这些澳门赌场官方下载 “在法律上属于FaceApp所属的同一集团公司” 这是一个谜，基于网站的交流.
• 转到“公司集团”之外的其他公司，FaceApp表明他们 也可能会共享您的信息以及来自cookie等工具的信息, 日志文件, 以及设备标识符和位置数据, 协助我们向您提供服务的第三方组织(“服务提供商”). 我们的服务提供商将有权在合理的保密条款下访问您的信息以提供服务.” 你现在知道FaceApp和谁共享数据了吗? No. 你知道被分享给不知名的其他人的具体数据吗? No.
• 继续，他们还说: “我们可能会删除可以识别您身份的部分数据，并与其他方共享匿名数据. 我们也可能将您的信息与其他信息合并，使其不再与您相关联，并共享聚合后的信息.” 这能给你保证吗? No. 为什么? 因为他们可能会把你的个人数据和所谓的“匿名数据”发送给其他方, 这些信息也可能和其他信息结合在一起 可以重新识别你.

FaceApp隐私政策的这一部分可以改写为与以下意思基本相同:FaceApp可能与其他人共享您的任何信息，以供他们随意使用. 你觉得这听起来像“隐私”政策吗? 这种不涉及隐私的承诺在网站上太常见了.

同样值得注意的是:

• 只有一句话 (“我们使用商业上合理的保护措施来确保通过服务收集的信息的安全，并采取合理的步骤(例如要求提供唯一密码)在授予您访问帐户的权限之前验证您的身份.”) 描述安全, 并且不承担任何保护您的信息和防止他人访问您的数据的责任.
• 没有明显的信息说明你如何访问和查看他们收集的所有数据，或者从你提供给他们的数据中获得的数据.

隐私政策问题并非FaceApp独有
如果您查看了自己组织的隐私政策，您会发现类似的问题吗? 如果你发现从隐私的角度来看，一切都很好, 贵机构是否履行了所公布的隐私政策中的所有承诺? 根据我过去几十年做隐私政策pia的经验, 大约90- 95%的组织没有遵守他们自己发布的隐私政策. 每个组织都需要意识到，他们在法律上有义务履行他们在自己发布的隐私政策中做出的承诺, 除所有适用的法律法规外.

这是每个It审计的良好实践, 信息安全和隐私官将对其发布的隐私政策的审计纳入其年度计划. 如果你不知道, 你可能会被添加到越来越多的组织名单中，这些组织在越来越大的范围内受到打击 FTC罚款 因为没有履行隐私政策承诺.