סגור
באנר דסקטופ כלכליסט טק

מסמך פנימי מגלה: פייסבוק לא באמת יודעת מה קורה עם המידע שלכם

לפי מסמך שהודלף, לרשת החברתית אין מושג מה קורה עם המידע האישי של משתמשיה מרגע שהוא מגיע למערכות המחשוב הפנימיות שלה. "אין לנו רמה מספקת של שליטה על האופן שבו המערכות שלנו משתמשות בנתונים", מצוטטים מהנדסי פרטיות בכירים בחברה

פייסבוק עומדת כיום מול "צונאמי" של פרטיות מצד רגולטורים ברחבי העולם, שדורשים ממנה לשנות את האופן שבו היא מתייחסת לנתוני המשתמשים שלה. אך הבעיה העיקרית של החברה - כך לפי מסמך שהודלף לאתר Motherboard - היא שאין לה מושג מה קורה עם המידע הזה מהרגע שהוא מגיע למערכות הפנימיות. "בנינו מערכות ללא מגבלות ועם תרבות ארגונית פתוחה", כותבים במסמך אנשי צוות מהנדסי הפרטיות של קבוצת מוצרי הפרסום והעסקים, "המידע שאנחנו אוספים מעורבב וממקורות שונים וכשהוא מוזרם למערכות שלנו הוא מדולל וזולג לכל עבר".


האנלוגיה של המפתחים מדאיגה, שכן הם אומרים שאין מעקב על נתונים מהרגע שהם מגיעים למערכות הפנימיות של פייסבוק. לא ברור אפילו אם המידע מגיע למקומות מותרים, כך הם מציינים במסמך. אנשי הקבוצה הזו אינם זוטרים - הם שייכים לאחת מהיחידות העסקיות החשובות של פייסבוק שתפקידה "לחבר בין אנשים לעסקים", או במילים אחרות - הם אלה שאחראים על הפעילות העסקית העיקרית של פייסבוק - פרסום ממוקד. כשאנשי היחידה הזו מרימים דגל שחור - זה אומר שמדובר בבעיה חמורה שצריכה פתרון מהיר.
חשוב לציין שהמסמך עצמו נכתב כבר ב-2021, כך שלא ברור מה מצב העניינים הנוכחי והאם בפייסבוק החלו או מנסים למצוא פתרון לבעיה. אבל בהנחה שבשלב הנוכחי לא נמצא פתרון מניח את הדעת - בעיקר את זו של הרגולטורים - הדבר לא יאפשר לחברה להתמודד עם דרישות הפרטיות המשתנות באירופה, ארה"ב והודו. "אין לנו רמה מספקת של שליטה על האופן שבו המערכות שלנו משתמשות בנתונים", הם מוסיפים. מדובר בבעיה שבעגה הפנימית של פייסבוק מכונה "ייחוס מידע" (data lineage).

2 צפייה בגלריה
מארק צוקרברג מכריז על השם החדש של פייסבוק
מארק צוקרברג מכריז על השם החדש של פייסבוק
מייסד ומנכ"ל החברה מארק צוקרברג
(Reuters)

השינויים באירופה עם פרסום חוקי ה-GDPR - שמגדירים כיצד ומה ניתן לעשות עם מידע של משתמשים בחברות מסחריות ואת מגבלות איסוף המידע - הביאו חברות רבות לבדוק את עצמן כדי להיות בטוחות שהן עומדות בדרישות. הקנסות הדרקוניים של מפרי ה-GDPR שמגיעים ל-4% מהמחזור השנתי להפרה חמורה הטילו מורא על עסקי כלכלת המידע. כעת מתברר שאפילו בפייסבוק האימתנית מתקשים לעקוב אחרי המידע והנתונים שהיא אוספת.
אבל לא מדובר רק במעקב אחרי המידע, אלא גם בניצול שלו למטרות שאינן עולות בקנה אחד עם הרגולציה. פייסבוק כבר נתפסה בעבר בשערוריה שבמסגרתה השתמשה במספרי טלפון של משתמשים שנאספו במקור לטובת שימוש במערכות הזדהות דו-שלבית בפלטפורמות שלה והועברו בהמשך לפיצ'ר "אנשים שאתה אולי מכיר", כמו גם למפרסמים. אחרי שחוקרים זיהו את הבעיה היא נאלצה לחדול מכך. תקנות ה-GDPR לא מאפשרות מיחזור של נתונים לצרכים שונים והחברה נדרשת לבקש אישור ספציפי מכל משתמש בכל פעם שהיא רוצה לאסוף ממנו מידע - אפילו אם מדובר במידע שכבר נאסף בעבר לצרכים אחרים.

2 צפייה בגלריה
פייסבוק מסנג'ר
פייסבוק מסנג'ר
פייסבוק מסנג'ר
(שאטרסטוק)

בתגובה לפרסום נמסר מדובר פייסבוק שאין כאן שום תיאור של הפרה של רגולציות הפרטיות. "זה לא מדויק לומר שהדברים שמתוארים במסמך מצביעים על אי ציות", נמסר מפייסבוק. "תקנות פרטיות ברחבי העולם מציגות דרישות שונות והמסמך הזה משקף את הפתרונות הטכניים שאנחנו בונים". עם זאת, עובד לשעבר של החברה שנשאל לגבי הנושא הסביר שלחברה יש רק מושג כללי לגבי מה קורה עם הנתונים במערכות הפנימיות. "יתרה מכך זה מעניק לפייסבוק סיפור כיסוי חוקי על כך שיעלה לה הון לתקן את הבלאגן הזה", הוא הוסיף.
אנשי פרטיות כגון ג'וני ריאן מהמועצה האירית לחופש אזרחי, הוסיפו שלדעתם המסמך מראה שמה שחשדו בו בעבר - שלחברה אין למעשה כל שליטה על הנתונים באופן פנימי ושעקב כך היא לא יכולה להגן עליהם בצורה יעילה. מנגד, עובדי פייסבוק שרואיינו רשמית כדי להסביר את עמדתה הסבירו שפייסבוק כן מתכננת להתאים את עצמה לדרישות הרגולטוריות החדשות, אבל שזה דורש השקעה בכלים שיוכלו לבצע את המעקב בצורה אוטומטית ולא להסתמך על עובדים אנושיים כפי שהמצב כיום. במילים אחרות - בחברה מחפשים פתרון, ולדבריהם מדובר ביעד חשוב בסדר עדיפות גבוה.
בפייסבוק מבינים היטב שמדובר בבעיה. החברה אפילו החלה לעבוד לפני יותר משלוש שנים על מוצר פרסום בשם Basic Ads שהיה אמור לשמש כפתרון לטווח קצר לבעיית הנתונים. הוא היה אמור לאפשר למשתמשי פייסבוק לבטל את ההסכמה שלהם לשימוש במידע שלהם על ידי מערכות פרסום צד ראשון או שלישי. מידע כגון לייקים, פוסטים, חברים, דפים או רשימות חברים. המערכת היתה אמורה להיות מוכנה לשימוש באירופה בינואר לפני שנתיים - אך עד לרגע זה היא לא הופעלה - איחור לדדליין שעובדיה קבעו לעצמם שהוא כבר הרבה מעבר לאופנתי.