日前華爾街日報發表一篇名為「 Tech’s ‘Dirty Secret’: The App Developers Sifting Through Your Gmail (科技企業的醜陋秘密:應用軟件開發者透過你的 Gmail 收集你的資料)」的報道,造成對 Gmail 保障私隱的議論。 Gmail 和 Google 其他應用都提供不少第三方公司開發的外掛程式來增強功能,例如合併電郵、客戶關係管理、日程安排、數碼表格等,也有不少手機 App 可以透過 API 存取 Gmail 電郵。不過大家在使用的時候,又有沒有想過你會因此批准有關的開發者閱覽你的電郵呢?
華爾街日報這篇報道,指一間名為 Return Path 提供電郵市場推廣支援的公司,為了分析應用程式用戶的電郵內容,將約 8,000 封電郵交給人類的程式人員閱讀。
要使用這類程式,用戶是需要授權程式存取他們的電郵的,不過大家預期只是授權電腦程式做自動處理,沒想到會有人類可以閱覽電郵吧。在 Facebook 的劍橋分析事件和 GDPR 規定下, Google 當然不想變成箭耙,所以立即發文解釋。
Google 指透過 Gmail API 來存取電郵是要經過嚴格的審核,而在安裝程式時,開發者需要向用戶指明會存取哪些資料,例如讀取、寄發、刪除電郵、管理聯絡人和行事曆之類,不過大家又有沒有留意當中的條款,可能也容許了人類開發員閱覽你的電郵?
報道核心的 Return Path 也發表聲明,指他們在幾年前就已經在用戶遞交敏感個人資料時彈出所謂「即時通知( Just-in-Time notification )」提醒用戶注意。他們承認了華爾街日報的報道內容,不過就指讓人類閱讀那 8,000 封電郵的內容,是為了製作 AI 的學習資料,而不是經常讓人類去閱覽電郵的。此外,他們強調閱覽的時候是很小心處理的,例如將電郵資料匿名化。
另一方面, Google 也解釋在過濾垃圾及釣魚電郵,及提供「聰明回覆」等功能時,都是採用電腦自動處理的。除非在用戶同意,又或者調查虐待、除錯等非常特殊的情況下,才會有人類閱讀電郵。
聲明是發出了,不過這能否釋除大家對 Gmail 的私隱保障疑慮則作別論。我們承認開發者不可能在完全沒有真實數據下就能開發出實用的軟件,不過開發者甚麼時候閱覽了我們哪封電郵我們完全不知道。單靠安裝程式時的「一刀切」免責條款和私隱聲明真的能保障甚麼嗎?是否應該在任何開發者閲覽電郵的情況下,都要另行取得同意呢?