TechCrunch 获悉,在一系列用户抱怨 Twitter 无视删除其直接消息的请求后,欧洲数据保护监管机构正在与 Twitter 进行“接触”。
自去年秋天 Elon Musk 接管公司以来,对 Twitter DM(非端到端加密 (E2EE))的隐私和安全的担忧有所增加,引发了员工和相关专业人才的流失。这位背着水槽的亿万富翁来到 Twitter 总部,还导致自封为 Chief Twit 的一系列快速但考虑不周的产品变更,加剧了用户担心其数据安全的理由。
与此同时,在去年一名安全举报人提出指控后,关于 Twitter 删除数据的难易程度,甚至是否可以删除数据,该公司面临着一个更广泛的问号。
DM 数据擦除请求
英国信息专员办公室 (ICO) 和爱尔兰数据保护委员会 (DPC) 告诉 TechCrunch,在收到大量用户投诉 Twitter 未能满足删除 DM 的请求后,他们正在与这家社交媒体公司进行交谈。
ICO 发言人表示:“ICO 正在与 Twitter 的数据保护官进行对话,并将继续评估公司及其在线服务的任何变化对数据保护的潜在影响。”
TechCrunch 了解到,Twitter 正在通过告知用户现有的停用其帐户的选项来回应此类删除请求,并向他们提供有关如何执行此操作的一般信息。
在发送给一位要求删除其直接消息的用户的电子邮件中,该公司写道:“您可以随时停用您的帐户。停用后,你的 Twitter 帐户,包括你的显示名称、用户名和公开个人资料,将无法再在 Twitter.com、iOS 版 Twitter 和 Android 版 Twitter 上查看。”
Twitter 还告知他们,“如果帐户被意外或错误地停用”,可以在 30 天内撤销帐户停用——然后警告说“搜索引擎和其他第三方可能仍会保留你的公共信息的副本……即使你已经删除信息”。
它通过提供指向“有关帐户停用的更多信息”的链接来结束电子邮件。
这封签署为“ Twitter 数据保护办公室”的信函并未提及删除直接消息数据——这正是该人实际要求删除的内容。
因此,用户的抱怨是 Twitter 拒绝欧洲法律要求删除他们的个人数据。
欧盟的《通用数据保护条例》(GDPR)——适用于欧盟成员国爱尔兰和英国,至少目前是这样,它仍然被纳入国内数据保护法——为公民提供了一系列权利,包括他们的个人权利数据,包括要求删除个人数据的权利。
这是 Twitter 用户一直在寻求行使的直接消息权利。
虽然 Twitter DM 是私有的(而不是公开的),但它们不是 E2EE——这意味着消息的内容可以通过 Twitter 访问。
该公司也不向用户提供从其服务器上删除已发送消息数据的功能。如果你手动删除你发送的 DM, Twitter 的帮助中心说信息只会从你自己的帐户中删除(因此,基本上,它只是从你自己的视图中隐藏)——数据不会从任何其他消息传递参与者的帐户中删除—— Twitter 指定:“当您删除直接消息或对话(发送或接收)时,它只会从您的帐户中删除。”
这意味着数据本身保留在公司的服务器上,并且仍可供 Twitter 员工访问,因此用户无法手动删除已发送的 DM。
删除 DM 的这个问题已经为人所知有一段时间了,但自从马斯克接管 Twitter 并开始通过解雇高级管理人员和削减公司员工人数来沉没船后,这个问题就爆发了。他的行为还引发了关键安全和隐私工作人员的离职浪潮——引发了人们对现有安全系统和隐私协议无法在过渡期间幸存下来的担忧。
马斯克专注于让剩余员工快速推出新功能,这导致有报道称该公司放弃了标准的产品安全审查流程。 去年 11 月,一位消息人士告诉我们,该公司不再满足 GDPR 的关键要求。因此,剩下的 Twitter 用户有足够的理由担心他们数据的安全。
如果这还不够,马斯克决定将内部数据和系统访问权限交给一些非员工——在他邀请了一些记者参与一个名为“推特文件”的项目——旨在生成对前 Twitter 领导团队做出的内容审核决定的报道,显然是为了进一步推动右翼阴谋论的议程,声称保守派观点在 Twitter 上被禁止。 (有趣的是,这种说法一直持续到 Musk-Twitter 时代——导致本月早些时候Chief Twit 出现了一些有趣的戏剧,当时他说他将暂时将自己的帐户设置为私人账户,以“测试”私人推文是否更容易被看到比公开推文……但是,呃,我们离题了。)
目前尚不清楚这种非员工对 Twitter 数据和系统的访问范围有多大。然而,隐私专家很快强调这种非正统的发展是对用户数据的另一种威胁——特别是对 DM 的威胁,因为私人消息可能包含比公共(甚至私人)推文更敏感的内容,因此可能引起记者的高度兴趣到处寻找独家新闻。
11 月,伦敦大学学院数字权利与监管副教授 Michael Veale 发表了一篇方便的博客文章,其中说明了 Twitter 用户如何根据欧盟法律(又名 GDPR 第 17 条)提出“删除请求权” ) 并要求 Twitter 删除他们的 DM。
他建议的电子邮件文本清楚地指示 Twitter 用户“特别不要求删除任何其他数据,例如推文或其他人发送给我的 DM”——并且还指定“我不要求你停用我的帐户”——进一步强调:“我的帐户发送的任何直接消息的副本不应保留在 Twitter 或其数据处理器的服务器上”。
Veale 去年使用此模板向 Twitter 提出了自己的请求,要求其删除他的 DM。但 Twitter 也拒绝了他的请求,建议他可以停用他的账户。因此,他向 ICO 提出了投诉——这导致监管机构就投诉与 Twitter 进行了接触。
但更进一步的是,ICO 联系了 Veale,称 Twitter 告诉它已经向他发送了一封跟进电子邮件。然而,Twitter 使用的电子邮件地址包含一个拼写错误——这意味着这封额外的信件不仅没有到达 Veale,而且可能已经完全发送给了另一个人(插入你自己的脸)……这意味着 Twitter 可能不仅弄错了 DM 删除请求,而且也可能发生了数据泄露。
我们了解到 ICO 本周再次写信给 Twitter 关于 Veale 的持续投诉——指示它“对他的删除请求做出明确和实质性的回应”——并在 7 天内这样做。
所以来回继续 – 现在。
但是,如果 Twitter 继续通过拒绝用户删除其 DM 的权利来绕过欧盟法律,那么监管机构将对这只鸟进行打击和执行 GDPR。对违反该制度的处罚最高可达年营业额的 4%,如果持续违规,通常会伴随纠正令。
可扩展删除工作出轨?
这还不是全部。还有另一个问号是 Twitter 是否真的有适当的系统来使其能够轻松(并迅速)执行请求的 DM 删除——或者,实际上,根据请求删除其他类型的用户数据(甚至整个帐户)。
事实上,安全举报人 Peiter ‘Mudge’ Zatko去年秋天对 Twitter 提出的其中一项指控是声称它无法删除用户数据。据美国有线电视新闻网报道,推特前安全主管表示,该公司在用户注销账户后并没有可靠地删除用户数据——在某些情况下,因为它可能已经失去了对信息的追踪。
他还声称 Twitter 误导了监管机构,关于它是否真的按照法律要求删除了数据。
在马斯克接管公司之前熟悉 Twitter 系统和流程的消息人士去年对 Mudge 的一些说法提出异议——告诉我们数据删除问题比他的账户声称的“要复杂得多”。然而,这位不愿透露姓名与 TechCrunch 交谈的人还告诉我们,该公司没有用于删除数据的可扩展系统——并表示它历来依赖使用“一次性机制”来完成任务.
在 Mudge 的投诉落地后,我们的消息人士称,推特上对删除问题的审查和工作已经在内部进行了可能长达五年的时间,以试图妥善处理删除问题,并与公司一起启动分配“专门的团队”来处理可扩展的删除。 Teams Musk 在他接管公司后进行了裁员。 “结果是那里没有人和资源来按时完成这项工作,”消息人士表示。
此外,他们告诉我们 Twitter 已向美国和欧洲的监管机构提出交涉,这项工作将在特定日期前完成——粗略的目标是(在马斯克的破坏球摆动之前)在今年第三季度完成——所以任何错过该项目的最后期限可能会产生额外的监管影响。
“由于 [ 去年 11 月的裁员浪潮],工作最终无法按计划进行,”我们的消息人士预测道。 “即使 [Musk] 转移了他目前在公司可用的所有工程资源——这意味着他无法推出新产品,他必须专注于此——他仍然会把最后期限推迟至少两个季度。”
我们已经联系了 Twitter,询问其拒绝用户的 DM 删除请求的问题——以及更广泛的问题,即它是否有可扩展的系统来以符合监管义务的方式删除用户数据——并将更新这篇文章有任何回应。但请随时加入我们的私信, Ella Irwin 。
您是否在 Twitter 工作并且知道发生了什么事?联系 [email protected]
马斯克的推特正面临数据删除的棘手问题娜塔莎·洛马斯 ( Natasha Lomas ) 最初发表在TechCrunch上
原文: https://techcrunch.com/2023/02/08/elon-musk-twitter-dm-deletion/