昨天公开的爆炸性Twitter 举报人投诉– 详细说明了 Twitter 前安全负责人 Peiter “Mudge” Zatko 对安全、隐私和数据保护问题(以及其他)的一系列诅咒指控 – 包含对欧洲监管机构的提及以及声称这家社交媒体公司在遵守当地法律方面误导或打算误导地区监督机构。
爱尔兰和法国的两个欧盟国家数据保护机构已向 TechCrunch 证实,他们正在跟进举报人的投诉。
爱尔兰是 Twitter 欧盟通用数据保护条例 (GDPR) 的首席主管,此前曾领导对另一起导致 Twitter 罚款 55 万美元的单独安全事件进行 GDPR 调查,该公司表示正在与该公司“接触”围绕投诉的宣传。
“当我们 [昨天] 阅读媒体报道并就此事与 Twitter 进行接触时,我们意识到了这些问题,”监管机构的副专员格雷厄姆·多伊尔告诉我们。
虽然法国的 DPA 表示正在调查投诉中的指控。
“CNIL 目前正在调查在美国提起的投诉。目前,我们无法确认或否认所谓违规行为的准确性,”法国监管机构的一位发言人告诉我们。 “如果指控属实,CNIL 可以进行检查,如果发现违规行为,可能会导致遵守命令或制裁。在没有违反的情况下,程序将被终止。
机器学习问题
爱尔兰的数据保护委员会 (DPC) 和法国的国家对等机构 CNIL 都在“Mudge 报告”中被引用——在一个例子中,Zatko 怀疑 Twitter 打算在查询用于训练的数据集时误导他们其机器学习算法的方式与投诉指控 Twitter 几年前在该问题上误导 FTC 的方式类似。
在标题为“误导多个国家的监管机构”的投诉部分中,Zatko 声称 FTC 曾向 Twitter 询问有关用于构建其机器学习模型的培训材料的问题。
“Twitter 意识到,如实回答将牵涉到公司广泛的版权/知识产权侵权行为,”在诉状中写道,然后断言 Twitter 的策略(他说高管“明确承认具有欺骗性”)是拒绝向 FTC 提供所要求的培训材料,而是将其指向“不会暴露 Twitter 未能获得适当知识产权的特定模型”。
这两家欧洲监管机构之所以参与进来,是因为 Zatko 表示他们准备在今年进行类似的调查——他说,一名 Twitter 工作人员告诉他,该公司打算尝试使用它为应对早期 FTC 所采取的相同策略对该问题的调查,以破坏监管审查。
“在 2022 年初,爱尔兰-DPC 和法国-CNIL 预计会提出类似的问题,一名高级隐私员工告诉 Mudge,Twitter 将尝试同样的欺骗,”投诉称。 “除非自 Mudge 在一月份被解雇后情况发生了变化,否则 Twitter 继续运营其许多基本产品很可能是非法的,并且可能会受到禁令的约束,这可能会导致大部分或全部 Twitter 平台瘫痪。”
爱尔兰和法国的监管机构都没有回应有关具体声明的问题。因此,目前尚不清楚欧盟数据保护机构可能已经(或计划)就 Twitter 的机器学习训练数据集进行了哪些调查。
一种可能性——也许是最有可能的一种,考虑到欧盟数据保护法——可能是他们担心或怀疑 Twitter 在没有适当的法律依据的情况下处理个人数据以构建其 AI 模型。
在另一个例子中,备受争议的面部识别公司 Clearview AI最近几个月面临着来自 DPA 的大量区域执法,这些执法与使用个人数据训练其面部识别模型有关。尽管这种情况下的个人数据——自拍/面部生物识别——是欧盟法律下最受保护的“敏感”数据类别之一,这意味着它具有最严格的法律处理要求(目前尚不清楚 Twitter 是否可能一直在使用类似的敏感数据)用于训练其 AI 模型的数据集)。
Cookie 失控?
在法国监管机构于 2021 年 12 月下令修改其流程以遵守相关法律之后,Mudge 投诉还直接声称 Twitter 在一个单独的问题上误导了 CNIL——与 cookie 功能的不当分离有关。
Zatko 声称,直到 2021 年第二季度/第三季度,Twitter 对其如何部署 cookie 以及它们的用途缺乏足够的了解——而且 Twitter cookie 被用于多种功能,例如广告跟踪和安全会话。
“很明显,Twitter 违反了世界许多地区的国际数据要求,”投诉称。
适用于此的欧盟数据保护法的一个关键原则是“目的限制”——即个人数据必须用于其收集的既定(合法)目的的原则;并且不应捆绑用于数据的用途。因此,如果 Twitter 将 cookie 功能用于明显不同的目的,例如营销和安全——正如投诉所称——这将在欧盟为其带来明显的法律问题。
根据投诉,CNIL 在 Twitter 获悉 cookie 功能问题,并于去年年底命令该公司修复,可能是依靠其在欧盟 ePrivacy 指令(该指令规范 cookie 等跟踪技术的使用)下的能力。
Zatko 写道,Twitter 的一个新的隐私工程团队“不知疲倦地”努力解开 cookie 功能,以允许“某种形式的用户选择和控制”——例如,拒绝跟踪 cookie,但接受与安全相关的 cookie——就像是欧盟法律要求的。他说,此修复程序已于 2021 年 12 月 31 日在法国独家推出,但在 Twitter 遇到问题后立即回滚并被禁用——他抓住这个操作 SNAFU 将更多的责任归咎于 Twitter,因为没有单独的测试环境。
但是,尽管他写道该漏洞“在几个小时内”就修复了,但他声称 Twitter 产品和法律决策者阻止将其再推出一个月——直到 2021 年 1 月 31 日——“以从法国用户那里获取最大利润在推出修复程序之前”。
“Mudge 向高管们提出挑战,声称这不是将增量利润优先于用户隐私和法律数据隐私要求的努力,”投诉还断言,并补充说:“那次会议的高级领导人承认 Mudge 是正确的。”
Zatko 进一步声称 Twitter 发起了“主动”的法律行动——他说他们“试图声称所有 cookie 从定义上来说都是关键和必需的,因为该平台是由广告驱动的”——然后继续声称在他听到产品员工在内部对话中表示该论点是“错误的并且是恶意的”。
已联系 Twitter 以回应举报人报告中引用部分中提到的具体主张,但在撰写本文时尚未作出回应。但该公司昨天对 Mudge 的报告做出了一般性回应——称该投诉是一位心怀不满的前雇员的“虚假叙述”,它还声称该投诉“充满了不一致和不准确之处”。
无论如何,举报人的投诉已经引发了对 Twitter 声明的新监管审查。
目前尚不清楚如果监管机构在跟进 Mudge 的投诉后决定(经过仔细检查)该公司违反了地区要求,该公司将在欧盟面临何种处罚。
GDPR 允许的处罚高达全球年营业额的 4%——尽管 Twitter 之前针对单独的安全相关违规行为的 GDPR 处罚远未达到这一水平。然而,执法应该考虑任何违规行为的规模和程度(以及实际上是意图)——如果 Mudge 指控的广泛失误,如果通过正式的监管调查站起来——最终可能导致更严重的处罚。
赋予 CNIL 监管 Twitter cookie 的权限的 ePrivacy 指令授权 DPA 发布“有效、相称和劝阻性”的制裁——因此,如果它认为罚款是合理的,很难预测这在硬财务条款中可能意味着什么。但近年来,法国监管机构因与 cookie 相关的故障向科技巨头处以数百万美元的罚款。
这包括对谷歌的两项严厉处罚——1 月份对欺骗性 cookie 同意横幅的 1.7 亿美元罚款; 2020 年 12 月因未经同意放弃跟踪 cookie 而单独罚款 1.2 亿美元——以及 1 月份对 Facebook 的 6800 万美元罚款(也针对欺骗性 cookie),以及 2020 年底对亚马逊的 4200 万美元罚款,同样适用于未经同意丢弃跟踪 cookie。
原文: https://techcrunch.com/2022/08/24/twitter-whistleblower-security-eu/