侵犯用户数据遭指控 美政府要求Uber接受20年隐私系统审核

　　【财新网】（记者 周淇隽）美国联邦贸易委员会6月发起的针对Uber用户数据安全的调查有了结果。北京时间8月15日深夜，美国联邦贸易委员会（Federal Trade Commission，下称FTC）宣布，针对Uber欺骗消费者的指控，为了与FTC达成和解，Uber同意未来20年实施全面的隐私保护计划，接受常规、独立隐私审核。

　　在Uber与FTC的共识协议中，Uber被要求在180天内取得独立第三方审核来证明它具有符合甚至超过FTC要求的隐私系统。这样的审核要每两年一次，持续20年。

　　FTC将在联邦公报发布共识协议的内容，征询公众意见30天，9月15日后决定是否最终颁布同意令（consent order）。FTC发布的最终同意令有法律效力，每次违反要罚款多达40654美元。

　　FTC执行会长Maureen K. Ohlhausen表示，Uber辜负用户的地方主要是两点：第一，虚报了它监控雇员提取乘客和司机个人信息的监测程度；第二，虚报它采取合理步骤保护这些数据。“这个案例说明，即便是快速成长的公司，也不能丢下顾客，你必须兑现你的隐私和安全承诺。”Maureen K. Ohlhausen称。

　　2014年，Uber雇员利用内部工具“God VIew”不正当获取名人、政客等个人数据的情况被媒体曝光。公司高管Emil Michael甚至被爆出曾建议雇人跟踪写Uber负面报道的记者，Emil Michael之后离职。

　　Uber在2014年11月曾发布声明称，公司有“严格政策禁令”禁止雇员获取乘客和司机的数据，且雇员提取信息将被密切监控。据FTC调查，2014年12月，Uber开发了一个自动的系统来监控雇员提取用户个人信息，但使用不到一年就废弃了。FTC对Uber的指控称，在这之后的超过9个月，Uber对用户数据的内部使用几乎没有监控。

　　FTC认为，在安全存储方面，Uber称数据“在我们的数据库安全存储”，实际上，Uber的安全防护不能防止未经授权从第三方云提取用户数据。因此2014年5月，入侵者从第三方Amazon Web Service运行的数据库中，获得超过10万的姓名和司机驾照号码。

　　FTC认为，Uber甚至没有采取低成本的防止入侵的措施。例如，Uber没有要求工程师和程序员用区分的密钥，而是允许他们用单一密钥给他们对全体数据的全部操作权限，并且没有要求使用数据时用多重因素认证。此外，Uber把敏感用户信息包括地理位置，存在数据库的普通可读文本。

　　Uber最近一直处在整个硅谷舆论的风口浪尖。就在FTC发布消息同一天，北京时间8月15日凌晨，硅谷著名风险投资公司、Uber早期投资机构 Benchmark Capital在Twitter发布公开信，解释起诉Uber创始人、前CEO特拉维斯·卡兰尼克的原因和时机。

　　8月10日，卡兰尼克遭到早期投资人起诉。Benchmark Capital认为卡兰尼克涉嫌欺诈董事会，刻意隐瞒其在公司管理中出现的重大问题和不正当行为。随后引发股东和董事会的意见分歧，挺卡兰尼克派和倒卡兰尼克派股东甚至公开互相指责。（详见《Uber股东和创始人对峙升级 称公司已两年无CFO》）。