Meta因涉嫌規避Apple的隱私規則而遭遇兩起集體訴訟

近期，Apple iOS 使用者代表對 Meta 提起了兩起集體訴訟，指控其繞過了使用者隱私偏好設定，跟蹤使用者在第三方網站上的所有活動。這些訴訟是基於前Google工程師Felix Krause進行的研究，他聲稱 Meta 試圖通過在使用者使用 Facebook 或 Instagram 的應用程式內瀏覽器訪問的外部網站上插入跟蹤程式碼，以此來彌補損失的廣告收入。

然而，Meta否認了這一指控，聲稱其瀏覽器的設定尊重了使用者的隱私選擇，同時可以將資料用於廣告。

《網際網路法律評論》曾發佈過一篇《Meta一天蒸發2300億美元市值背後的市場邏輯》，這場訴訟將再一次向我們展示“隱私權與平台商業模式”這一難題的解釋和解決過程。就此問題，《網際網路法律評論》將持續關注。

一、背景：Meta受到隱私保護的挑戰

Meta 的商業模式依賴於向廣告商出售使用者資料，而在蘋果iOS在2021年更新了隱私政策之後，Facebook 和 Instagram 在經營上損失慘重，正在尋求新的途徑來彌補損失。

•蘋果（Apple）於 2021 年更新其隱私規則積極反對跨主機跟蹤：

•從 iOS 14.5 開始，App Tracking Transparency 讓使用者處於控制之中：應用程式需要先獲得使用者的許可，然後才能跨其他公司擁有的應用程式跟蹤其資料。

•Safari 已默認阻止第三方 cookie

•Google（Google）瀏覽器即將逐步淘汰第三方 cookie

•Firefox剛剛宣佈默認為Total Cookie Protection以防止任何跨頁跟蹤

二、技術專家測試發現的隱私問題：應用內瀏覽器

隨著網路瀏覽器和 iOS 在使用者手中增加了越來越多的隱私控制，Instagram 對監控外部網站的所有網路流量感興趣。為了調查潛在的隱私問題，Felix Krause建立了一個名為 inappbrowser.com 的網站，使用者可以在其中“檢測特定的應用內瀏覽器是否將程式碼注入第三方網站”。

經過測試對比，2022年8月，隱私研究員和前Google工程師 Felix Krause 聲稱，Meta在其iOS 系統下的Instagram 和 Facebook，其應用內瀏覽器可以呈現所有第三方連結和廣告。這會給使用者帶來隱私風險，因為Meta能夠跟蹤與外部網站的“每一次互動”，包括每次點選、輸入、滾動行為、複製和貼上的內容，以及線上購物等資料。

▲ 圖片來源：Felix Krause部落格

內設瀏覽器監控無需同意：Instagram 應用程式設定了內部瀏覽器，用於展示外部網站的連結，而不是使用內建的 Safari。這允許 Instagram 監控外部網站上發生的一切，無需使用者或網站提供商的同意。

監控內容廣泛：Instagram 應用程式將他們的 JavaScript 程式碼注入到顯示的每個網站中，包括在點選廣告時。儘管注入的指令碼目前不這樣做，但在第三方網站上運行自訂指令碼可以讓他們監控所有使用者互動，例如點選的每個按鈕和連結、文字選擇、螢幕截圖以及任何表單輸入，例如密碼、地址和信用卡號碼。

Instagram 擁有 10 億活躍使用者，通過將跟蹤程式碼注入從 Instagram 和 Facebook 應用程式打開的每個第三方網站，Instagram 可以收集的資料量是驚人的。

Krause在報告中表示，在其通過漏洞賞金計畫向 Meta 提交了他認為的隱私問題後， Meta 表示注入指令碼的部分原因是它是一項安全功能，“幫助 Meta 尊重使用者的 ATT 退出選擇”，即不出售或分享資訊。最終，Meta 關閉了 Krause 的錯誤報告，稱 Meta 插入程式碼是“有意為之”，並且“不是隱私問題”。

三、內設瀏覽器的法律問題

在過去的一週裡，有三位iOS以及Facebook使用者根據Felix Krause的研究提起了兩起集體訴訟，指控Meta隱瞞隱私風險，繞過iOS使用者的隱私選擇，攔截、監控和記錄在Facebook或Instagram瀏覽器上瀏覽的所有第三方網站的活動。這包括表單條目和截圖，允許Meta通過其應用內瀏覽器訪問“個人身份資訊、私人健康細節、文字條目和其他敏感機密事實”的秘密管道——似乎使用者甚至不知道資料收集正在發生。

原告的法律團隊稱，這是一個阻止Meta隱瞞正在進行的隱私侵犯的重要案件。在訴狀中，還提及了Meta 早在2019年在未經同意的情況下收集使用者資訊的不當行為，導致了聯邦貿易委員會(Federal Trade Commission)對其處以50億美元罰款的案例。

▲ 圖片來源：Bryce Durbin / TechCrunch

1. 赤裸裸的“竊聽”

原告指出，這種注入程式碼被 Meta 用來“竊聽”使用者的策略，最初被稱為 “JavaScript 注入攻擊”。該訴訟將其定義為“威脅行為者將惡意程式碼直接注入客戶端 JavaScript 的實例。這允許行為者操縱網站或 Web 應用程式並收集敏感資料，例如個人身份資訊 (PII) 或支付資訊。”

根據投訴，當 Krause 向其漏洞賞金計畫報告該問題時，“Meta 承認它跟蹤 Facebook 使用者的應用內瀏覽活動”。投訴稱，Meta 當時還證實，它使用從應用內瀏覽收集的資料進行定向廣告。

這可能會觸犯美國的《竊聽法》。

2. 不正當競爭

投訴稱：“Meta 現在正在使用這種編碼工具來獲得優於其競爭對手的優勢，並且就 iOS 使用者而言，保留其攔截和跟蹤他們通訊的能力。”

這可能違反了《加州違反不公平競爭法》。

3. 使用者知情權

訴訟稱，Meta 目前的政策是故意讓使用者蒙在鼓裡的。

原告還指出，Meta 沒有在其Off-Facebook 活動設定中提及應用內瀏覽器跟蹤，使用者可以在其中監控他們的資料是如何從企業或網站收集的。例如，使用者可以在使用 Facebook 登錄訪問其他網站上的非 Facebook 帳戶時跟蹤共享的資料。

“Meta 不會通知 Facebook 使用者，從 Facebook 內點選第三方網站的連結會自動將使用者傳送到 Facebook 的應用內瀏覽器，而不是使用者的默認網路瀏覽器，或者 Meta 將監控使用者的活動和通訊在這些網站上，”投訴稱。“由於沒有任何東西提醒使用者這些事實，他們不知道跟蹤；大多數人甚至沒有意識到他們正在從 Facebook 的應用內瀏覽器中瀏覽第三方網站。”

如果法院採納原告意見，認為 Meta 故意違反法律——包括《竊聽法》、《加州侵犯隱私法》(CIPA) 和《加州違反不公平競爭法》——Meta 可能面臨巨額罰款。

該訴訟表明，自從 Meta 開始將程式碼注入第三方網站以來，數百萬使用者可能已經受到影響。元記錄可用於識別“所有在 Facebook 的應用內瀏覽器上訪問第三方外部網站的活躍 Facebook 帳戶的人”，因此有資格提出索賠。

如果原告勝訴，每個被視為受到負面影響的使用者將有權獲得《竊聽法》規定的“每天 10,000 美元或 100 美元”的法定賠償金和 《加州侵犯隱私法》 的“每次違反 5,000 美元的法定賠償金”。法院還可以評估其他罰款。

四、實用建議：使用者自行保護隱私

Felix Krause在其報告中，向非技術讀者解釋了一些常見的關切問題，以及在此情況下如何保護個人隱私：

資料來源

https://arstechnica.com/tech-policy/2022/09/lawsuits-say-meta-evaded-apple-privacy-settings-to-spy-on-millions-of-users/

https://krausefx.com/blog/ios-privacy-instagram-and-facebook-can-track-anything-you-do-on-any-website-in-their-in-app-browser

本文來自微信公眾號“Internet Law Review”（ID:Internet-law-review），作者：張穎，36氪經授權發佈。

本文經授權發布，不代表36氪立場。

如若轉載請註明出處。來源出處：36氪

◤果粉最愛 限時下殺◢
iPhone 14新機搶先預約 抽真無線耳機
iPhone13舊機下殺 直降3千省荷包
iPad 9萬元有找 熱銷限量補貨到
AirPods限時降價 最高折2千