9 月 20 日，《华尔街日报》发布报道称谷歌在给美国参议院的回信中承认允许第三方应用开发者扫描并收集 Gmail 数据，还将面临美国商务委员会的听证会审查。作为比 FaceBook 收集数据更疯狂的搜索巨头，谷歌原本并没有遭遇用户太多反感，因为它明确告知用户搜集信息的行为和用途，并让用户可以自主管理甚至删除数据。但这一次，当难于监管的第三方也牵涉到数据收集与隐私混战中，谷歌似乎也深陷泥淖难以自拔。

争议不断的 Gmail 数据收集

搜索巨头谷歌收集用户数据用于广告推广早已有之 。在其数据收集声明页面，谷歌列出了概览、用户数据、隐私控制、用户安全、广告运作方式以及更安全的互联网环境等多个条目。其中，在用户数据条目下，谷歌声明所收集的数据包括用户执行的操作、创建的内容、标识个人身份的信息这三大类，同时也说明了这些数据可能存在的几种利用方式。

在用户创建的内容这一类中，“通过 Gmail 收发的电子邮件”这条内容依然在列

Google对人们的Gmail帐户进行扫描然后发布目标广告，有助于广告主更精准的定位消费者，但由于这种做法可能侵犯用户的隐私权和私有财产权，并因此给Google带来了一系列的法律诉讼。

2015 年到 2016 年，谷歌曾经历一场官司。原告认为谷歌的电子邮件扫描违反了加利福尼亚和联邦隐私法，称它是“二十一世纪的严重灾难”。随后，谷歌表示统一改变系统运作方式，在用户发的邮件到达对方收件箱之前，不再扫描邮件中包含特定广告信息的内容。

2017 年 6 月，谷歌正式表态称将终止通过扫描Gmail用户电子邮件内容提供的定位广告这一富有争议的广告服务。此举旨在打消用户的隐私顾虑，让Google能够获得更多的企业广告用户。

然而时至今日，谷歌再次被指认依旧在扫描 Gmail 数据，引发了执法部门的关注。

第三方程序开发者可扫描数据

近日，谷歌在回应美国国会提出的有关隐私问题和可能滥用用户电子邮件中包含的信息的问题时表示，尽管从2016 年开始，，谷歌本身已经不再扫描 Gmail 邮件内容用于精准广告投放，但是目前第三方公司依旧可以扫描并共享来自 Gmail 账户的数据。通常情况下，只要谷歌能确定应用开发者的隐私政策充分披露了数据和信息的潜在用途，应用开发者就可以自由地与他人共享数据。

事实上，外部应用开发者可以利用 Gmail 和其他电子邮件服务所提供的软件工具获取大量信息，包括用户所购买的产品、用户的旅行目的地、常用联系人（朋友、同事）等。在此次的谷歌回应事件中，第三方公司的员工可以读取到用户的实际邮件内容，用于提升应用软件的算法。

根据“华尔街日报”的报道，第三方应用开发公司可以扫描并分析每天到达收件箱的数十亿封电子邮件，获取用户的购物收据和旅行攻略等内容。其中一些应用与合作伙伴共享电子邮件数据，合作伙伴使用这些数据来了解用户的行为，进而提升公司将广告定位到用户的能力。当用户注册 Earny（一种将收件箱中的收据与网络价格进行比较的工具）时，他们的收件箱也会被另一家名为 Return Path Inc. 的公司扫描并提供给营销人员。

而谷歌声称只要 Earny 告诉用户将如何利用数据，就能实现上述操作。尽管 Return Path 和 Earny 都表示他们会向用户提供有关电子邮件监控的明确通知。但是，Earny的隐私政策却很耐人寻味：Return Path 将通过 Earny“访问用户信息，并根据 Return Path 自己的隐私政策使用这些数据。而用户在使用 Earny 时，其实并不知道 Return Path 的隐私政策为何物。

隐私条款声明无法成为挡箭牌

谷歌负责美洲公共政策和政府事务的副总裁 Susan Molinari 在 7 月份发送给美国参议院的信件中表示：

只要开发者将使用数据的方式对用户完全公开透明，就可以与第三方共享数据。

Molinari 同时也提到，作为Alphabet 的子公司，谷歌也严格遵守相关的隐私政策，确保用户在决定是否授予访问权限之前，可以轻松查看到相关的隐私条款。在信中，谷歌还概述了审核第三方电子邮件应用程序所需的步骤，包括手动审查隐私政策和使用计算机工具来检测应用程序行为的重大更改等。

当我们发现异常行为时，会进行调查。而当我们发现异常、暂停应用程序时，则会警告用户取消应用对其数据的访问权限。

根据Google 的政策，开发扩展程序的软件公司必须告知用户他们如何收集和共享 Gmail 数据，而用户在安装第三方扩展程序之前也要授权才能使用。大约有数百家开发者在这样的隐私政策掩护下扫描并滥用用户的电子邮件内容，而目前全球 14 亿 Gmail 用户中，似乎还有很大一部分依旧蒙在鼓里。

在信件中，谷歌并未对于监管部门的其他要求做出回复，如列举出谷歌暂停的不遵守规则的电子邮件应用程序的时间线、列举应用程序与第三方共享数据的详细实例等。谷歌在此前的一份书面声明中也表示，谷歌自己的员工只会“在特殊情况下阅读电子邮件，要么是用户要求员工阅读且给予同意；要么是谷歌为了调查 bug 和滥用等安全目的而阅读”。

谷歌似乎认为，只要解释清楚自己的隐私政策，第三方在隐私政策下收集并滥用数据的暗度陈仓似乎与己无关。如果说 FaceBook 与剑桥分析公司的大规模数据滥用事件已经碾压过执法者与普通民众的神经，此次谷歌的回应则更像是摸虎须，引起了监管部门的强烈不满。

虽说在收集信息前通知用户手收集的数据范围和用途并让用户自主管理数据看起来很人性化，但这样的政策也的确容易被第三方滥用，最终损害的依旧是用户的权益。对于监管部门和用户而言，看似透明的隐私声明，已经不能成为违法和侵权的挡箭牌。

美国商务委员会将于当地时间9 月 26 日举行一场听证会，来自谷歌、亚马逊、Twitter、苹果、CharterCommunication 和 AT&T 等科技公司的隐私安全代表将就如何保护消费者隐私问题进行回答。谷歌的的回应信可能正好为听证会提供素材，届时，这个硅谷巨头也许会面临更多问题。

*参考来源：wsj，作者 AngelaY，转载请注明来自 FreeBuf.COM