– Michel Protti, Chief Privacy Officer for Product
Vårt arbete med integritet är uppbyggt av våra interna styrningsstrukturer som bäddar in integritets- och dataanvändningsstandarder i hela företagets verksamhet.
Under arbetet med att integrera integritet för hela företaget har vi bäddat in integritetsteam inom produktgrupper. Dessa fördjupar förståelsen för integritetsöverväganden genom att tillhandahålla expertis inom varje produktgrupp. Dessa team ser till att integritetsansvaret finns inbyggt i alla våra produkter.
Teamet för integritet och datapraxis leds av Michel Protti, som är Chief Privacy Officer for Product, och består av dussintals olika team, både tekniska och icke-tekniska, som fokuserar på att formulera och bibehålla integritetsstrategier och möjliggöra för resten av företaget att följa dessa.
Teamet för integritet och datapraxis är centralt för företagets arbete med att upprätthålla vårt omfattande integritetsprogram. Teamets uppdrag är att ingjuta en ansvarsfull datapraxis på Meta och vägleder detta arbete genom att se till att personer förstår hur Meta använder deras data och att de kan lita på att våra produkter använder denna data på ett ansvarsfullt sätt.
Teamet för integritet och datapraxis är bara en organisation bland många på företaget som ansvarar för integritet. Det finns tusentals personer i olika organisationer och roller på Meta som arbetar för att integrera integriteten i alla delar av vår företagsverksamhet, däribland offentlig policy och juridik. Det är ett djupgående tvärfunktionellt arbete att få till integriteten och vi anser att alla på Meta är ansvariga för detta arbete.
Teamet för integritets- och datapolicy leds av Erin Egan, som är Vice President och Chief Privacy Officer for Policy. Teamet leder våra insatser i den globala offentliga diskussionen kring integritet, däribland nya regelverk, och ser till att feedback från myndigheter och experter runt om i världen beaktas vid framtagandet av våra produkter och vår dataanvändningspraxis.
Teamet för integritets- och datapolicy samråder därför med dessa grupper via ett flertal olika samrådsmekanismer, bland annat följande:
Vi arrangerar också regelbundna samtalsserier och en årlig sammankomst för integritetsexperter där ledande integritetsexperter från hela världen diskuterar en rad angelägna integritetspolicyämnen.
Teamet för integritetsjuridik är inbäddat i utformningen och det pågående genomförandet av programmet och rådgör angående juridiska krav under integritetsgranskningsprocessen.
Integritetskommittén är en oberoende kommitté i vår styrelse som sammanträder minst varje kvartal för att se till att vi lever upp till våra integritetsåtaganden. Kommittén består av oberoende styrelseledamöter med en omfattande erfarenhet av liknande tillsynsroller. Minst en gång i kvartalet tar de emot sammanställningar av bland annat det globala policylandskapet, hur det står till med integritetsprogrammet och statusen för den oberoende utvärderingen från tredje part av integritetsprogrammet.
Internrevisionen ger en oberoende försäkran om det övergripande skicket för integritetsprogrammet och det stödjande kontrollramverket.
En del i arbetet med att se till att alla förstår sin roll i att skydda integritet på Meta är att kontinuerligt satsa på integritetsutbildning, alltifrån träning till interna medvetenhetskampanjer om integritet.
En central komponent i vår utbildningspraxis levereras genom vår integritetsträning. Integritetsträningen täcker de grundläggande delarna av integritet och har utformats så att alla på Meta utvecklar förmågan att känna igen och överväga integritetsrisker. E-utbildningsformatet hos både den årliga integritetsträningen och integritetsträningskurserna för nyanställda och nya tillfälliga arbetare ger scenariobaserade exempel på integritetsöverväganden i linje med vår affärsverksamhet. De innefattar också en utvärdering som testar förståelsen av de relevanta integritetskoncepten. Denna träning uppdateras och distribueras årligen för att säkerställa att relevant information ingår tillsammans med kärnkoncepten.
Vid sidan av den grundläggande integritetsutbildningen har vi också en katalog med alla kända integritetsutbildningar som används på Meta och som omfattar ämnen som är relevanta för personer i specifika roller.
Ett annat sätt som vi bedriver integritetsutbildningen på är genom regelbunden kommunikation med anställda. Utöver våra integritetsutbildningskurser levererar vi löpande integritetsinnehåll via interna kommunikationskanaler, uppdateringar från integritetsledarskapet, interna frågestunder och en dedikerad integritetsvecka.
Under den dedikerade integritetsveckan fokuserar vi på integritet mellan företag, presenterar interna och externa föredragshållare och lyfter viktiga integritetskoncept och -prioriteringar med hjälp av engagerande innehåll och evenemang.
När vi deltar i externa integritetsevenemang, som dataintegritetsdagen, eller vår årliga sammankomst för integritetsexperter ökar vi den interna medvetenheten och engagemanget via interna kanaler för att se till att alla har möjlighet att delta och lära sig mer om integritet.
Vi har ett speciellt team som har jobbet att se till att vi följer globala integritets- och dataregler. Vår regelmässiga beredskapsprocess är uppbyggd utifrån viktiga ämnen eller "integritetsområden" (till exempel ungdomar, känsliga data, samtycke och så vidare) för att se till att vi hanterar integritetskrav på ett holistiskt sätt.
Vi har skapat programmet för hantering av integritetsrisker för att identifiera och bedöma integritetsrisker relaterade till hur vi samlar in, använder, delar och lagrar användardata. Vi använder denna process för att upptäcka riskteman, förstärka integritetsprogrammet och förbereda oss för framtida efterlevnadsinitiativ.
Vi har tagit fram skyddsåtgärder, bland annat processer och tekniska kontroller, för att hantera integritetsrisker. Som en del i detta arbete genomför vi interna utvärderingar både av skyddsåtgärdernas design och effektivitet när det gäller att avvärja integritetsrisker.
Vi har etablerat en centraliserad problemhanteringsfunktion för att främja självidentifiering och hantering av integritetsproblem. Denna process innefattar hela integritetsproblemets hanteringscykel från registrering och prioritering, hanteringsplanering till avslut med bevis.
Vi har skapat ett granskningsteam som har som uppgift att proaktivt testa våra processer och tekniker för att upptäcka potentiella integritetsrisker. Granskningsteamet tar rollen som externa eller interna aktörer som försöker ta sig förbi våra integritetskontroller och skyddsåtgärder. Det hjälper oss att proaktivt hitta områden där vi kan förbättra vår kontrollmiljö.
Oavsett hur robusta våra begränsningar och skyddsåtgärder är behöver vi också en process som (1) upptäcker när en händelse potentiellt undergräver konfidentialiteten, integriteten eller tillgängligheten för de data som Meta ansvarar för, (2) en process som undersöker dessa situationer och (3) vidtar alla nödvändiga åtgärder för de luckor som identifieras.
Vårt incidenthanteringsprogram verkar globalt för att övervaka de processer som identifierar, bedömer, begränsar och åtgärdar integritetsincidenter. Även om teamet för integritet och datapraxis leder incidenthanteringsprocessen är integritetsincidenter allas ansvar på Meta. Team från hela företaget, däribland juridiska team och produktteam, spelar viktiga roller. Vi fortsätter att investera tid, resurser och energi i att bygga ett program med flera skikt som ständigt utvecklas och förbättras och vi lyfter fram tre komponenter i vårt tillvägagångssätt här nedan.
Vi använder flera lager av åtgärder för att skydda personer och deras information. Det innefattar att implementera skyddsåtgärder för att upptäcka fel proaktivt, innan de kan leda till problem. Med tanke på vår verksamhets skala så har vi investerat mycket i att skapa och driftsätta ett brett utbud av automatiserade verktyg som är avsedda att hjälpa oss att identifiera och åtgärda potentiella integritetsproblem så tidigt och snabbt som möjligt. Dessa automatiserade system är utformade för att upptäcka incidenter i realtid för att underlätta snabb hantering.
Oavsett hur kapabla våra automatiserade system blir spelar naturligtvis våra anställdas uppsikt och omsorg alltid en avgörande roll för att hjälpa till att proaktivt identifiera och åtgärda problem. Våra teknikteam granskar regelbundet systemen för att identifiera och åtgärda incidenter innan de påverkar användare.
Sedan 2011 har vi kört ett Bug Bounty-program där externa forskare hjälper till att förbättra säkerheten och integriteten i våra produkter och system genom att rapportera potentiella säkerhetsbrister till oss. Programmet hjälper oss att skala upp upptäcktsinsatserna och åtgärda problemen snabbare i syfte att bättre skydda vår community. De belöningar som vi betalar ut till kvalificerade deltagare uppmuntrar till mer högkvalitativ säkerhetsforskning.
Under de senaste 10 åren har mer än 50 000 forskare anslutit sig till programmet och cirka 1 500 forskare från 107 länder har belönats.
Även om vi tillämpar ett antal skyddsåtgärder mot integritetsincidenter, såsom obehörig åtkomst till data, tror vi att transparens är ett viktigt sätt att återuppbygga förtroendet för våra produkter, tjänster och processer om ett problem uppstår. Förutom att åtgärda och lära av våra misstag innefattar vårt incidenthanteringsprogram även steg för att meddela personer där det är lämpligt. Det gäller till exempel ett inlägg i Newsroom eller i vår Privacy Matters-blogg om problem som påverkar communityn eller att samarbeta med brottsbekämpande myndigheter eller andra instanser för att ta itu med problemen som vi hittar.
Tredje parter är externa partner som har affärssamarbeten med Meta men som inte ägs eller drivs av Meta. Dessa tredje parter delas vanligtvis in i två huvudkategorier: de som tillhandahåller Meta en tjänst (som leverantörer som tillhandahåller designstöd för webbplatser) och de som bygger sina företag kring vår plattform (som app- eller API-utvecklare). I syfte att minska integritetsrisker från tredje part som får tillgång till personlig information har vi utvecklat ett externt dedikerat tillsyns- och hanteringsprogram. Det ansvarar för att övervaka tredjepartsrisker och implementera lämpliga integritetsskydd.
Vi har skapat en extern integritetsbedömningsprocess för tjänsteleverantörer som bedömer och minskar integritetsrisken. Dessa tjänsteleverantörer är också bundna av kontrakt som innehåller integritetsskydd. Deras riskprofil kan avgöra hur de övervakas och omvärderas, där det är lämpligt, samt vilka verkställande åtgärder som ska vidtas till följd av överträdelser, till exempel uppsägning av uppdraget.
Vi har tagit fram en formell process som upprätthåller och avregistrerar tredje parter som bryter mot sina integritets- och säkerhetsskyldigheter. Detta innefattar standarder och tekniska mekanismer som stöder bättre utvecklarpraxis på hela vår plattform, däribland följande:
Vårt team för externt datamissbruk jobbar med att upptäcka, undersöka och blockera beteendemönster som är förknippade med skrapning. Skrapning är automatisk insamling av data från en webbplats eller app och kan vara antingen auktoriserad eller obehörig. Användning av automatisering för att komma åt eller samla in data från Metas plattformar utan vår tillåtelse är ett brott mot våra villkor.
Vi fortsätter att investera i infrastruktur och verktyg som gör det svårare för skrapare att samla in data från våra tjänster och svårare att utnyttja den om de lyckas. Exempel på dessa investeringar innefattar kvotbegränsningar och datagränser. Kvotbegränsningar minskar antalet gånger som någon kan interagera med våra produkter under en viss tid, medan datagränser hindrar personer från att få ut mer data än de borde behöva för att använda våra produkter normalt.
Vi använder nu internt genererade användar- och innehållsidentifierare, efter att ha upptäckt att obehörig skrapning ofta innebär att gissa eller köpa sådana identifierare. Vi använder även nya, pseudonymiserade identifierare som hjälper till att avskräcka obehörig dataskrapning genom att göra det svårare för skrapare att gissa, ansluta och upprepade gånger komma åt data.
Vi har blockerat miljarder misstänkta obehöriga skrapningsåtgärder varje dag på Facebook och Instagram och vi har vidtagit ett flertal olika åtgärder mot obehöriga skrapare, bland annat inaktivering av konton och begäranden att företag som lagrar skrapade data tar bort dem.
Processen för integritetsgranskning är en central del i utvecklingen av nya och uppdaterade produkter, tjänster och metoder på Meta. Med hjälp av den här processen bedömer vi hur data används och skyddas som en del av nya eller uppdaterade produkter, tjänster och metoder. Över hela företaget granskar vi i genomsnitt 1 200 produkter, funktioner och datapraxis varje månad, innan de skickas för utvärdering och begränsning av integritetsrisker.
Som en del i processen utvärderar ett tvärfunktionellt team med integritetsexperter potentiella integritetsrisker förknippade med ett projekt och avgör om något behöver förändras för att begränsa dessa risker innan projektet lanseras. Om en oenighet uppstår kring utvärderingen av tillämpliga risker eller de föreslagna produktbegränsningarna kräver processen att teamen skickar frågan vidare till produkt- och policyledarna och slutligen till vd:n för vidare utvärdering och beslutsfattande.
Utvecklingen av nya eller modifierade produkter, tjänster eller metoder via processer för integritetsgranskning styrs av våra interna förväntningar, vilka innefattar följande:
Vi har även investerat i verifieringsgranskningar och en centraliserad plattform som stöder processen för integritetsgranskning i stor skala:
– Komal Lahiri, VP Privacy Review
Vi har satt användarintegriteten i centrum för hur vi bygger och kontinuerligt uppdaterar våra produkter. Det gör vi genom att skapa standardinställningar och kontroller som gör det enkelt för användare att konfigurera den integritetsnivå som de är mest bekväma med. Vi gör det också genom att prioritera integritet när vi utvecklar nya produkter.
Sedan 2016 har användare på Messenger haft alternativet att aktivera end-to-end-kryptering. Under 2023 började vi introducera end-to-end-kryptering som standard i alla personliga chattar på Messenger och Facebook.
Detta har tagit flera år att genomföra eftersom vi har tagit oss tiden att göra det ordentligt. Våra tekniker, kryptografer, designer, policyexperter och produkthanterare har arbetat oförtröttligt med att bygga om Messenger-funktioner från grunden. Aktivering av end-to-end-kryptering på Messenger innebar att bygga om många aspekter av ansökningsprotokollen från grunden, för att förbättra integriteten och säkerheten, och samtidigt bibehålla de funktioner som gjort Messenger så populärt. Vårt tillvägagångssätt var att dra nytta av tidigare lärdomar från både WhatsApp och Messengers hemliga konversationer och sedan ta oss an våra mest utmanande problem, som flerenhetskapacitet, funktionsstöd, meddelandehistorik och webbstöd. Längs vägen introducerade vi nya integritets-, säkerhets- och kontrollfunktioner som applås och leveranskontroller som gör att användare kan välja vilka som kan skicka meddelanden till dem, samt förbättringar av befintliga säkerhetsfunktioner som anmäla, blockera och meddelandeförfrågan.
End-to-end-kryptering handlar i slutändan om att skydda användares kommunikation så att de kan känna sig trygga att uttrycka sig tillsammans med nära och kära. Vi arbetade i nära samarbete med externa experter, akademiker, förespråkare och myndigheter för att identifiera risker och skapa åtgärder som säkerställer att integritet och säkerhet går hand i hand. Vi beställde en oberoende bedömning av påverkan på mänskliga rättigheter och publicerade en utförlig vitbok om Metas inställning till säkrare privatmeddelanden på Messenger och i Instagrams direktmeddelanden.
Smarta glasögon från Ray-Ban Meta gör att du kan ta en bild eller spela in ett videoklipp från ditt unika perspektiv, lyssna på musik eller svara när det ringer, samt använda smarta funktioner när de introduceras – allt utan att behöva ta fram telefonen. Smarta glasögon från Ray-Ban Meta har fått en ny design med en kamera av högre kvalitet, förbättrade ljud- och mikrofonsystem och nya funktioner, som livestreaming och inbyggd Meta AI, så att du inte behöver välja mellan att fånga ett ögonblick eller att uppleva det.
Smarta glasögon från Ray-Ban Meta togs fram med integritet i centrum vilket tydligt bevisar vårt åtagande att skapa innovationer på ett ansvarsfullt sätt med inbyggd integritet. Vi har använt oss av feedback från berörda parter, som vi skaffade oss redan tidigt från det att vi lanserade Ray-Ban Stories, på meningsfulla och märkbara sätt.
Vi lanserade nya generativa AI-upplevelser, bland annat AI-dekaler, bildredigering med AI, AI-assistenten Meta AI samt AI Studio, där personer kan skapa sin egen anpassade AI. Vi har inkluderat viktiga integritetsåtgärder när vi byggt dessa lovande nya generativa AI-funktioner och har utvecklat en integritetsvägledning för generativ AI och andra transparensresurser för att personer ska förstå hur vi byggt våra AI-modeller, hur våra AI-funktioner fungerar och vilka valmöjligheter och dataskyddsrättigheter de har.
Förra året uppdaterade vi verktyget Varför ser jag det här? som är till för att hjälpa personer att förstå varför de ser de annonser som de ser i Facebooks och Instagrams flöden. En viktig uppdatering var att sammanställa information till ämnen om hur aktivitet både på och utanför våra tekniker, till exempel att gilla en väns Facebook-sida eller besöka en sportwebbplats, kan påverka maskininlärningsmodellerna vi använder i formandet och leveransen av en visad annons. Vi introducerade också nya exempel och illustrationer som förklarade hur maskininlärningsmodellerna kopplar ihop olika ämnen för att visa relevanta annonser. Vi introducerade dessutom fler sätt för användare att hitta kontrollerna för annonser och gjorde det möjligt att komma åt annonsinställningarna från fler sidor i verktyget Varför ser jag det här?
Vi utvecklade Meta Innehållsbiblioteket (MCL) och API, två nya forskningsverktyg som ger kvalificerade forskare åtkomst till ytterligare offentligt innehåll på Facebook och Instagram, under integritetsskyddade former.
Dessa verktyg ger forskare åtkomst till offentliga data i nära nog realtid, bland annat innehåll från Sidor, Grupper och Evenemang på Facebook, såväl som från kreatörs- och företagskonton på Instagram. Information om innehållet, till exempel antalet reaktioner, delningar, kommentarer och (för första gången) visningar av inlägget finns också tillgänglig. Forskare kan söka, utforska och filtrera innehållet både efter grafiskt användargränssnitt (UI) och via programmatisk API.
Vi samarbetade med Inter-University Consortium for Political and Social Research (ICPSR) vid Univeristy of Michigans initiativ Social Media Archive (SOMAR) för att dela offentliga data från våra plattformar. Åtkomsten till begränsade data är där strängt kontrollerad och auktoriserade användare godkänner ett strikt dataanvändande och sekretessvillkor för att få åtkomst.
Vårt arbete med transparent kommunikation innefattar att tillhandahålla extern utbildning som förbättrar förståelsen och medvetenheten om våra metoder samt se till att informationen är tillgänglig och lätt att hitta.
Vi har utvecklat ett antal integritetsverktyg i syfte att ge personer större insyn och kontroll, så att de kan få större förståelse för vad de delar och hur deras information används, däribland följande:
– Michel Protti, Chief Privacy Officer for Product
Vi fortsätter att bygga integritetsmedveten infrastruktur, vilket innebär skalbara och innovativa infrastrukturlösningar som gör det möjligt för tekniker att lättare hantera integritetskrav medan de skapar produkter. Integritetsmedveten infrastruktur ger oss möjligheten att använda automatisering i större utsträckning, snarare än att i första hand förlita oss på personer och manuella processer för att verifiera att vi uppfyller vårt integritetsansvar.
Vi minskar proaktivt mängden användardata som vi samlar in och använder genom att implementera innovativa verktyg och tekniker för hela Meta. Vi fortsätter att investera i integritetsförstärkande tekniker (PET:er). Detta är tekniker som, utifrån avancerade krypteringstekniker och statistiska tekniker, hjälper oss att minimera datan vi samlar in, behandlar och använder. Vi har arbetat för att ge detta projekt öppen programvara i fall där tekniken är användbar för det bredare ekosystemet, bland annat PET:er för AI via PyTorch. Våra investeringar i PET:er hjälpte oss dessutom att aktivera en ny kryptografisk säkerhetsfunktion på WhatsApp som bidrar till att verifiera att användares anslutningar och konversationer är skyddade utifrån nyckeltransparens. Denna funktion minskar möjligheten att en tredje part utger sig för att vara den person eller det företag som en användare vill komma i kontakt och dela krypterade meddelanden med. Detta genom att kontrollera giltigheten för konversationens offentliga nycklar mot en katalog från serverhållet som lagrar offentliga nycklar med användarinformation och sedan tillhandahåller ett offentligt tillgänglig integritetsbevarande granskningsregister där alla kan verifiera att data inte har tagits bort eller modifierats.
På liknande sätt har vi utvecklat ett ramverk för borttagning av kod och resurser som vägleder tekniker genom avvecklingen av en produkt på ett säkert och effektivt sätt. Produktavveckling är en komplex process som innefattar interna och externa beroendeförhållanden, bland annat beroendeförhållanden till andra Meta-produkter som kanske inte ingår i avvecklingen. Som ett sätt att hantera detta innefattar vårt ramverk Systematic Code and Asset Removal Framework (SCARF) verktyg för arbetsflödeshantering som sparar teknikernas tid genom att identifiera beroendeförhållanden och rätt arbetsordning när det gäller att städa upp en produkt. SCARF innefattar dessutom undersystem som tar bort död kod och oanvända datatyper på ett säkert sätt.
SCARF ligger till grund för tusentals människoledda avvecklingsprojekt, vid sidan av de miljoner kod- och dataresurser som det städat bort automatiskt. Det är också användbart för våra integritetsteam, som använder verktyget för att övervaka framstegen vid pågående produktavvecklingar och se till att de slutförs i tid.
"Att få till integriteten på ett bra sätt är en pågående, gemensam investering för hela företaget och ansvaret att främja vårt uppdrag ligger på alla Metas medarbetare." –Michel Protti, Chief Privacy Officer for Product
Det är avgörande för vår verksamhet och vår vision för framtiden att skydda användarnas data och integritet. Därför förfinar och förbättrar vi ständigt vårt integritetsprogram och våra produkter. Vi svarar an på föränderliga förväntningar och teknisk utveckling och samarbetar med beslutsfattare och dataskyddsexperter för att hitta lösningar på aldrig tidigare skådade utmaningar, och delar med oss av våra framsteg längs vägen.