几个月来，谷歌一直试图避开日益增长的技术反弹，但昨天，大坝终于被消息打破，在很少使用的谷歌+网络中出现了一个漏洞，该漏洞暴露了多达50万用户的私人信息。谷歌早在三月份就发现并修复了这个漏洞，而与此同时，剑桥分析公司（Cambridge Analytica）的报道也在升温。但随着消息的披露，损害已经在蔓延。谷歌+的消费者版正在关闭，德国和美国的德国隐私监管机构已经在调查可能的法律行动，前SEC官员正在公开猜测谷歌可能做错了什么。

该漏洞本身的范围似乎相对较小。问题的核心是一个可用于查看非***息的特定开发人员API。但至关重要的是，没有证据表明它实际上是用来查看私有数据的，而且考虑到用户基数很小，还不清楚到底有多少非公共数据可以查看。从理论上讲，任何提出请求的人都可以访问该API，但实际上只有432人申请访问（同样，是Google+），因此他们中没有人想过以这种方式使用它。

谷歌更大的问题不是犯罪，而是掩盖。该漏洞在三月份被修复，但谷歌直到七个月后《华尔街日报》获得一些讨论该漏洞的备忘录后才澄清。这家公司似乎知道自己搞砸了——不然为什么要把整个社交网络从地图上抹去呢但究竟是什么时候出了问题，确实令人困惑，这种困惑涉及到了科技如何处理这种隐私泄露的更深层次的问题。

这种脱节的部分原因在于，从法律上讲，谷歌是清白的。有很多关于报告违规行为的法律——主要是GDPR，但也有一系列州级法案——但按照这一标准，Google+所发生的事情从技术上讲并不是违规行为。这些法律涉及未经授权访问用户信息，将基本理念编纂为：如果有人偷了你的信用卡或电话号码，你有权知道。但谷歌只是发现数据可供开发人员使用，而不是实际获取了任何数据。由于没有明确的数据被盗，谷歌没有法律报告要求。就律师们而言，这不是违约，悄悄地解决问题就足够了。

有一个真实的案例反对披露这种bug，尽管回顾起来它并不那么令人信服。所有系统都有漏洞，所以唯一好的安全策略就是不断发现并修复它们。因此，最安全的软件将是发现和修补最多bug的软件，即使从外部看这可能违反直觉。要求公司公开报告每个漏洞可能是一种不正当的激励，惩罚那些最能保护用户的产品。

（当然，谷歌多年来一直在“零计划”下突然披露其他公司的漏洞，这也是批评人士如此热衷于跳上表面伪善的原因之一。）。但“零号计划”的工作人员会告诉你，第三方报告是一种完全不同的舞蹈，披露信息通常被用作修补漏洞的激励措施，并作为白帽窃听者寻求建立声誉的奖励。）

这种逻辑对于软件漏洞比社交网络和隐私问题更有意义，但这是网络安全领域公认的智慧，可以毫不夸张地说，它引导了谷歌试图掩盖这一漏洞的想法。

但在脸谱网惨败之后，法律和网络安全的争论似乎几乎离题了。科技公司与其用户之间的合同比以往任何时候都更加脆弱，像这样的故事使合同更加脆弱。人们担心的与其说是信息泄露，不如说是信任泄露。出了点问题，谷歌没有告诉任何人。如果没有《华尔街日报》的报道，现在还不清楚它会有什么结果。很难避免这个令人不安、无法回答的问题：它还告诉我们什么？

现在说谷歌是否会因此面临真正的反弹还为时过早。如果说有什么影响的话，那么受影响的用户数量很少，而且谷歌+相对不重要，这表明它不会。但是，即使这个漏洞很小，像这样的失败也会对用户构成真正的威胁，对他们信任的公司构成真正的危险。关于如何称呼它的困惑——一个bug、一个漏洞、一个漏洞——掩盖了一个更深层次的困惑，即当隐私失败是有意义的时候，公司实际上欠用户什么，以及我们真正拥有多少控制权。对于这个科技时代来说，这些都是至关重要的问题，如果说过去几天有什么迹象的话，那就是业界仍在思考的问题。