ประเด็นเฟซบุ๊กและการใช้ข้อมูลอย่างผิดๆ ของบริษัท Cambridge Analytica ทำให้ความกังวลต่อความเป็นส่วนตัวบนเฟซบุ๊กกระจายตัวอย่างมากในเดือนที่ผ่านมา ความกังวลหลายอย่างอาจจะเป็นความเชื่อที่มีกันมานาน เช่น พูดถึงสินค้าบางอย่างใกล้โทรศัพท์มือถือแล้วมีโฆษณาตรงกัน หรือบางคนอาจจะเข้าใจว่าเฟซบุ๊กถูกแฮกจนนำข้อมูลออกไป
เฟซบุ๊กได้รับรายงานช่องโหว่จากนักวิจัยภายนอกอยู่เรื่อยๆ หลายครั้งทำให้สามารถเข้าไปอ่านข้อมูลที่ล็อกเอาไว้ได้ อย่างไรก็ตาม เหตุการณ์ Cambridge Analytica นั้นไม่ได้เกิดจากการถูกแฮก
ต้นเหตุของเหตุการณ์ครั้งนั้น เกิดจาก API ของเฟซบุ๊กในช่วงแรก "ใจดี" กับนักพัฒนาเป็นอย่างมาก โดยค่าเริ่มต้นของผู้ใช้จะเปิดให้แอปที่เชื่อมต่อเข้ามา สามารถอ่านข้อมูลของผู้ใช้และคนอื่นๆ ที่เป็นเพื่อนแทบเหมือนเจ้าของบัญชีเป็นผู้อ่านด้วยตัวเอง ทำให้เมื่อแอปได้รับอนุญาตจากผู้ใช้คนหนึ่ง จะสามารถอ่าน status, ข้อมูลโปรไฟล์ต่างๆ ของเพื่อนเราได้ด้วย
แอปจำนวนมากใช้ข้อมูลที่ API ของเฟซบุ๊กอนุญาตในช่วงแรกอย่างถูกต้อง เช่น แสดงชื่อเพื่อนให้ชวนกันเข้าไปเล่นเกม
เฟซบุ๊กเลือกที่จะอนุญาตให้แอปดูดข้อมูลเหล่านี้ได้เป็นค่าเริ่มต้น โดยผู้ใช้ที่ไม่ต้องการให้ "แอปที่เพื่อนอนุญาต" เข้ามาดูดข้อมูลไป ต้องปิดการทำงานเอง (opt-out)
แนวทางนี้เปลี่ยนไปใน API เวอร์ชั่นต่อๆ มา ที่แอปสามารถดูดข้อมูลได้เฉพาะคนที่เล่นแอปเดียวกันเท่านั้น
แม้เฟซบุ๊กจะอนุญาตให้ดูดข้อมูลได้จำนวนมาก แต่ข้อหนึ่งก็คือในข้อตกลงการใช้ API นั้นระบุไว้แล้วว่าห้ามนำข้อมูลที่ได้ไปขาย กรณีนี้ Aleksandr Kogan ผู้พัฒนาแอปทำผิดข้อตกลงด้วยการดูดข้อมูลแล้วนำไปขายให้ Cambridge Analytica
เมื่อเฟซบุ๊กทราบเรื่องตั้งแต่ปี 2015 จึงแจ้งให้ Cambridge Analytica ลบข้อมูล
ความผิดของเฟซบุ๊กอยู่ที่เฟซบุ๊กเชื่อ Cambridge Analytica ที่อ้างว่าลบข้อมูลไปแล้วหลังได้รับแจ้งจากเฟซบุ๊ก แล้วไม่มีการดำเนินการใดๆ ต่อไป ไม่ว่าจะเป็นการแจ้งรัฐบาล, แจ้งผู้ใช้, หรือดำเนินคดีกับผู้พัฒนาแอป
คำพูดของ Mark Zuckerberg ระบุว่าเฟซบุ๊กมองว่าเรื่องจบไปแล้วตั้งแต่ได้รับคำยืนยันจาก Cambridge Analytica ว่าลบข้อมูลแล้ว
ข้อตกลงการใช้งานของแอปของ Kogan ให้ผู้ใช้ตกลงก่อนใช้งาน
อีกประเด็นหนึ่งที่สว. สหรัฐฯ นำเสนอคือเฟซบุ๊กมีการตรวจสอบแอปที่แย่ แอปที่มีปัญหาบางตัวระบุข้อตกลงการใช้งานว่า "อาจนำข้อมูลไปขาย" ตัวแอปก็ยังใช้แพลตฟอร์มของเฟซบุ๊กได้
ข้อมูลที่ Cambridge Analytica ได้ไปนั้น นำไปเพื่อพยายามโฆษณาแบบเจาะจงกลุ่ม ตอนนี้ข้อมูลยังไม่สมบูรณ์นักว่ามันถูกใช้ในแคมเปญเลือกตั้งครั้งใดบ้าง แต่เฟซบุ๊กถูกตำหนิว่าปล่อยให้มีการโฆษณาทางการเมืองโดยไม่ระบุตัวตน เพื่อล่อลวงให้คนเปลี่ยนการลงคะแนนเสียง หรือบางครั้งก็ไม่ใช่การโฆษณาโดยตรงแต่เป็นการสร้างบัญชีปลอม สร้างกลุ่มปลอม ขึ้นมาเผยแพร่ข่าว
ประเด็นนี้นับว่าเฟซบุ๊กมีท่าทีออกมาชัดเจนที่สุดในช่วงหลัง โดยผู้ลงโฆษณาทางการเมืองต้องยืนยันตัวตน,เมื่อแสดงโฆษณาแล้วต้องเปิดเผยว่าแสดงโฆษณาแบบอื่นอย่างไรบ้าง รวมไปถึงเพจขนาดใหญ่ที่แอดมินเพจก็ต้องยืนยันตัวตนก่อนโพส
Mark Zuckerberg ระบุว่าข้อความบางประเภทก็จัดการได้ง่าย เช่น ข้อความชักชวนคนร่วม ISIS ที่สามารถใช้ระบบอัตโนมัติกรองได้ 99% แต่ข้อความเกลียดชังที่เป็นต้นเหตุความรุนแรงในพม่านั้นจัดการได้ยากกว่า และต้องอาศัยเจ้าหน้าที่ที่รู้ภาษาพม่ามาคัดกรอง
สิ่งหนึ่งที่เฟซบุ๊กเปลี่ยนแปลงจากกรณี Cambridge Analytica คือแนวบริษัทเปลี่ยนแนวทางการจัดการเรื่องเป็นการภายในโดยไม่แจ้งผู้ใช้ เป็นการแจ้งเตือนทุกคนโดยเริ่มจากกรณี Cambridge Analytica และตามนโยบาย Data Abuse Bounty เมื่อพบการรายใช้ข้อมูลผิดๆ อีกก็จะมีการแจ้งเตือนอีก แนวทางนี้ตรงกับสิ่งที่รัฐสภาสหรัฐฯ กำลังพยายามทำ โดยกฎหมายที่อยู่ระหว่างการร่างจะบังคับให้บริษัทต้องแจ้งผู้ใช้หลังจากทราบเรื่องภายใน 72 ชั่วโมง
อย่างไรก็ตาม การที่เฟซบุ๊กไม่ได้ถูกแฮก หรือนำข้อมูลไปขายด้วยตัวเองไม่ให้ทำให้เฟซบุ๊กหลุดจากความรับผิดชอบไป เฟซบุ๊กเองมีฟีเจอร์หลายอย่างที่ไม่เป็นมิตรต่อความเป็นส่วนตัว เช่น การจำกัดผู้ที่จะเห็นโพสเก่าๆ ได้ จะบีบได้เหลือเพียง "เพื่อนทั้งหมด" เท่านั้น ไม่สามารถบีบกว่านั้นได้ (เช่น Friends except Acquaintances) ฟีเจอร์หลายอย่างของเฟซบุ๊กทำให้ข้อมูลถูกแชร์เกินสมควร เช่น การแท็กชื่อเพื่อนแล้วกลายเป็นเพื่อนของคนที่ถูกแท็กจะเห็นข้อความทั้งหมด (แม้จะปรับได้ แต่ค่าเริ่มต้นก็เน้นให้แชร์ไปไกลไว้ก่อน) หรือการที่ไม่สามารถลบข้อความแชตได้ แต่กลับลบให้ Mark Zuckerberg ได้ ไปจนถึงการเก็บข้อมูลโดยผู้ใช้ไม่มีทางเห็นไม่ว่าหน้าจอใดๆ ว่าเฟซบุ๊กเก็บเอาไว้จนกว่าจะสั่งดาวน์โหลดข้อมูลออกมา