臉書數據泄露事件暴露出的問題

　　臉書數據泄露事件 暴露出的問題

　　劉春泉

　　[雖然媒體稱臉書可能面臨天文數字罰款，但眼下這個事件如果沒有更進一步爆料出來，對於相關企業可能無非罰款訴訟之類，尚難言產生傷筋動骨的風險。但這次事件對於同為全球網絡巨頭的其他企業而言，不可不予以警惕]

　　最近臉書（Facebook）卷入的這場被稱為數據泄露的公共危機，源於2014年。

　　劍橋大學（俄美雙重國籍）心理學教授亞歷山大·科甘（AleksandrKogan）個人與劍橋分析公司合作，於2014年6月開發應用軟體“這是你的數字化生活”，並開始為劍橋分析收集數據，宣稱是“心理學家用於做研究的APP”，搜集的資訊包括用戶的年齡、住址、性別、種族、教育背景、工作經歷、人際關係網絡、平時參加何種活動、發表了什麽帖子、閱讀了什麽帖子、對什麽帖子點過讚等。該軟體以“研究”的名義要求用戶參與一個性格測試，大約27萬人不僅提供了自己的資訊還提供了朋友的資訊，因此劍橋分析從Facebook用戶及其朋友網絡的個人資料中獲取了大約5000萬私人資訊，並涉嫌濫用這些數據影響甚至操縱了美國2016年總統競選和英國退歐進程。

　　由於爆料人是劍橋分析公司的前員工，因此事件引起公眾廣泛關注，英國也已搜查這家公司位於倫敦的辦公室，展開對這家公司的調查。

　　雖然本次事件被很多媒體冠以“隱私門”，但客觀地說，深入了解事實來龍去脈之後就不難發現，這件事並不是臉書公司自己平台的資訊泄密事件，與網絡安全領域常見的技術意義上的數據泄露並不相同，也不是網站本身收集資訊或產品流程設計層面的差錯。難能可貴的是，身處輿論漩渦之中，臉書CEO祖克柏已經向公眾道歉並承諾改進保護公眾隱私。筆者本文想探討的是，從制度層面加以反思，類似事件預防在法律和監管層面有無抓手？從企業層面來看，又有什麽經驗教訓？

　　在筆者2012年底到現在的五年演講培訓當中，一直倡議企業要有保護網絡個人資訊第一責任人的心態，這倒不僅僅是從法律合規義務層面的剛性約束，更多還是從產品的用戶體驗以及企業品牌的用戶忠誠度角度而言考慮的結果。這次其實臉書算得上屬於“躺著也中槍”——哪怕是第三方軟體欺騙，以及形式上是用戶自己同意導致了數據泄露，最終站在風暴中心需要扛起責任來的還是臉書公司自己。

　　從法律角度來說，臉書公司在本次事件中本身不是直接實施濫用資訊行為，涉嫌違法的是劍橋分析公司濫用臉書平台服務，用研究性軟體名義欺騙用戶收集資訊或是收集資訊後擅自改變了用途。劍橋分析公司要麽是以研究名義收集資訊之後擅自改變了用途，未通知用戶，如此則違反收集用戶資訊的告知的合約約定涉嫌違約；要麽就是以研究名義收集資訊，實則使用收集來的用戶個人資訊進行商業性數據開發使用，這就很有可能涉嫌欺詐。

　　時至今日，此事鬧得沸沸揚揚，筆者訪問劍橋分析公司網站，發現其宣傳大數據精準推薦的廣告宣傳內容仍正常可見，映入眼簾第一句宣傳語就是“數據驅動一切”以及“劍橋分析用數據改變閱聽人行為”。它們的業務分為政治和商業兩大塊。因此，雖然法律有資訊收集必須經用戶知情同意不得擅自改變收集資訊用途的要求，但臉書公司作為資訊平台在本次事件中似乎也是劍橋分析公司作惡行為的受害者，以隱私泄露指責臉書公司是有失公允的。

　　但這並不意味著臉書公司在本次事件中可以推卸責任超然事外。從制度建設的角度來說，由於軟體開發和數據收集使用是隨時可能發生的無法預見的行為，監管從效率角度考慮還是要放在督促、約束大平台上。中國的網絡安全法已經確立了企業的網絡資訊安全義務，但這個安全義務一般理解應是指企業對於資訊的收集、使用和保存要符合完整性、保密性和可用性要求。而對於平台企業以外的第三方軟體利用平台收集資訊、由此產生的對用戶的違約侵權行為，平台企業要不要承擔責任呢？

　　目前國內還沒有發生類似大平台獲取資訊後違法或侵權給平台造成法律風險的案例。但中國網絡監管話語體系中的“主體責任”其實是可以解決這個問題的。雖然這不是一個法律剛性概念，但“是誰的孩子由誰抱”，很多時候不失為解決問題的一個辦法。

　　在北京法院判決的新浪微博起訴脈脈擅自獲取新浪微博用戶數據的反不正當競爭案件中，與美國法院判決hiQvs.linked-in一案不同，中國法院判決未經許可讀取企業公開平台數據構成不正當競爭並判決了200萬元人民幣的賠償。表明與美國一審法官認為的用戶資訊公開平台難以主張權利不同，中國法院認可平台對於用戶資訊享有權益。

　　同時，筆者建議，為防範類似事件，監管制度應該確立平台企業的資訊安全保障義務。其實在2013年消費者權益保護法修改確立經營者對於消費者人身財產安全的保障義務前後，筆者在一些會議場合就曾建議，對於消費者權益保護法的人身財產安全保障義務做擴充解釋，把消費者個人資訊的安全保障納入進去。在電子商務法立法研究中，筆者建議確立電商企業的合理謹慎的注意義務，其中就應當包括網絡資訊層面的內容。筆者建議只能概括性表明合理謹慎的責任，這種具體注意的內容不能列舉限制過死。由於技術和商業變化日新月異，注意義務要隨著情況變化而變化。

　　比如本次臉書暴露出第三方軟體對於平台用戶資訊進行濫用後，平台企業就應采取技術和管理措施，對於第三方軟體尤其是那些平台開放技術接口可以合法接入平台的企業，必須進行資訊安全的技術和法律手段管控，以避免類似事件再次發生。

　　當然，注意義務不能太高，事後諸葛亮容易，在2014年讓臉書預見到劍橋分析今後會濫用數據是過於苛刻的，但采取法律與技術措施防範利用平台獲取大量數據濫用則是可行的，也是必要的。

　　本次臉書卷入網絡公共危機代人受過的教訓再一次表明，產品設計的法律合規，用戶隱私安全責任應當深入企業從技術到管理所有人員，而不能僅僅停留在隱私政策紙面上。即使企業本身不違法，發生濫用平台服務的隱私違法行為，用戶照樣會聲討追責。

　　雖然媒體稱臉書可能面臨天文數字罰款，但眼下這個事件如果沒有更進一步爆料出來，對於相關企業可能無非罰款訴訟之類，尚難言產生傷筋動骨的風險。但這次事件對於同為全球網絡巨頭的其他企業而言，不可不予以警惕。

　　（作者系中國電子商務協會政策法律委員會副主任、上海段和段律師事務所合夥人）

責任編輯：李鋒