脸书数据泄露事件暴露出的问题

最近脸书（Facebook）卷入的这场被称为数据泄露的公共危机，源于2014年。

剑桥大学（俄美双重国籍）心理学教授亚历山大·科甘（AleksandrKogan）个人与剑桥分析公司合作，于2014年6月开发应用软件“这是你的数字化生活”，并开始为剑桥分析收集数据，宣称是“心理学家用于做研究的APP”，搜集的信息包括用户的年龄、住址、性别、种族、教育背景、工作经历、人际关系网络、平时参加何种活动、发表了什么帖子、阅读了什么帖子、对什么帖子点过赞等。该软件以“研究”的名义要求用户参与一个性格测试，大约27万人不仅提供了自己的信息还提供了朋友的信息，因此剑桥分析从Facebook用户及其朋友网络的个人资料中获取了大约5000万私人信息，并涉嫌滥用这些数据影响甚至操纵了美国2016年总统竞选和英国退欧进程。

由于爆料人是剑桥分析公司的前员工，因此事件引起公众广泛关注，英国也已搜查这家公司位于伦敦的办公室，展开对这家公司的调查。

虽然本次事件被很多媒体冠以“隐私门”，但客观地说，深入了解事实来龙去脉之后就不难发现，这件事并不是脸书公司自己平台的信息泄密事件，与网络安全领域常见的技术意义上的数据泄露并不相同，也不是网站本身收集信息或产品流程设计层面的差错。难能可贵的是，身处舆论漩涡之中，脸书CEO扎克伯格已经向公众道歉并承诺改进保护公众隐私。笔者本文想探讨的是，从制度层面加以反思，类似事件预防在法律和监管层面有无抓手？从企业层面来看，又有什么经验教训？

在笔者2012年底到现在的五年演讲培训当中，一直倡议企业要有保护网络个人信息第一责任人的心态，这倒不仅仅是从法律合规义务层面的刚性约束，更多还是从产品的用户体验以及企业品牌的用户忠诚度角度而言考虑的结果。这次其实脸书算得上属于“躺着也中枪”——哪怕是第三方软件欺骗，以及形式上是用户自己同意导致了数据泄露，最终站在风暴中心需要扛起责任来的还是脸书公司自己。

从法律角度来说，脸书公司在本次事件中本身不是直接实施滥用信息行为，涉嫌违法的是剑桥分析公司滥用脸书平台服务，用研究性软件名义欺骗用户收集信息或是收集信息后擅自改变了用途。剑桥分析公司要么是以研究名义收集信息之后擅自改变了用途，未通知用户，如此则违反收集用户信息的告知的合同约定涉嫌违约；要么就是以研究名义收集信息，实则使用收集来的用户个人信息进行商业性数据开发使用，这就很有可能涉嫌欺诈。