时至今日,此事闹得沸沸扬扬,笔者访问剑桥分析公司网站,发现其宣传大数据精准推荐的广告宣传内容仍正常可见,映入眼帘第一句宣传语就是“数据驱动一切”以及“剑桥分析用数据改变受众行为”。它们的业务分为政治和商业两大块。因此,虽然法律有信息收集必须经用户知情同意不得擅自改变收集信息用途的要求,但脸书公司作为信息平台在本次事件中似乎也是剑桥分析公司作恶行为的受害者,以隐私泄露指责脸书公司是有失公允的。
但这并不意味着脸书公司在本次事件中可以推卸责任超然事外。从制度建设的角度来说,由于软件开发和数据收集使用是随时可能发生的无法预见的行为,监管从效率角度考虑还是要放在督促、约束大平台上。中国的网络安全法已经确立了企业的网络信息安全义务,但这个安全义务一般理解应是指企业对于信息的收集、使用和保存要符合完整性、保密性和可用性要求。而对于平台企业以外的第三方软件利用平台收集信息、由此产生的对用户的违约侵权行为,平台企业要不要承担责任呢?
目前国内还没有发生类似大平台获取信息后违法或侵权给平台造成法律风险的案例。但中国网络监管话语体系中的“主体责任”其实是可以解决这个问题的。虽然这不是一个法律刚性概念,但“是谁的孩子由谁抱”,很多时候不失为解决问题的一个办法。
在北京法院判决的新浪微博起诉脉脉擅自获取新浪微博用户数据的反不正当竞争案件中,与美国法院判决hiQvs.linked-in一案不同,中国法院判决未经许可读取企业公开平台数据构成不正当竞争并判决了200万元人民币的赔偿。表明与美国一审法官认为的用户信息公开平台难以主张权利不同,中国法院认可平台对于用户信息享有权益。
同时,笔者建议,为防范类似事件,监管制度应该确立平台企业的信息安全保障义务。其实在2013年消费者权益保护法修改确立经营者对于消费者人身财产安全的保障义务前后,笔者在一些会议场合就曾建议,对于消费者权益保护法的人身财产安全保障义务做扩充解释,把消费者个人信息的安全保障纳入进去。在电子商务法立法研究中,笔者建议确立电商企业的合理谨慎的注意义务,其中就应当包括网络信息层面的内容。笔者建议只能概括性表明合理谨慎的责任,这种具体注意的内容不能列举限制过死。由于技术和商业变化日新月异,注意义务要随着情况变化而变化。