当前位置:经济频道首页 > 经济要闻 > 正文

脸书数据泄露事件暴露出的问题(3)

2018-03-28 09:20:04    第一财经APP  参与评论()人

最近脸书(Facebook)卷入的这场被称为数据泄露的公共危机,源于2014年。

剑桥大学(俄美双重国籍)心理学教授亚历山大·科甘(AleksandrKogan)个人与剑桥分析公司合作,于2014年6月开发应用软件“这是你的数字化生活”,并开始为剑桥分析收集数据,宣称是“心理学家用于做研究的APP”,搜集的信息包括用户的年龄、住址、性别、种族、教育背景、工作经历、人际关系网络、平时参加何种活动、发表了什么帖子、阅读了什么帖子、对什么帖子点过赞等。该软件以“研究”的名义要求用户参与一个性格测试,大约27万人不仅提供了自己的信息还提供了朋友的信息,因此剑桥分析从Facebook用户及其朋友网络的个人资料中获取了大约5000万私人信息,并涉嫌滥用这些数据影响甚至操纵了美国2016年总统竞选和英国退欧进程。

由于爆料人是剑桥分析公司的前员工,因此事件引起公众广泛关注,英国也已搜查这家公司位于伦敦的办公室,展开对这家公司的调查。

虽然本次事件被很多媒体冠以“隐私门”,但客观地说,深入了解事实来龙去脉之后就不难发现,这件事并不是脸书公司自己平台的信息泄密事件,与网络安全领域常见的技术意义上的数据泄露并不相同,也不是网站本身收集信息或产品流程设计层面的差错。难能可贵的是,身处舆论漩涡之中,脸书CEO扎克伯格已经向公众道歉并承诺改进保护公众隐私。笔者本文想探讨的是,从制度层面加以反思,类似事件预防在法律和监管层面有无抓手?从企业层面来看,又有什么经验教训?

在笔者2012年底到现在的五年演讲培训当中,一直倡议企业要有保护网络个人信息第一责任人的心态,这倒不仅仅是从法律合规义务层面的刚性约束,更多还是从产品的用户体验以及企业品牌的用户忠诚度角度而言考虑的结果。这次其实脸书算得上属于“躺着也中枪”——哪怕是第三方软件欺骗,以及形式上是用户自己同意导致了数据泄露,最终站在风暴中心需要扛起责任来的还是脸书公司自己。

从法律角度来说,脸书公司在本次事件中本身不是直接实施滥用信息行为,涉嫌违法的是剑桥分析公司滥用脸书平台服务,用研究性软件名义欺骗用户收集信息或是收集信息后擅自改变了用途。剑桥分析公司要么是以研究名义收集信息之后擅自改变了用途,未通知用户,如此则违反收集用户信息的告知的合同约定涉嫌违约;要么就是以研究名义收集信息,实则使用收集来的用户个人信息进行商业性数据开发使用,这就很有可能涉嫌欺诈。

时至今日,此事闹得沸沸扬扬,笔者访问剑桥分析公司网站,发现其宣传大数据精准推荐的广告宣传内容仍正常可见,映入眼帘第一句宣传语就是“数据驱动一切”以及“剑桥分析用数据改变受众行为”。它们的业务分为政治和商业两大块。因此,虽然法律有信息收集必须经用户知情同意不得擅自改变收集信息用途的要求,但脸书公司作为信息平台在本次事件中似乎也是剑桥分析公司作恶行为的受害者,以隐私泄露指责脸书公司是有失公允的。

但这并不意味着脸书公司在本次事件中可以推卸责任超然事外。从制度建设的角度来说,由于软件开发和数据收集使用是随时可能发生的无法预见的行为,监管从效率角度考虑还是要放在督促、约束大平台上。中国的网络安全法已经确立了企业的网络信息安全义务,但这个安全义务一般理解应是指企业对于信息的收集、使用和保存要符合完整性、保密性和可用性要求。而对于平台企业以外的第三方软件利用平台收集信息、由此产生的对用户的违约侵权行为,平台企业要不要承担责任呢?

目前国内还没有发生类似大平台获取信息后违法或侵权给平台造成法律风险的案例。但中国网络监管话语体系中的“主体责任”其实是可以解决这个问题的。虽然这不是一个法律刚性概念,但“是谁的孩子由谁抱”,很多时候不失为解决问题的一个办法。

在北京法院判决的新浪微博起诉脉脉擅自获取新浪微博用户数据的反不正当竞争案件中,与美国法院判决hiQvs.linked-in一案不同,中国法院判决未经许可读取企业公开平台数据构成不正当竞争并判决了200万元人民币的赔偿。表明与美国一审法官认为的用户信息公开平台难以主张权利不同,中国法院认可平台对于用户信息享有权益。

同时,笔者建议,为防范类似事件,监管制度应该确立平台企业的信息安全保障义务。其实在2013年消费者权益保护法修改确立经营者对于消费者人身财产安全的保障义务前后,笔者在一些会议场合就曾建议,对于消费者权益保护法的人身财产安全保障义务做扩充解释,把消费者个人信息的安全保障纳入进去。在电子商务法立法研究中,笔者建议确立电商企业的合理谨慎的注意义务,其中就应当包括网络信息层面的内容。笔者建议只能概括性表明合理谨慎的责任,这种具体注意的内容不能列举限制过死。由于技术和商业变化日新月异,注意义务要随着情况变化而变化。

比如本次脸书暴露出第三方软件对于平台用户信息进行滥用后,平台企业就应采取技术和管理措施,对于第三方软件尤其是那些平台开放技术接口可以合法接入平台的企业,必须进行信息安全的技术和法律手段管控,以避免类似事件再次发生。

当然,注意义务不能太高,事后诸葛亮容易,在2014年让脸书预见到剑桥分析今后会滥用数据是过于苛刻的,但采取法律与技术措施防范利用平台获取大量数据滥用则是可行的,也是必要的。

本次脸书卷入网络公共危机代人受过的教训再一次表明,产品设计的法律合规,用户隐私安全责任应当深入企业从技术到管理所有人员,而不能仅仅停留在隐私政策纸面上。即使企业本身不违法,发生滥用平台服务的隐私违法行为,用户照样会声讨追责。

虽然媒体称脸书可能面临天文数字罚款,但眼下这个事件如果没有更进一步爆料出来,对于相关企业可能无非罚款诉讼之类,尚难言产生伤筋动骨的风险。但这次事件对于同为全球网络巨头的其他企业而言,不可不予以警惕。

(作者系中国电子商务协会政策法律委员会副主任、上海段和段律师事务所合伙人)

编辑:黄宾

为您推荐: