财新传媒
位置:博客 > 刘春泉 > facebook隐私门引爆平台信息管控责任

facebook隐私门引爆平台信息管控责任

脸书被控数据滥用操控总统选举事件能否确立企业网络信息安全保障责任?

刘春泉 上海段和段律师事务所 合伙人

最近脸书(Facebook)卷入的这一场被称为数据泄露的公共危急,源于2014年,剑桥大学(俄美双重国籍)心理学教授Aleksandr Kogan个人与“剑桥分析”公司合作,于2014年6月开发应用软件“这是你的数字化生活”(this is your digital life),并开始为剑桥分析收集数据,宣称是“心理学家用于做研究的app”,搜集的信息包括用户的年龄、住址、性别、种族、教育背景、工作经历、人际关系网络、平时参加何种活动、发表了什么帖子、阅读了什么帖子、对什么帖子点过赞等,该软件以“研究”名义要求用户参与一个性格测试,大约27万人不仅提供了自己的信息还提供了朋友的信息,因此剑桥分析从Facebook用户及其朋友网络的个人资料中获取了大约5000万私人信息,并涉嫌滥用这些数据影响甚至操纵美国2016年总统竞选和英国脱欧进程,由于爆料人是剑桥分析公司的前员工,因此事件引起公众广泛关注,英国ICO也已经搜查了这家公司位于伦敦的办公室,表明已经展开了对这家公司的调查。

虽然本次事件被很多媒体冠以隐私门标题,但客观地说,深入了解事实来龙去脉之后就不难发现,这件事并不是脸书公司自己平台的信息泄密事件,与网络安全领域常见的技术意义上的数据泄露并不相同,也不是网站本身收集信息或者产品流程设计层面的差错。难能可贵的是身处舆论漩涡之中,扎克伯格已经向公众道歉并承诺改进保护公众隐私。笔者本文想探讨的是从制度层面反思,类似事件预防在法律和监管层面有无抓手?从企业层面来看又有什么经验教训?

在笔者2012年底到现在的五年演讲培训当中,一直倡议企业要有保护网络个人信息第一责任人的心态,这倒不仅仅是从法律合规义务层面的刚性约束,更多还是从产品的用户体验以及企业品牌的用户忠诚度角度而言思考的结果。这次其实脸书算得上躺着也中枪--所谓“Facebook隐私门”本无泄露隐私的“后门”,事件再次证明,一旦卷入公共危急事件,群情激奋,百口莫辩,哪怕是第三方软件欺骗以及形式上是用户自己同意导致了数据泄露,最终站在风暴中心需要扛起责任来的还是Facebook自己。

 从法律角度来说,脸书公司在本次事件中本身不是直接实施滥用信息行为,涉嫌违法的是剑桥分析公司滥用facebook平台服务,用研究性软件名义欺骗用户收集信息或者是收集信息后擅自改变了用途。剑桥分析公司要么是以研究名义收集信息之后擅自改变了用途,未通知用户,如此则违反来收集用户信息的告知的合同约定涉嫌违约;要么就是以研究名义收集信息,实则使用收集来的用户个人信息进行商业性数据开发使用,包括2016年总统竞选的定向广告,这就很有可能涉嫌欺诈。时至今日此事闹得沸沸扬扬,笔者访问剑桥分析公司网站,发现其宣传大数据精准推荐的广告宣传内容仍正常可见,跳入眼帘第一句宣传语就是“数据驱动一切”(原文是“Data drives all we do.”)“剑桥分析用数据改变受众行为”(原文 Cambridge Analytica uses data to change audience behavior). 业务分为政治和商业两大块。因此,虽然法律有信息收集必须经用户知情同意不得擅自改变收集信息用途的要求,但facebook作为信息平台在本次事件中似乎也是剑桥分析公司作恶行为的受害者,以隐私泄露指责脸书公司是有失公允的。

但这并不意味着脸书公司在本次事件中可以推卸责任超然事外。从制度建设的角度来说,由于软件开发和数据收集使用是随时可能发生的无法预见的行为,监管从效率角度考虑还是要放在督促、约束大平台上。中国的网络安全法已经确立了企业的网络信息安全义务,但这个安全义务一般的理解应该是指企业对于信息的收集、使用和保存应该符合完整性、保密性和可用性要求。但是对于平台企业以外的第三方软件利用平台收集信息,由此产生的对用户的违约侵权行为,平台企业要不要承担责任?现行监管有没有法律抓手呢?

目前国内还没有发生类似大平台获取信息后违法或者侵权给平台造成法律风险的案例。但中国网络监管话语体系中的“主体责任”其实是可以解决这个问题的。虽然这不是一个法律刚性概念,但“是谁的孩子自己抱”,很多时候不失为解决问题的一个办法。

在北京法院判决的新浪微博起诉脉脉擅自获取新浪微博用户数据的反不正当竞争案件中,与美国法院判决hiQ vs.linked-in一案不同,中国法院判决未经许可读取企业公开平台数据构成不正当竞争并判决了200万人民币的赔偿。表明与美国一审法官认为的用户信息公开平台难以主张权利不同,中国法院认可平台对于用户信息享有权益。

笔者建议防范类似事件的监管制度建设抓手是确立平台企业的信息安全保障义务。其实在2013年消费者权益保护法修改确立经营者对于消费者人身财产安全的保障义务前后,笔者在一些会议场合就曾建议对于消费者权益保护法的人身财产安全保障义务做扩充解释,把消费者个人信息的安全保障纳入进去。在电子商务法立法研究中,笔者建议确立电商企业的合理谨慎的注意义务,其中就应当包括网络信息层面的内容。笔者建议只能概括性表明合理谨慎的责任,这种具体注意的内容不能列举限制过死。由于技术和商业变化日新月异,注意义务要随着情况变化而变化。比如本次facebook暴露第三方软件对于平台用户信息进行滥用之后,平台企业就应当采取技术和管理措施,对于第三方软件,尤其是那些平台开放技术接口可以合法接入平台的企业,必须进行信息安全的技术和法律手段管控,以避免类似事件再次发生。当然,注意义务不能太高,事后诸葛亮容易,在2014年让脸书预见到剑桥分析滥用数据干涉总统选举和脱欧是过于苛刻的,但采取法律与技术措施防范利用平台获取大量数据滥用则是可行的,也是必要的。

本次facebook卷入网络公共危急代人受过的教训再一次表明,产品设计的法律合规,用户隐私安全责任应当深入企业从技术到管理所有人员,而不能仅仅停留在隐私政策纸面上。即使企业本身不违法,发生滥用平台服务的隐私违法行为,用户照样声讨追责,公众的怒火还是指向平台没有善尽职责保护自动的信息,辜负了用户对于平台的信任。

虽然媒体称facebook可能面临天文数字罚款,眼下这个事件,如果没有更进一步爆料出来,对于相关企业可能无非罚款诉讼之类,尚难言有伤筋动骨风险。但这次事件对于同为全球网络巨头的其他企业而言也不可不予以警惕,因为从国家战略层面来说,利用网络数据暗战干预干涉他国内政技术上并非不可能。抹黑政治观点与自己利益不一致的候选人不一定要主动造谣发黑稿,推送其污点或者负面新闻就可以在关键时刻决定胜负,事后哪怕再查清楚也时过境迁于事无补,曾记否二十年前媒体“八瓶三株口服液喝死一个老汉”的新闻虽然最后在法院败诉,但三株口服液这家公司却早已轰然坍塌。

 

 



推荐 0