迅安网络法|从Facebook数据门看用户隐私数据的保护

 二维码

facebookzuckerberg-k3uG--621x414@LiveMint.jpg

图片来源:livemint

Facebook爆出数据泄露丑闻,5000万用户数据遭泄露,与之前的数据泄露事件不同的是,本次数据泄露被认为于操纵川普总统选举有关,所以严重程度不可同日而语,并且随着事件的发酵,用户也愈加恐慌,出现了各种版本的猜测,乃至阴谋论,比如这波数据被用于帮助英国脱欧,用于分析2014年国会选举等等。

152155167108176.png

图片来源 Wikipedia

此事的始作俑者是亚历山大·科根(Aleksandr Kogan),2014年科根旗下的Global Science Research公司开发了一款名为“this is your digital life”的性格测试应用,后科根的公司与Cambridge Analytica(下称CA)公司合作,向用户进行了心理测试。

当时Facebook为了使自己的平台更加多元化,邀请了一群第三方公司入驻平台发布一些小游戏或者测试,CA便是其中一家。CA在Facebook上发布一则广告,声称CA联合剑桥大学心理教授亚历山大·科根开发了一款心理测试的软件,只要协助完成该测试,就会奖励用户5美元。但是要下载该应用,需要用户至少有185名好友。基于此,27万满足条件的Facebook用户下载了该应用,并在使用时的同意协议里允许该应用查看用户的Facebook资料,其中包括获得用户的好友列表,然后间接获得了5000万用户的个人信息。

很多人问,下载用户只有27万,5000万这个数字怎么来的?大家点开计算机,27万用户*每人185好友=4995万用户信息,这就是5000万这个数字的来源。重点就是,只有27万用户接受了CA公司该款应用的协议,而他们好友列表中的200人左右的好友从来没有接受过这些协议,却被CA公司获取了他们的公开资料

也就是说,CA通过Facebook平台开放的API获得了27万用户的一手隐私数据,以及通过该27万用户轻而易举的获得了5000万用户的发帖、点赞行为的公开数据。

接下来CA公司利用收集到的数据在Facebook上对用户推送了有利于川普大选的信息。比如用户给LGBT的消息点了赞,于是该用户被推送了“希拉里反对LGBT”或“川普支持LGBT”的消息;某用户给喜爱的枪支点了赞,该用户很快收到了“希拉里禁枪”或“川普继续允许强支持有”的消息,Facebook用户们“不知不觉”中总是收到了对川普有利的新闻,于是投了川普一票。所以这次事件被曝后,立刻引发了空前的关注,所有的用户把怒气撒在了Facebook上。

那么,到底谁该为这次“数据门”事件负责?

小编认为主要还是CA公司。CA公司违规、违法收集、使用用户数据,进行商业牟利,侵犯了用户个人隐私,无疑应该为此次事件负主要责任。

那么,Facebook到底应不应该为这件事负责呢?

当然——应该!

根据《纽约时报》的报道,Facebook察觉到了数据泄露,并通过调查发现是CA公司在滥用数据,于是立刻通知并要求CA删除数据并停止使用已收集到的数据,CA公司回复说数据已经删除。然而事实上,CA并没有删除该数据。

根据该段报道,我们可以发现,Facebook当初对CA公司提交的应用的审核并不严谨,事实上任何第三方通过OpenAPI获取用户信息时应当遵守“用户授权+平台授权+用户授权”原则。在2014年时,Facebook和用户群体对隐私数据的保护意识并不如现在这般高,Facebook对CA的资质进行初步审核后,便让其应用上线,之后便处于放任不管的状态;Facebook平台的用户协议混乱,平台与第三方、平台与用户、第三方与用户的协议甚至彼此之间存在冲突,很多第三方开发者能轻而易举的获得用户的隐私数据。同时,Facebook在发现CA滥用用户数据后,仅仅通知CA停止收集、使用用户数据,而并未对CA是否真正停止收集、使用、删除用户信息的行为进行核实,未尽到平台应尽的注意义务,是对平台用户的不负责。所以,Facebook对此次事件有着不可推卸的责任。

事实上,此类事件在国内也曾有类似的事件,只是因为并未涉及到民生与政治,影响力不大,也没有引起社会广泛的关注。比如北京淘友技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案中微博向脉脉提供了OpenAPI接口,但其中并不包括用户的教育信息、职业信息,而这些隐私数据却在用户不知情、微博也不知情的情况下被脉脉所掌握,并被公开。

该案二审判决书北京知识产权法院(2016)京73民终588号中记载道:“OpenAPI开发合作模式是在互联网环境下实现数据信息资源共享的新途径。《开发者协议》是约束OpenAPI合作双方的协议,双方均应本着平等互利、诚实信用、保护用户利益的基本原则进行合作。同时,互联网中用户即是消费者,对用户合法利益的保护是每一个互联网企业的责任。从国内相关规定来看,《中华人民共和国消费者权益保护法》(简称《消费者权益保护法》)第二十九条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”。《关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)第二条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”。《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)第二条规定:“网络服务提供者和其他企业事业单位在业务活动中收集使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”。从上述规定可以看出,网络服务提供者收集、利用用户信息应当遵循合法、正当、必要的原则并经被收集者同意。此外,国际上关于个人信息保护方面的主要法律文本,例如OECD隐私框架、APEC隐私框架、欧盟《通用数据保护条例》(General Data Protection Regulation)、欧美“隐私盾”协议(Privacy Shield)、美国“消费者隐私权法案(讨论稿)”(Consumer Privacy Bill of Rights Act of 2015)等亦规定,商业化利用个人信息必须告知用户并取得用户的同意。因此,互联网中,对用户个人信息的采集和利用必须以取得用户的同意为前提,这是互联网企业在利用用户信息时应当遵守的一般商业道德。在大数据和云计算的时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚和规模效应,最大程度地发挥价值。但数据在流动、易手的同时,可能导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。因此,在涉及个人信息流动、易手等再利用时应给予用户、数据提供方保护及控制的权利。同时,尊重个体对个人信息权利的处分和对新技术的选择,是在个人信息保护和大数据利用的博弈中找到平衡点的重要因素。

故,OpenAPI开发合作模式中数据提供方向第三方开放数据的前提是数据提供方取得用户同意,同时,第三方平台在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意。因此,在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。

随着网络的全民普及,以及大数据的高度覆盖,用户的个人隐私保护受到了极大的挑战,对于隐私数据的保护愈发重视,无论是从用户自身的角度保护自己的隐私数据的安全,还是从各大企业,尤其是互联网信息企业的合规角度来说,都是需要提高重视的一个方面。

WechatIMG2.png

迅安网络法团队致力于研究国内外隐私数据法律保护规定、实践的分析,国内隐私政策,应对目前用户隐私数据的安全的方法,和平台、产品隐私数据的合规途径有详尽的保护方案。