作者 | 陈立彤

来源 | 合规

拥有全球上亿注册用户的著名社交网站——Facebook，爆出泄露5000万用户数据的丑闻，导致的结果很直接：光Facebook股票的市值，两天内就缩水了500亿美金，面临的罚金，则可能超过两万亿！

在距离号称“史上最严”的欧洲通用数据保护规则（GDPR）生效不足三个月的日子里，这样一起损失惨重的数据泄露事件，可以说是给全世界的互联网科技公司敲响警钟：我们该怎么做，才能不成为下一个Facebook？！

先快速地梳理一下事件始末：2014年，一位叫做Aleksandr Kogan的剑桥大学学者与一家叫做剑桥分析（Cambridge Analytica）的公司合作，开发了一款叫做“thisisyourdigitallife”的性格测试应用，发布在Facebook上。通过有偿征集的方式，很快就有大约27万用户参加测试，把自己姓名、兴趣爱好等信息录入进去。

最关键的是，在问卷的最后，有一个小小的授权，授权应用不仅可以获得用户自己的信息，还包括用户好友的资料。就是通过这个授权，应用实际上抓取了5000万用户的数据。剑桥分析公司通过对手中掌握的大量用户数据进行“画像”，进而选择最合适的政治广告进行精准投放，最终帮助特朗普赢得2016年美国大选。

事件中包含的政治因素，极大地刺激了公众的神经，对幕后隐情的挖掘也是愈演愈烈。不仅背后的政治八卦值得玩味，从数据保护的角度来看，这起事件也是大有嚼头：即将生效的GDPR会如何评价此次数据泄露事件？

• Facebook这样的美国公司，欧洲的GDPR能管到它吗？

每次提到GDPR，都要介绍一次它的管辖范围，因为这真的太重要：除了欧洲公司，向欧洲居民提供服务或商品的外国公司也受其管辖。而Facebook拥有来自全球的用户，自然受GDPR管辖。

事实上，各国的数据保护监管早已不限制在本国领土，全面保护本国居民的个人数据是大势所趋。此次Facebook泄露事件爆发，除了来自美国本土的调查，英国、欧盟也一起出手，要求追查公司系统、传唤CEO扎克伯格。

所以，提供跨境服务的企业，尤其是掌握大量个人数据的互联网公司，生意做的大、注册用户多，个人数据保护风险也在增加，绝不可掉以轻心。

• 测试应用已经加入授权选项，用户也勾选了，为什么公司还是要担责？授权到底有没有用？

授权是企业在收集用户个人数据过程中最常用的手段,GDPR也允许经数据主体同意，为特定目的处理其数据的行为。但前提是授权的方式合法且有效，剑桥分析公司正是在这一环节上动了手脚。

• 授权主体不是数据主体

“thisisyourdigitallife”的授权内容，不仅包括测试参与者自己的资料，还有参与者好友的资料，而后半部分的授权是无效的。GDPR规定受其保护的个人数据（personal data）是指能识别特定自然人的数据，而被识别的特定自然人就是数据主体（data subject）。“谁的数据谁授权”，对个人数据的处理必须经数据主体的同意，因此，测试参与者的“授权”无效，剑桥分析未经数据主体同意，处理其个人数据，百分之百违反GDPR。

• 授权目的不是实际使用目的

GDPR承认的授权形式，绝不是数据主体同意处理即可，还必须与特定目的相联系。剑桥分析声称其收集的个人数据仅用于科研，那么数据主体就只授权了用于科研目的的处理行为。实际上数据是用于支持总统竞选，而以此为目的的数据处理行为是未经同意的，因此同样的，该授权也无效的。

授权并不是不能用，只是GDPR对它有形式要求、内容要求，虽然繁琐，但也可以让剑桥分析这种表面授权实则盗取的行为无处遁形。

• 盗取数据的是剑桥分析，Facebook就是冤大头，为什么遭此重创？

首先，Facebook未必是冤大头，根据事件爆料人Christopher Wylie所述，整个过程中Facebook一直知情。

其次，假设Facebook真的不了解此事，它也不能逃脱干系。GDPR对数据控制者（data controller）设定了明确的义务，发生问题时不是一句“不知情”就可以规避的。在本次Facebook泄露事件中，暴露得最为明显的是以下三点：

• 缺乏适当的数据安保措施

GDPR规定，数据控制者应当根据数据性质、范围、内容、用途和风险等等，实施适当的安保措施，保证处理过程符合GDPR的规定。Facebook想必是缺少此类措施的，否则一个在其平台上的第三方应用，怎么可能如此轻易的盗取5000万用户数据。

• 没有数据处理过程记录

虽然剑桥分析确实存在欺骗、隐瞒的行为，但Facebook若能够有健全的数据处理记录流程，也不至于被剑桥分析如此堂而皇之的盗取用户数据，发选举广告。GDPR不喜欢糊涂的数据控制者，处理数据的目的、主体类别、个人数据接收方等信息都是按规定要进行记录的。

• 没有及时上报

Facebook此次的泄露事件其实在互联网的世界，都算得上是“陈年旧事”了。在剑桥分析已经利用盗取来的数据，成功帮助特朗普当选总统，立下“汗马功劳”两年以后，才由内部人爆出此次泄露事件。

作为一家如此成功的互联网企业，除非Facebook有意隐瞒，否则面对如此大量的用户数据泄露，Facebook的反应真的是迟缓得让人难以置信。“数据控制者应当自知道之时起72小时内，通知有关监管机构”，这是GDPR的标准，Facebook的应对速度离及格线，差的不是一点半点。

Facebook毫无疑问是一家极为成功，称之为传奇也不为过的互联网企业，但在数据安全保护方面，却被一个小小的第三方应用试出了深浅，如今面临舆论攻击、股价缩水、高额罚金和即将到来的一大波维权诉讼，Facebook举步维艰。

此次泄露事件中使用的应用在我们国内的网络上其实也并不少见，朋友圈就时常出现所谓性格鉴定、心理测试等小游戏，输入自己的个人信息，就能够跳出一些有意思的结论，引得一阵刷屏。Facebook数据泄露事件，可能离我们并不是想象的那么遥远。

那么，中国的互联网巨头、独角兽们，你们准备好了吗？