Facebook用户数据泄露门

近日，Facebook陷入泄露5000万用户数据丑闻，这些数据被一家叫做剑桥分析的数据分析公司运用于美国大选。据称，剑桥分析受雇于特朗普的竞选团队，他们使用一款性格测试app从Facebook收集到的用户数据，建立模型，以分析用户的心理特征、性格类型、政治倾向等特点，并依据这些内容，有针对性地向不同特征的用户投放不同广告，以试图最大化影响用户的投票，可谓“洗脑”式的政治营销。

此事一经外媒报道，舆论一片哗然。这5000万用户数据仅仅是通过一款在Facebook上线的app而收集到的，也就是说，仅仅因为使用了一款app，用户个人信息就被收集、分析，并成为特定政治广告的投放对象，被精（xi）准（nao）营销，可谓细思恐极。其实相信关注用户数据获取和个人信息安全的读者，对这一场景并不陌生。在你试图安装任何国内app或其他平台内置应用/小程序时，这个app都会弹出对话框，要求你同意app获取你的通讯录或者其他信息。但谁能确保用户数据没有被超范围获取，谁能确保app开发商取得用户数据后对数据的使用没有损害用户权益？

大数据时代，这些问题犹如达摩克里斯之剑，时刻悬在每个提供数据、利用数据、开发数据的个体或公司之上。Facebook此次曝出的数据泄露门，对于大洋彼岸的我们来说，也是心惊胆战，不免心有戚戚。

那么法律是否为数据流通环节中的弱势群体——产生数据的个体用户们提供了足够保护呢？周公本期就以Facebook事件为引，简单梳理中美目前的个人信息保护情况，看看国内外的用户都可用哪些法律手段捍卫个人权益。

Facebook案中的个人信息保护

Facebook事件一出，加州一名Facebook用户即向Facebook和剑桥分析公司提起诉讼，以捍卫自己的隐私权益。原告称，剑桥分析公司或其代理公司，在没有授权，或超出授权的情况下收集了5000万Facebook用户的个人信息。而Facebook，明知该数据收集却并未制止，或者说主动避免对此事的知情。

那么，剑桥分析究竟是如何获取Facebook用户数据的呢？周公结合扎克伯格的解释将事件梳理如下：

[2013年]

一个名为Aleksandr Kogan 的剑桥研究员创建了一个性格测试app。这个app被约30万人安装在Facebook上。App的使用者在使用app前同意分享他们的信息以及他们Facebook好友的部分信息。但当时Facebook平台尚未设置足够障碍，因此Kogan得以通过app获取超过5000万名Facebook用户的相关数据。

[2014年]

Facebook发现平台上存在滥用app的现象，因此调整了政策，限制了类似Kogan的app获取信息的途径。如果未能取得好友同意，那么，app用户的好友数据就无法被app开发者抓取。同时，Facebook也要求app开发者首先取得Facebook的授权，才可以抓取Facebook用户的敏感信息。

[2015年]

Facebook从卫报记者处得知，Kogan将他app获取的数据交给了剑桥分析公司。Kogan的这一举动实际上违反了Facebook的开发者协议。因此，Facebook在其平台上封禁了Kogan的app。并要求Kogan和剑桥分析公司正式证明他们已经删除所有不当取得的数据，对此Kogan和剑桥分析公司也已作出保证。

[2018年]

剑桥分析事件通过媒体曝出后，Facebook才意识到剑桥分析公司可能并未如他们所保证的那样删除数据。

对于上述情形，原告在其提出的诉求中援引了下述法律：

第一，根据Cal. Civ. Code § 1798.81.5(b)，如某公司拥有/许可/维持加州居民的个人信息，则该公司应当实施和维持合理的安全措施，以保护个人信息免于未授权渠道的销毁或使用或修改或公开。而Facebook在其自行公开的隐私政策中称其不会未经许可将数据交给第三方，正是因为Facebook没能遵守它自己制定的隐私政策，导致其违反了前述规定。

第二，原告认为被告涉案行为属于加州不正当竞争法定义的商业行为（“businesspractices”），而Facebook存储了原告的个人信息，且向原告称该信息会保持私人状态、未经授权不会公开或获取个人信息，被告的前述行为构成不正当商业行为，且给原告造成了损害，因此被告违反了加州不正当竞争法。

第三，原告认为Facebook有义务保护用户数据不被窃取、不被未经授权方知晓，而剑桥分析有义务不在未经许可的情况下获取原告信息。前述两被告因没能采取必要安全措施保护用户的个人信息或未经授权取得用户的个人信息而违反相应义务。正是二者的过错和过失，导致了用户个人信息的被窃取和相应后果及损失。

由此，不论本案的结果如何，至少可以看到美国法（以加州为例）其实为个人用户提供了多方面的保护渠道：

首先，至少在加州民法典（Cal. Civ. Code）、加州商事法（Cal. Bus. & Prof. Code）中都对网络个人信息、用户数据进行了明确规定，均将数据保护的责任施加至收集、拥有信息的网络服务提供者，他们有义务就用户数据提供合理的保护，且不得违反其自行制定的隐私政策。

其次，加州不正当竞争法中，也为普通用户/消费者的维权开通了渠道，对于符合不正当竞争法项下的不正当商业行为，消费者也有权提起集体诉讼。

此外，在英美法系中特有的的Tort Law（侵权法）下，还可能以Negligence（过失）责任向数据的收集和利用者主张责任。

中国法体系下的个人信息保护

那么，在相似情形下，我国目前对消费者或用户的个人信息提供怎样的保护呢？实际上，目前我国也已经逐步形成了较为全面的个人信息保护框架：

首先，在《民法总则》中，明确了个人信息的法律地位，且概要地确保了个人信息不被非法收集/使用等的基本权利：

《民法总则》第一百一十一条：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

同时，提供数据的用户，既是相关服务的消费者，也是网络服务的提供对象，因此，《消费者权益保护法》和《网络安全法》中对个人信息保护的规定更为细致：

《消费者权益保护法》第二十九条与美国法相似地要求经营者采取必要措施确保消费者信息安全：

经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

《网络安全法》第二十二条第三款则要求收集用户信息必须取得用户同意，并且征求同意的过程应当是明示的：

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

此外，《网络安全法》第四十一条也明确了收集使用个人信息的“合法、正当、必要”三原则：

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

因此，其实我国目前也已具备对用户个人信息及数据的基本法律框架。伴随中国国家标准化管理委员会发布的《信息安全技术个人信息安全规范》（GB/T 35273-2017，下称“规范”）（2018年5月1日起实施），尽管该规范的效力层级仅为推荐性标准，但可以预见，在大数据利用和保护日益重要的今天，个人信息保护的相关法律将从新生沉睡状态中被司法实践逐渐唤醒，对于收集、利用数据的相关企业而言，需要承担更高的注意义务和保护数据、合理合法使用数据的责任。

三联生活周刊微信公众号昨日推文标题是《删除Facebook解决不了问题》。周公以为，正如一句西方法谚所说，“法律不保护权利上的睡眠者”，意思是法律只保护那些积极主张权利的人，而不保护怠于主张权利的人。

Facebook数据泄露事件，不仅启示相关公司企业应当注意在数据方面的合规性，也启示个人用户们，应当积极唤醒那些关于个人信息保护的沉睡中的法条，给予这些法律规定以充足的实践机会，以积极维护自己的个人权益。至少，下一次小程序或者app无端要求你的通讯录信息等敏感数据，停顿一秒，思考是否要“用脚投票”离开这个app；或者，下次安装一个新的app时，多留意它的用户协议和隐私政策，是否明示，是否合理。法律和权利都是在经验和实践中，得以有更加明确的边界、更加深入的运用，和更加成熟的权利保护制度。

（编辑：刘宗鑫）