查看原文
其他

假如Facebook数据丑闻发生在中国

许可 网安寻路人 2020-02-27

最近,Facebook数据泄露丑闻引爆了舆论。这里不妨先复盘一下整个事件:早在2013年,剑桥大学一名研究人员(同时也“秘密”地是俄罗斯彼得堡大学副教授)亚历山大•科根(Aleksandr Kogan),在Facebook上开发了一款性格测试应用——“this is your digital life”,并通过随机发放2到5美元红包的方式大力推广。当时,安装这款应用的用户约27万,由于用户均授权该应用获取社交关系以及好友信息,科根间接获得了额外近5000万人的数据。


随后,他经由其创立的“环球科学研究”(Global Science Research)公司,将上述数据分享给一家名为“剑桥分析”(Cambridge Analytica)的政治咨询公司。该公司由美国总统顾问、白宫首席策略师史蒂夫•班农创立,旨在从海量信息出发,有针对性地向听众投放宣传材料,从而改变听众行为。


2015年,Facebook得知这一消息,屏蔽了“this is your digital life”应用,并敦促科根和剑桥分析公司删除所有用户信息。虽然后者对此并无异议,可相关数据的删除与否,Facebook却并未跟踪调查与追究。而在2016年的美国总统大选中,这些数据被用于新闻或观点的精确投放,以帮助特朗普团队。


不过,关于剑桥分析公司对特朗普的获胜究竟贡献多大,目前尚存大量争议。大多数政治学家均对这种定向广告的有效性表示出强烈的怀疑,认为所谓用户个性分析与投票之间或者不充分或者不相关,剑桥分析公司只是夸大其词而已。但无论如何,正如扎克伯格在3月22日的书面申明中所坦承的,Facebook在用户数据保护方面犯了错误。


本来,美国的个人信息保护无需我们操心。但“殷鉴不远,在夏后之世”,这一事件恰如隔空为我们敲响了一次警钟。而在中国阿里巴巴的市值借机超越Facebook的当口,不妨做些未雨绸缪的假想:若Facebook信息泄露事件发生在中国,我们究竟该如何应对呢?


科根和剑桥分析公司的“恶”


作为始作俑者,科根第一大“恶”是违反我国《民法总则》第111条和《网络安全法》第41条,未经5000万用户的同意,非法收集个人信息。当然,科根并不会坐以待毙,他还可以从如下方面提出抗辩。


首先,科根可以主张他从事的是学术研究,因此无需获得用户同意。我国《个人信息安全规范》第5.4条列出了用户同意的若干例外,其中一种情形是“学术研究机构出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理”。


事实上,2013年,科根大规模收集数据的行为就曾触发了Facebook的内部预警机制,而当Facebook得到其“用于学术目的”的回复后,就不再过问了。但问题是科根压根不是在做学术研究。调查发现,科根一开始就获得了剑桥分析公司的资助,更重要的是,他向后者提供的全部是指向特定个人的信息,而非匿名信息。因此,从事研究的抗辩纯属狡辩。


其次,科根可以主张他已获得了Facebook的同意。因为 “this is your digital life”应用并非无中生有,而在合法嫁接在Facebook的平台上。作为“开放图谱”(Open Graph)计划的一部分,Facebook允许第三方在遵守《开放平台政策》的条件下,使用“开放应用编程接口”(Open API),并调取Facebook用户的数据。在2014年Facebook更新其平台架构之前,Open API不但允许开发者访问登录其应用的用户信息,还能访问用户好友的生日、城市、兴趣、工作经历、宗教信仰等各种信息。


然而,不论Facebook的授权得当与否,所谓授权在事实上也因科根超越权限而无效,因为《开放平台政策》第3.10条明确规定:“不得将从我方接收的任何数据(包括匿名、汇总或派生数据)转让给任何广告网络、数据代理或其他涉及广告或创收的服务。”


再次,科根可以主张他从登录用户那里获得了“间接同意”。本次信息泄露规模之所以高达5000万人,全赖社交网络的乘数效应。所以,必须回答的问题是,你能否为你朋友的信息做主?我们直觉的回答是:当然不能,就像我们不能擅自将线下朋友的家庭住址告诉一名陌生人。


不过,有些信息并不是那么泾渭分明,比如我们和朋友的交互信息,而它们对于了解朋友意义重大。正如斯坦福大学计算机科学教授米哈尔•科辛斯基(Michal Kosinski)所言:“了解一个人 10 个Facebook的点赞,对这个人的了解足以超越这个人的普通同事;了解 70 个点赞,则对这个人的了解足以超过这个人的朋友;了解 150 个点赞,那么对这个人的了解可以到达这个人家长的程度;如果了解超过 300 个点赞,那么恐怕会比这个人最亲密的伴侣更了解这个人。”


在法律上,这种交互信息大多可归入“共同隐私”的范畴。根据中国法学会起草《民法典人格权编》第63条,在充分考量信息的性质、公开的方式和涉及的利益后,用户可以自行决定是否披露共同隐私,但不得给好友造成实质性损害。


最后,科根可以主张他所获取的是用户的公开信息。在“this is your digital life”应用上线时,Facebook的用户隐私的默认设置是“公开”,显而易见,因框架效应的存在,一般人只会全盘接受。直到2014年,Facebook才意识到其中的风险,将用户信息默认的隐私选项由“公开”改为“只为好友所见”。


依常理,既然用户已经公开信息,自然无须对科根特别授权。然而,在法律的立场上,信息并不因公开就可以随意使用。针对公开信息,是以人工方式手动拷贝,还是以软件方式大规模抓取,有着迥然不同的法律后果。在2016年“大众点评诉百度不正当竞争案”“新浪微博诉脉脉不正当竞争案”中,法院均对自动抓取进行了限制。在后一起案件中,北京知识产权法院甚至给出了“三重授权”的标准,即第三方通过0pen API获取用户信息时应坚持“用户向平台授权”+“平台向第三方授权”+“用户向第三方授权”的原则。


如果说非法收集个人信息还有零星但无力的反驳的话,那么,科根超出学术研究目的使用所收集信息,以及未经用户同意将之提供给剑桥分析公司的“恶行”就确凿无疑了。根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《刑法》第253条之一的规定,科根将其在提供服务过程中所获得的信息,向剑桥分析公司提供,数量特别巨大,情节特别严重,科根和剑桥分析公司均构成“侵犯公民个人信息罪”。


Facebook错在何处?


Facebook信息泄露事发后,Facebook的副总裁兼副总法律顾问Paul Grewal和首席安全官Alex Stamos相继在推特上发文,指摘媒体称这次事件为“数据泄露”(data breach)完全错误,因为Facebook的系统没有被侵入,用户的密码或敏感信息也没有被窃取或攻击。


这两位高管的解释在技术上非常精明,但在战略上并不明智。人们所关心的不只是数据安全(data security),更是安全感(safety)。难怪有人嘲讽说,Facebook的意思是你们完全不用担心,剑桥分析公司没有窃取,是Facebook主动交了出去。公允地说,Facebook确实没有“做恶”,但这并不意味着它是无辜的替罪羊,恰恰相反,其至少存在两大过失。


从事前视角观察,Facebook缺乏数据共享的风险管理。根据《个人信息安全规范》第10.2条的要求,在通过Open API将用户数据和科根共享之前,Facebook至少应开展“个人信息安全影响评估”,分析“this is your digital life”应用场景,评估其索要数据的必要性、数据类型和数据量、数据传输方式以及科根的数据保护能力,从而确定数据是否对外提供、提供的安全量级、提供的安全方式以及操作中的风险控制和发生安全事件后的应急预案。在这一事件中,尽管科根声称进行心理学的学术研究,但却将用户限于美国选民,这理应引起Facebook的警觉,更重要的是,科根获取的信息如此之巨,其保障能力显然无法满足与之相称的数据安全标准。Facebook在2013年发现异常时,就应当机立断,而不该贻误时机。此外,根据《网络安全法》第37条的规定,Facebook属于关键信息基础设施的运营者,当5000万人的信息从境内转移到环球科学研究公司——一家英国企业时,Facebook还要进一步评估国家安全和社会公共利益受影响的等级,并将相关评估结果上报监管机构审核。


从事后视角观察,Facebook没有履行个人信息安全事件的双通知义务。2015年,Facebook知悉个人信息被非法转移后,就应按照《网络安全法》第42、43条的要求,立即采取补救措施,按照规定及时通知用户和监管部门。这里的补救措施包括:要求科根和剑桥分析公司删除所有数据以及由其衍生的相关信息,并保证不留存任何副本;封存证据并启动调查和责任追究程序;为相关用户提供投诉和要求删除个人信息的渠道,等等。事实上,这些措施和扎克伯格的申明内容几无差异,只不过Facebook晚了三年。


任何错误都要付出代价,Facebook也不例外,问题在于:代价究竟多大?坊间传言,Facebook可能遭至美国贸易委员会(FTC)每名用户4万美元,总额2万亿美元的重罚。但这可能是一个误读,因为根据2016年FTC的罚款上限,4万美元的标准是按天计算,而非按人头计算。此外,这一说法是建立在Facebook违反其与FTC在2010年达成的“协议协定”(consent agreement),特别是第II条关于第三方收集用户信息的约定上。根据该条款,如果科根收集了用户的“非公开信息”,Facebook却没有在隐私政策、数据使用政策等文件之外,明确提示用户并获得明示同意,那么就可能违规。该条同时说明,用户只有在不实质违反其好友隐私设定的范围内,才能共享其好友的信息。截至目前,FTC的调查还未正式启动,因而难以预判其结果,但其关注点明显是事中的收集过程,而非前文所述的事前和事后环节。


还是让我们再回到中国——如果Facebook此次数据泄露发生在中国,首先可以明确的是,我国在网络安全执法领域,并无“协议协定”——这一处罚和解制度,故而无论Facebook是否违约,监管机构都不可能以此为由施加处罚。不过,假设监管机构在2010年就已经责令其改正,而Facebook拒不改正,拒不履行信息网络安全管理义务,那么有可能构成《刑法》286条之一“拒不履行信息网络安全管理义务罪”。此外,根据《网络安全法》第66条,Facebook违规对外提供数据,监管机构有权责令改正,给予警告,没收违法所得,处5万元以上50万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。由此可见,较诸美国,Facebook在中国面临的责任更加多样化,也更不确定。


开放平台数据治理的反思


这次信息泄露事件绝不是Facebook的第一次,也不可能是它的最后一次。实际上,从2008年将用户的网络活动与其好友进行分享的Beacon系统,到2010年通过消息推送样本对比测试来考察社交网络对投票率的影响,Facebook对其数据的管控一次次面临着人们的质疑。尽管个种缘由难以尽述,但其作为开放平台的定位却始终是症结所在。


2007年,年仅23岁的扎克伯格在第一届F8大会(Facebook开发者大会)上发出豪言:“到目前为止,社交网站已经成为封闭的平台,我们要做的就是终结这一历史。Facebook将被打造成为一个开放的平台,来自全世界每个角落的开发者都能在Facebook Platform的基础框架下,为这个巨大的社交图谱开发多元化的应用。”这里的“开放”首先就是数据的开放,即Facebook将其拥有的海量社交用户档案和关系数据,通过Open API开放给第三方开发者。对于传统的封闭网络——Myspace而言,这无疑是革命性的。事实证明,Facebook成功了。谷歌热度显示,Facebook和Myspace的搜索频次在2007年下半年形成转折,到了次年5月,Facebook的访问量首次超过Myspace,自此奠定王者地位。


然而,成也萧何,败也萧何。Facebook的开放性一方面令实时、全样本的数据流动起来,并经由第三方的数据挖掘和分析,重新包装为数据产品推向给客户。但在另一方,它也削弱平台对数据的掌控,以至于Facebook前平台运营经理Sandy Parakilas最近表示:“Facebook无法监控通过其服务器提供给开发者的所有数据,所以我们完全不知道开发者对数据做了什么。”


如何在保持平台开放的同时,强化对数据的治理?这个问题的答案依然要从平台的性质中寻求。作为应用/服务层、数据层和规则层的复合体,平台的形成和发展是此三者不断聚化和演化的结果。其中,应用/服务层是依托信息技术、集合线上线下资源而开展的交易与合作活动,它是平台运作的驱动力;而在交易和合作过程中,大量信息被记录、存储和利用,数据层由此成为市场价值再发现的核心生产要素;最后,规则层是各主体共同遵循的制度体系,是平台组织赖以成型的基础保障。


平台设立之初,规则层发挥着决定性作用,而平台一旦步入正轨,就展现出鲜明的自组织性,制度层必须和应用/服务层、数据层之间相互反馈、同步调适。就此而言,在Facebook的数据层和应用/服务层开放之后,规则层就不能再由Facebook单方垄断,否则就会因逻辑冲突,引发平台功能失调,而这正是Facebook数据失控的根源。


既然如此,开放平台的制度层到底要怎样开放呢?一方面,要把多元化的利益相关者,特别是普通用户吸纳到数据规则的制定之中。这是因为,在开放性和去中心化的数字治理架构下,所有受规则影响的人都是、且应当是数据规则形成的主体。同时,考虑到用户在时间、能力和信息获取上的欠缺,平台还须积极“赋权”,通过增加透明度保障用户知情权,并在制度架构设计上尽量采取“选择适用”(opt in)模式,以实现真正意义上的审议和决定。


另一方面,在数据规则的执行中,要为不同主体提供恰到好处的激励和严格的责任,使之积极、主动地践行规则。3月21日,Facebook宣布将拓展bug奖励计划,如用户发现应用的开发者滥用个人新数据并提出举报,就能获得相应奖励。显然,这是向正确的道路前进了一步。但这还远远不够。平台还应建立更有效的争议解决机制和对违规开发者的惩治机制,采取包括区块链在内的新技术,将平台、用户、开发者、数据处理者紧密相连,保证每次查询、复制、使用、流转的可追溯和不可篡改。


如今,平台应用/服务的生态化以及数据流动所带来的网络效应,发展出大规模的协作和共享,激发出前所未有的活力,开放性平台由此成为数字经济的关键性支柱。而正如Facebook信息泄露所揭示出的,平台的这种开放性终将迫使我们打破自上而下的“数据管理”迷思,迈向多主体共同参与、各享权利、各负其责的“开放数据治理”。而这,才是在中国语境下思考这一事件的意义所在。


作者系法学博士、中国人民大学金融科技与互联网安全研究中心副主任。本文发表于FT中文网。转载时获得了作者的授权。


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存