劍橋大學(俄美雙重國籍)心理學教授亞歷山大·科甘(AleksandrKogan)個人與劍橋分析公司合作,于2014年6月開發應用軟件“這是你的數字化生活”,并開始為劍橋分析收集數據,宣稱是“心理學家用于做研究的APP”,搜集的信息包括用戶的年齡、住址、性別、種族、教育背景、工作經歷、人際關系網絡、平時參加何種活動、發表了什么帖子、閱讀了什么帖子、對什么帖子點過贊等。該軟件以“研究”的名義要求用戶參與一個性格測試,大約27萬人不僅提供了自己的信息還提供了朋友的信息,因此劍橋分析從Facebook用戶及其朋友網絡的個人資料中獲取了大約5000萬私人信息,并涉嫌濫用這些數據影響甚至操縱了美國2016年總統競選和英國退歐進程。
由于爆料人是劍橋分析公司的前員工,因此事件引起公眾廣泛關注,英國也已搜查這家公司位于倫敦的辦公室,展開對這家公司的調查。
雖然本次事件被很多媒體冠以“隱私門”,但客觀地說,深入了解事實來龍去脈之后就不難發現,這件事并不是臉書公司自己平臺的信息泄密事件,與網絡安全領域常見的技術意義上的數據泄露并不相同,也不是網站本身收集信息或產品流程設計層面的差錯。難能可貴的是,身處輿論漩渦之中,臉書CEO扎克伯格已經向公眾道歉并承諾改進保護公眾隱私。筆者本文想探討的是,從制度層面加以反思,類似事件預防在法律和監管層面有無抓手?從企業層面來看,又有什么經驗教訓?
在筆者2012年底到現在的五年演講培訓當中,一直倡議企業要有保護網絡個人信息第一責任人的心態,這倒不僅僅是從法律合規義務層面的剛性約束,更多還是從產品的用戶體驗以及企業品牌的用戶忠誠度角度而言考慮的結果。這次其實臉書算得上屬于“躺著也中槍”——哪怕是第三方軟件欺騙,以及形式上是用戶自己同意導致了數據泄露,最終站在風暴中心需要扛起責任來的還是臉書公司自己。
從法律角度來說,臉書公司在本次事件中本身不是直接實施濫用信息行為,涉嫌違法的是劍橋分析公司濫用臉書平臺服務,用研究性軟件名義欺騙用戶收集信息或是收集信息后擅自改變了用途。劍橋分析公司要么是以研究名義收集信息之后擅自改變了用途,未通知用戶,如此則違反收集用戶信息的告知的合同約定涉嫌違約;要么就是以研究名義收集信息,實則使用收集來的用戶個人信息進行商業性數據開發使用,這就很有可能涉嫌欺詐。
時至今日,此事鬧得沸沸揚揚,筆者訪問劍橋分析公司網站,發現其宣傳大數據精準推薦的廣告宣傳內容仍正常可見,映入眼簾第一句宣傳語就是“數據驅動一切”以及“劍橋分析用數據改變受眾行為”。它們的業務分為政治和商業兩大塊。因此,雖然法律有信息收集必須經用戶知情同意不得擅自改變收集信息用途的要求,但臉書公司作為信息平臺在本次事件中似乎也是劍橋分析公司作惡行為的受害者,以隱私泄露指責臉書公司是有失公允的。
但這并不意味著臉書公司在本次事件中可以推卸責任超然事外。從制度建設的角度來說,由于軟件開發和數據收集使用是隨時可能發生的無法預見的行為,監管從效率角度考慮還是要放在督促、約束大平臺上。中國的網絡安全法已經確立了企業的網絡信息安全義務,但這個安全義務一般理解應是指企業對于信息的收集、使用和保存要符合完整性、保密性和可用性要求。而對于平臺企業以外的第三方軟件利用平臺收集信息、由此產生的對用戶的違約侵權行為,平臺企業要不要承擔責任呢?
目前國內還沒有發生類似大平臺獲取信息后違法或侵權給平臺造成法律風險的案例。但中國網絡監管話語體系中的“主體責任”其實是可以解決這個問題的。雖然這不是一個法律剛性概念,但“是誰的孩子由誰抱”,很多時候不失為解決問題的一個辦法。
在北京法院判決的新浪微博起訴脈脈擅自獲取新浪微博用戶數據的反不正當競爭案件中,與美國法院判決hiQvs.linked-in一案不同,中國法院判決未經許可讀取企業公開平臺數據構成不正當競爭并判決了200萬元人民幣的賠償。表明與美國一審法官認為的用戶信息公開平臺難以主張權利不同,中國法院認可平臺對于用戶信息享有權益。
同時,筆者建議,為防范類似事件,監管制度應該確立平臺企業的信息安全保障義務。其實在2013年消費者權益保護法修改確立經營者對于消費者人身財產安全的保障義務前后,筆者在一些會議場合就曾建議,對于消費者權益保護法的人身財產安全保障義務做擴充解釋,把消費者個人信息的安全保障納入進去。在電子商務法立法研究中,筆者建議確立電商企業的合理謹慎的注意義務,其中就應當包括網絡信息層面的內容。筆者建議只能概括性表明合理謹慎的責任,這種具體注意的內容不能列舉限制過死。由于技術和商業變化日新月異,注意義務要隨著情況變化而變化。
比如本次臉書暴露出第三方軟件對于平臺用戶信息進行濫用后,平臺企業就應采取技術和管理措施,對于第三方軟件尤其是那些平臺開放技術接口可以合法接入平臺的企業,必須進行信息安全的技術和法律手段管控,以避免類似事件再次發生。
當然,注意義務不能太高,事后諸葛亮容易,在2014年讓臉書預見到劍橋分析今后會濫用數據是過于苛刻的,但采取法律與技術措施防范利用平臺獲取大量數據濫用則是可行的,也是必要的。
本次臉書卷入網絡公共危機代人受過的教訓再一次表明,產品設計的法律合規,用戶隱私安全責任應當深入企業從技術到管理所有人員,而不能僅僅停留在隱私政策紙面上。即使企業本身不違法,發生濫用平臺服務的隱私違法行為,用戶照樣會聲討追責。
雖然媒體稱臉書可能面臨天文數字罰款,但眼下這個事件如果沒有更進一步爆料出來,對于相關企業可能無非罰款訴訟之類,尚難言產生傷筋動骨的風險。但這次事件對于同為全球網絡巨頭的其他企業而言,不可不予以警惕。
京公網安備 11010502049343號