刘金瑞中国法学会法治研究所副研究员法学博士
2018年3月,外媒曝出Facebook平台约8700万用户个人数据被泄露,被英国一家有美国财团支持的剑桥分析公司用于投放广告帮助特朗普竞选总统,引发各界指责和多国政府调查。有不少观点主张要严格监管Facebook这类平台,互联网平台应该对所有平台个人数据泄露承担直接责任。这不得不令人担忧互联网开放平台业态的发展和前景。同时,在中国,有关智能手机用户隐私保护的话题也引起了很多讨论,很多的手机APP都需要调用大量的个人信息。有关移动互联网环境下个人隐私保护的问题正在引起大量关注。
澄清Facebook事件“数据门”事件
媒体报道“数据门”往往以“Facebook数据泄露丑闻”为标题。可果真是Facebook泄露的数据吗?其实用户数据从Facebook平台流出而被滥用涉及多个主体和环节,目前的报道和解读存在不少误区,本文认为应澄清以下基本事实:
Facebook没有直接泄露数据
一般认为“数据泄露”发生在黑客攻击、安全措施遭到破坏的情形。在“数据门”中,Facebook并未受到任何黑客攻击,其平台安全措施也未受到任何破坏,并非Facebook泄露了数据,这也是本文采用“数据门”表述的原因。剑桥分析获得的Facebook用户数据来自用户授权由AleksandrKogan开发的第三方性格测试应用。这款应用2013年上线后,大约有30万Facebook用户安装并同意分享他们部分用户信息,根据Facebook当时的平台规则,该应用不仅获取了这30万人的部分用户信息,也获取了他们Facebook好友根据隐私设置允许分享的部分用户信息。事实上是用户授权的第三方应用将用户信息出售给了剑桥分析。
第三方应用接口获取数据
Kogan的应用获取用户数据是通过Facebook当时的1.0版图谱数据接口。第三方应用通过该数据接口的“好友权限”功能,可以获取用户所有Facebook好友的部分用户信息,只要这些用户好友在隐私设置里没有设置不能分享他们的这些用户信息。根据当时Facebook隐私设置的规则,对于好友安装使用的第三方应用可以获取用户哪些个人信息,用户往往选择“允许”第三方应用所有权限,这使得第三方使用可以访问用户的生日、状态更新、点赞等大量信息。如果用户不同意分享这些信息,需要在“隐私设置”页面下的“广告、应用和网站”项下的“人们如何将你的信息提交给他们所使用的第三方应用”项下“不勾选”状态更新、点赞等类别的信息才可以(如图所示)。但对于朋友列表、设置为“公开可见”的信息等,只有关闭整个第三方应用功能才可以不分享。1.0版图谱数据接口和当时的隐私设置规则使得Kogan的应用除了获取了30万安装用户的信息之外,还获取了他们好友的用户信息,最终获取了大约8700万人的用户信息。图Facebook隐私权限设置界面Facebook曾调整隐私设置规则
为了避免第三方应用获取并滥用大量用户信息,Facebook于2014年4月30日上线了2.0版的图谱数据接口,对第三方应用访问Facebook平台数据做出严格限制。除非用户好友已经授权第三方应用获取其用户信息,与Kogan的程序类似的第三方应用不再能够获取用户好友的信息。Facebook也相应调整了隐私设置规则。但Facebook为第三方应用开发者预留了一年时间调整升级他们的应用,实际从2015年4月30日起才彻底弃用1.0版的图谱数据接口,在这之前很多第三方应用还是可以按之前的方式收集数据。对此,从英国议会披露的信息看,Kogan及其公司是知情的。
Facebook未尽充分审核义务
Facebook提出,Kogan的应用最初声称是一个“研究程序”,并“告知用户数据会被妥善保护,绝不会用于商业目的”才通过了Facebook的审查,Kogan将数据出售给了第三方,“欺骗”了他们。可是根据《金融时报》的报道,Kogan曾经发给Facebook其应用的第2版服务协议,该协议规定收集“点赞”和“状态更新”等信息以及用户Facebook好友的类似信息要获得用户的同意,还规定Kogan的公司有权“编辑、复制、传播、公开、传输、添加或者合并其他数据库、出售、许可……以及归档你的贡献和数据”。Facebook指出根据当时的平台规则,禁止第三方应用开发者出售、许可或者购买从Facebook或其服务中获得的任何数据,禁止第三方应用将数据传输给“任何广告平台、数据中介或者其他广告或创收性服务”。那么Facebook为何会同意一个明确违反平台规则的应用上线呢?根据《金融时报》的报道,Facebook依赖自动程序接收第三方应用的服务条款更新,并未安排员工去审查这些新条款。
“数据门”凸显第三方应用对信息保护的挑战
根据以上分析,Facebook“数据门”的实质是接入Facebook平台、经用户授权的第三方应用“滥用”用户个人信息的问题。这一问题是互联网开放平台业态必然带来的挑战。随着互联网产业的融合创新发展,“开放共赢”理念成为业界的基本共识,开放核心业务数据构建平台化业务生态体系成为互联网企业新的增长点。Facebook是这一理念最早的践行者,腾讯、新浪、阿里等国内企业紧随国外巨头的步伐也纷纷推出自己的开放平台等,实现了近几年的迅猛增长。
众多的第三方开发者的涌入,一方面丰富了平台的应用种类和服务内容;另一方面也同时给个人信息保护、网络安全、内容管理等带来了巨大的挑战。Facebook“数据门”就是典型例证。由于Facebook平台疏于对Kogan开发的第三方应用实施有效监管,导致Kogan将其从Facebook平台获取的原本仅用于学术研究的个人信息出售给了剑桥分析,剑桥分析超越用户授权目的将这些信息用于了商业和政治定向广告,从而导致了用户个人信息被严重滥用。
这一事件凸显的最重要的法律问题就是,互联网开放平台对于确保第三方应用不滥用个人信息应该承担何种责任。在互联网平台数据开放业态中,平台既是通过用户授权获得数据的数据聚合者,又是授权第三方应用使用数据的数据分发者。为保证这种数据业态的健康有序,互联网平台理应对第三方应用利用个人信息承担一定的监督和管理责任,确保个人信息不被第三方应用滥用。但这种责任不是无限责任,要有一定的边界,应承担与开放业态相适应的责任,如此避免对平台施以不当的责任管制而阻碍平台开放业态的健康发展。
互联网隐私保护的法律手段
明确互联网开放平台和第三方应用各自的责任边界,才可以切实保障互联网平台经济的健康有序发展。对此目前法律规定并不清晰,从事前审核和事中管理的角度看,从法律完善的角度看,主要应考虑以下几个方面:
完善相关的法律法规体系
目前,我国网络服务商采取的网络隐私权保护措施基本是自律,各个网站自行出台自己的网络隐私保护办法和相关措施,但是这不能认为等同于网络隐私权有了保证,还需要我国出台相关的法律完善和系统化这些零散的、不全面的零星的立法。发达国家在这方面做得比较超前和成熟稳定,比如美国,我国在行业的标准以及自律方面存在诸多的可见问题,各个网站的声明也比较简单,并且是网站单方规定的,不构成有效性,出现问题推责严重,没有形成良性的保障。因此,在考虑我国国情的基础上,比较世界先进国家的有关网络隐私权法律保护模式的基础上,从中吸取适用于我们的经验办法,形成适用于我国网络隐私权立法的基本框架和一般原则。逐渐建立完整的法律法规体系,保证独立的民事权利地位,为网络电子产业快速发展开辟更为宽广的道路。
规范网络隐私权保护的范围与内容
对网络隐私权保护的范围和内容应尽快加以完善,网络隐私权的保护至少应包括三项内容:①网络用户的基本身份信息、婚姻家庭状况以及健康状况等个人隐私资料。②网络用户个人的财产和信用状况,包括银行卡、信用卡、上网卡、各类账号和密码等信息。③网络用户的具体网络活动,如IP地址、网络活动以及浏览内容等。同时,对网络隐私权保护规定的范围与内容亦应采取较为灵活的方式相应的加以调整,在相关法律条款中单列“其他导致侵害隐私权的行为”一项,为未来的发展奠定基础。
明确接入平台时的登记和审查义务
“数据门”发生的主要原因是Facebook没有尽到对第三方应用应有的审查。建议未来立法明确互联网平台在第三方应用接入平台时应履行登记和审查义务。这类似我国《食品安全法》第62条规定的网络食品交易平台对入网食品经营者负有实名登记、审查许可证的义务。平台的登记义务主要是记录应用开发主体的真实信息和联系方式,有利于在出现数据泄露时追查责任人。平台的审查义务一方面是审查主体的资质,比如应用开发者是否具备法定的数据处理资质,这种审查有时需要政府向平台开放行政许可数据才能实现;另一方面是审查第三方应用的数据使用协议是否符合平台规则,比如平台有可能禁止第三方应用将获取的用户数据再次移转。需要指出的是,平台规则必须包括最低的法定要求,平台允许违反此类规则的应用上线,有可能构成共同侵权和共同犯罪。当然,互联网平台出于市场竞争的考虑,也可以提出比法定要求更高的数据保护规则,排除一些数据保护不规范、能力相对较弱的应用开发者。
明确“平台+用户”双重授权原则
对于第三方应用通过平台数据接口获取用户个人数据,应该确立“平台+用户”双重授权原则。理由在于:一是有利于让平台审查第三方应用利用数据是否合法是否符合平台规则,平台可以拒绝授权那些经评估可能对个人信息保护造成重大威胁的利用;二是用户往往对第三方应用提供的格式条款缺乏理性判断,平台的加入有助于保护用户合法权益。此外,规定需要平台授权有利于维护平台的数据资产,阻断第三方应用通过突破数据接口来获取平台数据的不正当竞争行为。在2016年新浪诉脉脉非法抓取微博用户数据案中,法院判决认为,“网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利”,并确立了第三方应用通过开放平台获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。
明确个人信息和隐私区分保护原则
大多数关于“数据门”的报道和分析不加区分地使用个人信息和隐私的概念。虽然对这两个概念的认识远未达成共识,但有一种有力说法认为主体自愿公之于众的个人信息不再属于个人隐私。Facebook对不同类别个人信息实际是区分保护的:无论是1.0版还是2.0版图谱数据接口,只要用户使用第三方应用,第三方应用就可以访问用户的好友列表、设置为“公开可见”的信息等,除非用户关闭整个第三方应用功能。抛去概念的争议,对于隐私、已经公开可见的个人信息、用户好友可见的个人信息等不同类别的个人数据应该予以区分保护、分级保护。对于隐私,比如聊天记录、通话记录、短信内容等,一般不允许第三方使用,规制的重点是避免他人知悉,必需使用时应该有明确的最小限度的授权,一般不得存储和向第三方共享。对于已公开的个人信息,规制的重点是避免他人滥用,在用户授权的目的和范围内,平台可以根据具体应用场景限制第三方应用使用数据接口的时间和频次等。比如“数据门”之后,Facebook规定如果用户在三个月之内不再使用第三方应用,将删除该应用的连接方式。此外,考虑到社会公共利益,对于个人信息用于学术研究等,可基于以风险管理原则设计一些例外规定。
明确违法行为的报告和处置义务
鉴于互联网平台对于违法行为有一定的管控能力,在出现违法行为时,为防止危害和影响的扩大化,可以规定平台承担报告义务和一定的处置义务。因为平台的手段和能力有限,平台在对违法行为进行力所能及的应急性处置后,应尽快报告监管部门,由监管部门来调查和处理违法行为。参照《网络安全法》第47条、第48条和第49条的规定,可作如下规定:互联网平台发现第三方应用超出授权范围滥用用户个人信息时,应当根据具体情况采取警告、限制访问、必要时停止平台授权等措施,并保存有关记录,按规定及时向有关主管部门报告。互联网平台应当建立个人信息滥用投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关个人信息滥用的投诉和举报。在“数据门”事件中,Facebook获知数据遭滥用后曾要求Kogan和剑桥分析正式澄清他们已经删除了全部不当获取的数据。但笔者认为,这种要求删除不当获取数据的行为应该由监管部门实施,因为只有监管部门才可以通过公权力核查数据滥用者是否已经删除数据。
明确数据泄露的报告和通知义务
在“数据门”事件中,Facebook在要求Kogan和剑桥分析删除不当获取数据后,并没有将用户数据泄露、被滥用的情况报告给监管部门和通知用户。实际上直到扎克伯格去美国国会作证的前一天,Facebook才开始通知数据泄露受到影响的用户。这显示有必要规定互联网平台就数据泄露负有报告主管部门和通知有关用户的义务。对于数据泄露报告和通知,美国、欧盟、澳大利亚等国家通过立法作出了具体规定。我国《网络安全法》第42条第2款作出了原则性规定,网络运营者,“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。建议未来我国立法进一步细化网络运营者的数据泄露通知义务,明确规定数据泄露通知义务的通知对象、通知时间、通知程序、通知内容等,及时遏制数据泄露所造成的危害进一步扩大,切实维护网络用户的合法权益。
责任编辑:向坤