劉金瑞中國法學會法治研究所副研究員法學博士
2018年3月,外媒曝出Facebook平台約8700萬用戶個人數據被洩露,被英國一家有美國财團支持的劍橋分析公司用于投放廣告幫助特朗普競選總統,引發各界指責和多國政府調查。有不少觀點主張要嚴格監管Facebook這類平台,互聯網平台應該對所有平台個人數據洩露承擔直接責任。這不得不令人擔憂互聯網開放平台業态的發展和前景。同時,在中國,有關智能手機用戶隐私保護的話題也引起了很多讨論,很多的手機APP都需要調用大量的個人信息。有關移動互聯網環境下個人隐私保護的問題正在引起大量關注。
澄清Facebook事件“數據門”事件
媒體報道“數據門”往往以“Facebook數據洩露醜聞”為标題。可果真是Facebook洩露的數據嗎?其實用戶數據從Facebook平台流出而被濫用涉及多個主體和環節,目前的報道和解讀存在不少誤區,本文認為應澄清以下基本事實:
Facebook沒有直接洩露數據
一般認為“數據洩露”發生在黑客攻擊、安全措施遭到破壞的情形。在“數據門”中,Facebook并未受到任何黑客攻擊,其平台安全措施也未受到任何破壞,并非Facebook洩露了數據,這也是本文采用“數據門”表述的原因。劍橋分析獲得的Facebook用戶數據來自用戶授權由AleksandrKogan開發的第三方性格測試應用。這款應用2013年上線後,大約有30萬Facebook用戶安裝并同意分享他們部分用戶信息,根據Facebook當時的平台規則,該應用不僅獲取了這30萬人的部分用戶信息,也獲取了他們Facebook好友根據隐私設置允許分享的部分用戶信息。事實上是用戶授權的第三方應用将用戶信息出售給了劍橋分析。
第三方應用接口獲取數據
Kogan的應用獲取用戶數據是通過Facebook當時的1.0版圖譜數據接口。第三方應用通過該數據接口的“好友權限”功能,可以獲取用戶所有Facebook好友的部分用戶信息,隻要這些用戶好友在隐私設置裡沒有設置不能分享他們的這些用戶信息。根據當時Facebook隐私設置的規則,對于好友安裝使用的第三方應用可以獲取用戶哪些個人信息,用戶往往選擇“允許”第三方應用所有權限,這使得第三方使用可以訪問用戶的生日、狀态更新、點贊等大量信息。如果用戶不同意分享這些信息,需要在“隐私設置”頁面下的“廣告、應用和網站”項下的“人們如何将你的信息提交給他們所使用的第三方應用”項下“不勾選”狀态更新、點贊等類别的信息才可以(如圖所示)。但對于朋友列表、設置為“公開可見”的信息等,隻有關閉整個第三方應用功能才可以不分享。1.0版圖譜數據接口和當時的隐私設置規則使得Kogan的應用除了獲取了30萬安裝用戶的信息之外,還獲取了他們好友的用戶信息,最終獲取了大約8700萬人的用戶信息。圖Facebook隐私權限設置界面Facebook曾調整隐私設置規則
為了避免第三方應用獲取并濫用大量用戶信息,Facebook于2014年4月30日上線了2.0版的圖譜數據接口,對第三方應用訪問Facebook平台數據做出嚴格限制。除非用戶好友已經授權第三方應用獲取其用戶信息,與Kogan的程序類似的第三方應用不再能夠獲取用戶好友的信息。Facebook也相應調整了隐私設置規則。但Facebook為第三方應用開發者預留了一年時間調整升級他們的應用,實際從2015年4月30日起才徹底棄用1.0版的圖譜數據接口,在這之前很多第三方應用還是可以按之前的方式收集數據。對此,從英國議會披露的信息看,Kogan及其公司是知情的。
Facebook未盡充分審核義務
Facebook提出,Kogan的應用最初聲稱是一個“研究程序”,并“告知用戶數據會被妥善保護,絕不會用于商業目的”才通過了Facebook的審查,Kogan将數據出售給了第三方,“欺騙”了他們。可是根據《金融時報》的報道,Kogan曾經發給Facebook其應用的第2版服務協議,該協議規定收集“點贊”和“狀态更新”等信息以及用戶Facebook好友的類似信息要獲得用戶的同意,還規定Kogan的公司有權“編輯、複制、傳播、公開、傳輸、添加或者合并其他數據庫、出售、許可……以及歸檔你的貢獻和數據”。Facebook指出根據當時的平台規則,禁止第三方應用開發者出售、許可或者購買從Facebook或其服務中獲得的任何數據,禁止第三方應用将數據傳輸給“任何廣告平台、數據中介或者其他廣告或創收性服務”。那麼Facebook為何會同意一個明确違反平台規則的應用上線呢?根據《金融時報》的報道,Facebook依賴自動程序接收第三方應用的服務條款更新,并未安排員工去審查這些新條款。
“數據門”凸顯第三方應用對信息保護的挑戰
根據以上分析,Facebook“數據門”的實質是接入Facebook平台、經用戶授權的第三方應用“濫用”用戶個人信息的問題。這一問題是互聯網開放平台業态必然帶來的挑戰。随着互聯網産業的融合創新發展,“開放共赢”理念成為業界的基本共識,開放核心業務數據構建平台化業務生态體系成為互聯網企業新的增長點。Facebook是這一理念最早的踐行者,騰訊、新浪、阿裡等國内企業緊随國外巨頭的步伐也紛紛推出自己的開放平台等,實現了近幾年的迅猛增長。
衆多的第三方開發者的湧入,一方面豐富了平台的應用種類和服務内容;另一方面也同時給個人信息保護、網絡安全、内容管理等帶來了巨大的挑戰。Facebook“數據門”就是典型例證。由于Facebook平台疏于對Kogan開發的第三方應用實施有效監管,導緻Kogan将其從Facebook平台獲取的原本僅用于學術研究的個人信息出售給了劍橋分析,劍橋分析超越用戶授權目的将這些信息用于了商業和政治定向廣告,從而導緻了用戶個人信息被嚴重濫用。
這一事件凸顯的最重要的法律問題就是,互聯網開放平台對于确保第三方應用不濫用個人信息應該承擔何種責任。在互聯網平台數據開放業态中,平台既是通過用戶授權獲得數據的數據聚合者,又是授權第三方應用使用數據的數據分發者。為保證這種數據業态的健康有序,互聯網平台理應對第三方應用利用個人信息承擔一定的監督和管理責任,确保個人信息不被第三方應用濫用。但這種責任不是無限責任,要有一定的邊界,應承擔與開放業态相适應的責任,如此避免對平台施以不當的責任管制而阻礙平台開放業态的健康發展。
互聯網隐私保護的法律手段
明确互聯網開放平台和第三方應用各自的責任邊界,才可以切實保障互聯網平台經濟的健康有序發展。對此目前法律規定并不清晰,從事前審核和事中管理的角度看,從法律完善的角度看,主要應考慮以下幾個方面:
完善相關的法律法規體系
目前,我國網絡服務商采取的網絡隐私權保護措施基本是自律,各個網站自行出台自己的網絡隐私保護辦法和相關措施,但是這不能認為等同于網絡隐私權有了保證,還需要我國出台相關的法律完善和系統化這些零散的、不全面的零星的立法。發達國家在這方面做得比較超前和成熟穩定,比如美國,我國在行業的标準以及自律方面存在諸多的可見問題,各個網站的聲明也比較簡單,并且是網站單方規定的,不構成有效性,出現問題推責嚴重,沒有形成良性的保障。因此,在考慮我國國情的基礎上,比較世界先進國家的有關網絡隐私權法律保護模式的基礎上,從中吸取适用于我們的經驗辦法,形成适用于我國網絡隐私權立法的基本框架和一般原則。逐漸建立完整的法律法規體系,保證獨立的民事權利地位,為網絡電子産業快速發展開辟更為寬廣的道路。
規範網絡隐私權保護的範圍與内容
對網絡隐私權保護的範圍和内容應盡快加以完善,網絡隐私權的保護至少應包括三項内容:①網絡用戶的基本身份信息、婚姻家庭狀況以及健康狀況等個人隐私資料。②網絡用戶個人的财産和信用狀況,包括銀行卡、信用卡、上網卡、各類賬号和密碼等信息。③網絡用戶的具體網絡活動,如IP地址、網絡活動以及浏覽内容等。同時,對網絡隐私權保護規定的範圍與内容亦應采取較為靈活的方式相應的加以調整,在相關法律條款中單列“其他導緻侵害隐私權的行為”一項,為未來的發展奠定基礎。
明确接入平台時的登記和審查義務
“數據門”發生的主要原因是Facebook沒有盡到對第三方應用應有的審查。建議未來立法明确互聯網平台在第三方應用接入平台時應履行登記和審查義務。這類似我國《食品安全法》第62條規定的網絡食品交易平台對入網食品經營者負有實名登記、審查許可證的義務。平台的登記義務主要是記錄應用開發主體的真實信息和聯系方式,有利于在出現數據洩露時追查責任人。平台的審查義務一方面是審查主體的資質,比如應用開發者是否具備法定的數據處理資質,這種審查有時需要政府向平台開放行政許可數據才能實現;另一方面是審查第三方應用的數據使用協議是否符合平台規則,比如平台有可能禁止第三方應用将獲取的用戶數據再次移轉。需要指出的是,平台規則必須包括最低的法定要求,平台允許違反此類規則的應用上線,有可能構成共同侵權和共同犯罪。當然,互聯網平台出于市場競争的考慮,也可以提出比法定要求更高的數據保護規則,排除一些數據保護不規範、能力相對較弱的應用開發者。
明确“平台+用戶”雙重授權原則
對于第三方應用通過平台數據接口獲取用戶個人數據,應該确立“平台+用戶”雙重授權原則。理由在于:一是有利于讓平台審查第三方應用利用數據是否合法是否符合平台規則,平台可以拒絕授權那些經評估可能對個人信息保護造成重大威脅的利用;二是用戶往往對第三方應用提供的格式條款缺乏理性判斷,平台的加入有助于保護用戶合法權益。此外,規定需要平台授權有利于維護平台的數據資産,阻斷第三方應用通過突破數據接口來獲取平台數據的不正當競争行為。在2016年新浪訴脈脈非法抓取微博用戶數據案中,法院判決認為,“網絡平台提供方可以就他人未經許可擅自使用其經過用戶同意收集并使用的用戶數據信息主張權利”,并确立了第三方應用通過開放平台獲取用戶信息時應堅持“用戶授權”+“平台授權”+“用戶授權”的三重授權原則。
明确個人信息和隐私區分保護原則
大多數關于“數據門”的報道和分析不加區分地使用個人信息和隐私的概念。雖然對這兩個概念的認識遠未達成共識,但有一種有力說法認為主體自願公之于衆的個人信息不再屬于個人隐私。Facebook對不同類别個人信息實際是區分保護的:無論是1.0版還是2.0版圖譜數據接口,隻要用戶使用第三方應用,第三方應用就可以訪問用戶的好友列表、設置為“公開可見”的信息等,除非用戶關閉整個第三方應用功能。抛去概念的争議,對于隐私、已經公開可見的個人信息、用戶好友可見的個人信息等不同類别的個人數據應該予以區分保護、分級保護。對于隐私,比如聊天記錄、通話記錄、短信内容等,一般不允許第三方使用,規制的重點是避免他人知悉,必需使用時應該有明确的最小限度的授權,一般不得存儲和向第三方共享。對于已公開的個人信息,規制的重點是避免他人濫用,在用戶授權的目的和範圍内,平台可以根據具體應用場景限制第三方應用使用數據接口的時間和頻次等。比如“數據門”之後,Facebook規定如果用戶在三個月之内不再使用第三方應用,将删除該應用的連接方式。此外,考慮到社會公共利益,對于個人信息用于學術研究等,可基于以風險管理原則設計一些例外規定。
明确違法行為的報告和處置義務
鑒于互聯網平台對于違法行為有一定的管控能力,在出現違法行為時,為防止危害和影響的擴大化,可以規定平台承擔報告義務和一定的處置義務。因為平台的手段和能力有限,平台在對違法行為進行力所能及的應急性處置後,應盡快報告監管部門,由監管部門來調查和處理違法行為。參照《網絡安全法》第47條、第48條和第49條的規定,可作如下規定:互聯網平台發現第三方應用超出授權範圍濫用用戶個人信息時,應當根據具體情況采取警告、限制訪問、必要時停止平台授權等措施,并保存有關記錄,按規定及時向有關主管部門報告。互聯網平台應當建立個人信息濫用投訴、舉報制度,公布投訴、舉報方式等信息,及時受理并處理有關個人信息濫用的投訴和舉報。在“數據門”事件中,Facebook獲知數據遭濫用後曾要求Kogan和劍橋分析正式澄清他們已經删除了全部不當獲取的數據。但筆者認為,這種要求删除不當獲取數據的行為應該由監管部門實施,因為隻有監管部門才可以通過公權力核查數據濫用者是否已經删除數據。
明确數據洩露的報告和通知義務
在“數據門”事件中,Facebook在要求Kogan和劍橋分析删除不當獲取數據後,并沒有将用戶數據洩露、被濫用的情況報告給監管部門和通知用戶。實際上直到紮克伯格去美國國會作證的前一天,Facebook才開始通知數據洩露受到影響的用戶。這顯示有必要規定互聯網平台就數據洩露負有報告主管部門和通知有關用戶的義務。對于數據洩露報告和通知,美國、歐盟、澳大利亞等國家通過立法作出了具體規定。我國《網絡安全法》第42條第2款作出了原則性規定,網絡運營者,“在發生或者可能發生個人信息洩露、毀損、丢失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告”。建議未來我國立法進一步細化網絡運營者的數據洩露通知義務,明确規定數據洩露通知義務的通知對象、通知時間、通知程序、通知内容等,及時遏制數據洩露所造成的危害進一步擴大,切實維護網絡用戶的合法權益。
責任編輯:向坤