Facebook数据泄露事件解读

本月中旬,Facebook数据泄露丑闻爆发,上周一Facebook股价更是大跌7%,市值蒸发360多亿美元,CEO扎克伯格也因此身家缩水,跌出福布斯富豪榜前五位。与此同时,欧盟、英国纷纷作出强烈回应,要求对数据泄露事件进行调查。民调显示,只有不到一半的美国人信任Facebook遵守美国的隐私法,...

数据在不同主体间的传输与流转是大数据时代互联网产业发展的必然,无论是去年四部委评审的各大互联网企业的隐私政策中有关个人信息共享的内容亦或今年年初“信联”的架构,无不凸显信息数据的重要性。当然,数据的流转同样带来了安全管理方面的巨大挑战,如何确保数据在境内外安全高效的传输和使用,是全球互联网企业乃至部分国家共同需要面对的难题。

本月中旬,Facebook数据泄露丑闻爆发,上周一Facebook股价更是大跌7%,市值蒸发360多亿美元,CEO扎克伯格也因此身家缩水,跌出福布斯富豪榜前五位。与此同时,欧盟、英国纷纷作出强烈回应,要求对数据泄露事件进行调查。民调显示,只有不到一半的美国人信任Facebook遵守美国的隐私法,更有60%的德国人担心Facebook和其他社交网络对民主产生的负面影响。

Facebook的数据泄露事件(以下称“事件”)无疑是企业向第三方提供数据方面的一本反面教材。显然,这本反面教材的代价是沉重的,Facebook 不仅市值蒸发数百亿,需要接受各国政府的调查与监管,更重要的是背后的用户信任危机,一旦用户对Facebook的数据保护能力产生怀疑,这将对其商业模式闭环中的“用户”和“数据”两方面产生消极影响,从而动摇其商业根基。

acebook商业模式图 转载自36氪 by徐涛

事件始末

本次事件的大致背景最早可以追溯至2007年。当时Facebook为增强用户粘性推出应用编程接口(API),通过这个接口,第三方软件开发者可以开发在Facebook网站上运行的应用程序,这被称作Facebook Platform,而用户可通过这一平台在线使用相关应用程序并进行互动。用户在使用该平台时,Facebook与平台上的应用会读取个人信息,该部分信息有的是Facebook上已有的信息,如用户的个人信息和朋友列表等;有的则是使用相关应用时产生的信息。当时Facebook并没有对平台数据的交叉使用与共享进行严格的区分与管理。本次事件的核心人物——剑桥大学心理学教授亚历山大·科甘(Aleksandr Koran)及其背后的数据分析公司剑桥咨询(SCL/CambridgeAnalytica),正是利用了当时Facebook的平台数据共享的漏洞,致使Facebook上5000万用户的数据泄露。

科甘与剑桥咨询于2013年开发了一款专门针对选民的测试应用“这是你的数字化生活”,对外宣称是心理学家用于做研究的APP,经用户授权后收集的信息包括用户的年龄、住址、性别、种族、教育背景等个人信息,平时参与的活动以及在社交网络中发表、阅读、点赞的内容,还包括用户的朋友所发布的信息等。一共有约27万人下载了这一应用,再加上通过公开途径收集的用户信息,共涉及5000万用户的数据。据媒体报道,剑桥咨询在收集到上述数据后,分析出了用户的行为模式、性格特征、价值观取向、成长经历等,以便针对特定用户推送竞选广告。

事件曝光后,Facebook的副总裁兼副总法律顾问和扎克伯格本人先后发表了对事件的声明,主要强调科甘是按照合法合规的方式经用户授权后取得数据,只是使用中擅自将用户数据提供给第三方,致使数据的泄露。同时说明在2014年已对Facebook Platform的数据安全系统进行了全面的优化,在2015年发现科甘违规后已经采取了相应安全措施,包括管理权限和要求删除等,承诺将采取措施监管第三方的数据使用。扎克伯格更是在博文中表示“我们有责任保护好用户的数据,如果我们连这个都做不到,那么就不足以向用户提供任何服务”。显然,本次事件所反映的数据安全漏洞发人深思。

事件所反映的问题

本次事件反映了Facebook在数据安全管理方面存在的漏洞总结为以下五个方面:

1. 用户的单独授权即可收集其关联用户信息

自2014年科甘开始收集数据并提供给剑桥咨询前,Facebook Platform的规则只需注册应用的用户授权,即可收集该用户的关联用户,例如朋友、亲人等相互关注者的信息。虽然之后Facebook处理了该漏洞,但科甘的应用已经收集了相当数量的数据。

2. 隐私设置默认公开致使大量数据被第三方抓取

根据国外媒体报道,在2014年之前Facebook对于用户隐私设置默认的选项是“公开”,由于普通用户对自身隐私保护缺乏安全保护意识,为第三方随意抓取用户信息提供了可乘之机。本次事件中剑桥咨询除通过其注册用户的关联用户获取相关数据,还有搜集了大量用户公开的数据。

3. 欠缺对第三方获取用户数据目的的必要审查

本次事件的关键在于科甘对获取的大量用户信息进行分析从而对用户的政治倾向进行画像以便用于美国大选,然而Facebook并未有效审查科甘实施上述行为的目的。科甘虽然声称其开发的测试应用仅用于学术研究,但实际情况是只有符合特定条件的选民才能注册,即使获得了用户的授权同意,大量涉及政治倾向的选民信息的滥用仍然会产生严重的政治影响。

4. 对第三方使用用户数据缺乏有效监控

值得注意的是,科甘的应用所进行的大规模的数据收集,Facebook虽然在短时间内利用技术手段监测到了该行为,但并没有进行有效的处理,仅在2014年对限制了其对关联用户信息的访问。直至2015年从英国《卫报》记者处得知科甘向剑桥咨询共享了相关数据后才禁止其应用,同时要求科甘和剑桥咨询删除所有不当获取的数据,并开出证明。本次事件的曝光也从侧面说明Facebook并未对科甘和剑桥咨询是否实际履行删除义务进行监督。

5. 欠缺网络安全事件的信息公开和应急处理经验

在本次事件中,正是由于Facebook错过了控制事态恶化的最佳时机,本应于2015年即可公布并予以处理的数据泄露直至2018年方被公众知晓。虽然在事件曝光后扎克伯格公布了诸如追查类似应用、再次收紧第三方应用权限、增强用户告知等预防措施,但上述措施若能在2015年落实,显然事件的危害程度将大大减小,用户对于Facebook的信任度也不会如此不堪。

对于我国企业的合规建议

1. 保证在取得用户的充分授权后方可向第三方提供相关数据

关于用户个人信息的收集与使用,我国《网络安全法》(以下称“《网安法》”)规定,网络运营者收集和使用用户信息时遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经客户同意;不得泄露、篡改、毁损收集的用户信息;未经用户同意,不得向第三方提供用户个人信息;采取技术或其他措施确保收集的用户个人信息的安全,防止信息泄露、毁损、丢失;必要时及时处理保证相关信息无法识别特定个人且不能复原。若在相关社交应用和功能中被收集的不仅仅是某一特定用户的个人信息,还包括了其朋友、亲人等关联用户的信息,在向第三方提供时,网络运营者除获本人同意外,还应征得关联账户主体的同意。

此外,关于如何保证用户充分授权,网络运营者在收集用户信息前应当履行必要的提示义务,如在需要收集时进行弹窗提示并将变更条款醒目加粗或标红,同时应当赋予用户充分的选择权等。根据我国《合同法》规定,格式条款免除自身责任、加重对方责任、排除对方主要权利的无效,因此,网络运营者的信息收集条款不应成为“霸王条款”,用户拒绝提供并非基本服务所必须的信息,网络运营者应当尊重其选择,不得过分收集。

2. 应当对个人信息和重要数据在境内外的传输进行安全评估

安全评估是信息和数据传输过程中进行风险控制的重要环节。根据《网安法》第三十七条规定,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据因业务需要确需向境外提供的,应当进行安全评估。去年4月,国家网信办更是发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,对数据出境安全评估的主管部门、重点内容、禁止性规定进行了明确,虽然该办法仍处在征求意见稿阶段,但无疑为网络运营者落实安全评估提供了一定的指引。值得注意的是,将于今年5月1日正式实施的《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)还明确规定了个人信息控制者应当开展个人信息安全影响评估,重点评估共享、转让、公开披露个人信息对个人信息主体可能产生的不利影响以及个人信息安全措施的有效性等内容。

开展数据安全的影响评估同样也是欧美在数据保护上的共识,欧盟自GDPR后,也发布了相关的安全影响评估的指引,如2017年12月发布的Handbook on Security of Personal Data Processing,而我国的个人信息安全影响评估国家标准也正在制定当中。

3. 强化对信息数据传输过程中的监管和审计

事中安全审计的作用虽然不及事前的风险防范,但可以使得网络运营者及时发现安全隐患并采取相关止损措施。根据《个人信息安全规范》,进行安全审计时,应对隐私政策和相关规程,以及安全措施的有效性进行审计;同时建立自动化审计系统,监测记录个人信息处理活动;审计记录应为安全事件的处置、应急响应和事后调查提供支撑;必要时及时处理审计过程中发现的个人信息违规使用、滥用等情况。

4. 完善网络安全事件的应急预案和信息披露

制定网络安全事件应急预案能够有效加强网络运营者在发生网络安全事件后的应急处置能力。《网安法》规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,网络运营者应采取必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。去年11月23日工信部发布的《公共互联网网络安全突发事件应急预案》,针对网络安全突发事件具体分级、预警监测、应急处置、预防准备等方面做了详尽的规定,初步架构起了我国应对网络安全事件的体系,网络运营者可以参照其中规定完善合规政策,进行必要整改。

| 作者:吴丹君 周天一

| 来源:北京观韬中茂(上海)律师事务所

| 转自:数据猿

原文发布于微信公众号 - Spark学习技巧(bigdatatip)

原文发表时间:2018-03-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯数据中心

关于天津爆炸事故对腾讯影响的回应

感谢大家对于天津爆炸事故的关心,目前腾讯天津数据中心系统运营平稳,各项业务正常运行,人员安全。 ? 腾讯天津研发与数据存储中心距离爆炸地点直线距离1-2公里,天...

2614
来自专栏数据科学与人工智能

【数据分析】游戏 数据分析的维度、方法

1.1常规数据分析(设定指标,定期监测) 1.1.1常规数据分析维度 1.1.1.1宏观方面 对宏观指标进行监控(小时、天、周、月、季度、年等),发现异...

3269
来自专栏BestSDK

从发行、运营到渠道,QuickSDK为手游提供一站式服务

如今,接入聚合SDK出包实现全渠道发行,已成为行业模式,但随着市场的飞速发展,CP的手游发行道路可谓是困难重重。自主发行难、在运营中数据统计不够全面,导致难以进...

3729
来自专栏FreeBuf

网络安全威胁信息格式规范正式发布,国内威胁情报发展迎来新阶段

2018 年 10 月 10 日,我国正式发布威胁情报的国家标准——《信息安全技术网络安全威胁信息格式规范Information security techno...

664
来自专栏互联网数据官iCDO

营销自动化终极指南——被忽略的电子邮件营销

译者:梅子、审校:王恒 本文长度为6800字,预估阅读时间10分钟。 我们今天要讲一些有违常理的事情——围绕email开展的跨职能营销。 试想: Email是...

2555
来自专栏挖数

Netflix与推荐系统

最近,看到光腚总菊在6月30日又发布了老百姓喜闻乐见的通知【苹果中国区所有游戏需要广电总局审批才可上架】,不禁感叹中国媒体游戏行业的命途多舛,莫非以后下游戏都要...

3617
来自专栏大数据文摘

“速7”中的“天眼”系统就在芝加哥

1233
来自专栏企鹅号快讯

不只是全民电商,这分明是微信的“新零售”

北京通优科技发展有限公司 将“微信小店”升级为“小店小程序”,将还没连接上微信的商店都带入微信生态圈。微信突如其来的新能力,不仅极大地降低了普通店铺开发小程序的...

19310
来自专栏腾讯云技术沙龙

“音”你而来,“视”而可见 腾讯云+社区音视频技术开发实战沙龙圆满结束

近年来,得益于移动互联网的普及和智能终端设备的广泛应用,短视频、直播、在线教学等音视频通信模式风靡大众,音视频功能为用户带来沟通便捷的同时,也启发了应用平台基于...

1.4K11
来自专栏云市场~精选汇

9大手机厂牵头快应用与微信小程序硬碰,有多大胜算

58万个小程序、1.7亿日活用户、100万开发者、2300个第三方开发平台、3.11亿小游戏用户留存率。微信小程序这份数据已经深深震慑到华为、小米、阿里……

1255

扫码关注云+社区