数据泄露让“脸书”迎来至暗时刻

在漫长又充满激烈竞争的数据保护历程中，2018年必将成为一个标志性的年份。在欧盟数据保护改革新规《通用数据保护条例》（简称GDPR）行将生效之际，英国《卫报》和美国《纽约时报》于3月17日共同发布了一篇深度报道，称社交巨头脸书（Facebook）上超过5000万用户的数据被一家为政治竞选提供数据分析的公司——剑桥分析（简称CA公司）所利用，并通过向特定用户推送广告影响2016年美国总统大选的结果。报道一经刊出，引起轩然大波，脸书成为众矢之的，迎来了“致暗时刻”，泄露事件也被打上了“数据丑闻”（Data Scandal）的标签。

脸书的过失在哪里?

从公开资料来看，整个“数据丑闻”事件的核心在于脸书数据泄露及其产生的恶劣影响，涉及到数据收集、使用和删除等多个环节。而在这每一个环节中，脸书都犯了错。

数据泄露的直接原因是脸书平台个人数据授权管理政策存在的巨大“漏洞”，导致用户个人数据能够轻而易举地被第三方收集。采取必要的安全保护措施以确保用户个人数据安全是各国立法对网络服务提供者最基本的要求，但在本案中，脸书显然是怠于履行了此项义务。

扎克伯格在申明中承认，在早期脸书的界面里，每个人的个人日历可以显示所有朋友的生日，个人地图可以显示朋友的居住地点，地址簿可以显示朋友们的照片，为了达到对这些数据使用的便利，脸谱鼓励用户登录不同的App并且跟他们的朋友分享一些私人信息。也就是说，当时脸书的平台政策允许经由用户同意后App可读取用户的好友信息。虽然脸书在2014年出台了系列限制App使用脸书用户数据的管理规定，但彼时用户数据在未经“知情同意”的情况下早已经被第三方软件所收集。

而进入到数据处理环节，用户数据泄露后被CA公司进行了不当使用。虽然使用环节的主要责任在于CA公司，但脸书承认其在2015年就已经得知App收集的数据分享给了为政治竞选提供数据分析的CA公司，对于用户数据被滥用的事实，脸书在主观上是明知的。根据一般的网络侵权法的原理，网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。因此在本案中，脸书应就用户数据泄露造成的损失与CA一起承担连带责任。

之所以认定脸书负有连带责任，是因为脸书并未实质采取“删除数据”等必要的措施。在发现用户数据泄露后，脸书仅仅是要求CA公司提供“法律文书”表明他们将所有越界收集的用户数据完全删除，而并未就数据删除的情况进行任何实质性核查，从而导致这些数据在2016年美国总统选举中被继续利用，进一步扩大了损害的后果。

需要注意的是，在发现数据被泄露和滥用后，脸书既没有向数据被泄露的用户告知潜在风险，也未曾向美国隐私保护主管机构做任何报告。

深层次的风险

单从泄露数据的体量来看，脸书的5000万用户数据远不及早先雅虎遭黑客入侵所影响到的30亿账户，甚至都比不上2017年美国征信企业Equifax 1.43亿公民征信记录的泄露事件。但此次数据丑闻引发的关注却是空前的，并且还在持续发酵，究其原因，除了数据泄露背后的个人隐私保护问题之外，更重要的是它所曝光的利用用户社交网络数据对政治竞选的影响，引起了包括各国政府部门在内的社会各界的警觉和忧虑。

长期以来，数据保护关注的焦点都集中在数据泄露以及不当使用给个人利益带来的损害和影响，忽视了作为公民的个人数据其实还承载了国家和公共利益。而这场数据泄露事件发展到如此严重的地步，其背后的原因是数据被政治选举数据分析公司用于美国总统的竞选活动，对国家政治生态带来了影响，甚至给可能民主带来了潜在的威胁。正因为如此，在英国，负责数据监管和选举的两个政府部门都对CA公司展开了调查，政府部门担心CA公司在英国脱欧投票上也扮演了重要角色。

而早在2012年，美国《自然》杂志刊登的一篇文章中就对社交网络是否会影响选举的投票率进行了研究。文章指出，脸书曾在2010年美国国会中期选举的时候进行了一项测试，研究人员通过向用户推送不同消息样本的对比分析发现，收到特定投票推送的用户比收到一般性推送的用户投票率更高。这项研究表明，社交网络将会显著影响选举的投票率。

我们可以看到，随着互联网的不断普及和广泛应用，越来越多的用户使用社交网络，而他们当中多数人又是政治上的选民。在美国，为了试图影响选票，政治广告大行其道，脸谱、推特等社交平台成为了重点投放对象。CA公司显然是看到了这里面的巨大商机，通过对社交网络上用户数据进行画像，分析出用户的政治倾向和个人喜好，并对其精准投放政治广告，最终达到影响其选票的目的。这一切都是在用户毫不知情的情况下利用大数据工具完成的。

当然，政治的归政治，法律的归法律。本文只从数据保护法的角度讨论这起数据丑闻事件可能带来的深层次风险。

数据保护的规范与救济

回归到数据保护本身。个人数据保护涉及事前、事中和事后三个阶段。事前即数据收集前的阶段，“知情-同意”是企业收集数据前需要履行的最基本义务。事中即数据的收集、使用阶段，在遵循“知情-同意”的基础上，合法、正当、必要原则是各国的普遍要求。事后阶段主要是救济阶段，即数据发生泄漏等安全事件后，采取何种措施进行救济和保护。在当前的实践中，事前知情同意的要求几乎形同虚设，因此，要想减轻或消除类似脸书数据丑闻事件带来的忧虑，对事中数据使用行为的规范和对事后数据泄露的救济显得十分重要。

结合本案中数据被不当处理来看，在大数据和人工智能时代，对数据使用环节的管理关键在于规范对用户的“数据画像”行为。所谓用户画像，简单来讲就是通过自动化的方式处理个人数据以服务于评估或分析预测个人特定方面的信息，例如经济状况、个人爱好等。近年来，针对个人数据的画像所暴露的风险逐渐被立法者所关注和重视。欧盟最新的《通用数据保护条例》就对数据画像行为进行了严格的限制，要求画像活动必须有法定的依据或者获得用户的明确同意，对于几类特定的数据分析活动，无论是否取得用户同意都被严格禁止，其中包括数据分析的结果可能导致对个人的歧视，如果这些歧视建立在对个人种族、民族、政治立场、宗教信仰、性取向、性别等因素上，或者达到同此类歧视相同的效果。

而对于数据泄露的事后救济或减损措施，目前较为行之有效的是数据泄露通知制度。所谓泄露通知，是指在数据发生或者可能发生泄露或者未经授权访问等情形，实际或者可能对数据安全造成威胁的情形下，数据控制者应当以适当形式及时通知主管机构及当事用户，让各方尽快了解数据泄露情况并采取相应的保护措施。数据泄露通知是数据安全保护制度的重要组成部分，是在发生数据泄露或具有数据泄露风险时，及时通知和采取补救措施的重要环节，也是加强数据保护的有效手段。泄露通知制度为美国隐私保护立法首创，近年来被各国数据保护立法广泛采纳。目前，美国除了阿拉巴马州和南达科他州之外的48个州都已经建立了数据泄露通知制度。在本案中，如果脸书及时积极履行了数据泄露通知的义务，那么最终的损害将可能得到有效的控制。欧盟《通用数据保护条例》也对数据泄露通知制度作了详细规定，要求数据控制者必须在知悉个人数据泄漏后72小时内通知监管机构，并且及时向数据主体告知个人数据泄漏情况。

值得说明的是，欧盟《数据通用保护条例》将于今年5月25日正式生效实施。欧盟一贯秉持严格的个人数据保护政策，而脸书数据泄露事件的曝光或将促使欧盟在执法和管理实践中表现出更加严苛的态度。或许，这一切才刚刚开始。社交网络帝国能否挺过这至暗时刻，而数据分析公司的命运又将如何，让我们拭目以待。2018年之于数据保护，注定是不平凡也不平静的一年。

作者单位：中国信息通信研究院互联网法律研究中心