Facebook爆出泄露醜聞，大數據時代你的隱私如何保護？

Facebook用戶數據泄露門

近日，Facebook陷入泄露5000萬用戶數據醜聞，這些數據被一家叫做劍橋分析的數據分析公司運用於美國大選。據稱，劍橋分析受雇於特朗普的競選團隊，他們使用一款性格測試app從Facebook收集到的用戶數據，建立模型，以分析用戶的心理特徵、性格類型、政治傾向等特點，並依據這些內容，有針對性地向不同特徵的用戶投放不同廣告，以試圖最大化影響用戶的投票，可謂「洗腦」式的政治營銷。

此事一經外媒報道，輿論一片嘩然。這5000萬用戶數據僅僅是通過一款在Facebook上線的app而收集到的，也就是說，僅僅因為使用了一款app，用戶個人信息就被收集、分析，並成為特定政治廣告的投放對象，被精（xi）准（nao）營銷，可謂細思恐極。其實相信關注用戶數據獲取和個人信息安全的讀者，對這一場景並不陌生。在你試圖安裝任何國內app或其他平台內置應用/小程序時，這個app都會彈出對話框，要求你同意app獲取你的通訊錄或者其他信息。但誰能確保用戶數據沒有被超範圍獲取，誰能確保app開發商取得用戶數據後對數據的使用沒有損害用戶權益？

大數據時代，這些問題猶如達摩克里斯之劍，時刻懸在每個提供數據、利用數據、開發數據的個體或公司之上。Facebook此次曝出的數據泄露門，對於大洋彼岸的我們來說，也是心驚膽戰，不免心有戚戚。

那麼法律是否為數據流通環節中的弱勢群體——產生數據的個體用戶們提供了足夠保護呢？周公本期就以Facebook事件為引，簡單梳理中美目前的個人信息保護情況，看看國內外的用戶都可用哪些法律手段捍衛個人權益。

Facebook案中的個人信息保護

Facebook事件一出，加州一名Facebook用戶即向Facebook和劍橋分析公司提起訴訟，以捍衛自己的隱私權益。原告稱，劍橋分析公司或其代理公司，在沒有授權，或超出授權的情況下收集了5000萬Facebook用戶的個人信息。而Facebook，明知該數據收集卻並未制止，或者說主動避免對此事的知情。

那麼，劍橋分析究竟是如何獲取Facebook用戶數據的呢？周公結合扎克伯格的解釋將事件梳理如下：

[2013年]

一個名為Aleksandr Kogan 的劍橋研究員創建了一個性格測試app。這個app被約30萬人安裝在Facebook上。App的使用者在使用app前同意分享他們的信息以及他們Facebook好友的部分信息。但當時Facebook平台尚未設置足夠障礙，因此Kogan得以通過app獲取超過5000萬名Facebook用戶的相關數據。

[2014年]

Facebook發現平台上存在濫用app的現象，因此調整了政策，限制了類似Kogan的app獲取信息的途徑。如果未能取得好友同意，那麼，app用戶的好友數據就無法被app開發者抓取。同時，Facebook也要求app開發者首先取得Facebook的授權，才可以抓取Facebook用戶的敏感信息。

[2015年]

Facebook從衛報記者處得知，Kogan將他app獲取的數據交給了劍橋分析公司。Kogan的這一舉動實際上違反了Facebook的開發者協議。因此，Facebook在其平台上封禁了Kogan的app。並要求Kogan和劍橋分析公司正式證明他們已經刪除所有不當取得的數據，對此Kogan和劍橋分析公司也已作出保證。

[2018年]

劍橋分析事件通過媒體曝出後，Facebook才意識到劍橋分析公司可能並未如他們所保證的那樣刪除數據。

對於上述情形，原告在其提出的訴求中援引了下述法律：

第一，根據Cal. Civ. Code § 1798.81.5(b)，如某公司擁有/許可/維持加州居民的個人信息，則該公司應當實施和維持合理的安全措施，以保護個人信息免於未授權渠道的銷毀或使用或修改或公開。而Facebook在其自行公開的隱私政策中稱其不會未經許可將數據交給第三方，正是因為Facebook沒能遵守它自己制定的隱私政策，導致其違反了前述規定。

第二，原告認為被告涉案行為屬於加州不正當競爭法定義的商業行為（「businesspractices」），而Facebook存儲了原告的個人信息，且向原告稱該信息會保持私人狀態、未經授權不會公開或獲取個人信息，被告的前述行為構成不正當商業行為，且給原告造成了損害，因此被告違反了加州不正當競爭法。

第三，原告認為Facebook有義務保護用戶數據不被竊取、不被未經授權方知曉，而劍橋分析有義務不在未經許可的情況下獲取原告信息。前述兩被告因沒能採取必要安全措施保護用戶的個人信息或未經授權取得用戶的個人信息而違反相應義務。正是二者的過錯和過失，導致了用戶個人信息的被竊取和相應後果及損失。

由此，不論本案的結果如何，至少可以看到美國法（以加州為例）其實為個人用戶提供了多方面的保護渠道：

首先，至少在加州民法典（Cal. Civ. Code）、加州商事法（Cal. Bus. & Prof. Code）中都對網路個人信息、用戶數據進行了明確規定，均將數據保護的責任施加至收集、擁有信息的網路服務提供者，他們有義務就用戶數據提供合理的保護，且不得違反其自行制定的隱私政策。

其次，加州不正當競爭法中，也為普通用戶/消費者的維權開通了渠道，對於符合不正當競爭法項下的不正當商業行為，消費者也有權提起集體訴訟。

此外，在英美法系中特有的的Tort Law（侵權法）下，還可能以Negligence（過失）責任向數據的收集和利用者主張責任。

中國法體系下的個人信息保護

那麼，在相似情形下，我國目前對消費者或用戶的個人信息提供怎樣的保護呢？實際上，目前我國也已經逐步形成了較為全面的個人信息保護框架：

首先，在《民法總則》中，明確了個人信息的法律地位，且概要地確保了個人信息不被非法收集/使用等的基本權利：

《民法總則》第一百一十一條：「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得並確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。」

同時，提供數據的用戶，既是相關服務的消費者，也是網路服務的提供對象，因此，《消費者權益保護法》和《網路安全法》中對個人信息保護的規定更為細緻：

《消費者權益保護法》第二十九條與美國法相似地要求經營者採取必要措施確保消費者信息安全：

經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和範圍，並經消費者同意。經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即採取補救措施。

《網路安全法》第二十二條第三款則要求收集用戶信息必須取得用戶同意，並且徵求同意的過程應當是明示的：

網路產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示並取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。

此外，《網路安全法》第四十一條也明確了收集使用個人信息的「合法、正當、必要」三原則：

網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，並應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

因此，其實我國目前也已具備對用戶個人信息及數據的基本法律框架。伴隨中國國家標準化管理委員會發布的《信息安全技術個人信息安全規範》（GB/T 35273-2017，下稱「規範」）（2018年5月1日起實施），儘管該規範的效力層級僅為推薦性標準，但可以預見，在大數據利用和保護日益重要的今天，個人信息保護的相關法律將從新生沉睡狀態中被司法實踐逐漸喚醒，對於收集、利用數據的相關企業而言，需要承擔更高的注意義務和保護數據、合理合法使用數據的責任。

三聯生活周刊微信公眾號昨日推文標題是《刪除Facebook解決不了問題》。周公以為，正如一句西方法諺所說，「法律不保護權利上的睡眠者」，意思是法律只保護那些積極主張權利的人，而不保護怠於主張權利的人。

Facebook數據泄露事件，不僅啟示相關公司企業應當注意在數據方面的合規性，也啟示個人用戶們，應當積極喚醒那些關於個人信息保護的沉睡中的法條，給予這些法律規定以充足的實踐機會，以積極維護自己的個人權益。至少，下一次小程序或者app無端要求你的通訊錄信息等敏感數據，停頓一秒，思考是否要「用腳投票」離開這個app；或者，下次安裝一個新的app時，多留意它的用戶協議和隱私政策，是否明示，是否合理。法律和權利都是在經驗和實踐中，得以有更加明確的邊界、更加深入的運用，和更加成熟的權利保護制度。

「周公觀娛」，由北京金誠同達律師事務所高級合伙人周俊武率領的律師團隊傾力出品。「周公團隊」主要從事知識產權相關法律業務，在文化娛樂、影視遊戲、互聯網等領域有著豐富經驗，是中國最專業的娛樂法團隊之一。聯繫方式：zhou_junwu@jtnfa.com 010-57068585

（編輯：劉宗鑫）