洛阳证券公司联盟

Facebook用户个人信息泄露事件的法律分析及启示

仁真国际发展研究院2019-05-04 03:21:25

?(图片来源:CNET

?

?????? 2018317日,纽约时报和观察家报(The Observer)率先对剑桥分析(Cambridge Analytica)未经用户许可即使用用户Facebook个人信息的行为进行了报道,引发国际社会的强烈反响。323日,英国高等法院(High Court of Justice)授权信息专员办公室(Information Commissioner's Office)执法人员对剑桥分析位于伦敦的办公室进行了搜查,揭开了针对该事件司法调查的序幕。


一、Facebook用户个人信息泄露事件的始末

当为政治性选举服务时,传统数据分析公司通常利用选民们的投票记录及商品购买记录来推测他们的政治观点及投票倾向,但是,这些数据无法对选民个体的心理特征进行准确的定位,即无法判断某个选民究竟是一个支持平权运动的自由主义者,还是一个反对枪械管制的保守主义者。2014年初,为获得更多投资,剑桥分析向罗伯特·默瑟(Robert Mercer)和托比·纽格鲍尔(Toby Neugebauer)等热衷于政治捐款的富商们承诺,自己可以获得更为丰富的数据,从而能够通过对选民们的心理特征进行分析,设计出独特而强有力的政治宣传语言。为此,该公司需要构建一个全美范围的选民心理数据库。

剑桥分析首先联系了剑桥大学心理测试中心,该中心的研究人员研发了一种通过分析Facebook用户个人信息来识别其心理特征的方法。具体而言,研究人员会付给一些Facebook用户少量的报酬,让他们填写一个关于性格的调查问卷,并下载一个手机应用程序,这个应用将搜集他们及其好友的Facebook个人信息。Facebook在当时允许这种做法。通过分析调查问卷及Facebook上的个人信息,研究人员声称他们可以得到对个体性格准确而深入的认知。在剑桥大学心理测试中心拒绝开展合作后,剑桥分析找到了知晓该方法并愿意合作的剑桥大学心理学系副研究员亚历山大·高根(Aleksandr Kogan)。为此,高根在20146月设计了一款名为这是你的数字生活This is Your Digital Life的手机应用通过这款手机应用,高根搜集到了大约5000万名Facebook用户的个人信息,其中仅有大约27万名用户对个人信息被搜集表示了同意。虽然高根在书面声明中指出该应用搜集的数据乃是供学术研究之用,但他却将这些数据提供给了剑桥分析。其中,大约3000万名用户的数据含有包括住址在内的充足个人信息,能够为剑桥分析构建选民心理数据库所用。

2018317日,根据前剑桥分析主管克里斯托弗·怀利(Christopher Wylie)及该公司其他员工提供的相关信息,纽约时报和观察家报率先对上述事件进行了报道,引发了国际社会的轰动。323日,英国高等法院授权信息专员办公室执法人员对剑桥分析位于伦敦的办公室进行了搜查,揭开了针对该事件司法调查的序幕。


二、Facebook用户个人信息泄露事件的法律分析

Facebook用户个人信息泄露事件主要包含4个主体,分别是:Facebook,一家总部位于加利福尼亚州的美国公司;剑桥分析,一家总部位于伦敦的英国公司;亚历山大·高根,一个英国公民;以及个人信息遭受泄露的Facebook用户。该事件中,各主体之间的法律关系主要包含以下几类。

第一,Facebook用户与剑桥分析、高根、Facebook之间的侵权法律关系。剑桥分析同高根在本次用户信息泄露事件中的行为很可能对Facebook用户的隐私权构成了侵犯。相关用户可以在英国高等法院依据1998年数据保护法案》(Data Protection Act 1998对其提出控告。但如果他们向Facebook主张赔偿,则难以得到法院的支持。因为Facebook在其《权责声明》第15条第3款中已列明:“……您在使用FACEBOOK时需自担风险。……FACEBOOK对任何第三方的行为、内容、信息或数据不承担责任,且您承诺不会就您向任何第三方提出的权利主张,向我们、我们的董事、官员、雇员或代理人主张任何已知或未知的损害赔偿。”Facebook如果被用户起诉,很有可能将要求剑桥分析和高根来承担赔偿责任。

第二,Facebook与剑桥分析、高根之间的合同及侵权法律关系。Facebook如果想从剑桥分析和高根处获得权利救济,需要证明他们存在合同违约或侵权行为,这两种主张通常会存在竞合的情况。以Facebook对高根主张合同违约为例,Facebook《开放平台政策》第3条第10款规定:不得将从我方接收的任何数据(包括匿名、汇总或派生数据)转让给任何广告网络、数据代理或其他涉及广告或创收的服务。高根从Facebook搜集用户数据,并转让给剑桥分析的行为应当已构成对该条款的违反,Facebook可以据此对高根提出合同违约之诉。

第三,美国证券交易委员会(SEC)与Facebook之间的行政监管关系。如果网络信息服务提供商是上市公司的话,那么它将受证券法律法规的约束,如《1934年证券交易法》(Securities and Exchange Act of 1934)。《1934年证券交易法》要求上市公司对实质性信息进行披露,该法案第12b-2款对实质性material)给出了定义,即有很大可能影响到那些理性投资者关于是否购买或出售有关证券之考量。受用户个人信息泄露事件的影响,Facebook公司股价在316日至328日间大幅下跌了约17.5%。该现象显示出剑桥分析及高根在2014年大规模获取Facebook用户个人信息的事实同实质性信息之间具有关联性。然而,Facebook在其20142015年所披露的信息中,并没有关于这一事件的内容。如果证券交易委员会最终认定相关信息为实质性信息,那么Facebook很可能因没有披露这些信息而受到处罚。

第四,美国联邦贸易委员会(Federal Trade Commission)与Facebook之间的行政管理关系。Facebook2011年同联邦贸易委员会达成了一项协议,以平抑该机构对Facebook隐私权保护措施的不满。这份协议要求Facebook提供更加透明的用户隐私保护政策,并在关于用户数据被如何使用这一问题上杜绝欺骗用户的行为。违反该协议的惩罚可高达每日每次4万美元。目前,联邦贸易委员会正在调查在用户个人信息泄露事件中Facebook是否存在违反该协议的行为。

第五,英国信息专员办公室与剑桥分析之间的行政监管关系。信息专员办公室是一家独立的监管机构,主要负责调查涉嫌违反《1998年数据保护法案》等与数据信息保护相关法律法规的行为。该部门的执法人员已于2018323日对剑桥分析位于伦敦的办公楼进行了搜查。信息专员办公室发言人指出:“我们在决定下一步措施或得出任何结论前,需要首先估和考虑所取得的证据。这次调查是信息专员办公室针对政治团体、社交媒体公司及其他商业组织使用个人信息数据行为的大规模调查的一部分。

?

三、Facebook用户个人信息泄露事件的启示

Facebook用户个人信息泄露事件体现出,如何保护个人在网络上的信息隐私权是一个十分棘手的问题。即使向来十分注重隐私权保护的美国和英国,在该问题上同样面临着严峻的考验。为此,我们应当从以下几个方面着手应对。

首先,这一事件之所以最终能够被媒体曝光,要归功于曾在该公司工作过的员工,他们内心的道德信念驱使他们将相关事实透露给新闻媒体。从亚历山大·高根搜集Facebook用户个人信息数据,并将这些数据提供给剑桥分析,再到媒体曝光这一事件,间隔达4年之久。如果内部人员不透露相关信息,外部几乎无从知晓存在个人网络信息隐私权遭到侵犯这一事实。因此,有关当局应进一步加强对互联网服务提供商、手机应用开发商及数据分析公司员工的隐私权法律普及教育和职业道德教育,鼓励他们及时揭发不正当的行为。

其次,网络服务提供商应当采取更有效的措施保障用户的隐私,加强对相关应用程序获取用户个人信息的监控,及时封禁存在滥用行为的应用程序,并通知执法机关及受到影响的用户。此外,网络服务平台还应当更加严格地限制应用程序所能获取用户个人信息的权限及范围,并为应用程序的授权设置时限,自动取消长时间未被使用的应用程序访问用户个人信息数据的授权。各个平台也应向用户提供相应的途径,方便他们清楚地了解哪些应用程序能够获得他们的个人信息,及其所能获取的范围。同时提供给用户便捷的取消授权的方式。

最后,Facebook用户个人信息泄露事件还启示我国应当进一步完善隐私权保护立法,更好地监督及打击侵犯个人信息的数据黑产行为。目前,我国保护个人在网络上信息隐私权的单行法律法规主要有《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》等。虽然它们在保护个人信息方面已经发挥了很大的作用,但仍存在不足之处,特别是缺乏个人信息从被收集到最后被利用的整个流程中各环节一般性的要求规范,而且一些制度规定略显简单,不够细致,适用的范围也有限。因此,我国应加快对《个人信息保护法》的制定,不断完善个人隐私权保护立法,最终形成符合我国国情的个人信息保护统一规范。这顺应了时代发展的迫切需要,不仅有助于监管部门更好地行使职权,打击侵害公民个人信息的行为;更能提升个人信息保护法治水平,从而推动我国数据产业发展和国家信息化进程。

?

(作者是武汉大学国际问题研究院2017级硕士研究生)

?(责任编辑:董哲)

?



The Facebook Data Scandal: Legal Analysis and the Lesson

YANG Jingjie

?

On March 17, 2018, the New York Times and the Observer first reported that Cambridge Analytica has improperly obtained Facebook users’ personal data without their specific consent, triggering strong reactions from the international community. On March 23, enforcement officers entered the Cambridge Analytica headquarters in London to search its records, after the Information Commissioner's Office was granted a warrant by the High Court of Justice. This marked the beginning of the judicial investigation into the incident.