长点心吧!中国企业应该从Facebook数据泄露事件中吸取教训
1 案件回顾
据 媒体 报道,为增强用户粘性,2007年Facebook平台(Facebook Platform)上线,第三方应用的开发者可通过平台的技术工具和接口,将开发的平台应用(Platform APPlication)(如 游戏 等)在Facebook上运营,用户可在线进行互动。用户在使用平台应用时,会使用个人信息,这些信息有的是Facebook上的原有信息(如用户的个人信息和朋友列表等),有的是使用应用时产生的信息,因此Facebook需要与平台应用共享用户信息。当时Facbook并未对平台数据的交互进行严格的管理,而此次事件的关键人物 Aleksandr Koran 及其背后的政治咨询机构 SCL/CambridgeAnalytica(剑桥咨询) ,利用了当时Facebook的平台数据交互的漏洞,导致Facebook上5000万用户的数据泄露。
剑桥大学的研究人员Koran 开发了一款专门针对选民的测试应用“this is your digital life,”的 Facebook 应用,一共有约27万人下载,经过用户在应用内的授权,收集的信息包括了用户的信息,包括居住的城市、用户资料信息、点赞的内容,还包括用户的朋友发布的信息。再加上其通过公开途径收集的用户信息,共涉及5000万用户的数据。并将其提供给剑桥咨询, 据媒体报道,其分析出用户的行为模式、性格特征、价值观取向、成长经历等,被用于推送竞选广告。
2 Facebook的「原罪」
Facebook创设之初的理念就是用户自我发布自我管理的 社交 平台,其本质上是「基于社交关系链接的个人公告板」平台。基于这种自然人社交平台的属性,Facebook的注册用户无论是在平台注册阶段还是使用阶段,可能主动提交、公开和授权的用户信息范围非常广泛;同时,基于Facebook的开放平台属性,第三方应用大量入驻平台以便为用户提供更多便利和丰富用户体验。“海量用户”加“海量第三方”,成为Facebook 商业 模式的核心支撑。
正因如此,在用户信息数据收集和使用的合规性,以及Facebook与第三方共享数据的合规性方面,Facebook一直处于风口浪尖,也背负了不少「恶名」。我们简单整理了公开媒体资料上可查的Facebook与隐私数据相关的媒体报道,可以看出Facebook在欧美国家保障隐私权方面的重点监督对象:
2010年07月07日消息,德国针对Facebook侵犯隐私行为采取法律行动
2014年08月22日消息,Facebook侵犯隐私:在欧洲遭6万人起诉
2014年12月24日消息,Facebook在美遭起诉 被控侵犯用户隐私
2016年05月26日消息,爱尔兰隐私保护机构将Facebook数据传输诉诸法庭
2016年09月28日消息,德国汉堡信息监管层直接勒令Facebook停止获取WhatsApp用户数据
2016年10月31日消息,欧盟隐私调查,勒令Facebook停用WhatsApp数据
2017年07月05日消息,Facebook遭德国监管部门调查:强行要求用户同意其隐私政策
2017年12月29日, Facebook遭德国警告:涉通过第三方大量收集用户数据
2018 年 01 月 30 日消息,为了避免欧盟罚款,Facebook 推出隐私保护新举措
2018年2月17日消息,Facebook在比利时隐私案中败诉:最高1.25亿美元罚款
2018年03月16日消息,WhatsApp在欧洲停止与Facebook分享用户数据
2018年3月17日消息,5000万用户信息泄露,Facebook面临倒闭危机
3 Facebook做错了什么?
这是一个时间跨度很长的事件,从2007年到2018年,已过十年。
可是,从合规的角度上看,Facebook其实一直在收紧自身对待用户隐私数据的政策,也包含了大量的对第三方入驻平台的管理政策。从本次事件的媒体报道中,我们至少可以看见:
在2014年,Facebook为用户提供的隐私选项从「公开」调整到「只能为好友所见」,缩小了用户的个人数据公开范围;
Facebook要求第三方应用在抓取已授权用户社交关系上的好友公开信息时,同时必须得到被抓取好友的授权;
在第三方应用入驻时,Facebook已经通过签署协议的形式禁止第三方应用将其从Facebook平台合法获取的用户数据向第三方提供;
Facebook已经针对第三方应用,部署了在出现大规模收集用户个人信息数据时的监控机制,并将会追查这些第三方应用收集用户个人信息数据的目的。
从合规的角度上出发,Facebook的上述政策制定包括技术措施都是先进的,可供参照的,但是,Facebook的问题在于,因为流于形式,这些措施并没有真正起效:
2014年,尽管Facebook缩小了用户的个人数据公开范围,但数据流出已成事实(据媒体报到,涉事应用从2013年就开始利用此漏洞收集相关用户公开数据了);
面对数据流出的既成事实和可能存在的风险,并没有追查机制;
对第三方应用是否违背其与Facebook之间的协议对外提供用户个人数据,以及违约提供数据的后果,Facebook缺乏监管和追责机制;
在Facebook发现向剑桥咨询「供货」的第三方应用存在大规模收集用户个人信息数据时,仅在得到一个“用于研究”的答复后,便没有再进行追查,枉费了先进的平台监管制度和技术。
在2015年英国《卫报》曝光「this is your digital life」向剑桥咨询提供用户个人信息数据后,Facebook才要求应用开发者删除数据,但是,就应用开发者是否真正删除数据并没有进行监督和审计。
4 SCL/CambridgeAnalytica(剑桥咨询)做错了什么?
相比于Facebook,第三方应用「this is your digital life」的开发者Koran及其背后的剑桥咨询才是这次事件中的真正「作恶者」,根据媒体报道:
Koran违背了与Facebook平台的第三方应用入驻协议,将从Facebook收集的个人数据向剑桥咨询提供;
Koran在受到Facebook的追查时,欺骗facebook说这些用户数据仅仅「用于研究」,而实际上,这些用户数据被用户推送竞选广告;
未经用户的许可,将用户个人信息数据进行了分析,将用户个人信息数据由一般数据提炼为反映用户政治倾向的「敏感数据」,并对此进行了精确利用,而用户对此一无所知。
5 中国企业应该从此事件中吸取什么教训?
如何收集、使用和共享个人信息数据,一直在欧美和中国同步研究的重要课题。Facebook隐私泄露事件,不应该仅仅作为一个史册中的污点,更应该成为国内同类信息服务企业的「前车之鉴」。
A. 应与合作方合法「共享」用户个人信息
在本次事件中,用户个人信息在Facebook平台上是合法收集的,同时,第三方应用「this is your digital life」也是通过Facebook平台的第三方应用规则,合法地从Facebook平台以「共享」的模式收集了用户个人信息。
但是,第三方应用「this is your digital life」并没有按照Facebook的平台规则合法使用用户个人信息,而是擅自将用户个人信息数据提供给了剑桥咨询供研究。而剑桥咨询,则无疑是在未获得用户同意及关于转让授权的前提下,非法获取了该等用户个人信息数据。
在中国 ,用户个人信息数据也应当遵循现有的「共享」规则,也就是中国法规体系下的「间接获取」用户个人数据信息。按照《信息安全技术个人信息安全规范》的要求:
作为「间接获取」用户个人数据信息的接收方,应当:
要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
小结:在大数据时代的今天,数据作为一类重要资产,其合法性需要数据的接收方审慎考察。其所接收的数据是否合法,意味着其所接受的数据的价值究竟如何。如果一项用户个人信息数据的来源未得到用户的使用授权,则数据的可利用价值将大打折扣甚至不得使用。企业因此付出的成本将付之东流,因此遭受的财产及声誉损失也会无可估量。
B. 应重视「数据画像」的合法授权
在本次事件中,我们注意到,第三方应用「this is your digital life」向剑桥咨询提供的用户个人信息数据包括「居住的城市、用户资料信息、点赞的内容,还包括用户的朋友发布的信息」,而经过剑桥咨询的加工后,这些数据可以分析出包括用户的行为模式、性格特征、价值观取向、成长经历等特征信息,形成对用户群体的「数据画像」。
在行将实施的GDPR(欧盟一般数据保护条例)中,用户个人信息被用作「数据画像」需要分情形获取的用户的同意,并向用户说明具体的分析方式及技术手段等,对用户产生不利评价后果的,用户可以拒绝被「画像」。本次事件中,考虑到剑桥数据的用户个人信息数据均是非法获取,因此,这些「数据画像」的加工也未获得任何合法性授权。
在中国 ,2018年5月1日前,对数据画像的监管要求一直处于「灰色」地带,而随着《个人信息安全规范》的实施,数据画像的合法授权要求也初步明确:
定义:数据画像,是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、 经济 、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
收集时:
个人信息控制者应当将收集、使用用户个人信息,形成直接画像并向用户推送商业广告的个人信息收集和使用方式写入《隐私政策》。
使用时:
除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;
当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。【 约束信息系统自动决策 】
小结:数据画像的合法采集和使用,应当获得用户的充分同意,且尽量使用间接画像形式。同时,针对对用户产生显著影响个人信息主体权益的决定时,个人信息控制者应向个人信息主体提供申诉方法。
C. 应高度重视「敏感数据」的双重授权保护
本次事件中,剑桥咨询经过分析后的数据实际上可以显示用户的政治倾向,而政治倾向无论在中国法项下还是欧美法项下均属于「敏感信息」。
在中国,敏感信息是指「一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息」。敏感信息未经用户「明确许可」不得收集,且在收集前的告知责任也相当严格,例如通过主动提供或自动采集方式收集个人敏感信息前,应:
向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;
产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。
并且, 如因加工处理而产生的个人信息属于个人敏感信息的,对按照敏感信息收集和使用的规则,重新获取用户的授权和同意 。这是对敏感信息数据的额外保护,也是对企业而言较为严格的要求。而本次事件中,剑桥咨询经过分析后产生的用户敏感信息,既没有获得用户的重新授权,也没有向用户进行任何说明并保障用户的反对权,这种罔顾敏感信息法律地位的盲目做法,实为剑桥之难。
D. 应牢记「个人信息」及「敏感信息」的法律定义
个人信息:
根据《网络安全法》及《个人信息安全规范》,个人信息的定义为:「能够单独或者与其他信息结合识别自然人个人身份的各种信息」,包括「姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等」。
《个人信息安全规范》对个人信息的范围进行了示例:
敏感信息:
根据《个人信息安全规范》的描述,敏感信息被定义为:「一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。」
当然,该规范仍对敏感信息的范畴示例说明:
【来源: 享法Joy-Legal 】