Facebook数据泄露事件背后：信息抓取网时代的法律应对

国浩律师（南京）事务所 合伙人 金力

实习生 胡天一

2018年3月30日

前言

Facebook（“脸书”）因近日被媒体曝光引发全球关注和热议的“数据门”用户信息泄露事件，面临前所未有的信誉危机。此事件引人震惊的重要原因之一是，获取用户信息的第三方数据分析公司通过先分析后操纵用户喜好的手段，通过一个靶向用户树状扩大至其社交圈其他用户收集信息，收集范围之广，信息运用范围甚至可能涉政治、军事等领域，使人骇然,触及个人隐私及信息安全红线。本文以此事件为由头，对信息抓取网时代的法律应对做初步分析。

一、信息抓取网时代，我们在其中

看似不起眼的零散个人信息可能不会造成如此大的威胁，但庞大的信息分析网使得搜集到的数百万乃至数千万人的信息汇总研究，所被利用的信息价值就超出人们的一般想象了。当今，人们处于的信息抓取大网的时代，身为网络用户，在互联网上的踪迹一直被人所控，可能并没有被储存运用，可能早已在我们的“被动授权”下共享给第三方运营商。

细究脸书事件中第三方（英国剑桥分析公司）信息搜集方式的作用机理，其实不难发现，我们也经历过相似局面，“您将授权此第三方获取您的个人资料如微信头像、昵称等”这样的选项常见于我们在朋友圈或其他社交网络乃至购物网站中，因好奇作祟而点开的性格分析测试等小应用程序，也在后台地搜集着用户的相关信息。在“熟人圈社交”之外的公共社交平台，网络运营商会记录点赞、评论、转发、收藏状况，并源源不断地将分析出的针对用户喜好的信息展示在每个人的首页，使人刷新出的消息永远是被分析过后的精准靶向性结果。除了社交平台，网购平台也运用了用户喜好分析，将用户浏览过的商品标签进行分类与分流，使得每次的购物车下方“猜你喜欢”都猜得精准到位，接收的第三方推广也与前几天下单的物品息息相关。

庞大的数据分析使得信息抓取的效率正逐步走高，每一个网络用户的背后都有一张大网，组成了大数据分析中的若干部分。人们享受着网络服务的便利，同时也在有意或无意中输出了信息甚至个人隐私。

二、信息泄露的法律责任，我们需应对

1、网络服务提供者责任

“数据门”事件后，脸书的相关责任也被进行分析，如后期跟进的研究自治审核责任，不应止步于提交试用API时进行资质审查；脸书上线第三方APP与用户协议混乱，使得很多没有资质的开发者研究者能够轻易获得用户敏感数据。

有消息称，美国联邦贸易委员会（FTC）正在调查脸书是否违反了2011年颁布的法令，即要求公司必须确保已向消费者提供“明确无误的通知”并获得用户的“明确同意”，此后才能处置他们的隐私设置信息。这一规定沿用了网络信息数据保护领域比较通行的国际原则，即数据主体同意模式。在我国《网络安全法》中，也有类似规定，“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。”按照这一要求，如果企业要与关联公司或者其他第三方共享用户的信息，就必须明示用户并获得同意。

问题在于，结合国内已曝光的第三方共享信息事件（如2018年初某支付平台年度账单），网络平台并非未获取用户的授权同意，而是采用被动或默认的方式获得授权，表面合法，实则违背用户意愿。这样的擦边球操作对用户的甄别能力需求过高，显失公平，在法律实施细则方面，应该参考认定为“被收集者的正面、明确同意”才合法有效。该情形被曝光后，某支付平台迅速进行了调整，将用户协议名称更改，由“我同意某服务协议”改为“同意在年账单中查询并展示你的信用信息”，并使勾选框状态由默认勾选改为默认不勾选。值得欣喜的是，中国的一些网络巨头企业正在努力走上合规的道路，从更新后主动弹出，到第三方共享时再次授权，都是在履行法律要求的明示同意原则。结合此事件与脸书数据门，网络平台需严格把控上线应用程序资质审查，第三方共享信息需得到用户明示且积极的授权之后方可进行，否则，便构成泄露用户信息，应依法承担侵权责任。

2、网络用户侵权赔偿的法律实践

就法律层面上说，27万用户（剑桥分析公司开发的性格分析测试APP共获得27万脸书用户下载量）同意了研究者获取其PII用于研究，5000万用户的公开社交数据目前并不被法律保护（被收集信息仅为公开数据，如设为私密，仅获得账户ID，未攻破隐私信息），脸书同意Dr.Kogan（协助剑桥分析公司的研究学者）的API使用权限也是合规的，最后的问题仅为Dr.Kogan将原本协议只能用于学术研究的数据分享给了剑桥分析公司并使大量数据缴入信息抓取大网之中，且根据美国纽约时报一篇“Cambridge-analytica-trump-campaign”的文章，脸书已经发现剑桥分析公司正在滥用数据，要求其立即删除并停止研究，剑桥分析回复说已删除，但事实是留了备份继续使用。脸书在同意Dr.Kogan的研究后需要承担的责任应该是在开放API之后继续跟踪数据流向，但因此任务的艰巨性，脸书身为网络服务提供者很难做到，索性在2015年取消了一系列API，也算是进行了一种补救。剑桥分析公司谎称已删除数据，就使得主要责任落在了Dr.Kogan和剑桥分析身上。因此，从侵权责任法角度，虽脸书所需承担的法律责任有限，但公众信任的流失却难以估计。

针对传言脸书将面临的2万亿罚款，虽仅是大众猜测，但客观上信息泄露案的损失成本历年来居高不下：2014年，美国最大的家庭装饰品与建材零售商家得宝（Home Depot）遭遇数据泄漏，损失成本为1.98亿美元；2015年，美国国家第二大医疗保险公司Anthem遭遇攻击，泄漏8000万客户个人信息，损失成本达1.15亿美元；TJX 和Heartland支付系统，多年来遭遇多次支付卡信息泄漏事件，最终分别支付了2.5亿美元以及1.4亿美元才平息这些事件造成的后果。美国征信公司Equifax公司1.43亿的数据泄漏事件招致了4500亿美元的赔偿请求。

我国也曾经有过网络平台泄露用户信息而被求偿的案例。2016年，三亚市中级人民法院审理完毕“周新营与上诉人中国保险监督管理委员会、北京中科汇联科技股份有限公司网络侵权责任纠纷”一案，周新营诉称保监会网站泄露其个人信息，并依法请求侵权赔偿。法院判决原文中，认定了泄露与侵权事实：“中国保监会网站是经主管部门备案和权威部门测评合格后，给社会公众提供政务服务的网站，系网络服务提供者，依照《全国人民代表大会常务委员会关于加强网络信息保护的决定》第四条关于‘网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人信息泄露、损毁、丢失。……’之规定，中国保监会也依法负有保护申请政府信息公开申请人信息安全的义务。该会网站因网络漏洞泄露了周新营的个人注册信息，系违法行为，根据《侵权责任法》第三十六条第一款之规定，应认定中国保监会对周新营构成了侵权。”

结合我国《网络安全法》中的数据主体明确同意模式，网络平台应当在合法、明确、正面授权之后进行信息运用，一旦违反法律规定，被泄露信息的网络用户有权诉请侵权损害赔偿。

结语：

行文至此，其实不难发现，信息抓取网的大背景之下，网络用户的信息已经在透明与半透明之间，也经常在不经意间被授权同意传输给合作方。而《侵权责任法》仍然站在看重损害后果的角度，对于庞大信息网中不停传送的数据，法律的保护范围可能并未触及。

值得注意的是，《网络安全法》也正处于逐步完善的过程，它与数据跨境转移方面的国际规制也正在衔接适用，参考更加科学的立法模式，数据主体同意或风险分析越来越成为综合考量的因素，因此，在经济全球化的今天，我们也希望看到网络平台，即企业更加积极地走上合规的道路，而不是一味规避国内法律、寻求灰色地带，只有在细节处完善合规，才能在国际规制中走得更远。

律师作为替用户维权或为社交媒体公司或电商公司提供顾问服务的一线专业人士，应持续关注、思考此问题，而相关法律纠纷的处理、危机公关的应对、乃至法律法规的完善需求，也使得相关业务有可能成为律师在互联网+时代的法律业务蓝海。