假如Facebook數據醜聞發生在中國

最近，Facebook數據泄露醜聞引爆了輿論。這裡不妨先復盤一下整個事件：早在2013年，劍橋大學一名研究人員（同時也「秘密」地是俄羅斯彼得堡大學副教授）亞歷山大?科根（Aleksandr Kogan），在Facebook上開發了一款性格測試應用——「this is your digital life」，並通過隨機發放2到5美元紅包的方式大力推廣。當時，安裝這款應用的用戶約27萬，由於用戶均授權該應用獲取社交關係以及好友信息，科根間接獲得了額外近5000萬人的數據。

隨後，他經由其創立的「環球科學研究」（Global Science Research）公司，將上述數據分享給一家名為「劍橋分析」（Cambridge Analytica）的政治諮詢公司。該公司由美國總統顧問、白宮首席策略師史蒂夫?班農創立，旨在從海量信息出發，有針對性地向聽眾投放宣傳材料，從而改變聽眾行為。

2015年，Facebook得知這一消息，屏蔽了「this is your digital life」應用，並敦促科根和劍橋分析公司刪除所有用戶信息。雖然後者對此並無異議，可相關數據的刪除與否，Facebook卻並未跟蹤調查與追究。而在2016年的美國總統大選中，這些數據被用於新聞或觀點的精確投放，以幫助特朗普團隊。

不過，關於劍橋分析公司對特朗普的獲勝究竟貢獻多大，目前尚存大量爭議。大多數政治學家均對這種定向廣告的有效性表示出強烈的懷疑，認為所謂用戶個性分析與投票之間或者不充分或者不相關，劍橋分析公司只是誇大其詞而已。但無論如何，正如扎克伯格在3月22日的書面申明中所坦承的，Facebook在用戶數據保護方面犯了錯誤。

本來，美國的個人信息保護無需我們操心。但「殷鑒不遠，在夏後之世」，這一事件恰如隔空為我們敲響了一次警鐘。而在中國阿里巴巴的市值藉機超越Facebook的當口，不妨做些未雨綢繆的假想：若Facebook信息泄露事件發生在中國，我們究竟該如何應對呢？

科根和劍橋分析公司的「惡」

作為始作俑者，科根第一大「惡」是違反我國《民法總則》第111條和《網路安全法》第41條，未經5000萬用戶的同意，非法收集個人信息。當然，科根並不會坐以待斃，他還可以從如下方面提出抗辯。

首先，科根可以主張他從事的是學術研究，因此無需獲得用戶同意。我國《個人信息安全規範》第5.4條列出了用戶同意的若干例外，其中一種情形是「學術研究機構出於公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識化處理」。

事實上，2013年，科根大規模收集數據的行為就曾觸發了Facebook的內部預警機制，而當Facebook得到其「用於學術目的」的回復後，就不再過問了。但問題是科根壓根不是在做學術研究。調查發現，科根一開始就獲得了劍橋分析公司的資助，更重要的是，他向後者提供的全部是指向特定個人的信息，而非匿名信息。因此，從事研究的抗辯純屬狡辯。

其次，科根可以主張他已獲得了Facebook的同意。因為 「this is your digital life」應用並非無中生有，而在合法嫁接在Facebook的平台上。作為「開放圖譜」（Open Graph）計劃的一部分，Facebook允許第三方在遵守《開放平台政策》的條件下，使用「開放應用編程介面」（Open API），並調取Facebook用戶的數據。在2014年Facebook更新其平台架構之前，Open API不但允許開發者訪問登錄其應用的用戶信息，還能訪問用戶好友的生日、城市、興趣、工作經歷、宗教信仰等各種信息。

然而，不論Facebook的授權得當與否，所謂授權在事實上也因科根超越許可權而無效，因為《開放平台政策》第3.10條明確規定：「不得將從我方接收的任何數據（包括匿名、匯總或派生數據）轉讓給任何廣告網路、數據代理或其他涉及廣告或創收的服務。」

再次，科根可以主張他從登錄用戶那裡獲得了「間接同意」。本次信息泄露規模之所以高達5000萬人，全賴社交網路的乘數效應。所以，必須回答的問題是，你能否為你朋友的信息做主？我們直覺的回答是：當然不能，就像我們不能擅自將線下朋友的家庭住址告訴一名陌生人。

不過，有些信息並不是那麼涇渭分明，比如我們和朋友的交互信息，而它們對於了解朋友意義重大。正如斯坦福大學計算機科學教授米哈爾?科辛斯基（Michal Kosinski）所言：「了解一個人 10 個Facebook的點贊，對這個人的了解足以超越這個人的普通同事；了解 70 個點贊，則對這個人的了解足以超過這個人的朋友；了解 150 個點贊，那麼對這個人的了解可以到達這個人家長的程度；如果了解超過 300 個點贊，那麼恐怕會比這個人最親密的伴侶更了解這個人。」

在法律上，這種交互信息大多可歸入「共同隱私」的範疇。根據中國法學會起草《民法典人格權編》第63條，在充分考量信息的性質、公開的方式和涉及的利益後，用戶可以自行決定是否披露共同隱私，但不得給好友造成實質性損害。

最後，科根可以主張他所獲取的是用戶的公開信息。在「this is your digital life」應用上線時，Facebook的用戶隱私的默認設置是「公開」，顯而易見，因框架效應的存在，一般人只會全盤接受。直到2014年，Facebook才意識到其中的風險，將用戶信息默認的隱私選項由「公開」改為「只為好友所見」。

依常理，既然用戶已經公開信息，自然無須對科根特別授權。然而，在法律的立場上，信息並不因公開就可以隨意使用。針對公開信息，是以人工方式手動拷貝，還是以軟體方式大規模抓取，有著迥然不同的法律後果。在2016年「大眾點評訴百度不正當競爭案」「新浪微博訴脈脈不正當競爭案」中，法院均對自動抓取進行了限制。在後一起案件中，北京知識產權法院甚至給出了「三重授權」的標準，即第三方通過0pen API獲取用戶信息時應堅持「用戶向平台授權」+「平台向第三方授權」+「用戶向第三方授權」的原則。

如果說非法收集個人信息還有零星但無力的反駁的話，那麼，科根超出學術研究目的使用所收集信息，以及未經用戶同意將之提供給劍橋分析公司的「惡行」就確鑿無疑了。根據最高人民法院、最高人民檢察院《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》和《刑法》第253條之一的規定，科根將其在提供服務過程中所獲得的信息，向劍橋分析公司提供，數量特別巨大，情節特別嚴重，科根和劍橋分析公司均構成「侵犯公民個人信息罪」。

Facebook錯在何處？

Facebook信息泄露事發後，Facebook的副總裁兼副總法律顧問Paul Grewal和首席安全官Alex Stamos相繼在推特上發文，指摘媒體稱這次事件為「數據泄露」（data breach）完全錯誤，因為Facebook的系統沒有被侵入，用戶的密碼或敏感信息也沒有被竊取或攻擊。

這兩位高管的解釋在技術上非常精明，但在戰略上並不明智。人們所關心的不只是數據安全（data security），更是安全感（safety）。難怪有人嘲諷說，Facebook的意思是你們完全不用擔心，劍橋分析公司沒有竊取，是Facebook主動交了出去。公允地說，Facebook確實沒有「做惡」，但這並不意味著它是無辜的替罪羊，恰恰相反，其至少存在兩大過失。

從事前視角觀察，Facebook缺乏數據共享的風險管理。根據《個人信息安全規範》第10.2條的要求，在通過Open API將用戶數據和科根共享之前，Facebook至少應開展「個人信息安全影響評估」，分析「this is your digital life」應用場景，評估其索要數據的必要性、數據類型和數據量、數據傳輸方式以及科根的數據保護能力，從而確定數據是否對外提供、提供的安全量級、提供的安全方式以及操作中的風險控制和發生安全事件後的應急預案。在這一事件中，儘管科根聲稱進行心理學的學術研究，但卻將用戶限於美國選民，這理應引起Facebook的警覺，更重要的是，科根獲取的信息如此之巨，其保障能力顯然無法滿足與之相稱的數據安全標準。Facebook在2013年發現異常時，就應當機立斷，而不該貽誤時機。此外，根據《網路安全法》第37條的規定，Facebook屬於關鍵信息基礎設施的運營者，當5000萬人的信息從境內轉移到環球科學研究公司——一家英國企業時，Facebook還要進一步評估國家安全和社會公共利益受影響的等級，並將相關評估結果上報監管機構審核。

從事後視角觀察，Facebook沒有履行個人信息安全事件的雙通知義務。2015年，Facebook知悉個人信息被非法轉移後，就應按照《網路安全法》第42、43條的要求，立即採取補救措施，按照規定及時通知用戶和監管部門。這裡的補救措施包括：要求科根和劍橋分析公司刪除所有數據以及由其衍生的相關信息，並保證不留存任何副本；封存證據並啟動調查和責任追究程序；為相關用戶提供投訴和要求刪除個人信息的渠道，等等。事實上，這些措施和扎克伯格的申明內容幾無差異，只不過Facebook晚了三年。

任何錯誤都要付出代價，Facebook也不例外，問題在於：代價究竟多大？坊間傳言，Facebook可能遭至美國貿易委員會（FTC）每名用戶4萬美元，總額2萬億美元的重罰。但這可能是一個誤讀，因為根據2016年FTC的罰款上限，4萬美元的標準是按天計算，而非按人頭計算。此外，這一說法是建立在Facebook違反其與FTC在2010年達成的「協議協定」（consent agreement），特別是第II條關於第三方收集用戶信息的約定上。根據該條款，如果科根收集了用戶的「非公開信息」，Facebook卻沒有在隱私政策、數據使用政策等文件之外，明確提示用戶並獲得明示同意，那麼就可能違規。該條同時說明，用戶只有在不實質違反其好友隱私設定的範圍內，才能共享其好友的信息。截至目前，FTC的調查還未正式啟動，因而難以預判其結果，但其關注點明顯是事中的收集過程，而非前文所述的事前和事後環節。

還是讓我們再回到中國——如果Facebook此次數據泄露發生在中國，首先可以明確的是，我國在網路安全執法領域，並無「協議協定」——這一處罰和解制度，故而無論Facebook是否違約，監管機構都不可能以此為由施加處罰。不過，假設監管機構在2010年就已經責令其改正，而Facebook拒不改正，拒不履行信息網路安全管理義務，那麼有可能構成《刑法》286條之一「拒不履行信息網路安全管理義務罪」。此外，根據《網路安全法》第66條，Facebook違規對外提供數據，監管機構有權責令改正，給予警告，沒收違法所得，處5萬元以上50萬元以下罰款，並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下罰款。由此可見，較諸美國，Facebook在中國面臨的責任更加多樣化，也更不確定。

開放平台數據治理的反思

這次信息泄露事件絕不是Facebook的第一次，也不可能是它的最後一次。實際上，從2008年將用戶的網路活動與其好友進行分享的Beacon系統，到2010年通過消息推送樣本對比測試來考察社交網路對投票率的影響，Facebook對其數據的管控一次次面臨著人們的質疑。儘管個種緣由難以盡述，但其作為開放平台的定位卻始終是癥結所在。

2007年，年僅23歲的扎克伯格在第一屆F8大會（Facebook開發者大會）上發出豪言：「到目前為止，社交網站已經成為封閉的平台，我們要做的就是終結這一歷史。Facebook將被打造成為一個開放的平台，來自全世界每個角落的開發者都能在Facebook Platform的基礎框架下，為這個巨大的社交圖譜開發多元化的應用。」這裡的「開放」首先就是數據的開放，即Facebook將其擁有的海量社交用戶檔案和關係數據，通過Open API開放給第三方開發者。對於傳統的封閉網路——Myspace而言，這無疑是革命性的。事實證明，Facebook成功了。谷歌熱度顯示，Facebook和Myspace的搜索頻次在2007年下半年形成轉折，到了次年5月，Facebook的訪問量首次超過Myspace，自此奠定王者地位。

然而，成也蕭何，敗也蕭何。Facebook的開放性一方面令實時、全樣本的數據流動起來，並經由第三方的數據挖掘和分析，重新包裝為數據產品推向給客戶。但在另一方，它也削弱平台對數據的掌控，以至於Facebook前平台運營經理Sandy Parakilas最近表示：「Facebook無法監控通過其伺服器提供給開發者的所有數據，所以我們完全不知道開發者對數據做了什麼。」

如何在保持平台開放的同時，強化對數據的治理？這個問題的答案依然要從平台的性質中尋求。作為應用/服務層、數據層和規則層的複合體，平台的形成和發展是此三者不斷聚化和演化的結果。其中，應用/服務層是依託信息技術、集合線上線下資源而開展的交易與合作活動，它是平台運作的驅動力；而在交易和合作過程中，大量信息被記錄、存儲和利用，數據層由此成為市場價值再發現的核心生產要素；最後，規則層是各主體共同遵循的制度體系，是平台組織賴以成型的基礎保障。

平台設立之初，規則層發揮著決定性作用，而平台一旦步入正軌，就展現出鮮明的自組織性，制度層必須和應用/服務層、數據層之間相互反饋、同步調適。就此而言，在Facebook的數據層和應用/服務層開放之後，規則層就不能再由Facebook單方壟斷，否則就會因邏輯衝突，引發平台功能失調，而這正是Facebook數據失控的根源。

既然如此，開放平台的制度層到底要怎樣開放呢？一方面，要把多元化的利益相關者，特別是普通用戶吸納到數據規則的制定之中。這是因為，在開放性和去中心化的數字治理架構下，所有受規則影響的人都是、且應當是數據規則形成的主體。同時，考慮到用戶在時間、能力和信息獲取上的欠缺，平台還須積極「賦權」，通過增加透明度保障用戶知情權，並在制度架構設計上盡量採取「選擇適用」（opt in）模式，以實現真正意義上的審議和決定。

另一方面，在數據規則的執行中，要為不同主體提供恰到好處的激勵和嚴格的責任，使之積極、主動地踐行規則。3月21日，Facebook宣布將拓展bug獎勵計劃，如用戶發現應用的開發者濫用個人新數據並提出舉報，就能獲得相應獎勵。顯然，這是向正確的道路前進了一步。但這還遠遠不夠。平台還應建立更有效的爭議解決機制和對違規開發者的懲治機制，採取包括區塊鏈在內的新技術，將平台、用戶、開發者、數據處理者緊密相連，保證每次查詢、複製、使用、流轉的可追溯和不可篡改。

如今，平台應用/服務的生態化以及數據流動所帶來的網路效應，發展出大規模的協作和共享，激發出前所未有的活力，開放性平台由此成為數字經濟的關鍵性支柱。而正如Facebook信息泄露所揭示出的，平台的這種開放性終將迫使我們打破自上而下的「數據管理」迷思，邁向多主體共同參與、各享權利、各負其責的「開放數據治理」。而這，才是在中國語境下思考這一事件的意義所在。

作者系法學博士、中國人民大學金融科技與互聯網安全研究中心副主任。本文發表於FT中文網。轉載時獲得了作者的授權。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！