數據保護,你們準備好了嗎?
前言
最近Facebook(臉書)這個大陸人民熟悉而又陌生的公司刷爆了各大頭條和社交媒體。到底發生了什麼讓大家對地球另一端的美國如此熱議,還不明真相的小夥伴不要著急,請先聽筆者說一說這件事的來龍去脈。
幾天前,美國《紐約時報》和英國《衛報》等媒體紛紛爆料,一家名叫劍橋分析(Cambridge Analytica)的數據分析公司從Facebook獲取了5000萬用戶的資料,並以此為基礎,結合從其他渠道獲得的用戶選民登記、地產登記、消費等資料,通過大數據分析構造用戶心理畫像模型,包括個性、心理特徵和弱點等,進而以此為基礎向每個用戶推送個性化信息,試圖影響其政治傾向和投票行為。
也許你不知道劍橋分析是何方神聖,但肯定聽說過傳言它曾參與的兩件大事,其一是英國脫歐公投(它現在否認參與),其二就是川普贏得美國總統大選。劍橋分析獲得上述5000萬用戶信息的方式也頗為傳奇,先是由一位劍橋大學教授以學術研究為名,在Facebook上運行程序邀請用戶進行心理測試,並獲用戶授權抓取其個人信息;但該程序不僅抓取了這些用戶的信息,還抓取了這些用戶好友的信息,該教授又私自將獲取的數據給了劍橋分析。5000萬用戶是極其驚人的數量,相當於近四分之一的美國選民;如果真能左右這些選民的行為,無疑會對美國政局產生重大影響。
事件影響分析
事件曝光後,Facebook的股價暴跌10%,陷入了重大危機。3月21日,Facebook的CEO Zuckerberg終於發聲「承認錯誤」,稱Facebook沒能保護好用戶的數據,表示將採取進一步措施。
其實,Facebook等互聯網巨頭一直就在通過數據分析演算法不斷優化向用戶展示的信息,從而影響用戶的瀏覽和購買行為。向第三方軟體開放也是Facebook戰略的一部分,因為這樣可以豐富平台上的內容,增加用戶的活躍度和停留時間。通過數據分析,谷歌、Facebook的廣告投放得以越來越有效,亞馬遜、Netflix也得以不斷增加收入。多年來這種努力一直被譽為技術進步,這些公司也因此受到資本市場的追捧。但從利用用戶信息來影響其消費行為到試圖影響其政治傾向,可能僅為一步之遙。
大數據分析的強大之處在於它往往能發現潛在的關聯關係。比如,它可能通過某個用戶在Facebook上所「喜歡」(like)的內容(如某個新聞、視頻、電視節目或樂隊),猜測其政治傾向。
現代心理學研究還發現,人們的很多行為是基於情緒而不是理性思考;[1]而人的情緒則可能被難以察覺的手段影響,從而影響其行為。比如有實驗顯示,如果問消費者願意在餐廳里花多少錢,餐廳名字叫Studio 97就比叫Studio 17會讓消費者表示願意消費更多。[2]還有實驗顯示,賣葡萄酒的店家如果播放德國歌,會增加德國葡萄酒的銷量,如果播放法國歌,則會增加法國酒的銷量,而消費者卻完全沒意識到他們的行為受到了影響。[3]在各種情緒中,恐懼和憤怒等負面情緒更容易激發人類在進化中形成的本能反應,直接驅動行為,[4]所以在社交媒體上基於此類情緒的信息也往往最容易被分享傳播。在英國脫歐公投和2016年美國大選中,選民的負面情緒都起了很大作用,從這個角度來看就很容易理解。
我國個人信息安全與數據保護
Facebook數據泄露事件雖遠在大洋彼岸,其實卻影響著互聯網時代我們每個人的切身利益。這其中的關鍵詞就是「個人信息保護」。雖然我們沒有Facebook,但是我們有微博、微信等社交軟體,有支付寶、淘寶、餓了么、滴滴、美團等生活APP。各大互聯網企業每天都在吸食著海量的個人信息,但這些企業是如何保護用戶信息的呢?收集的信息有沒有超越法定範圍?收集和處理用戶信息經過用戶授權了嗎?相信沒有一家互聯網企業願意成為下一個泄露門的主角,那應該如何將危機防範於未然呢?
近年來,我國已在用戶信息保護方面推出了一系列的法律法規,包括全國人大常委會2012年通過的《關於加強網路信息保護的決定》,工信部2013年發布的《電信和互聯網用戶個人信息保護規定》,以及2017年6月實施的《網路安全法》。今年5月1日將實施的《信息安全技術 個人信息安全規範》則進一步在個人信息收集、保存、使用、委託處理、共享、轉讓、公開披露、個人信息安全事件處置等方面提出了多條具體措施,並提供了用戶明示同意和隱私政策的模板。雖然該規範僅為推薦性國家標準,不具有強制力,但仍值得相關企業認真參考和借鑒。
作為企業,在個人信息保護方面首先需要了解的是何為「個人信息」?《個人信息安全規範》規定,個人信息不僅包含姓名、出生日期、生物識別信息、徵信信息等身份信息,也包含行蹤軌跡、住宿信息、健康生理信息、交易信息等反映活動情況的個人信息。《個人信息安全規範》還進一步提出了「個人敏感信息」的概念,並對其收集、傳輸、儲存、使用、共享、轉讓、公開披露等方面作了特別的要求。對於企業來說,用戶在軟體和平台上的各種操作幾乎都可能構成「個人信息」,部分信息還會構成「個人敏感信息」,均受到法律保護,企業在獲取和使用這些信息時需遵守法律規定。
現行法律法規對於用戶信息的保護制定了四大原則:
經同意:收集用戶信息應當向用戶明示並取得用戶同意;
必要性:收集、使用用戶個人信息,應當遵循合法、正當、必要的原則,不得收集與其服務無關的個人信息;
披露:應當公開收集、使用規則,並明示收集、使用信息的目的、方式和範圍;
安全措施:應當採取必要措施,確保信息安全,防止信息泄露、丟失。
儘管如此,我國的一些互聯網企業對用戶信息保護仍然顯得關注不夠,之前沸沸揚揚的支付寶年度賬單事件就是一個例子。試想如果有個平台在不停地記錄著你每天吃了什麼、去了哪裡、看了什麼電影、買了什麼東西等信息,還能夠根據這些信息分析出你的喜好、習慣和弱點,並以此為基礎精準地向你推送廣告以影響你的決定,會不會讓你有種衣不蔽體暴露在這個大數據時代、背後一涼的感覺呢?
對於這種狀況,我國相關部門也開始採取措施加強監管,並對存在不合規情況的機構進行約談,要求整改。比如,2018年1月,今日頭條、支付寶和百度均因用戶個人信息收集使用規則、使用目的告知不充分的情況被工信部約談。但同時我們也看到,近期已有一些互聯網企業主動開始在個人信息保護方面採取進一步的合規化舉措。
對於許多互聯網企業,對用戶信息的採集和處理是其商業模式的核心。互聯網企業如何在商業利益和保護用戶信息之間找到一個合理的平衡點,將會成為持續的挑戰。企業決策層及其產品和運營團隊應對此保持關注和敏感,而不只是把它當作合規團隊和律師的任務。「得數據者得天下」,但如何用好數據這把利劍又不傷及用戶和企業自身。戴著法律這把鐐銬跳舞,是必須。
等等!還沒完!往下看有福利!
福利就是:截至發稿日,筆者認為對企業最有用的個人信息保護相關法律法規都在這兒了!不用謝!
法規名稱
頒布部門
實施時間
《民法總則》
全國人民代表大會
2017.10.01
《中華人民共和國消費者權益保護法(2013修正)》
全國人大常委會
2014.03.15
《全國人大常委會關於加強網路信息保護的決定》
全國人大常委會
2012.12.28
《網路安全法》
全國人大常委會
2017.06.01
《電信和互聯網用戶個人信息保護規定》
工業和信息化部
2013.09.01
《網路交易管理辦法》
國家工商行政管理總局
2014.03.15
《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》
最高人民
法院、
最高人民
檢察院
2017.06.01
《最高人民檢察院發布6起侵犯公民個人信息犯罪典型案例》
最高人民
檢察院
2017.05.16
《最高人民法院、最高人民檢察院發布7起侵犯公民個人信息犯罪典型案例》
最高人民
法院、
最高人民檢察院
2017.05.10
《信息安全等級保護管理辦法》
公安部、
國家保密局、
國家密碼管理局、
國務院信息工作辦公室
2007.06.22
《信息安全技術 個人信息安全規範》
國家質量監督檢驗檢疫總局、
國家標準化管理委員會
2018.05.01
註:
[1]見Daniel Kahneman, Thinking, Fast and Slow, 2011. Daniel Kahneman和Richard Thaler也因對此領域的貢獻於2002年和2017年分別獲得了諾貝爾經濟學獎
[2]見Robert Cialdini, Pre-Suation: A Revolutionary Way to Influence and Persuade, 2016
[3]見Robert Cialdini, Pre-Suation: A Revolutionary Way to Influence and Persuade, 2016
[4]見Daniel Kahneman, Thinking, Fast and Slow, 2011
THE END
特別聲明:
以上所刊登的文章僅代表作者本人觀點,不代表北京市中倫律師事務所或其律師出具的任何形式之法律意見或建議。
如需轉載或引用該等文章的任何內容,請私信溝通授權事宜,並於轉載時在文章開頭處註明來源於公眾號「中倫視界」及作者姓名。未經本所書面授權,不得轉載或使用該等文章中的任何內容,含圖片、影像等試聽資料。如您有意就相關議題進一步交流或探討,歡迎與本所聯繫。
作者簡介:
李俊傑 律師
合伙人 上海辦公室
業務領域:私募股權與投資基金,資本市場/證券,一帶一路與海外投資
TAG:中倫視界 |