Facebook泄密啟示：自力救濟遏制「蚊子」式信息竊取者

新聞 04-10

自3月16日Facebook 承認因Cambridge Analytica 濫用用戶數據，致使5000多萬人隱私遭泄露以來，這一事件仍升溫不斷。上周，Facebook表示數據遭泄露的人數增加至8700萬。本周，Facebook 首席執行官扎克伯格將在美國國會參眾兩院分別舉行的聽證會上作證。他的證詞或許可以幫助人們部分揭開籠罩這一全球最大社交媒體的疑團。然而，無可置疑的是，這家創立了14年的企業所享受的「隱私換便利」的黃金期已經過去，社交媒體上的個人信息不再是廣告商或是別有用心的第三方用戶可以任意攫取的「蜜糖」，無論是通過自律或他律，社交媒體的個人數據使用都將面臨更加嚴格的監管。騰雲邀請各界專家學者，對Facebook事件所折射出的個人數據使用和隱私保護問題展開分析，希望可以提供一些有益的鏡鑒和啟示。

中國社科院法學研究所助理研究員劉明認為：現實生活中，大量侵害個人信息的行為都由不知名小企業或行為人實施，面對這些「蚊子」式侵權者，那些對Facebook這類巨頭企業頗為有效的規制「大炮」收效甚微。

在此情形下，用戶的自力救濟將成為阻止數據泄露的有效手段，只有切實加強用戶一方在個人信息保護上的自力救濟能力，並使之能與輿論監督、行政監管、市場反饋形成合力，才能從根本上對個人信息侵權行為產生遏制效果。

劉明

民法學博士，中國人民大學法學院博士後出身，現為中國社科院法學研究所助理研究員，主要研究領域為民法和網路法。

Facebook個人信息泄露事件一經曝光，就迅速成為了全球關注的焦點問題，而該事件本身的複雜性和多面性，為社會各方從不同角度對其進行分析和解讀提供了豐富的素材。筆者不揣淺陋，以該事件為契機，對個人信息保護相關問題形成了兩點不成熟的思考。

現有信息保護規則對「蚊子」式

侵權者收效甚微

自Cambridge Analytica 前員工Christopher Wylie爆出其僱主違規收集近5000萬（根據Facebook的最新預估，受影響用戶數量可能達到8700萬）Facebook用戶的個人信息，並將其用於美國總統特朗普的大選諮詢服務以來，無論是傳統媒體還是新媒體，均對此次事件進行了連篇累牘的報道，並將其定性為一起醜聞，使Facebook的公眾形象大打折扣。

事件發展至此，從某種程度來說，Facebook已經為其疏失付出了沉重代價。我們也有理由相信，為了重新獲得用戶的信任和市場的青睞，Facebook將採取針對性措施改善個人信息保護狀況。目前，這些措施已部分落實，如簡化用戶隱私授權設置選項、收緊第三方APP獲取用戶個人信息許可權、修改用戶協議和隱私政策等。

然而，我們對於此次事件的關注不應因Facebook的「改邪歸正」而淺嘗輒止。事實上，較之於Facebook的亡羊補牢，筆者認為，

作為直接受害者的用戶群體在個人信息泄露過程中表現出的一種近乎失能的狀態，更值得我們關注。畢竟在現實生活中，大量侵害個人信息的行為是由一些根本不知名的小企業或行為人實施的，而對於這些「蚊子」式的侵權者，那些對Facebook這類巨頭企業頗為有效的規制「大炮」，如輿論監督、市場反饋等，往往收效甚微，且受制於執法成本，監管機關難以對這些違法行為進行全面打擊。

讓用戶處於個人信息保護的

核心地位

在此種情形下，用戶的自力救濟將成為防止個人信息泄露的更重要的力量。只有切實加強用戶一方在個人信息保護上的自力救濟能力，並使之能夠與輿論監督、行政監管、市場反饋形成合力，方可從根本上對個人信息侵權行為產生遏制效果。

然而，由於個人信息自身具有價值低密度特性，對於普通用戶來說，通過訴訟手段追究行為人的侵權責任將很可能是一個得不償失的選擇，而這也是在司法實踐中，很少有用戶會因個人信息受侵害而提起民事訴訟的原因。事實上，

當侵權行為的實施者是前文所稱的「蚊子」型主體時，找到被告本身就可能存在一定難度。

鑒於此，筆者認為，除了要繼續在制度層面上加強個人信息保護力度外，更為重要的是，要在技術層面提高用戶保護自己個人信息安全的能力，使其能夠切實行使制度賦予其的各項權利，並對侵權行為予以直接反擊。在這方面，相信隨著市場對於個人信息保護需求的不斷增強，第三方服務提供者將大有作為。

僅以電子終端為例，如果用戶能夠藉助第三方個人信息保護軟體，對服務提供者的個人信息授權請求進行有效監控，或對信息授權需求的合理性進行評估，那麼，至少那些無意識的個人信息泄露情況將可以得到有效抑制。事實上，此種商業模式在市場中早有先例，殺毒軟體的迅速普及對於電腦病毒傳播的產生的遏制效果，即屬典型。

總而言之，

在個人信息保護問題上，信息主體永遠應處於核心地位，只有對用戶進行充分賦能，方可使其真正成為個人信息的主人，並獲得與信息收集者基本對等的博弈地位。

事實上，對於個人信息的收集和利用者來說，用戶對於個人信息控制能力的增強，也可以使其在更為真實的用戶授權基礎上對個人信息資源進行使用，從而不必擔心僵硬的隱私政策成為其合規木桶中的短板。

隱私與便捷如何取捨？

用戶自治是關鍵

在Facebook個人信息泄露醜聞發生不久，李彥宏先生的一句被媒體經過精簡的「中國人更願意用隱私交換便捷」，又再次碰觸到了人們在個人隱私安全問題上的敏感神經。

在激動的情緒平復後，當我們回過頭來思考隱私（此處的隱私應作廣義理解，包含個人信息）與便捷之間的關係時可以發現，在現實生活中，二者之間確實存在著一種「此消彼長」的關係，因為在很多情況下，人們對於便捷的最直接體驗，就是個性化需求被有效滿足，而要做到這一點，對於需求方的充分了解無疑是不可或缺的前提條件。

在科幻電影《她》（Her）中，人工智慧系統OS1之所以能夠對使用者的生活給予無微不至的照顧，甚至在情感上與其進行「深達靈魂」的溝通，正是因為其已經對使用者在使用系統前及使用過程中產生的所有信息進行了全面的系統分析。事實上，人們在生活中感覺親人和朋友比陌生人更為貼心，亦同此理。

科幻電影《她》(Her)截圖。

問題的關鍵在於，當人們作出此種「以隱私交換便捷」的選擇時，是否具有充分的選擇自由？畢竟，

人們在面對不同類型服務以及不同服務提供者時，對於隱私與便捷這兩者之間的價值取捨，很可能是完全不同的，是否願意進行交換，以及願意在多大程度上、多廣範圍內進行此種交換，均存在個性化需求的空間。

當然，從服務提供者的角度出發，對所有主體的個性化需求均給出有意義的回應並不現實，但現在的情況卻是，服務提供者往往會向用戶提出一攬子「交換」方案，用戶的面對選項只是「take it or leave it」，在市場缺乏有效替代服務的情況下，此種選項甚至並不能被稱之為選項。

用個人信息授權選項

取代一攬子協議

在筆者看來，一種相對健康且均衡的解決方案是：

第一，以多元化的個人信息授權選項取代一攬子協議，並將這些選項以「opt-in」的方式設置，從而在程序上保證用戶作出有意義的選擇。

誠然，此種設置方式會使服務流程變得更為複雜，但在隱私與便捷這兩種價值面前，服務提供者又憑什麼代替用戶做出預設選擇呢？更何況，個人信息的安全較之於便捷的服務，顯然處於更高的價值位階之上。

第二，應明確告知用戶個人信息授權的範圍、理由和用途。

目前，已有越來越多的服務提供者都會在獲取用戶個人信息前徵得用戶同意，並告知所要獲取的信息內容，這點是值得肯定。問題在於，大多數服務提供者並不會在此過程中明確告知用戶其獲取這些信息的具體理由和使用用途，而此種信息的缺乏，不僅會使人們對於服務提供者在收集個人信息時，是否遵循了法定的正當和必要原則產生質疑，而且也是對消費者知情權的一種嚴重侵害。試想，如果某網站能夠明確告知用戶，會根據其個人信息對商品的價格進行「個性化調整」，那麼「大數據殺熟」的情況是否至少能夠被更早察覺呢？

第三，應為用戶提供便捷的修改和退出路徑。

同一用戶在不同時期，對於隱私與便捷之間的取捨關係很可能會作出不同判斷。因此，為確保服務提供者對於用戶隱私的使用，能夠與後者的真實意願保持同步，服務提供者應為用戶設置較為便捷的授權調整機制及賬戶註銷機制。在這方面，目前大多數服務提供者做得都不夠理想，線上服務提供者雖然大多設置了此種機制，但往往隱藏較深且程序複雜，大多數線下服務提供者則壓根沒有設置此項機制。

一言以蔽之，「用隱私交換便捷」這一現象在現實生活中無處不在，即使是在商業領域中，也是一種中性的價值選擇，除非在此種交換之中，包含了對於用戶一方的強迫、欺騙與隱瞞。

本文作者：劉明。經授權轉載自公眾號

騰雲

（

：

tenyun700

）

本文僅代表作者觀點，不代表本刊立場

▼