1案件回顧

據媒體報道，為增強用戶粘性，2007年Facebook平臺（Facebook Platform）上線，第三方應用的開發者可通過平臺的技術工具和接口，將開發的平臺應用（Platform APPlication）（如游戲等）在Facebook上運營，用戶可在線進行互動。用戶在使用平臺應用時，會使用個人信息，這些信息有的是Facebook上的原有信息（如用戶的個人信息和朋友列表等），有的是使用應用時產生的信息，因此Facebook需要與平臺應用共享用戶信息。當時Facbook并未對平臺數據的交互進行嚴格的管理，而此次事件的關鍵人物Aleksandr Koran及其背后的政治咨詢機構SCL/CambridgeAnalytica（劍橋咨詢），利用了當時Facebook的平臺數據交互的漏洞，導致Facebook上5000萬用戶的數據泄露。

劍橋大學的研究人員Koran 開發了一款專門針對選民的測試應用“this is your digital life,”的 Facebook 應用，一共有約27萬人下載，經過用戶在應用內的授權，收集的信息包括了用戶的信息，包括居住的城市、用戶資料信息、點贊的內容，還包括用戶的朋友發布的信息。再加上其通過公開途徑收集的用戶信息，共涉及5000萬用戶的數據。并將其提供給劍橋咨詢, 據媒體報道，其分析出用戶的行為模式、性格特征、價值觀取向、成長經歷等，被用于推送競選廣告。

2Facebook的「原罪」

Facebook創設之初的理念就是用戶自我發布自我管理的社交平臺，其本質上是「基于社交關系鏈接的個人公告板」平臺。基于這種自然人社交平臺的屬性，Facebook的注冊用戶無論是在平臺注冊階段還是使用階段，可能主動提交、公開和授權的用戶信息范圍非常廣泛；同時，基于Facebook的開放平臺屬性，第三方應用大量入駐平臺以便為用戶提供更多便利和豐富用戶體驗。“海量用戶”加“海量第三方”，成為Facebook商業模式的核心支撐。

正因如此，在用戶信息數據收集和使用的合規性，以及Facebook與第三方共享數據的合規性方面，Facebook一直處于風口浪尖，也背負了不少「惡名」。我們簡單整理了公開媒體資料上可查的Facebook與隱私數據相關的媒體報道，可以看出Facebook在歐美國家保障隱私權方面的重點監督對象：

2010年07月07日消息，德國針對Facebook侵犯隱私行為采取法律行動

2014年08月22日消息，Facebook侵犯隱私：在歐洲遭6萬人起訴

2014年12月24日消息，Facebook在美遭起訴 被控侵犯用戶隱私

2016年05月26日消息，愛爾蘭隱私保護機構將Facebook數據傳輸訴諸法庭

2016年09月28日消息，德國漢堡信息監管層直接勒令Facebook停止獲取WhatsApp用戶數據

2016年10月31日消息，歐盟隱私調查，勒令Facebook停用WhatsApp數據

2017年07月05日消息，Facebook遭德國監管部門調查：強行要求用戶同意其隱私政策

2017年12月29日， Facebook遭德國警告：涉通過第三方大量收集用戶數據

2018 年 01 月 30 日消息，為了避免歐盟罰款，Facebook 推出隱私保護新舉措

2018年2月17日消息，Facebook在比利時隱私案中敗訴：最高1.25億美元罰款

2018年03月16日消息，WhatsApp在歐洲停止與Facebook分享用戶數據

2018年3月17日消息，5000萬用戶信息泄露，Facebook面臨倒閉危機

3Facebook做錯了什么？

這是一個時間跨度很長的事件，從2007年到2018年，已過十年。

可是，從合規的角度上看，Facebook其實一直在收緊自身對待用戶隱私數據的政策，也包含了大量的對第三方入駐平臺的管理政策。從本次事件的媒體報道中，我們至少可以看見：

在2014年，Facebook為用戶提供的隱私選項從「公開」調整到「只能為好友所見」，縮小了用戶的個人數據公開范圍；

Facebook要求第三方應用在抓取已授權用戶社交關系上的好友公開信息時，同時必須得到被抓取好友的授權；

在第三方應用入駐時，Facebook已經通過簽署協議的形式禁止第三方應用將其從Facebook平臺合法獲取的用戶數據向第三方提供；

Facebook已經針對第三方應用，部署了在出現大規模收集用戶個人信息數據時的監控機制，并將會追查這些第三方應用收集用戶個人信息數據的目的。

從合規的角度上出發，Facebook的上述政策制定包括技術措施都是先進的，可供參照的，但是，Facebook的問題在于，因為流于形式，這些措施并沒有真正起效：

2014年，盡管Facebook縮小了用戶的個人數據公開范圍，但數據流出已成事實（據媒體報到，涉事應用從2013年就開始利用此漏洞收集相關用戶公開數據了）；

面對數據流出的既成事實和可能存在的風險，并沒有追查機制；

對第三方應用是否違背其與Facebook之間的協議對外提供用戶個人數據，以及違約提供數據的后果，Facebook缺乏監管和追責機制；

在Facebook發現向劍橋咨詢「供貨」的第三方應用存在大規模收集用戶個人信息數據時，僅在得到一個“用于研究”的答復后，便沒有再進行追查，枉費了先進的平臺監管制度和技術。

在2015年英國《衛報》曝光「this is your digital life」向劍橋咨詢提供用戶個人信息數據后，Facebook才要求應用開發者刪除數據，但是，就應用開發者是否真正刪除數據并沒有進行監督和審計。

4SCL/CambridgeAnalytica（劍橋咨詢）做錯了什么？

相比于Facebook，第三方應用「this is your digital life」的開發者Koran及其背后的劍橋咨詢才是這次事件中的真正「作惡者」，根據媒體報道：

Koran違背了與Facebook平臺的第三方應用入駐協議，將從Facebook收集的個人數據向劍橋咨詢提供；

Koran在受到Facebook的追查時，欺騙facebook說這些用戶數據僅僅「用于研究」，而實際上，這些用戶數據被用戶推送競選廣告；

未經用戶的許可，將用戶個人信息數據進行了分析，將用戶個人信息數據由一般數據提煉為反映用戶政治傾向的「敏感數據」，并對此進行了精確利用，而用戶對此一無所知。

5中國企業應該從此事件中吸取什么教訓？

如何收集、使用和共享個人信息數據，一直在歐美和中國同步研究的重要課題。Facebook隱私泄露事件，不應該僅僅作為一個史冊中的污點，更應該成為國內同類信息服務企業的「前車之鑒」。

A.      應與合作方合法「共享」用戶個人信息

在本次事件中，用戶個人信息在Facebook平臺上是合法收集的，同時，第三方應用「this is your digital life」也是通過Facebook平臺的第三方應用規則，合法地從Facebook平臺以「共享」的模式收集了用戶個人信息。

但是，第三方應用「this is your digital life」并沒有按照Facebook的平臺規則合法使用用戶個人信息，而是擅自將用戶個人信息數據提供給了劍橋咨詢供研究。而劍橋咨詢，則無疑是在未獲得用戶同意及關于轉讓授權的前提下，非法獲取了該等用戶個人信息數據。

在中國，用戶個人信息數據也應當遵循現有的「共享」規則，也就是中國法規體系下的「間接獲取」用戶個人數據信息。按照《信息安全技術個人信息安全規范》的要求：

作為「間接獲取」用戶個人數據信息的接收方，應當：

要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進行確認；

應了解個人信息提供方已獲得的個人信息處理的授權同意范圍，包括使用目的，個人信息主體是否授權同意轉讓、共享、公開披露等。如本組織開展業務需進行的個人信息處理活動超出該授權同意范圍，應在獲取個人信息后的合理期限內或處理個人信息前，征得個人信息主體的明示同意。

小結：在大數據時代的今天，數據作為一類重要資產，其合法性需要數據的接收方審慎考察。其所接收的數據是否合法，意味著其所接受的數據的價值究竟如何。如果一項用戶個人信息數據的來源未得到用戶的使用授權，則數據的可利用價值將大打折扣甚至不得使用。企業因此付出的成本將付之東流，因此遭受的財產及聲譽損失也會無可估量。

B.      應重視「數據畫像」的合法授權

在本次事件中，我們注意到，第三方應用「this is your digital life」向劍橋咨詢提供的用戶個人信息數據包括「居住的城市、用戶資料信息、點贊的內容，還包括用戶的朋友發布的信息」，而經過劍橋咨詢的加工后，這些數據可以分析出包括用戶的行為模式、性格特征、價值觀取向、成長經歷等特征信息，形成對用戶群體的「數據畫像」。

在行將實施的GDPR（歐盟一般數據保護條例）中，用戶個人信息被用作「數據畫像」需要分情形獲取的用戶的同意，并向用戶說明具體的分析方式及技術手段等，對用戶產生不利評價后果的，用戶可以拒絕被「畫像」。本次事件中，考慮到劍橋數據的用戶個人信息數據均是非法獲取，因此，這些「數據畫像」的加工也未獲得任何合法性授權。

在中國，2018年5月1日前，對數據畫像的監管要求一直處于「灰色」地帶，而隨著《個人信息安全規范》的實施，數據畫像的合法授權要求也初步明確：

定義：數據畫像，是指通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如其職業、經濟、健康、教育、個人喜好、信用、行為等方面做出分析或預測，形成其個人特征模型的過程。

收集時：

個人信息控制者應當將收集、使用用戶個人信息，形成直接畫像并向用戶推送商業廣告的個人信息收集和使用方式寫入《隱私政策》。

使用時：

除目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人。例如，為準確評價個人信用狀況，可使用直接用戶畫像，而用于推送商業廣告目的時，則宜使用間接用戶畫像；

當僅依據信息系統的自動決策而做出顯著影響個人信息主體權益的決定時（例如基于用戶畫像決定個人信用及貸款額度，或將用戶畫像用于面試篩選），個人信息控制者應向個人信息主體提供申訴方法。【約束信息系統自動決策】

小結：數據畫像的合法采集和使用，應當獲得用戶的充分同意，且盡量使用間接畫像形式。同時，針對對用戶產生顯著影響個人信息主體權益的決定時，個人信息控制者應向個人信息主體提供申訴方法。

C.      應高度重視「敏感數據」的雙重授權保護

本次事件中，劍橋咨詢經過分析后的數據實際上可以顯示用戶的政治傾向，而政治傾向無論在中國法項下還是歐美法項下均屬于「敏感信息」。

在中國，敏感信息是指「一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的個人信息」。敏感信息未經用戶「明確許可」不得收集，且在收集前的告知責任也相當嚴格，例如通過主動提供或自動采集方式收集個人敏感信息前，應：

向個人信息主體告知所提供產品或服務的核心業務功能及所必需收集的個人敏感信息，并明確告知拒絕提供或拒絕同意將帶來的影響。應允許個人信息主體選擇是否提供或同意自動采集；

產品或服務如提供其他附加功能，需要收集個人敏感信息時，收集前應向個人信息主體逐一說明個人敏感信息為完成何種附加功能所必需，并允許個人信息主體逐項選擇是否提供或同意自動采集個人敏感信息。當個人信息主體拒絕時，可不提供相應的附加功能，但不應以此為理由停止提供核心業務功能，并應保障相應的服務質量。 

并且，如因加工處理而產生的個人信息屬于個人敏感信息的，對按照敏感信息收集和使用的規則，重新獲取用戶的授權和同意。這是對敏感信息數據的額外保護，也是對企業而言較為嚴格的要求。而本次事件中，劍橋咨詢經過分析后產生的用戶敏感信息，既沒有獲得用戶的重新授權，也沒有向用戶進行任何說明并保障用戶的反對權，這種罔顧敏感信息法律地位的盲目做法，實為劍橋之難。 

D.     應牢記「個人信息」及「敏感信息」的法律定義

個人信息：

根據《網絡安全法》及《個人信息安全規范》，個人信息的定義為：「能夠單獨或者與其他信息結合識別自然人個人身份的各種信息」，包括「姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等」。

《個人信息安全規范》對個人信息的范圍進行了示例：

敏感信息：

根據《個人信息安全規范》的描述，敏感信息被定義為：「一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。 個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。」

當然，該規范仍對敏感信息的范疇示例說明：

【來源：享法Joy-Legal 】