孫爽

前不久，在英、美多家媒體曝光下，F(xiàn)acebook數(shù)據(jù)泄露丑聞爆發(fā)：它將平臺(tái)開(kāi)放給平臺(tái)上開(kāi)發(fā)者科根的性格分析應(yīng)用程序，允許后者將用戶數(shù)據(jù)用于科學(xué)研究，約27萬(wàn)名用戶的數(shù)據(jù)被濫用。這些用戶好友的數(shù)據(jù)也被調(diào)取，此事波及8700余萬(wàn)人?？聘鶎?shù)據(jù)以80萬(wàn)美元的價(jià)格售賣(mài)給了數(shù)據(jù)分析公司——英國(guó)劍橋分析，該公司將用戶數(shù)據(jù)用于競(jìng)選分析，此舉未獲用戶授權(quán)同意。

消息一經(jīng)發(fā)出，F(xiàn)acebook股價(jià)遭到重挫，市值一度蒸發(fā)逾360多億美元，其創(chuàng)始人兼CEO扎克伯格迫于輿論壓力、公開(kāi)發(fā)聲，被多國(guó)政府質(zhì)詢。不久前，劍橋分析宣布倒閉，F(xiàn)acebook則向用戶提供了一鍵清除自己數(shù)據(jù)的選項(xiàng)。與此相關(guān)的討論還在繼續(xù)，涉及用戶個(gè)人數(shù)據(jù)歸屬權(quán)、第三方使用平臺(tái)用戶數(shù)據(jù)的權(quán)限、“羊毛出在豬身上”的互聯(lián)網(wǎng)廣告模式、互聯(lián)網(wǎng)征信發(fā)展前景等多個(gè)問(wèn)題。本文將對(duì)其中的部分問(wèn)題略作分析。

用戶數(shù)據(jù)的控制權(quán)問(wèn)題

在美國(guó)國(guó)會(huì)對(duì)Facebook事件舉辦的聽(tīng)證會(huì)中，議員與扎克伯格對(duì)“用戶數(shù)據(jù)到底歸誰(shuí)所有”似乎有著不同的答案，甚至有著難以調(diào)和的矛盾。議員質(zhì)詢道，F(xiàn)acebook依靠用戶數(shù)據(jù)創(chuàng)收，如果用戶真的擁有自己的數(shù)據(jù)，為什么沒(méi)有從Facebook的收入中分到一分錢(qián)？公開(kāi)信息顯示，2017年，F(xiàn)acebook的營(yíng)業(yè)收入超過(guò)了407億美元，其中，廣告收入超過(guò)399億美元，占據(jù)收入總額的98%。

而在扎克伯格眼中，用戶有權(quán)控制自己的數(shù)據(jù)如何被使用，這體現(xiàn)在他們有權(quán)刪除自己在Facebook發(fā)布的內(nèi)容，也有權(quán)決定向誰(shuí)公布這些內(nèi)容，以及用戶可以拒絕Facebook收集、分析自己的數(shù)據(jù)。

Facebook認(rèn)為，向用戶推送廣告是它們向不愿意付費(fèi)的用戶提供服務(wù)的唯一途徑。盡管扎克伯格稱用戶可以選擇不讓Facebook收集自己的數(shù)據(jù)，但他“替”用戶說(shuō)，用戶喜歡Facebook分析自己數(shù)據(jù)后推送的廣告，“他們喜歡與自己更相關(guān)的廣告”。

至于基于用戶數(shù)據(jù)產(chǎn)生的收益流向，扎克伯格否認(rèn)Facebook在做的事情是售賣(mài)用戶數(shù)據(jù)，并稱從未如此，只是在獲得廣告商的目標(biāo)客群信息后，由Facebook將廣告投放給用戶。

用戶數(shù)據(jù)歸屬權(quán)問(wèn)題并不是首次出現(xiàn)，甚至在法律法規(guī)中已有相關(guān)表述。5月25日施行的歐盟《一般數(shù)據(jù)保護(hù)條例（General Data Protection Regulation, GDPR）》中如此定義數(shù)據(jù)的“控制者”和“處理者”：控制者是決定處理個(gè)人數(shù)據(jù)的目的和方式的法人、自然人、公權(quán)力機(jī)關(guān)或其他實(shí)體；處理者是代表控制者處理數(shù)據(jù)的前述類型實(shí)體。根據(jù)這一定義，顯然Facebook是用戶數(shù)據(jù)的控制者。

GDPR規(guī)定，個(gè)人對(duì)自己的數(shù)據(jù)擁有知情權(quán)、訪問(wèn)權(quán)、反對(duì)權(quán)、限制處理權(quán)、反自動(dòng)化決策權(quán)、更正與刪除權(quán)和攜帶權(quán)等多項(xiàng)權(quán)益，數(shù)據(jù)控制者有責(zé)任保障上述權(quán)益。Facebook在某種程度上違反了GDPR。

我國(guó)發(fā)布的全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制定和歸口管理的國(guó)家標(biāo)準(zhǔn)GB/T 35273-2017 《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》）借鑒了GDPR的諸多內(nèi)容。例如，《規(guī)范》明確了個(gè)人信息控制者的角色，界定了用戶畫(huà)像的含義，明確了個(gè)人信息保護(hù)的若干原則等等。這一規(guī)范于5月1日實(shí)施。它也明確提出個(gè)人擁有對(duì)自己數(shù)據(jù)的知情權(quán)。

第三方對(duì)用戶數(shù)據(jù)的使用問(wèn)題

在Facebook數(shù)據(jù)門(mén)事件中，還有一個(gè)問(wèn)題引發(fā)了議員與扎克伯格之間的“沖突”。一位議員提出，如果Facebook將用戶數(shù)據(jù)分享給第三方，這些第三方在理論上是不是完全可以長(zhǎng)久地保存這些信息。扎克伯格并未正面回答這一問(wèn)題。

GDPR規(guī)定，如果可以的話，數(shù)據(jù)控制者應(yīng)該告知信息主體其數(shù)據(jù)的接收方、保存期限（如不能提供，要說(shuō)明決策保存期限的因素）等等因素，如果處理信息主體的數(shù)據(jù)必須獲得他們同意，數(shù)據(jù)控制者應(yīng)當(dāng)告知信息主體可以隨時(shí)撤回同意。

另外，GDPR明確規(guī)定數(shù)據(jù)主體擁有刪除權(quán)和被遺忘權(quán)。刪除權(quán)指的是數(shù)據(jù)主體在數(shù)據(jù)控制者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的情況下，有要求數(shù)據(jù)控制者刪除其個(gè)人信息的權(quán)利；被遺忘權(quán)指的是公民在其個(gè)人數(shù)據(jù)信息不再有合法之需時(shí)要求將其刪除或不再使用的權(quán)利，如當(dāng)時(shí)使用其數(shù)據(jù)信息是基于該公民的同意，而此時(shí)他/她撤回了同意或存儲(chǔ)期限已到，則其可以要求刪除或不再使用該數(shù)據(jù)信息。

GDPR要求，對(duì)數(shù)據(jù)控制者有責(zé)任將其已經(jīng)擴(kuò)散出去的個(gè)人數(shù)據(jù)，采取必要的措施予以消除。在本文案例中，如果Facebook要遵守GDPR，則應(yīng)用戶要求，它有責(zé)任刪除已經(jīng)分享給科根的用戶數(shù)據(jù)。

《規(guī)范》提出，個(gè)人信息原則上不得共享、轉(zhuǎn)讓，如共享、轉(zhuǎn)讓需向個(gè)人信息主體告知目的、接收方的類型，并獲得授權(quán)同意；當(dāng)個(gè)人信息控制者與第三方為共同個(gè)人信息控制者時(shí)（例如服務(wù)平臺(tái)與平臺(tái)上的商家），個(gè)人信息控制者應(yīng)當(dāng)通過(guò)合同等形式與第三方共同確定應(yīng)滿足的個(gè)人信息安全要求，以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù)，并向個(gè)人信息主體明確告知。

從已有信息來(lái)看，由于Facebook用戶在將自己的數(shù)據(jù)授權(quán)給Facebook后，并不知道自己的數(shù)據(jù)被轉(zhuǎn)移到了劍橋分析，如果中國(guó)公司發(fā)生類似于Facebook數(shù)據(jù)門(mén)的事件，是有可能違反該規(guī)范要求的。

用戶數(shù)據(jù)的可攜帶權(quán)問(wèn)題

在國(guó)會(huì)質(zhì)詢中，有位議員試探性地問(wèn)扎克伯格是否愿意給自己將自己在Facebook平臺(tái)上的數(shù)據(jù)搬運(yùn)至其他社交平臺(tái)的權(quán)利，扎克伯格答道，F(xiàn)acebook向用戶提供一個(gè)文件夾，內(nèi)含用戶在該平臺(tái)上的所有數(shù)據(jù)，用戶可以自行處置。

這條權(quán)利在GDPR中也有相關(guān)闡述。GDPR將之稱為數(shù)據(jù)的可攜帶權(quán)，它指的是，數(shù)據(jù)主體有權(quán)獲取或傳輸自己提供給數(shù)據(jù)控制者的數(shù)據(jù)的副本。

《規(guī)范》提出，根據(jù)個(gè)人信息主體的請(qǐng)求，個(gè)人信息控制者應(yīng)為個(gè)人信息主體提供獲取特定類型個(gè)人信息副本的方法，或在技術(shù)可行的前提下直接將此類信息的副本傳輸給第三方，這里的特定類型的個(gè)人信息指的是個(gè)人基本資料、個(gè)人身份信息、個(gè)人健康省里信息和個(gè)人教育工作信息。

但這一權(quán)利的完全實(shí)現(xiàn)尚需技術(shù)的發(fā)展，畢竟各大平臺(tái)的數(shù)據(jù)儲(chǔ)存格式并不一致。為用戶建立免費(fèi)內(nèi)容分享平臺(tái)，獲得用戶數(shù)據(jù)，從而向用戶精準(zhǔn)推送廣告，繼而從廣告主處獲得收入，甚至將用戶數(shù)據(jù)平臺(tái)開(kāi)放給第三方，已經(jīng)成為“Facebook們”廣為人知的商業(yè)模式。

但如坊間廣為流傳的一句話所言，“當(dāng)一個(gè)線上服務(wù)免費(fèi)時(shí)，你就不再是顧客，而是產(chǎn)品本身。”如果不能從用戶處直接收費(fèi)，那用戶就必須是創(chuàng)收的間接來(lái)源，有逐利動(dòng)機(jī)的互聯(lián)網(wǎng)公司才愿意維持與用戶的關(guān)系。

用戶數(shù)據(jù)是此類公司生存、發(fā)展的基石，說(shuō)它是數(shù)字時(shí)代的石油也毫不為過(guò)，甚至堪比“金礦”。而現(xiàn)在隨著Facebook“數(shù)據(jù)門(mén)”、網(wǎng)絡(luò)巨頭之間互相抓取用戶數(shù)據(jù)、用戶被廣告信息頻繁“騷擾”等事件的不斷涌現(xiàn)，用戶個(gè)人數(shù)據(jù)保護(hù)意識(shí)日漸覺(jué)醒，如果用戶不再愿意向這些平臺(tái)提供信息，這一模式將失去根基、難以為繼。

業(yè)界和監(jiān)管層也意識(shí)到了這一問(wèn)題，從各自的立場(chǎng)推動(dòng)著個(gè)人信息保護(hù)進(jìn)程。以本文中的Facebook為例，2014年，F(xiàn)acebook平臺(tái)收緊了用戶數(shù)據(jù)開(kāi)放程度，要求第三方應(yīng)用如果要收集個(gè)人敏感信息，還必須獲得Facebook同意，另外，第三方應(yīng)用必須獲得用戶的朋友本人的同意，才能獲得用戶朋友的數(shù)據(jù)。

僅僅依靠業(yè)界自律，用戶作為相對(duì)弱勢(shì)的一方，個(gè)人信息顯然不能得到有效保護(hù)，來(lái)自監(jiān)管層的行政與法律監(jiān)管政策不可或缺。GDPR歷經(jīng)多年修訂，終于在2018年實(shí)施。在多個(gè)方面，它是目前全球?qū)€(gè)人信息保護(hù)最為嚴(yán)格的法律法規(guī)，開(kāi)創(chuàng)性地提出了用戶具有“被遺忘權(quán)”等說(shuō)法，具有標(biāo)桿意義。而且，它“屬人主義”的原則使得向歐盟境內(nèi)用戶提供商品和服務(wù)的中國(guó)企業(yè)也要受到規(guī)制。如前所述，我國(guó)的《規(guī)范》引進(jìn)了該條例的許多內(nèi)涵，這勢(shì)必會(huì)促進(jìn)我國(guó)個(gè)人信息保護(hù)力度。

盡管目前《規(guī)范》只是“技術(shù)標(biāo)準(zhǔn)”，法律效力不足，但可以預(yù)見(jiàn)的是，它將成為司法部門(mén)在處理相關(guān)民事訴訟和刑事訴訟問(wèn)題時(shí)的重要參考標(biāo)準(zhǔn)。另外，雖然我國(guó)尚未出臺(tái)《個(gè)人信息保護(hù)法》，但近年來(lái)在個(gè)人信息的保護(hù)上并非沒(méi)有其他進(jìn)展，例如已出臺(tái)《網(wǎng)絡(luò)安全法》、發(fā)布相關(guān)司法解釋，其中，販賣(mài)個(gè)人信息超過(guò)50條可入罪等條款極大地震懾了不法分子。