孫翠鋒 中移信息技術(shù)有限公司工程師

1　Facebook事件還原與最新進(jìn)展追蹤

2018年3月17日，美國(guó)《紐約時(shí)報(bào)》和英國(guó)《衛(wèi)報(bào)》共同發(fā)布深度報(bào)道，曝光Facebook上超過(guò)5000萬(wàn)用戶信息數(shù)據(jù)被劍橋分析（CambridgeAnalytica）咨詢公司用于定向投放政治廣告，幫助特朗普?qǐng)F(tuán)隊(duì)參選美國(guó)總統(tǒng)。消息一出，全球嘩然。因危害用戶眾多并關(guān)系到美國(guó)總統(tǒng)選舉，F(xiàn)acebook數(shù)據(jù)泄露事件被定性為是一起危害大量個(gè)人用戶信息安全，甚至影響到美國(guó)政治走向和國(guó)家安全的事件。

事件引起了美國(guó)乃至全球的激烈反響（見(jiàn)圖1）。2018年3月19日，歐盟、美國(guó)、英國(guó)紛紛抨擊Facebook，歐洲議會(huì)主席表示將對(duì)Facebook展開(kāi)調(diào)查；2018年3月20日，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）就數(shù)據(jù)泄露事件對(duì)Facebook進(jìn)行調(diào)查；2018年3月22日，F(xiàn)acebook被迫進(jìn)行官方回應(yīng)，提出整改措施；2018年4月10—11日，扎克伯格出席美國(guó)國(guó)會(huì)參眾兩院聽(tīng)證會(huì)，回應(yīng)公司挪用用戶數(shù)據(jù)丑聞并向公眾道歉；2018年4月13日，菲律賓作為第二大受害國(guó)對(duì)Facebook展開(kāi)調(diào)查。

2　Facebook事件暴露出企業(yè)存在兩大安全問(wèn)題

圖1　Facebook事件發(fā)展動(dòng)態(tài)

Facebook因數(shù)據(jù)泄露事件而站上風(fēng)口浪尖。但縱觀整個(gè)事件，其實(shí)類似事件在業(yè)界并不鮮見(jiàn)。2011年12月21日，黑客在網(wǎng)上公開(kāi)了知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫(kù)，高達(dá)600多萬(wàn)個(gè)明文的注冊(cè)郵箱賬號(hào)和密碼遭到曝光和外泄，成為中國(guó)互聯(lián)網(wǎng)歷史上一次具有深遠(yuǎn)意義的網(wǎng)絡(luò)安全事故。2013年，雅虎公司的黑客入侵事件中，30億個(gè)用戶賬號(hào)信息被盜，此次泄露事件造成了半個(gè)世界的用戶信息外流。2016年5月19日，美國(guó)職業(yè)社交網(wǎng)站Linked In宣布，有一個(gè)叫“peace”的黑客組織在黑市上以5比特幣（約合2200美元）的售價(jià)公開(kāi)銷售1.67億個(gè)領(lǐng)英用戶登錄信息。據(jù)了解，這些數(shù)據(jù)來(lái)自于2012年Linked In發(fā)生的一次大范圍的數(shù)據(jù)泄露事件。伴隨著互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興信息通信技術(shù)逐步成熟，全球數(shù)據(jù)規(guī)模以驚人的速度增長(zhǎng)。根據(jù)IDC預(yù)測(cè)，未來(lái)全球數(shù)據(jù)總量增速將維持在50%左右，到2020年全球數(shù)據(jù)總量將達(dá)到44ZB。其中，我國(guó)將達(dá)到8.6ZB，接近全球的20%。伴隨著數(shù)據(jù)的爆炸式增長(zhǎng)，數(shù)據(jù)安全問(wèn)題產(chǎn)生的危害，無(wú)論從程度還是范圍來(lái)看，都呈現(xiàn)越來(lái)越大、越來(lái)越嚴(yán)重的趨勢(shì)，必須引起政府、企業(yè)和公眾的充分重視。整體來(lái)看，此次Facebook數(shù)據(jù)泄露事件主要暴露出Facebook存在兩大安全問(wèn)題。

在數(shù)據(jù)保密和數(shù)據(jù)使用方面，暴露出互聯(lián)網(wǎng)企業(yè)缺乏對(duì)用戶信息的保護(hù)意識(shí)，甚至出于商業(yè)利益主動(dòng)超范圍采集、使用和共享用戶數(shù)據(jù)。Facebook在數(shù)據(jù)的全生命周期中，即數(shù)據(jù)的收集、存儲(chǔ)、處理、使用、刪除等過(guò)程，并未對(duì)個(gè)人信息保護(hù)提起重視、履行責(zé)任。早在2018年2月，柏林法院就裁定Facebook違反德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法案》，收集和利用用戶個(gè)人信息并未事先取得用戶同意而默認(rèn)開(kāi)啟、預(yù)先擬制同意聲明、強(qiáng)制要求實(shí)名制使用Facebook服務(wù)。在數(shù)據(jù)共享方面，鑒于維持商業(yè)模式所需，F(xiàn)acebook向第三方合作伙伴開(kāi)放API，雖然這是業(yè)界通行做法，但Facebook在向第三方合作伙伴提供數(shù)據(jù)共享時(shí)未充分兼顧用戶隱私保護(hù)需要，造成平臺(tái)濫用。在我國(guó)，類似情況同樣普遍存在。大量互聯(lián)網(wǎng)公司收集和利用用戶個(gè)人信息時(shí)并未取得用戶同意或者預(yù)先擬制同意聲明，利用用戶數(shù)據(jù)針對(duì)用戶制作用戶畫(huà)像，并以此為依據(jù)，一方面為用戶提供所謂個(gè)性化服務(wù)，一方面也向用戶推薦針對(duì)性的廣告，以此來(lái)獲得收益。除此之外，還有更多針對(duì)用戶信息的數(shù)據(jù)分析甚至數(shù)據(jù)濫用行為，正在以用戶所不知道的方式發(fā)生著。

第二個(gè)問(wèn)題是APP審計(jì)與內(nèi)容審查問(wèn)題。事件暴露出Facebook對(duì)第三方APP的接入審計(jì)和內(nèi)容審查存在一定程度的失靈。事件的另一個(gè)涉事方英國(guó)劍橋分析公司表示，根據(jù)合同，它有權(quán)獲得不多于3000萬(wàn)人的數(shù)據(jù)。然而針對(duì)如此大規(guī)模的數(shù)據(jù)共享，F(xiàn)acebook沒(méi)有對(duì)其APP的數(shù)據(jù)使用進(jìn)行有效的審計(jì)。同時(shí)對(duì)其發(fā)布的政治廣告缺乏必要的內(nèi)容審查和及時(shí)有效的處置。

事件發(fā)生之后，F(xiàn)acebook在重壓之下發(fā)表了官方聲明，提出將采取六項(xiàng)措施防止數(shù)據(jù)泄露再次發(fā)生。包括審查在Facebook平臺(tái)和App中出現(xiàn)過(guò)大量數(shù)據(jù)訪問(wèn)情況的應(yīng)用；通過(guò)App提醒那些數(shù)據(jù)有可能被濫用的用戶；如果用戶超過(guò)3個(gè)月沒(méi)有使用App，自動(dòng)關(guān)閉App訪問(wèn)用戶數(shù)據(jù)權(quán)限；更改Facebook登錄數(shù)據(jù)，讓App只能查看姓名、個(gè)人照片和郵件地址，更多數(shù)據(jù)在通過(guò)進(jìn)一步審核后才會(huì)顯示；幫助用戶管理在Facebook上使用的應(yīng)用程序以及這些應(yīng)用可以訪問(wèn)的信息；提高漏洞賞金計(jì)劃金額，若有開(kāi)發(fā)者發(fā)現(xiàn)數(shù)據(jù)被濫用，及時(shí)上報(bào)可獲獎(jiǎng)勵(lì)共六項(xiàng)措施。

在6項(xiàng)措施之外，F(xiàn)acebook還提出了其他的解決之道。Facebook將通過(guò)技術(shù)和人工手段加強(qiáng)內(nèi)容審核。提出至2018年底，將會(huì)有兩萬(wàn)名員工致力于內(nèi)容審查工作。未來(lái)5～10年將利用AI技術(shù)更好地進(jìn)行內(nèi)容審核，防止數(shù)據(jù)泄露，且目前已經(jīng)開(kāi)始用AI識(shí)別清理機(jī)器人賬號(hào)和假新聞。事件發(fā)生后，F(xiàn)acebook集中修改和關(guān)閉了一批API來(lái)規(guī)范與第三方之間的數(shù)據(jù)共享（關(guān)閉了user_relationship_details、user_relationships、user_religion_polictcs、user_status等API的訪問(wèn)權(quán)限），并計(jì)劃從2018年9月30日開(kāi)始，關(guān)閉partnercategories功能，從而禁止第三方數(shù)據(jù)中間商在其平臺(tái)上直接提供廣告定向等數(shù)據(jù)服務(wù)。此外，扎克伯格在國(guó)會(huì)聽(tīng)證會(huì)中還表示未來(lái)將在全球范圍內(nèi)推出與歐洲《通用數(shù)據(jù)保護(hù)條例》類似的數(shù)據(jù)隱私保護(hù)規(guī)定來(lái)保護(hù)用戶隱私，并有可能推出無(wú)廣告付費(fèi)版服務(wù)。

3　Facebook事件對(duì)我國(guó)安全監(jiān)管政策體系的三大啟示

在當(dāng)今數(shù)據(jù)爆炸的時(shí)代，數(shù)據(jù)像石油一樣寶貴，數(shù)據(jù)安全問(wèn)題更是關(guān)系到國(guó)家安全和國(guó)家數(shù)據(jù)主權(quán)的重要命題。Facebook事件雖然還未平息，但已震撼世界，發(fā)人深省。Facebook事件對(duì)我國(guó)數(shù)據(jù)安全監(jiān)管政策體系可以提供3方面的啟示。

3.1　需要加強(qiáng)法律約束與行業(yè)自律體系建設(shè)，并結(jié)合國(guó)情制定合理的推進(jìn)路徑

從必要性的角度來(lái)說(shuō)，單獨(dú)依靠Facebook等平臺(tái)企業(yè)本身并不足以完全解決用戶信息安全問(wèn)題。平臺(tái)上接入的第三方APP眾多，其所執(zhí)行的代碼和對(duì)數(shù)據(jù)的使用過(guò)程對(duì)平臺(tái)企業(yè)并非完全可見(jiàn)。因此提高整個(gè)產(chǎn)業(yè)生態(tài)的安全意識(shí)非常重要，而這一目標(biāo)需要借助法律監(jiān)管和行業(yè)自律體系來(lái)實(shí)現(xiàn)。

從國(guó)際經(jīng)驗(yàn)來(lái)看，目前世界各國(guó)采取的模式各不相同。歐盟采取的是成員國(guó)國(guó)內(nèi)統(tǒng)一立法、歐盟統(tǒng)一保護(hù)的規(guī)則。近期歐盟新版《通用數(shù)據(jù)保護(hù)條例》將于2018年5月生效。同時(shí)歐盟并不完全排斥行業(yè)自律機(jī)制，但更多地是依靠立法，而行業(yè)自律主要是作為輔助性手段。美國(guó)則是另外一種模式，美國(guó)采取以行業(yè)自律為主、法律為輔的管理模式。美國(guó)沒(méi)有統(tǒng)一的保護(hù)網(wǎng)絡(luò)隱私權(quán)的法律，而實(shí)施各個(gè)行業(yè)有針對(duì)性的隱私權(quán)保護(hù)規(guī)范。從我國(guó)的情況來(lái)看，我國(guó)目前尚未出臺(tái)用戶信息保護(hù)單行法律，相關(guān)保護(hù)要求散落在多個(gè)法律法規(guī)及規(guī)范性文件中，存在針對(duì)性不強(qiáng)、約束力不夠的問(wèn)題。另外，我國(guó)行業(yè)自律體系尚未建立，尚沒(méi)有建立受到行業(yè)內(nèi)廣泛認(rèn)可的行業(yè)自律組織和第三方認(rèn)證機(jī)構(gòu)。

目前在全球范圍內(nèi)，專門(mén)立法與行業(yè)自律相融合的發(fā)展趨勢(shì)明顯。具體到我國(guó)對(duì)用戶信息保護(hù)的管理模式選擇，應(yīng)充分考慮我國(guó)的國(guó)情并注意把握尺度。過(guò)于嚴(yán)格的監(jiān)管模式對(duì)產(chǎn)業(yè)發(fā)展會(huì)形成較大掣肘，這一點(diǎn)從全球互聯(lián)網(wǎng)領(lǐng)域獨(dú)角獸企業(yè)數(shù)量分布可以得到佐證。根據(jù)Crunchable發(fā)布的數(shù)據(jù)，截至2017年9月25日，全球獨(dú)角獸企業(yè)達(dá)到267家，分布于22個(gè)國(guó)家，美國(guó)互聯(lián)網(wǎng)領(lǐng)域獨(dú)角獸企業(yè)數(shù)量超過(guò)120家，位列全球首位，我國(guó)互聯(lián)網(wǎng)獨(dú)角獸企業(yè)數(shù)量約90家，僅次于美國(guó)。中美兩國(guó)獨(dú)角獸企業(yè)數(shù)量之和占全球比例超過(guò)80%。而英國(guó)、德國(guó)等歐盟國(guó)家互聯(lián)網(wǎng)獨(dú)角獸企業(yè)數(shù)量與中美差距巨大。從這一點(diǎn)來(lái)看，中美兩國(guó)已成為世界互聯(lián)網(wǎng)兩強(qiáng)，而歐盟地區(qū)互聯(lián)網(wǎng)發(fā)展波瀾不驚，這與其嚴(yán)格的監(jiān)管模式不無(wú)關(guān)系?？紤]我國(guó)建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、發(fā)展數(shù)字經(jīng)濟(jì)和建設(shè)數(shù)字中國(guó)的發(fā)展需要，建議我國(guó)盡快建立用戶信息保護(hù)相關(guān)的行業(yè)協(xié)會(huì)組織，在政府指導(dǎo)下開(kāi)展工作，條件成熟時(shí)再制定用戶信息保護(hù)單行法律。

3.2　建立完善用戶信息保護(hù)相關(guān)標(biāo)準(zhǔn)及評(píng)估體系，推動(dòng)數(shù)據(jù)應(yīng)用規(guī)范化

在國(guó)際上，用戶隱私標(biāo)準(zhǔn)及認(rèn)證體系已經(jīng)廣泛應(yīng)用。美國(guó)TRUSTe隱私認(rèn)證基于云數(shù)據(jù)隱私管理平臺(tái)，使服務(wù)提供商安全地收集、使用用戶在互聯(lián)網(wǎng)、移動(dòng)終端、云端和廣告渠道的數(shù)據(jù)，增進(jìn)用戶和服務(wù)提供商的互信。該認(rèn)證得到全球很多國(guó)家認(rèn)可和信賴，為全球5000多家企業(yè)提供隱私認(rèn)證服務(wù)，其中包括蘋(píng)果、迪斯尼、eBay等國(guó)際知名公司。我國(guó)在這一領(lǐng)域起步較晚，但部分行業(yè)已經(jīng)開(kāi)始啟動(dòng)有益探索。2017年中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)制定“用戶數(shù)據(jù)在移動(dòng)金融中的收集與使用行業(yè)標(biāo)準(zhǔn)”，并發(fā)布《2018移動(dòng)金融用戶個(gè)人信息安全測(cè)評(píng)報(bào)告》，針對(duì)200家移動(dòng)金融交互類APP產(chǎn)品，從隱私政策合規(guī)、隱私權(quán)限獲取合規(guī)和財(cái)產(chǎn)身份信息收集合規(guī)3個(gè)維度進(jìn)行了全面測(cè)評(píng)，旨在推動(dòng)數(shù)據(jù)應(yīng)用的法治化、規(guī)范化。

因此，建議未來(lái)我國(guó)加快推進(jìn)用戶信息保護(hù)國(guó)家標(biāo)準(zhǔn)及各行業(yè)標(biāo)準(zhǔn)的研究制定工作，并以標(biāo)準(zhǔn)為依托，加快隱私保護(hù)評(píng)估技術(shù)和工具研發(fā)，盡快建立評(píng)估機(jī)制。

3.3　完善監(jiān)管政策、體制和手段，營(yíng)造透明、公平、有序、監(jiān)管有度的市場(chǎng)環(huán)境

從監(jiān)管體制來(lái)看，各國(guó)采取的監(jiān)管體制與他們采取的立法模式密切相關(guān)。歐盟采取的是政府主導(dǎo)統(tǒng)一監(jiān)管的模式。歐盟《數(shù)據(jù)保護(hù)指令》規(guī)定各國(guó)設(shè)立獨(dú)立的監(jiān)管機(jī)構(gòu)來(lái)行使用戶信息保護(hù)職能。美國(guó)則主要由行業(yè)協(xié)會(huì)來(lái)履行用戶隱私保護(hù)監(jiān)管職責(zé)，政府層面沒(méi)有設(shè)立專門(mén)的監(jiān)管機(jī)構(gòu)。從我國(guó)的情況來(lái)看，我國(guó)目前也沒(méi)有設(shè)立隱私保護(hù)的專門(mén)機(jī)構(gòu)，相關(guān)職責(zé)散落在工信部、公安部以及各個(gè)行業(yè)主管部門(mén)。

從監(jiān)管政策來(lái)看，歐盟對(duì)用戶信息的采集和使用有嚴(yán)格執(zhí)法，例如要求企業(yè)對(duì)用戶建立分析畫(huà)像前首先需開(kāi)展隱私影響評(píng)估。對(duì)數(shù)據(jù)泄露的追責(zé)也十分嚴(yán)格，數(shù)據(jù)泄露的責(zé)任擴(kuò)大到任意數(shù)據(jù)處理方，違反數(shù)據(jù)保護(hù)條例處罰最高可達(dá)公司全球營(yíng)業(yè)額的4%。從我國(guó)的情況來(lái)看，我國(guó)政府層面缺乏用戶隱私保護(hù)的專門(mén)監(jiān)管機(jī)構(gòu)，對(duì)用戶信息保護(hù)的監(jiān)管機(jī)制尚不明確、不健全，對(duì)用戶隱私泄露的追責(zé)力度較弱。在企業(yè)層面，目前業(yè)界對(duì)用戶隱私保護(hù)的重視程度有所提升，但距離用戶期望仍有較大差距，僅部分企業(yè)對(duì)APP進(jìn)行隱私保護(hù)審計(jì)，例如騰訊開(kāi)放平臺(tái)在APP接入審計(jì)時(shí)會(huì)預(yù)先審核APP是否非法竊取和上傳用戶隱私。

放眼未來(lái)，建議我國(guó)從監(jiān)管政策、監(jiān)管體制和監(jiān)管手段3個(gè)方面入手，逐步建立完善用戶信息保護(hù)監(jiān)管體系。體制方面，建立用戶隱私保護(hù)的分級(jí)組織管理體系。建議國(guó)家和行業(yè)層面建立或指定用戶信息保護(hù)的專門(mén)監(jiān)管機(jī)構(gòu)，分別履行跨行業(yè)和行業(yè)內(nèi)的用戶信息保護(hù)協(xié)調(diào)和監(jiān)管職能。企業(yè)層面，根據(jù)企業(yè)規(guī)模，建立用戶信息保護(hù)的專門(mén)監(jiān)管機(jī)構(gòu)或?qū)Ｂ毴藛T，制定必要的數(shù)據(jù)管理制度，提高執(zhí)行力。監(jiān)管政策方面，建立用戶隱私保護(hù)事前事中事后全周期監(jiān)管機(jī)制。事前環(huán)節(jié)對(duì)APP應(yīng)用商店、業(yè)務(wù)開(kāi)放平臺(tái)等平臺(tái)型企業(yè)，在業(yè)務(wù)準(zhǔn)入時(shí)進(jìn)行備案管理，要求企業(yè)報(bào)備用戶隱私保護(hù)的措施和手段，以及向第三方共享數(shù)據(jù)的范圍和方式。事中環(huán)節(jié)，要求平臺(tái)類企業(yè)加強(qiáng)對(duì)APP接入和運(yùn)營(yíng)的審計(jì)，明確APP采集數(shù)據(jù)的種類和使用，對(duì)運(yùn)營(yíng)中大規(guī)模調(diào)用數(shù)據(jù)的APP重點(diǎn)審計(jì)。考慮到對(duì)企業(yè)的成本壓力和中小企業(yè)的承受能力，以及保護(hù)互聯(lián)網(wǎng)創(chuàng)新的需要，建議此舉的管理對(duì)象重點(diǎn)面向大型平臺(tái)企業(yè)。另外依托行業(yè)協(xié)會(huì)開(kāi)展隱私保護(hù)評(píng)估認(rèn)證，通過(guò)年報(bào)、舉報(bào)、抽查等機(jī)制加強(qiáng)對(duì)平臺(tái)企業(yè)及平臺(tái)接入合作伙伴的監(jiān)督管理。事后環(huán)節(jié)，建議可以結(jié)合安全信用名單機(jī)制，將存在信息泄露隱患或造成實(shí)際不良后果的企業(yè)重點(diǎn)監(jiān)管和處置。在手段方面，建議建立透明的用戶信息保護(hù)監(jiān)管平臺(tái)，平臺(tái)企業(yè)向監(jiān)管平臺(tái)報(bào)備數(shù)據(jù)共享范圍和方式，以及平臺(tái)上接入的第三方應(yīng)用所采集用戶信息的種類和具體用途，從而使企業(yè)對(duì)用戶信息的采集、共享和使用過(guò)程更加的透明和規(guī)范化。

4　結(jié)束語(yǔ)

總體來(lái)看，伴隨著各國(guó)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施能力的不斷提升以及互聯(lián)網(wǎng)應(yīng)用的蓬勃發(fā)展，互聯(lián)網(wǎng)用戶滲透率不斷攀升，用戶上網(wǎng)時(shí)長(zhǎng)不斷增長(zhǎng)，用戶在網(wǎng)絡(luò)上留下自身隱私數(shù)據(jù)的機(jī)會(huì)越來(lái)越大。用戶在充分享受互聯(lián)網(wǎng)發(fā)展帶來(lái)的便利的同時(shí)，也遭受著巨大的用戶隱私泄露風(fēng)險(xiǎn)。同時(shí)，互聯(lián)網(wǎng)行業(yè)魚(yú)龍混差，各種規(guī)模各種類型的企業(yè)充斥市場(chǎng)，這些企業(yè)的安全意識(shí)和防護(hù)能力千差萬(wàn)別，甚至不乏出于商業(yè)利益而惡意收集、使用、交易用戶隱私數(shù)據(jù)的行為。充分關(guān)注Facebook等大型互聯(lián)網(wǎng)企業(yè)用戶數(shù)據(jù)泄露事件，從中獲取有益的經(jīng)驗(yàn)，為我國(guó)加強(qiáng)政府監(jiān)管和行業(yè)自律提供必要借鑒，具有重大的現(xiàn)實(shí)意義。