【异闻观止】如果“脸书泄密”发生在中国 会违反什么规定?

来源:网路传播杂志

3月17日,英国《观察家报》和美国《纽约时报》发布多篇报道,揭露一家名为剑桥分析的数据分析公司泄露了Facebook超5000万用户的数据,并用于帮助特朗普团赢得美国大选。如果“脸书泄密”发生在中国,会违反什么规定?泄密事件又给我们带来哪些警示?

如果“脸书泄密”发生在中国

对隐私问题,我国有多层立法模式

从网络实践看,网络隐私的范围很大,既包括用户的身份信息,也包括网络行为产生的数据。网络身份信息涵盖用户实名身份信息、注册信息和虚拟地址信息等足以精准到个人信息的数据,在法律性质上仍属于传统隐私权涵盖范围。至于网络行为产生的数据信息,因直接或间接都无法精确到自然人,所以法律性质更像是知识产权。所以,以网络实践为基础,在立法上,我国对隐私出现了多层立法模式。

一是,严格保护传统隐私权——用户个人信息,我国以扩张解释的系列刑法修正案构建起隐私保护的最严厉底线。

二是,区分个人信息与大数据之间的关系,《网络安全法》第76条明确了法律所保护的个人信息范围,即“单独或者与其他信息结合识别自然人个人身份的各种信息”。换句话说,除此之外的数据信息则属于大数据性质,不在隐私权保护体系范围之内。我国《民法总则》在三审稿中,曾将数据信息权明确列为知识产权客体,后因数据信息与隐私权关系尚未得到立法明确界定,出台时删除了这一款,以待即将出台的《个人数据保护法》再做最后定论。

三是,明确个人数据控制权。从2012年《全国人大常委会关于加强网络信息保护的决定》开始,到《网络安全法》,再到《侵权责任法》及其司法解释,都分别将用户数据控制权作为人格权的重要基础性权利。特别是2017年全国人大常委会开启的“一法一决定”执法检查中,重申了用户对自己数据的控制权,明确将账号删除权也作为执法重点,可见,最高立法机关对个人数据控制权的重视程度。

多层立法模式是为适应新经济发展

从立法现状的角度看,网络隐私保护的法律逻辑在于三点。

首先,身份信息等敏感信息是法律保护最高等级,任何人触犯都将受到刑事法律最严格的处罚;其次,对大数据等不可识别的隐私信息更像是知识产权,按照商业规则和惯例,以“合法性、正当性和必要性”的基本原则进行处理;最后,强化用户对自己数据的知情权、控制权和处分权,确保数据权掌握在用户自己手中。

多层级的网络隐私法律逻辑,主要是为了适应网络大数据经济发展需要。大数据的来源与它的商业价值一样广泛,其中用户数据是各个平台最重要的数据源之一。用户网络行为到底属于什么性质,决定着商业使用与隐私权之间的微妙关系。

网络平台采集用户行为数据进行商业使用的合法前提至少有三个:一是未经用户允许不得采集、使用和处分具有可识别性的身份信息;二是即便在征求用户同意之后,也不得违反法律规定或约定过度化使用,整个过程必须遵循“合法性、正当性和必要性”基本原则;三是平台在技术上和制度上,要确保用户充分享有对自己数据的知情权、退出权和控制权。

脸书违规获取数据侵犯公众隐私权

按照这种法律逻辑,假如“”事件发生在中国,会违反什么规定,又该担何责?我们可以对该事件的几个重要行为进行分析。

第一个行为,涉事机构——剑桥分析委托脸书进行数据调查,其目的在于预测大选结果,而脸书却以“性格测试”为幌子,让27万用户在不知情的前提下提交了自己身份信息和社交信息。

第二个行为,脸书通过27万参与用户为渠道,获取了他们超过5000万的社交好友资料,并转交给委托方。第一个行为违法的根本原因在于,脸书对用户进行了诱导欺诈,获取他们个人信息目的不在于性格测试研究,而在于政治选举预测。这就直接导致用户授权属于“伪授权”,换句话说,脸书违法获取用户个人信息数据并以商业模式转让给第三方。第二个行为违法之处更为明显,参与测试的只有27万用户,而脸书获取的个人信息却超过5000万个。也即,绝大多数用户在完全不知情的情况下,个人信息被脸书伙同其他“好友”非法转让给第三人,这是典型的侵害个人信息犯罪的范畴。按照隐私法律逻辑换个角度,假设脸书从最开始就明确告知用户参加的项目是什么,所搜集、处分的信息类型、用途、期限等明确告知用户,经用户同意后再行处理的话,这个事件的性质就会大不一样。

专家解读:对我们的警示

“脸书”用户数据泄露事件发生后,公众的声讨,美国的“删除脸书运动”证明了公众的厌恶态度,“脸书”公司股票大跌,反映了公众的价值判断,但是我们还可以做什么呢?

北京航空航天大学教授、CCF公共政策委员会主任熊璋认为,相关法律落后于技术的发展是客观的,如何伴随着技术的发展,及时健全法律是非常重要的一个方面,不可或缺。但是,法律也无法涵盖社会约束的全部,约束是规范、不是限制,没有数据的规范使用,就没有信息社会的健康生态,就失去了发展的基础。

必须建立适应信息社会飞速发展的健康生态,政府机构和商业实体必须有严格的数据采集、保存、传输和使用的规则,而健康信息社会生态的核心要素是人,生活在这个时代的人。不仅仅是信息产业从业人员,所有全体民众,只要是这个社会的参与者,都有维护其健康生态的责任,或者说,每个公民都应该具备足够的信息素养,就像文化素养和科学素养一样,都应该在信息意识、计算思维、数字化学习与创新和信息社会责任几个方面加强修养。在中国,尤其是对青少年的信息素养教育刻不容缓,在中小学,应该注重信息素养的教育,而不是简单的操作训练。