APP下载

从数据管理看个人信息保护挑战与现状

2018-02-08孙爽

中国信用 2018年7期
关键词:控制者扎克伯格

孙爽

前不久,在英、美多家媒体曝光下,Facebook数据泄露丑闻爆发:它将平台开放给平台上开发者科根的性格分析应用程序,允许后者将用户数据用于科学研究,约27万名用户的数据被滥用。这些用户好友的数据也被调取,此事波及8700余万人。科根将数据以80万美元的价格售卖给了数据分析公司——英国剑桥分析,该公司将用户数据用于竞选分析,此举未获用户授权同意。

消息一经发出,Facebook股价遭到重挫,市值一度蒸发逾360多亿美元,其创始人兼CEO扎克伯格迫于舆论压力、公开发声,被多国政府质询。不久前,剑桥分析宣布倒闭,Facebook则向用户提供了一键清除自己数据的选项。与此相关的讨论还在继续,涉及用户个人数据归属权、第三方使用平台用户数据的权限、“羊毛出在猪身上”的互联网广告模式、互联网征信发展前景等多个问题。本文将对其中的部分问题略作分析。

用户数据的控制权问题

在美国国会对Facebook事件举办的听证会中,议员与扎克伯格对“用户数据到底归谁所有”似乎有着不同的答案,甚至有着难以调和的矛盾。议员质询道,Facebook依靠用户数据创收,如果用户真的拥有自己的数据,为什么没有从Facebook的收入中分到一分钱?公开信息显示,2017年,Facebook的营业收入超过了407亿美元,其中,广告收入超过399亿美元,占据收入总额的98%。

而在扎克伯格眼中,用户有权控制自己的数据如何被使用,这体现在他们有权删除自己在Facebook发布的内容,也有权决定向谁公布这些内容,以及用户可以拒绝Facebook收集、分析自己的数据。

Facebook认为,向用户推送广告是它们向不愿意付费的用户提供服务的唯一途径。尽管扎克伯格称用户可以选择不让Facebook收集自己的数据,但他“替”用户说,用户喜欢Facebook分析自己数据后推送的广告,“他们喜欢与自己更相关的广告”。

至于基于用户数据产生的收益流向,扎克伯格否认Facebook在做的事情是售卖用户数据,并称从未如此,只是在获得广告商的目标客群信息后,由Facebook将广告投放给用户。

用户数据归属权问题并不是首次出现,甚至在法律法规中已有相关表述。5月25日施行的欧盟《一般数据保护条例(General Data Protection Regulation, GDPR)》中如此定义数据的“控制者”和“处理者”:控制者是决定处理个人数据的目的和方式的法人、自然人、公权力机关或其他实体;处理者是代表控制者处理数据的前述类型实体。根据这一定义,显然Facebook是用户数据的控制者。

GDPR规定,个人对自己的数据拥有知情权、访问权、反对权、限制处理权、反自动化决策权、更正与删除权和携带权等多项权益,数据控制者有责任保障上述权益。Facebook在某种程度上违反了GDPR。

我国发布的全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》(以下简称《规范》)借鉴了GDPR的诸多内容。例如,《规范》明确了个人信息控制者的角色,界定了用户画像的含义,明确了个人信息保护的若干原则等等。这一规范于5月1日实施。它也明确提出个人拥有对自己数据的知情权。

第三方对用户数据的使用问题

在Facebook数据门事件中,还有一个问题引发了议员与扎克伯格之间的“冲突”。一位议员提出,如果Facebook将用户数据分享给第三方,这些第三方在理论上是不是完全可以长久地保存这些信息。扎克伯格并未正面回答这一问题。

GDPR规定,如果可以的话,数据控制者应该告知信息主体其数据的接收方、保存期限(如不能提供,要说明决策保存期限的因素)等等因素,如果处理信息主体的数据必须获得他们同意,数据控制者应当告知信息主体可以随时撤回同意。

另外,GDPR明确规定数据主体拥有删除权和被遗忘权。删除权指的是数据主体在数据控制者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的情况下,有要求数据控制者删除其个人信息的权利;被遗忘权指的是公民在其个人数据信息不再有合法之需时要求将其删除或不再使用的权利,如当时使用其数据信息是基于该公民的同意,而此时他/她撤回了同意或存储期限已到,则其可以要求删除或不再使用该数据信息。

GDPR要求,对数据控制者有责任将其已经扩散出去的个人数据,采取必要的措施予以消除。在本文案例中,如果Facebook要遵守GDPR,则应用户要求,它有责任删除已经分享给科根的用户数据。

《规范》提出,个人信息原则上不得共享、转让,如共享、转让需向个人信息主体告知目的、接收方的类型,并获得授权同意;当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的商家),个人信息控制者应当通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。

从已有信息来看,由于Facebook用户在将自己的数据授权给Facebook后,并不知道自己的数据被转移到了剑桥分析,如果中国公司发生类似于Facebook数据门的事件,是有可能违反该规范要求的。

用户数据的可携带权问题

在国会质询中,有位议员试探性地问扎克伯格是否愿意给自己将自己在Facebook平台上的数据搬运至其他社交平台的权利,扎克伯格答道,Facebook向用户提供一个文件夹,内含用户在该平台上的所有数据,用户可以自行处置。

这条权利在GDPR中也有相关阐述。GDPR将之称为数据的可携带权,它指的是,数据主体有权获取或传输自己提供给数据控制者的数据的副本。

《规范》提出,根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取特定类型个人信息副本的方法,或在技术可行的前提下直接将此类信息的副本传输给第三方,这里的特定类型的个人信息指的是个人基本资料、个人身份信息、个人健康省里信息和个人教育工作信息。

但这一权利的完全实现尚需技术的发展,毕竟各大平台的数据储存格式并不一致。为用户建立免费内容分享平台,获得用户数据,从而向用户精准推送广告,继而从广告主处获得收入,甚至将用户数据平台开放给第三方,已经成为“Facebook们”广为人知的商业模式。

但如坊间广为流传的一句话所言,“当一个线上服务免费时,你就不再是顾客,而是产品本身。”如果不能从用户处直接收费,那用户就必须是创收的间接来源,有逐利动机的互联网公司才愿意维持与用户的关系。

用户数据是此类公司生存、发展的基石,说它是数字时代的石油也毫不为过,甚至堪比“金矿”。而现在随着Facebook“数据门”、网络巨头之间互相抓取用户数据、用户被广告信息频繁“骚扰”等事件的不断涌现,用户个人数据保护意识日渐觉醒,如果用户不再愿意向这些平台提供信息,这一模式将失去根基、难以为继。

业界和监管层也意识到了这一问题,从各自的立场推动着个人信息保护进程。以本文中的Facebook为例,2014年,Facebook平台收紧了用户数据开放程度,要求第三方应用如果要收集个人敏感信息,还必须获得Facebook同意,另外,第三方应用必须获得用户的朋友本人的同意,才能获得用户朋友的数据。

仅仅依靠业界自律,用户作为相对弱势的一方,个人信息显然不能得到有效保护,来自监管层的行政与法律监管政策不可或缺。GDPR历经多年修订,终于在2018年实施。在多个方面,它是目前全球对个人信息保护最为严格的法律法规,开创性地提出了用户具有“被遗忘权”等说法,具有标杆意义。而且,它“属人主义”的原则使得向欧盟境内用户提供商品和服务的中国企业也要受到规制。如前所述,我国的《规范》引进了该条例的许多内涵,这势必会促进我国个人信息保护力度。

尽管目前《规范》只是“技术标准”,法律效力不足,但可以预见的是,它将成为司法部门在处理相关民事诉讼和刑事诉讼问题时的重要参考标准。另外,虽然我国尚未出台《个人信息保护法》,但近年来在个人信息的保护上并非没有其他进展,例如已出台《网络安全法》、发布相关司法解释,其中,贩卖个人信息超过50条可入罪等条款极大地震慑了不法分子。

猜你喜欢

控制者扎克伯格
我的爸爸叫焦尼
从“控制者”变身“隐形人”
No.5扎克伯格又抛股票
论人工智能的刑事责任能力与追究
冬天的画稿
浅谈中小学财务人员角色转换的紧迫性
都是灯泡惹的祸
欧盟数据控制者的义务:源起、变迁及其缘由*
“我”来了
扎克伯格赴欧洲议会道歉