从脸书用户个人信息泄露事件谈我国社交媒体用户隐私保护
2020-12-13罗力
罗力
(上海社会科学院信息研究所,上海 200235)
1 引言
随着信息通信技术和互联网应用的不断推进,互联网的社交和娱乐属性愈发突出。社交媒体不仅是一种个人社交工具,也在企业争夺传统及数字市场时扮演收集市场情报的重要角色。社交媒体的迅猛发展,改变了全球媒体生态和商业模式,继而衍生出一种全新的交流、互动与消费形态。国内外社交媒体有多种不同类型,其中国内最广为人知的就是微信、微博、抖音等。这些社交媒体各有不同的功能和特色,比如微信是一个可以分享文字、照片、支付为主的即时通信平台;微博则是一个分享文字、照片、音乐、视频的平台;而抖音则是以分享短视频为主的平台。国外最广为人知的则是脸书、推特和WhatsApp,脸书是一个发布文字、照片、音乐动态的平台;推特是类似微博的平台;WhatsApp则是类似微信的平台。据中国互联网络信息中心(CNNIC)发布的《第45次中国互联网络发展状况统计报告报告》显示,截至2020年3 月,我国网民规模为9.04 亿,手机网民规模为8.97 亿,其微信朋友圈和微博使用率分别为85.1%和42.5%[1]。截至2019年12 月底,脸书月活跃用户达到25 亿,WhatsApp 的用户超过20亿,成为活跃用户仅次于脸书的社交媒体平台[2]。
然而随着社交媒体活跃用户激增与年轻化,针对社交媒体用户的个人信息泄露、非法获取和隐私侵害事件逐年增多。比如脸书在2018 年9 月公布,发现其平台的安全漏洞,并已经请求司法机关介入调查。攻击者发现了脸书平台的安全漏洞,并可以利用这个漏洞盗取登入代码,接管其他用户的账号。大约5千万个登入代码被盗[3];2018年5月,推特称其发现了该公司存储用户密码时的一个漏洞,有3.3 亿推特月活跃用户的密码以明文形式暴露在公司内部系统,这些用户密码存在被泄露的风险[4]。2020年7 月15日,韩国通信委员会表示,已对短视频平台、抖音海外版TikTok 罚款1.86亿韩元(约合15.5万美元),原因是TikTok在未征得家长同意的情况下收集了14岁以下儿童的数据,违反了当地电信法,并且没有就向海外转移个人数据对用户做出适当通知[5]。2020年3月21日,工业和信息化部网络安全管理局对新浪微博相关负责人就新浪微博因用户查询接口被恶意调用导致App 数据泄露问题进行了问询约谈,要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照《App 违法违规收集使用个人信息行为认定方法》,进一步采取有效措施[6]。如何能够确保社交媒体用户隐私安全已成为了国内外政府、社交媒体平台和用户共同关心的问题。本文将以2018年3月脸书个人信息泄露事件为切入点,分析社交媒体平台用户隐私保护面临的各种风险以及国内外主要社交媒体平台的用户隐私保护做法,继而提出加强国内社交媒体用户隐私保护的若干建议。
2 脸书用户个人信息泄露事件回顾
2014 年,剑桥大学心理学家亚历山大·库甘(Aleksandr Kogan)推出心理测验应用程序“这是你的数字生活(This is Your Digital Life)”。“剑桥分析”公司是一家成立于2013年且以大数据分析为主要业务的公司,他们获得了该心理测验应用程序。2015 年,“剑桥分析”公司通过心理测验获得8700万名使用者本身及使用者好友名单个人信息的权限,该公司为此支付了一百万美元的酬金。剑桥分析根据脸书所给予的权限开始大规模收集使用者及其好友的个人信息和日常动态信息,包括发帖、浏览过的帖子、点赞过的帖子、参与过哪些活动,以及对哪种类型的内容做出反应。根据脸书所提供的权限,即使使用者没有使用该应用程序,也有可能因为其他好友使用该应用程序,使其日常活动受到未经同意的追踪。“剑桥分析”公司主要是在脸书平台上投放广告来影响大众。虽然实际安装并使用该应用程序的用户仅有27万人,但由于脸书也允许该公司去抓取用户好友的信息,因此在几年里共获取了超过8700万名脸书用户的动态信息。
随后脸书发现“剑桥分析”公司在获取和使用个人信息的过程中存在不合规的行为,也逐步收紧应用程序开发者在获取用户个人信息时的权限范围,用以增强用户隐私的保护力度。但并没有更进一步去确认对方是否真的删除不当获取的个人信息,也没有告知相关用户。2018年3月,脸书宣布暂停剑桥分析以及其母公司的脸书账号。这是脸书自创建以来遭遇的最大规模用户个人信息泄露事件。脸书创始人扎克伯格道歉并承诺做出六大改善方向及修改有关隐私权保护政策。据美国媒体在2019年7月12日报道,美国联邦贸易委员会批准与脸书公司达成一项约50亿美元的和解协议[7,8]。
3 社交媒体平台用户隐私安全风险分析
社交媒体平台用户面临的隐私安全风险可分为内部风险和外部风险,内部风险和外部风险可以相互转化。如果内部风险没有得到妥善防控,就会加剧外部风险的到来,而如果做好外部风险防控工作,那就有力缓解内部风险的防控压力。
3.1 内部风险
国内外社交媒体平台没有根据现行的个人信息保护法律法规和个人信息保护标准制定合适的隐私保护政策或者没有很好地将隐私保护政策执行到位,比如没有对第三方数据共享进行合理的约束,“剑桥分析”事件就属于这种情况,或者是没有对平台的漏洞进行定期扫描,比如推特3.3 亿月活跃用户的密码以明文形式暴露在公司内部系统,这些用户密码存在被泄露的风险。另外就是平台用户发布的个人信息、发帖等被别有用心的第三人收集,最终存在隐私泄露的风险。
3.2 外部风险
外部因素主要是指黑客攻击和撞库攻击。黑客攻击常见的手法包括:社交工程、钓鱼程序、恶意软件、窃取远程登录密码等。黑客攻击是指黑客通过攻击数据库,获取部分用户数据的行为。黑客通过已经发现的漏洞对数据库后台实施攻击,并最终获得访问数据库后台的权限。撞库攻击就是用已知数据库中的账号密码去不同的平台尝试登录,因为有些用户习惯在不同的平台使用相同的密码,这就导致被尝试出来的密码越来越多。随着数据库容量的不断累积,能够匹配的数据也会越来越多[9]。
4 国内外社交媒体平台用户隐私保护做法
纵观国内外社交媒体平台对用户隐私的保护措施和力度而言,国内主要是腾讯,国外则是脸书和推特。腾讯旗下有多款社交媒体平台,比如QQ、微信等均在用户个人信息安全和隐私保护方面做了相当多的工作。虽然脸书和推特均曾遭遇过用户个人信息泄露事件,但其在用户隐私保护方面的一些做法还是值得借鉴的。
4.1 腾讯的用户隐私保护做法
根据《腾讯隐私保护白皮书》显示,腾讯现阶段的隐私保护理念是“科技向善,数据有度”,其中“数据有度”是指数据管理要遵守法度、数据使用要有严谨的态度、数据收集要有一定限度、数据保护要加大力度、数据服务要体现温度。腾讯已经建立起一套比较完整的基于全生命周期理念的数据管理制度和多角度的隐私保护机制,让现有的数据保护策略变得更为制度化、数据管理流程显得更为规范化。在数据安全技术上,采用数据加密、数据脱敏、集合交集计算、量子加密等技术,通过事前可预防、事中有保护、事后能溯源,多角度保护用户隐私安全[10]。腾讯通过搭建“隐私保护平台”提升了用户的个人信息安全素养,让用户对隐私保护问题有更加清晰的认识。用户可以在这个平台获取《腾讯隐私保护政策》及相关文件、产品隐私保护指引、隐私保护常见问题等政策文件。腾讯将“从设计保护隐私(privacy by design)”理念较好地融入到产品开发、功能设计、运营等各个环节中,在尽可能确保用户隐私安全有保障的前提下,让用户获得更好的使用感受。腾讯将用户管理个人信息的需求在产品开发中加以实现,把用户对个人信息的保护转化为可以实际进行查询、修改或者删除操作的按键[11]。
4.2 脸书的用户隐私保护做法
脸书推出了一系列新措施,旨在让用户更加便捷地查看和访问自己在脸书上的数据,并且根据自己的需求进行相应的调整,重新对移动设备应用上的设置菜单进行了调整,设置选项卡下的所有不同部分都在单独的位置上显示,方便用户查找。与此同时,还在应用上增加了一个隐私设置快捷菜单,用户可以在登录时选择添加额外的安全选项、查看和删除包括搜索历史、好友申请和共享信息,还能更方便地管理个人信息以及帖子的浏览痕迹。另外,脸书还推出了一款名为“获取你的信息”(Access Your Information)的工具,让用户能够直接看到自己的评论或分享的页面链接,并且能快速删除。用户可以更方便地下载自己的各项数据,比如联系人和照片等,并将其转移到其它服务上。脸书还更新了服务条款,完善数据隐私政策,更好地向用户说明自己收集数据的方式以及途径。这一系列新措施有助于当前用户了解他们在该平台上与数据相关的更多详情,而且也让用户更加便捷地删除相关数据[12]。
4.3 推特的用户隐私保护做法
推特此前主要使用HTTPS(安全超文本传输协议)加密数据,现在增加了名为“正向加密”(Forwardsecrecy)的先进技术,以保护用户数据安全[13]。推特给用户提供了比较好的设置隐私保护按钮,其开发人员在解释每个复选框和按钮的功能方面做得相当不错。以保护推文为例来说明推特隐私保护的做法,如果隐私保护按钮被勾选,那些不关注你的人就无法看到你发推文、转推、上传等内容,他们也看不到您关注的账户列表。您需要手动批准每个关注请求,并且看到您的推文的人将无法转发它们,您的推文也不会被搜索引擎编入索引[14]。2019 年12 月2 日,推特更新了全球隐私保护政策,让用户更好地了解公司的广告客户会接触到哪些用户信息,并且新建立了一个网页“推特隐私中心”,汇集了公司的初衷、公告和新的隐私保护工具,向公众说明推特在隐私保护方面做出的努力[15]。
5 加强我国社交媒体用户隐私保护的对策
5.1 政府层面要加快完善社交媒体平台用户隐私监管体系
《网络安全法》已于2017年6月1日起施行,这是我国网络领域的基础性法律,在打击网络犯罪、保护公民个人隐私、规范网络运营者主体责任等方面发挥了不可替代的作用,但部分内容以原则性规定为主,相关规定在执行层面相对宽泛,依然存在标准模糊、模棱两可的情况,不利于具体实施落实,有待在具体执行层面亟须配套的司法解释予以进一步明确和界定[16]。2020年5月28日,第十三届全国人大三次会议表决通过《民法典》。《民法典》以“隐私权和个人信息保护”专章方式,对隐私权和个人信息定义、保护原则、法律责任、主体权利、信息处理等问题作出规定,开启了隐私权及个人信息保护的新时代。《民法典》为我国未来个人信息保护法及数据保护的法律体系构建奠定相应的制度基础[17]。目前要加快推动《个人信息保护法》和《数据安全法》等相关法律出台,通过立法进一步细化包含社交媒体平台运营者在内的企业收集使用用户个人信息的规范;持续推进社交媒体平台数据安全和个人信息保护相关标准研制;建立社交媒体平台用户隐私保护长效监管机制;建立有关的数据安全检测和通报常态化机制,及时发现安全隐患,督促整改;建立信用监管机制,对存在不良信用记录的社交媒体平台要重点监管。
5.2 企业层面要强化落实社交媒体平台的用户隐私保护主体责任
社交媒体平台运营者要积极开展数据安全与隐私保护自评估工作。社交媒体平台运营者作为责任主体,应建立平台内部的数据安全与隐私保护机制,严格履行法律法规规定的责任义务,同时依照相关个人信息保护标准,对其数据安全与个人信息保护情况进行自评估,积极防范安全隐患。不能想当然以为只要出台了与个人信息保护相关的法律法规,就能避免个人信息泄露事件的发生。从本次脸书用户个人信息泄露事件可以看出,当平台企业与第三方共享用户个人信息时,更要提早在双方签署的合同中明确对所共享的用户个人信息进行妥善保管,且不可以进行滥用。如果发现第三方滥用用户个人信息时,社交媒体平台应马上采取有关技术手段对数据接口进行管理,并按照之前签订的合同采取紧急措施,以避免类似事件再次发生。社交媒体平台要积极将“从设计保护隐私”的理念融入到产品研发、功能设计、运营的各个环节中,在确保用户隐私安全可控的基础上,给用户更好的体验。
5.3 用户层面要加强学习,提升个人信息安全素养
用户要积极学习利用互联网平台上各种网络信息安全素养教材,提升个人信息安全素养。在注册登录使用各种社交媒体平台时,谨慎授予敏感权限。现在部分平台存在过度索取用户信息权限的倾向,因此需要认真阅读权限提醒,谨慎开启权限。用户要认真阅读隐私保护政策,重点关注与第三方进行个人信息共享的情况以及查看隐私政策中赋予的用户权利。定期检查社交媒体平台的隐私设定、尽可能选择强度高的密码、尽量不要将相同的用户名和密码应用于不同社交媒体平台的登录。尽量不接受陌生人的交友链接、不乱点来路不明的网络链接、在发布信息前务必三思、尽量少发布家庭中未成年人的照片/姓名/住址等个人信息。最后还要关注注销个人账户的各种条件,若隐私政策中未详细说明注销渠道,用户可通过其他一些渠道自行查找注销方法。