数据在不同主体间的传输与流转是大数据时代互联网产业发展的必然,无论是去年四部委评审的各大互联网企业的隐私政策中有关个人信息共享的内容亦或今年年初“信联”的架构,无不凸显信息数据的重要性。当然,数据的流转同样带来了安全管理方面的巨大挑战,如何确保数据在境内外安全高效的传输和使用,是全球互联网企业乃至部分国家共同需要面对的难题。本月中旬,Facebook数据泄露丑闻爆发,上周一Facebook股价更是大跌7%,市值蒸发360多亿美元,CEO扎克伯格也因此身家缩水,跌出福布斯富豪榜前五位。与此同时,欧盟、英国纷纷作出强烈回应,要求对数据泄露事件进行调查。民调显示,只有不到一半的美国人信任Facebook遵守美国的隐私法,更有60%的德国人担心Facebook和其他社交网络对民主产生的负面影响。 Facebook的数据泄露事件(以下称“事件”)无疑是企业向第三方提供数据方面的一本反面教材。显然,这本反面教材的代价是沉重的,Facebook 不仅市值蒸发数百亿,需要接受各国政府的调查与监管,更重要的是背后的用户信任危机,一旦用户对Facebook的数据保护能力产生怀疑,这将对其商业模式闭环中的“用户”和“数据”两方面产生消极影响,从而动摇其商业根基。 Facebook商业模式图 转载自36氪 by徐涛 一、事件始末 本次事件的大致背景最早可以追溯至2007年。当时Facebook为增强用户粘性推出应用编程接口(API),通过这个接口,第三方软件开发者可以开发在Facebook网站上运行的应用程序,这被称作Facebook Platform,而用户可通过这一平台在线使用相关应用程序并进行互动。用户在使用该平台时,Facebook与平台上的应用会读取个人信息,该部分信息有的是Facebook上已有的信息,如用户的个人信息和朋友列表等;有的则是使用相关应用时产生的信息。当时Facebook并没有对平台数据的交叉使用与共享进行严格的区分与管理。本次事件的核心人物——剑桥大学心理学教授亚历山大·科甘(Aleksandr Koran)及其背后的数据分析公司剑桥咨询(SCL/CambridgeAnalytica),正是利用了当时Facebook的平台数据共享的漏洞,致使Facebook上5000万用户的数据泄露。 科甘与剑桥咨询于2013年开发了一款专门针对选民的测试应用“这是你的数字化生活”,对外宣称是心理学家用于做研究的APP,经用户授权后收集的信息包括用户的年龄、住址、性别、种族、教育背景等个人信息,平时参与的活动以及在社交网络中发表、阅读、点赞的内容,还包括用户的朋友所发布的信息等。一共有约27万人下载了这一应用,再加上通过公开途径收集的用户信息,共涉及5000万用户的数据。据媒体报道,剑桥咨询在收集到上述数据后,分析出了用户的行为模式、性格特征、价值观取向、成长经历等,以便针对特定用户推送竞选广告。 事件曝光后,Facebook的副总裁兼副总法律顾问和扎克伯格本人先后发表了对事件的声明,主要强调科甘是按照合法合规的方式经用户授权后取得数据,只是使用中擅自将用户数据提供给第三方,致使数据的泄露。同时说明在2014年已对Facebook
Platform的数据安全系统进行了全面的优化,在2015年发现科甘违规后已经采取了相应安全措施,包括管理权限和要求删除等,承诺将采取措施监管第三方的数据使用。扎克伯格更是在博文中表示“我们有责任保护好用户的数据,如果我们连这个都做不到,那么就不足以向用户提供任何服务”。显然,本次事件所反映的数据安全漏洞发人深思。 二、事件所反映的问题 用户的单独授权即可收集其关联用户信息 自2014年科甘开始收集数据并提供给剑桥咨询前,Facebook Platform的规则只需注册应用的用户授权,即可收集该用户的关联用户,例如朋友、亲人等相互关注者的信息。虽然之后Facebook处理了该漏洞,但科甘的应用已经收集了相当数量的数据。 隐私设置默认公开致使大量数据被第三方抓取 根据国外媒体报道,在2014年之前Facebook对于用户隐私设置默认的选项是“公开”,由于普通用户对自身隐私保护缺乏安全保护意识,为第三方随意抓取用户信息提供了可乘之机。本次事件中剑桥咨询除通过其注册用户的关联用户获取相关数据,还有搜集了大量用户公开的数据。 欠缺对第三方获取用户数据目的的必要审查 本次事件的关键在于科甘对获取的大量用户信息进行分析从而对用户的政治倾向进行画像以便用于美国大选,然而Facebook并未有效审查科甘实施上述行为的目的。科甘虽然声称其开发的测试应用仅用于学术研究,但实际情况是只有符合特定条件的选民才能注册,即使获得了用户的授权同意,大量涉及政治倾向的选民信息的滥用仍然会产生严重的政治影响。 对第三方使用用户数据缺乏有效监控 值得注意的是,科甘的应用所进行的大规模的数据收集,Facebook虽然在短时间内利用技术手段监测到了该行为,但并没有进行有效的处理,仅在2014年对限制了其对关联用户信息的访问。直至2015年从英国《卫报》记者处得知科甘向剑桥咨询共享了相关数据后才禁止其应用,同时要求科甘和剑桥咨询删除所有不当获取的数据,并开出证明。本次事件的曝光也从侧面说明Facebook并未对科甘和剑桥咨询是否实际履行删除义务进行监督。 欠缺网络安全事件的信息公开和应急处理经验 在本次事件中,正是由于Facebook错过了控制事态恶化的最佳时机,本应于2015年即可公布并予以处理的数据泄露直至2018年方被公众知晓。虽然在事件曝光后扎克伯格公布了诸如追查类似应用、再次收紧第三方应用权限、增强用户告知等预防措施,但上述措施若能在2015年落实,显然事件的危害程度将大大减小,用户对于Facebook的信任度也不会如此不堪。 三、对于我国企业的合规建议 保证在取得用户的充分授权后方可向第三方提供相关数据 关于用户个人信息的收集与使用,我国《网络安全法》(以下称“《网安法》”)规定,网络运营者收集和使用用户信息时遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经客户同意;不得泄露、篡改、毁损收集的用户信息;未经用户同意,不得向第三方提供用户个人信息;采取技术或其他措施确保收集的用户个人信息的安全,防止信息泄露、毁损、丢失;必要时及时处理保证相关信息无法识别特定个人且不能复原。若在相关社交应用和功能中被收集的不仅仅是某一特定用户的个人信息,还包括了其朋友、亲人等关联用户的信息,在向第三方提供时,网络运营者除获本人同意外,还应征得关联账户主体的同意。 此外,关于如何保证用户充分授权,网络运营者在收集用户信息前应当履行必要的提示义务,如在需要收集时进行弹窗提示并将变更条款醒目加粗或标红,同时应当赋予用户充分的选择权等。根据我国《合同法》规定,格式条款免除自身责任、加重对方责任、排除对方主要权利的无效,因此,网络运营者的信息收集条款不应成为“霸王条款”,用户拒绝提供并非基本服务所必须的信息,网络运营者应当尊重其选择,不得过分收集。 应当对个人信息和重要数据在境内外的传输进行安全评估 安全评估是信息和数据传输过程中进行风险控制的重要环节。根据《网安法》第三十七条规定,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据因业务需要确需向境外提供的,应当进行安全评估。去年4月,国家网信办更是发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,对数据出境安全评估的主管部门、重点内容、禁止性规定进行了明确,虽然该办法仍处在征求意见稿阶段,但无疑为网络运营者落实安全评估提供了一定的指引。值得注意的是,将于今年5月1日正式实施的《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)还明确规定了个人信息控制者应当开展个人信息安全影响评估,重点评估共享、转让、公开披露个人信息对个人信息主体可能产生的不利影响以及个人信息安全措施的有效性等内容。 开展数据安全的影响评估同样也是欧美在数据保护上的共识,欧盟自GDPR后,也发布了相关的安全影响评估的指引,如2017年12月发布的Handbook on Security of Personal Data Processing,而我国的个人信息安全影响评估国家标准也正在制定当中。 强化对信息数据传输过程中的监管和审计 事中安全审计的作用虽然不及事前的风险防范,但可以使得网络运营者及时发现安全隐患并采取相关止损措施。根据《个人信息安全规范》,进行安全审计时,应对隐私政策和相关规程,以及安全措施的有效性进行审计;同时建立自动化审计系统,监测记录个人信息处理活动;审计记录应为安全事件的处置、应急响应和事后调查提供支撑;必要时及时处理审计过程中发现的个人信息违规使用、滥用等情况。 完善网络安全事件的应急预案和信息披露 制定网络安全事件应急预案能够有效加强网络运营者在发生网络安全事件后的应急处置能力。《网安法》规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,网络运营者应采取必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。去年11月23日工信部发布的《公共互联网网络安全突发事件应急预案》,针对网络安全突发事件具体分级、预警监测、应急处置、预防准备等方面做了详尽的规定,初步架构起了我国应对网络安全事件的体系,网络运营者可以参照其中规定完善合规政策,进行必要整改。 |