4月25日,Facebook官方宣布,美国联邦法院于本周四批准了Facebook与美国联邦贸易委员会(FTC)就剑桥分析丑闻的50亿美元和解协议。这场和解可以说具有里程碑意义,50亿美元是有史以来对侵犯隐私科技公司的最高罚款。同时,对于美国联邦贸易委员会来说这也是有史以来最大的一笔罚款[1]。
该和解协议除了罚款还包含其他内容,比如增加隐私措施,并提供季度报告来证明遵守隐私协议。除此以外,Facebook还同意成立一个专门的隐私委员会,以此来加强用户隐私保护[2]。去年,美国联邦贸易委员会就Facebook是否应该采取更多措施来阻止剑桥分析公司(Cambridge Analytica)窃取用户数据展开了调查。该公司曾为特朗普总统的竞选活动提供咨询服务,通过Facebook窃取了多达8700万用户的私人数据。
01 事件回顾
2013年,剑桥大学一名研究人员亚历山大科根(Aleksandr Kogan),在Facebook上开发了一款性格测试应用——“this is your digital life”,由于当时使用这款应用的用户(约30多万)均授权该应用获取社交关系以及好友信息,该应用通过Facebook的开放应用程序编程接口(“Open API”)顺利间接获取了Facebook上近5000万人的用户数据。
2014年,Facebook对平台架构进行重新设计,大幅限制开发者能够获取的数据数量,并要求生态中第三方APP上线前,开发者如果收集个人敏感信息,需要首先获得Facebook的同意。此外,Facebook平台中的APP不再能够获取用户好友相关的信息,除非取得这些好友的授权。
2015年,Facebook得知,科根将上述数据分享给一家名为“剑桥分析”(Cambridge Analytica)的政治咨询公司,遂在其平台上屏蔽了科根的应用,并敦促科根和剑桥分析公司删除所有获取的用户信息,后者也对此做出了保证。
2018年,媒体曝出剑桥分析公司并未如其承诺删除用户数据,在2016年的美国总统大选中,这些数据被用于新闻或观点的精确投放,以帮助特朗普团队。
在本次数据泄露事件中,Facebook可能存在如下责任:
2014年之前,第三方开发者仅仅凭借用户的同意即可获取用户的好友的个人信息,Facebook在平台设计上并未要求这些第三方开发者取得这些好友的授权同意;
Facebook没有核实和追踪科根是否对此前获取的个人数据进行了删除;
在发现科根将获取的大量Facebook用户信息非法向第三方提供后,未向用户或监管部门及时履行通知义务。
02 事件启示
高度重视隐私和数据保护
Facebook因数据泄露遭受高达50亿美元的罚款,再次凸显了企业隐私和数据保护的重要性。在我国,数据保护领域监管力度不断加强。在过去一年,国家网信办密集发布《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》《儿童个人信息网络保护规定》等监管文件,《个人信息保护法》、《数据安全法》也被提上立法日程。同时,行政执法呈现常态化机制:App违法违规收集使用个人信息专项治理活动不断推进,曝光并处罚了一系列违法违规收集使用个人信息的App运营者;4月15日公安部与国家网信办牵头,建立打击危害公民个人信息和数据安全违法犯罪长效机制[3]。因此,企业应高度重视隐私和数据保护合规工作,建立相应的隐私和数据保护工作机构及工作制度,持续投入资源保障数据收集使用的合法性、安全性。
加强第三方应用管理
如上文所述,Facebook因授权第三方应用获取社交关系以及好友信息而间接造成大规模的数据泄露,第三方应用管理成为网络平台数据保护的“阿喀琉斯之踵”。我国《数据安全管理办法(征求意见稿)》要求网络平台对于第三方应用造成的数据安全事件承担过错推定责任,第三十条规定,“网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。”虽然《数据安全管理办法(征求意见稿)》仍未正式生效,但也凸显了网络平台加强第三方应用管理的重要性。因此,相关企业可以依据《网络安全法》、《信息安全技术个人信息安全规范》(GB/T 35273-2020)(“《规范》”)在“个人信息共享、转让”、“第三方接入管理”等方面的规定,在对外共享、转让和公开披露个人信息时,应向个人信息主体告知及获得授权同意。同时,建立第三方应用接入的安全评估机制,通过合同等形式明确双方的安全责任及应实施的个人信息安全措施,并持续监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入等。
发生信息安全事件后及时履行告知、报告义务
Facebook并未在2015年知悉个人信息被非法转移后及时通知受影响的用户,才会导致后续的数据泄露影响的进一步扩大。我国《网络安全法》、《规范》均要求发生个人信息泄露、毁损、丢失的情况下,网络运营者应立即采取补救措施,按照规定及时告知用户并向有关主管部门报告,以避免数据泄露损失的扩大。因此,建议企业可以建立个人信息安全事件应急预案,定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,在发生个人信息安全事件后,履行告知用户和向主管部门报告的义务。
结语
数据保护合规是一项系统性工程,以上仅是我们针对Facebook数据泄露事件而得出的一般性建议,我们未来也会持续关注数据合规领域的重要立法、执法活动,及时推出相应解读,希望为企业合规管理工作提供帮助。
[注]
[1] FTC官网:https://www.ftc.gov/news-events/press-releases/2020/04/ftc-chairmans-statement-regarding-courts-approval-facebook ,最后访问时间:2020年4月26日。
[2] FTC官网:https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions,最后访问时间:2020年4月26日。
[3] 公安部官网:“公安部中央网信办牵头建立跨部委打击危害公民个人信息和数据安全违法犯罪长效机制 联合打击整治侵犯公民个人信息违法犯罪活动”,https://www.mps.gov.cn/n2254098/n4904352/c7140709/content.html,最后访问时间:2020年4月26日。
“Facebook剑桥分析事件达成和解 认罚50亿美元”简评
作者:陈际红 刘洋来源:TMT法律论坛

4月25日,Facebook官方宣布,美国联邦法院于本周四批准了Facebook与美国联邦贸易委员会(FTC)就剑桥分析丑闻的50亿美元和解协议。