从FACEBOOK个人信息泄露事件看平台的隐私保护责任

从FACEBOOK个人信息泄露事件看平台的隐私保护责任

弓永钦

【摘 要】2018年3月,全球最大的网络社交平台FACEBOOK承认,平台上至少

5000万用户的个人数据遭到泄露,由一家专门为政党选举推送广告的公司获得并利

用.平台对个人数据的泄露负有不可推卸的责任,它不该允许第三方APP获得大量个

人数据,不该允许个人代替其好友决定向第三方开放个人信息,开放接口对用户个人

信息保护不足,对大量个人数据的输出监管不力.平台应该在以下方面尽到隐私保护

的责任:做好数据安全管理工作,做好第三方APP介入平台的资质审查工作,对第三

方APP在平台上的活动进行有效监管,对第三方APP可以获取个人数据的种类进

行限制,并在数据泄漏后采取有效的补救措施.

【期刊名称】《北京劳动保障职业学院学报》

【年(卷),期】2018(012)002

【总页数】4页(P31-34)

【关键词】FACEBOOK;个人信息泄露;平台;隐私保护责任

【作 者】弓永钦

【作者单位】北京劳动保障职业学院 北京 100029

【正文语种】中 文

【中图分类】TP309

一、事件背景介绍

2018年3月，全球最大的网络社交平台FACEBOOK(脸书)深陷隐私泄露事件的丑

闻中。它于3月16日承认，一家名叫Cambridge Analytica(剑桥分析)的英国公

司获取了至少5000万FACEBOOK用户的个人信息。消息一出，众多网民在另一

个社交平台Twitter(推特)上频繁发文，呼吁“删除脸书”,由此可见，FACEBOOK

的隐私泄露事件引发了广大用户的信任危机。除了用户的不信任外，FACEBOOK

近来麻烦不断，股价在一周之内累计下跌超过13%，市值蒸发750亿美元；美国

和欧盟的一些法律机构也开始对它的隐私泄露事件着手进行调查，如果证明它确实

在此次隐私泄露事件中承担主要责任，则FACEBOOK有可能面临巨额。

然而，“剑桥分析”是如何获得FACEBOOK的个人信息的呢？这就源于

FACEBOOK于2007年开始推行的“开放平台”计划，像我国现在好多平台的做

法一样，引入大量第三方独立的APP，给平台客户提供更丰富的体验。这其中就

有剑桥大学心理学教授Aleksandr Kogan(科根)于2013年开发的一款据说能够测

试个人性格的APP——“This is your digital life”(这就是你的数字人生)。该

APP通过获得被测试人与FACEBOOK好友之间的互动信息来勾勒出他(她)的性格，

因此不止需要被测试人向其开放关于个人喜好的信息，而且允许其抓取被测试人好

友的相关信息。最初与科根教授的APP签约的有27万名用户，以每个用户平均

拥有160个好友计算，科根教授获取到大约5000万FACEBOOK上的用户信息，

而现在这个人数估计已经上升到8700万。隐私保护问题在数字经济时代受到前所

未有的关注，就是因为数据泄露会以几何级的速度增长，影响巨大。

如果只是一款供人消遣的APP获得如此大量个人数据也还不足为惧，更重要的是

科根教授把这8700万个人数据分享给了“剑桥分析”，一家专为政党选举推送政

治广告的公司，据说在特朗普总统竞选过程中起到了关键作用。FACEBOOK用户

感到自己被利用了，因此对平台不负责任地让别有用心的第三方公司获取自己的信

息感到愤怒。

二、FACEBOOK在个人信息泄露事件中的责任

这8700万FACEBOOK用户的个人信息泄露给“剑桥分析”，自然是用户不可接

受的，平台责无旁贷。然而，平台在隐私泄露事件中到底应承担哪些责任，下面将

做具体分析。

(一)FACEBOOK不该允许第三方APP获得大量个人数据

FACEBOOK从2007年开始推出应用编程接口(API)。通过这个API，第三方软件

开发者可以开发在FACEBOOK网站运行的应用程序，这就是FACEBOOK的“开

放平台”(Facebook Platform)。开放平台引入更多的第三方应用，可以为平台用

户提供更为丰富的体验和乐趣，有利于培养平台客户的忠诚度和活跃度，这也是现

在很多平台的做法。然而，引入大量第三方APP，平台的监管责任就加重了。毕

竟这些APP是出现在FACEBOOK上的，而FACEBOOK的用户有理由相信平台

会有效地监管这些第三方APP，就好像一个商场有义务维持整个大楼的秩序一样。

FACEBOOK有自己的隐私政策，也通过了行业隐私保护水平认证，隐私保护水平

达到一定标准，但是它有没有对第三方APP进行有效的监管，也保证它们符合平

台的隐私政策呢？

据说FACEBOOK对第三方APP获得大量用户个人数据是有监管的，科根教授的

APP由于收集了大量信息就曾触发了平台的预警设置。平台向科根教授进行了询

问，后者回答收集信息是用于研究目的，平台就没有再追究。然而，事实是科根教

授虽然是大学的心理学教授，他有自己的公司，他开发这款APP受到“剑桥分析”

的资助，并且把收集到的数据分享给了该公司。

在大量数据的收集问题上，FACEBOOK虽然尽到了一些监管义务，但是并不严格，

对科根教授只进行了简单的询问，而没有进行切实的调查或者合同约束。

FACEBOOK后来也发现对第三方APP监管的漏洞，于2015年开始对后者收集平

台用户信息的权利进行限制，但是那个时候，科根教授的APP已经收集到了足够

的个人数据。

(二)FACEBOOK不该允许个人代替其好友决定向第三方开放个人信息

这次个人信息泄露事件的可怕之处在于，虽然只有27万用户与科根教授的APP

签约，但是最终导致8700万个人信息被泄露。这是怎么做到的呢？

科根教授开发的APP叫做“这就是你的数字人生”，它是通过抓取被测试人在

FACEBOOK上的活动踪迹以及与好友之间的互动信息来刻画其性格的。科根是心

理学教授，多年来一直从事个人心理特征与兴趣爱好之间的关系研究，可以通过分

析一个人的日常活动、兴趣爱好、关注点等信息来判断其性格。FACEBOOK是全

球最大的网络社区，月度活跃用户超过20亿，平台记录了他们日常生活的点点滴

滴。科根教授的APP可以从平台用户那里比线下更方便、更快捷、更全面地获得

其行为数据，通过数据模型处理立即就可以分析出被测试人的兴趣爱好和性格特征。

要了解一个人的兴趣爱好，不能只看他(她)自己的活动轨迹，还要看他(她)与好友

之间的互动，比如关注谁发的文章，给谁点过赞，都可以反映一个人的兴趣点和关

注点。因此，科根教授的APP在推广时就要求被测试人不仅需要向软件开放个人

的网络踪迹，还要允许软件抓取其网络好友的个人信息。最终大约有27万用户与

该APP签约，而这27万人都是FACEBOOK的活跃用户，平均拥有大约160个

好友，这使得科根教授获得了8700万用户的个人信息。

事件一曝光，有人批评这27万人“无知无畏”，拱手让出了自己和朋友们的个人

隐私，而科根教授是在用户自愿的基础上获得大量个人数据。个人显然缺乏隐私保

护的意识，但是他们毕竟不是专业人士，认识不到会有如此严重的后果，同时又对

平台存有信任，因而做出草率的决定。然而，FACEBOOK作为20亿网民网络家

园的管理者有义务制订规则，维护社区的安全。网民无知，平台应该对他们做出警

示，告知他们将会产生的后果，并且将允许APP抓取的个人信息种类在默认设置

中做出限制。这种警示和限制就会减少很多人下意识犯错误的几率。

更重要的是，平台不应该允许个人决定其好友的隐私权利。在日常生活中，人们没

有权利向陌生人随便透漏好友的手机号和住址，那么在网络社区中，同样没有权利

决定好友的隐私是否向第三方开放。作为网络社区的管理者，FACEBOOK应该制

订规则，不允许用户决定好友的隐私权利。在这次隐私泄露事件中，FACEBOOK

没有预见到事件的严重后果，存在管理不当的责任。

(三)FACEBOOK的开放接口API对用户个人信息保护不足

对于API，FACEBOOK是这么介绍的：“一般来说，您可以使用节点获取有关特

定对象的数据，使用连线获取与单个对象关联的对象集合，使用字段获取有关单个

对象或集合中每个对象的数据。”也就是说，只要一个用户同意开放自己的隐私信

息，APP就可以通过接口获得与其有联系的其他好友的个人信息。从这个层面上

说，科根教授的APP获取数据的途径并不是刮取(scrape)用户放在自己页面上的

信息，而是通过FACEBOOK专门对外开放的数据接口获取到这么庞大的个人数据。

基于此，那些“无知无畏”的用户可以稍微减轻负罪感，而FACEBOOK又该汗颜

了。

事实上，FACEBOOK已经意识到这个错误，于2014年对平台进行了重新设计，

严格限制生态中APP能够访问的用户数据范围，收紧了API接口。FACEBOOK

要求第三方APP如果要收集个人敏感信息，必须首先获得平台的同意；对于APP

已经获得的数据，除非它取得平台的同意，否则不得再次共享。

(四)FACEBOOK对大量个人数据的输出监管不力

首先，FACEBOOK对第三方APP获取平台用户数据之后的处置缺乏监管。上文

提到，科根教授的APP在获取大量个人数据后曾触发了平台的预警设置，平台只

是在询问过科根教授之后得知用于研究目的后就没有再行追究。从这个事件的处理

上看出，FACEBOOK虽具有一定的隐私保护意识，但没有严格的管理制度确保这

些数据只是用于研究。平台应该与收集大量数据的第三方APP签订合同，禁止他

们将数据分享给其它方，或者用于研究以外的目的，以法律手段约束第三方APP

的行为。

其次，FACEBOOK对第三方APP是否删除了数据没有进行跟踪调查。2015年，

FACEBOOK从《卫报》记者那里得知科根教授向“剑桥分析”分享了他从平台上

获得的大量数据，于是立刻封杀了该APP在平台上的应用，并要求科根和“剑桥

分析”删除全部数据。FACEBOOK在得到后者删除数据的证明材料之后就没有再

追踪调查，然而几年之后发现他们并没有履行诺言。这三年中，8700万个人数据

一直在被利用，使得用户的隐私权利受到更长时间的侵害。如果说FACEBOOK无

法控制第三方APP是否会再次利用这些数据，但是至少应该在发现他们滥用用户

个人数据之后及时阻止。如果自己能力不够，就应该立即上报有关部门，让政府出

面去制止。即将生效的欧盟《通用数据保护条例》就要求数据控制者发现大规模数

据泄露之后有立即上报的义务。

三、平台的隐私保护责任分析

8700万个人数据的泄露事件揭露出FACEBOOK在用户隐私保护方面存在一些漏

洞，它在发现问题、弥补错误的过程中也在不断进步。其实很多平台也存在着这样

那样的问题，只不过FACEBOOK树大招风，此次泄露事件牵涉众多，又与政治挂

钩，因此被推到了风口浪尖。其它平台，包括我国的平台都可以在这次隐私泄露事

件中引以为戒，改进管理，避免出现大规模的恶性事件。那么，平台在避免个人数

据泄露方面应该担负什么责任呢？笔者认为，应至少包含以下几点：

(一)做好数据安全管理工作

以、qq、LinkedIn为代表的网络社区、各家银行APP、第三方支付工具以及

医院的网络系统上都聚集着海量的个人数据，一旦被黑客攻击，被别有用心的人获

取，后果不堪设想。因此，平台越大，担负的数据安全监管责任就越大。一方面，

个人数据就是顾客，是一个电商公司的核心资源，必须小心保护，不被第三方获取；

另一方面，数据安全是用户对平台信任的基础，是平台运营的前提。基于以上两个

原因，平台都必须在技术和管理上尽可能保障平台数据的安全，很多大平台因此都

设立了专门的网络安全部门。

(二)做好第三方APP接入平台的资质审查工作

平台应本着对用户负责的态度，对想接入平台的第三方APP进行准入资质审查。

就隐私保护方面，平台应审查第三方APP的隐私政策，对于不符合平台隐私保护

标准的条款首先需要求它做出相应修改。平台还应该就第三方APP在平台上如何

收集、使用、传输、删除个人数据等行为与之签订有法律效力的协议，使得后者的

活动受到法律约束。

(三)对第三方APP在平台上的活动进行有效监管

平台应设立专门的隐私保护部门，用专业的数据分析模型对第三方APP的行为进

行跟踪和监管。如果监控数据出现异常，应立即介入调查，要求其停止对个人数据

的滥用。如果第三方不听劝诫，则平台应当毫不迟疑地下线该APP，并且要求它

删除所有非法获得的个人数据。

(四)平台应对第三方APP可以获取个人数据的种类进行限制

为了保障平台用户的隐私安全，平台应禁止第三方APP获取用户的敏感信息。对

于家庭住址、姓名、电话、身份证等隐私数据，平台应在默认设置中设为“不开

放”，如果用户自愿开放这些信息，需手动开放，并且平台应该尽到向用户提示可

能出现何种风险的义务。平台应设置第三方APP收集大量数据的预警系统，一旦

系统被触发，需提高关注级别，并与之签订不得向第三方分享这些数据的协议。

(五)在数据泄露后采取有效的补救措施

平台一旦发现第三方APP违反协议，把平台用户数据非法传输给其它方，应立即

通知其停止隐私侵害行为，并且应密切跟踪第三方对平台数据的处置结果。如果发

生大规模数据的泄露，平台应毫不迟延地向有关当局汇报，并告知数据主体，教他

们采取一切能够把损害降低到最小的防范措施。

四、对我国电商平台的启示意义

FACEBOOK的隐私泄露事件导致了平台用户的信任危机，导致了FACEBOOK股

价大跌、官司缠身的后果。我国的电子商务发展势头良好，几乎与美国并驾齐驱。

我国电商企业当引以为戒，避免出现此类恶性事件，造成不好的影响。我国不少电

商平台已经上市，一旦出现大规模的隐私泄露事件，必然导致市值大幅缩水。

我国腾讯、阿里巴巴等网络巨头已经开始进军国际市场，而欧盟、美国等发达国家

在隐私保护方面已经建立了比较先进的法律制度和行业自律机制，对隐私泄露的容

忍程度很低。我国电商企业要想在国际市场站稳脚跟，必须提高平台的隐私保护水

平，与国际接轨，学习东道国的隐私保护法律，通过相关的行业隐私保护水平认证，

设立首席隐私官以及隐私专员岗位，提高对隐私保护问题的重视。

2018年5月，欧盟新的《通用数据保护条例》就要正式生效。该条例的隐私保护

标准要高于原先的《个人数据保护指令》，扩大了法律的管辖范围。条例规定，只

要收集了欧盟居民数据，不管数据控制者是否在欧盟区域营业，都应受到条例的约

束。之前，GOOGLE(谷歌)由于隐私保护问题已经多次受到欧盟各国隐私执法机构

的处罚，而今后，处罚力度只会更大，受到波及的企业范围也会更大。因此，我国

电商平台企业要做好充分的准备。

参考文献：

[1] 钱童心.Facebook陷用户信息泄露丑闻[].第一财经日报,2018年3月20日,

第A08版.

[2] 洪延青.Facebook事件发生是用户太无知无畏了？！[EB/OL].网安寻路人，

2018.3.25.

[3] 洪延青.被武器化的大数据[EB/OL].网安寻路人，2018.3.19.

[4] 弓永钦. 个人信息保护问题研究：基于跨境电子商务[M]. 人民日报出版社，

2017年12月.