随着互联网、大数据、人工智能的发展,数据资料在科技应用中所扮演的角色越来越重要,个人数据的使用让我们的生活更加便捷。然而,以支付宝、Facebook为代表的互联网企业,却在用户使用的过程中涉嫌非法使用用户个人信息数据。在对此感到恐慌过后,我们更应该思考:企业抓取个人信息数据的界限在哪儿?个人信息被利用后用户该如何得到救济?个人信息和数据保护应当如何完善?
本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
三月中旬,美国《纽约时报》和英国《卫报》相继爆出Facebook数据泄露事件。5000万用户信息被一家剑桥分析公司(CambridgeAnalytica)用于创建档案,进行数据分析,向用户投放精准广告、新闻资讯等个性化信息,甚至被怀疑用来引导政治倾向,影响2016年的总统大选。
一、Facebook数据泄露事件始末
此次Facebook数据泄露,实际上要追溯到2014年。英国剑桥大学心理学教授亚历山大·科根推出一款应用软件,名为“这是你的数字化生活”,向Facebook用户提供个性分析测试,推介语是“心理学家用于做研究的APP”。经用户授权后,这款APP收集的信息包括用户的年龄、住址、性别、种族、教育背景等个人信息,平时参与的活动以及在社交网络中发表、阅读、点赞的内容,还包括用户的朋友所发布的信息等。当时,共有2.7万名Facebook用户下载这款APP。借助这一应用,科根获取了2.7万人及其好友的居住地等信息以及他们“点赞”的内容,因此共获取多达5000万用户的数据。报道说,科根把数据带到剑桥分析公司,剑桥分析公司则在此基础上,通过大数据分析,得到了用户的行为模式、性格特征、价值观取向、成长经历等,再后来这些信息则被用来针对特定用户推送竞选广告。
事件曝光后,Facebook股价暴跌10%,市值蒸发360多亿美元,陷入了重大危机。CEO扎克伯格也因此身家缩水,跌出福布斯富豪榜前五位。与此同时,欧盟、美国、英国纷纷强烈指责Facebook,表示将就数据泄露事件对Facebook展开调查。
二、数据泄露暴露出的问题
2007年5月24日,Facebook推出应用编程接口(API)。通过这个API,第三方软件开发者可以开发在Facebook网站运行的应用程序,这被称为Facebook开放平台(FacebookPlatform)。
据Facebook声称,FacebookPlatform允许任何人“在Facebook和Web上构建社交应用程序”,这些应用被允许从Facebook读写数据。Facebook在授权第三方使用数据的政策规定是,仅允许以改善用户使用APP体验为目的收集用户好友的数据,禁止用于出售或以广告为目的。科恩推出的“心理学家用于做研究的APP”,就是通过FacebookAPI获取了多达5000万用户的数据。
事实上,Facebook数据泄露彰显出来的问题,不是Facebook系统自身存在安全漏洞或者技术欠缺,也不是允许第三方通过API收集用户数据,而是第三方机构擅自将用户数据提供给他人。
特别需要注意的是:第一,第三方应用收集用户数据时,作为平台方的互联网企业如何确保用户数据被恰当使用,符合收集者宣称的收集目的;第二,如何切实防范用户数据不被收集者提供给其他机构,确保个人信息安全;第三,如何动态性审查第三方应用的资质以及第三方收集数据的目的、收集数据后的处理方式;第四,如何防范安全事态进一步扩大。
三、反面教材的启示
Facebook数据泄露丑闻虽发生在美国,但也为互联网时代的个人信息控制者树立了反面教材。同时,数据收集、数据使用、数据共享同每个个体息息相关,应当引起足够的重视。
第一,数据收集须明示收集范围、收集目的,取得信息主体赋权。
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。法律明确规定网络产品或者网络服务收集数据应当遵循合法、正当、必要原则。特别是,应当明示数据收集的范围与目的。
《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012)进一步将个人信息区分为个人一般信息和个人敏感信息,二者在信息处理方面存在不同。个人敏感信息是指,一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。
个人一般信息的收集,可以建立在默许同意的基础上,不需要信息主体明确表示同意,只要信息主体不是明确表示反对,便可收集和利用。个人敏感信息的处理,则需要信息主体的明示同意,必须获得个人信息主体的明确授权。
第二,数据流转,应当脱敏。《网络安全法》第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。可见,数据收集者、保存着应当对其收集的信息严格保密;其次,数据之间的共享,需要征得被收集者的同意或者经过脱敏处理,无法联系到特定个人。
第三,审慎评估第三方应用收集数据,并制定网络安全应急预案。《网络安全法》第四十二条第二款规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。网络运营者允许第三方应用收集用户信息的情况下,应当建立安全评估体系,防止用户信息被泄露。
将于2018年5月1日正式实施的GB/T35273-2017《信息安全技术个人信息安全规范》明确规定个人信息控制者要对个人信息安全影响进行评估,还要实行一定方式的监督,诸如合同约定、审计等。特别是对个人信息主体可能产生的不利影响以及个人信息安全措施的有效性等内容。
此外,个人信息控制者需要制定网络安全应急预案,防止事态扩展,导致不必要的安全事故。《网络安全法》第五十三条第三款对此作出明确规定,即网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
编排/郗博鸣
责编/孙亚超 微信号:elesun724