【摘要】用户信息泄露事件在当前大数据时代背景之下已经屡见不鲜。“Facebook泄露门”事件,造成了严重而恶劣的后果,引起了国内外广泛的关注,是用户信息泄露的代表性事件,具有典型性。一个由技术漏洞引发的泄露,透露出的不仅仅是表象的问题,更多的是整个互联网行业的自律性及个人信息保护的难题。本文通过对该事件的深层次分析,探究问题的成因、利弊以及启示与对策,并通过相似案例的对比,试图找出这类问题的共性,以引发更深的思考。
【关键词】信息泄露;行业自律;法律规制;隐私保护
【Abstract】User information leakage has become a common occurrence in the current era of big data.The “Facebook leak” has had serious and nasty consequences. Caused widespread concern at home and abroad, which is the user information leakage of the representative event, with a typical. A leak caused by a technical flaw, revealed not only the appearance of the problem, but also the entire Internet industry's self-discipline and personal information protection problems. Through a deep analysis of the incident, this paper explores the causes, advantages and disadvantages of the problem as well as its enlightenment and countermeasures, and tries to find out the commonness of this kind of problem through the comparison of similar cases, so as to trigger deeper thinking.
【Key words】Information Leakage; Industry self-discipline; Legal Regulation; Privacy protection
【案例简介】
2011年,由于Facebook更改了一些用户设置却没有通知用户,美国联邦贸易委员会指控Facebook欺骗用户,强迫用户分享更多用户本无意分享的个人信息。Facebook最终与联邦贸易委员会就该案达成和解协议,即2011和解令。和解令的要求之一是,Facebook在隐私设置变化时要事先征得用户同意。
2018年3月17日,美国纽约时报和英国卫报共同发布了深度报道,曝光Facebook上超过5000万用户信息数据被一家名为“剑桥分析”(Cambridge Analytica)的公司不当获取,用于在2016年美国总统大选中针对目标受众推送广告,从而影响大选结果。Facebook其官方声明中,坚称是剑桥分析和app开发者Aleksandr Kogan滥用了用户数据。在3月17日对华盛顿邮报发布的声明中,Facebook称,“我们拒绝任何认为我们违反了和解令的指控。我们恰当地尊重了人们拥有的隐私权。隐私权和数据保护是我们所做的每个决定的基础。”
经过一个星期的舆论发酵,3月19日,Facebook发布声明称,其已雇佣数字取证公司对剑桥分析指控开展调查,并立刻限制了相关软件的应用,但据官方表示,较多外部开发人员通过API来保留访问用户基础信息的时间,导致Facebook采取的举措无法完全对用户信息进行重新保护。
2019年7月,Facebook与美国联邦贸易委员会(FTC)达成了和解,并针对2018年剑桥分析的隐私泄漏丑闻进行高达50亿美元的罚款。而令人咋舌的是,在Facebook传出接受罚款的消息后,其公司的股价上升1.81%,公司市值增长104亿美元,所收获的利润远远超过了罚款金额。
而这样的结果并没有意味着Facebook在隐私丑闻上彻底脱身,对于社交平台来说,信息保护的路并不好走。2019年10月18日,品牌咨询机构Interbrand发布了“2019年全球最佳品牌报告”,Facebook的排名跌出前十。Interbrand纽约办事处首席执行官Daniel Binns在后来的采访中提及了Facebook在用户隐私和安全性措施上的欠缺,并表示这大大影响了消费者对其的选择。
【配图】
【案例来源】
【案例分析】
一、案例问题成因
(一)技术漏洞引发泄露
这类隐私问题是指由于社交媒体安全保护措施不足、不当存储信息而导致用户信息泄露。2005年,麻省理工研究人员下载了7万多名脸书用户个人主页的信息,发现脸书系统存在严重安全缺陷。此后,脸书加强了用户信息的安全保护。2018年9月,脸书平台漏洞导致680万用户尚未公开的照片被泄露。2019年3月,脸书被报道以纯文本形式存储了多达6亿个脸书用户密码,但是直到消息泄漏后脸书才进行回应。可见,脸书对于用户隐私泄露并没有建立有效的保护机制和反映机制,甚至都不能快速察觉数据遭遇泄露。在IBM公司发布的报告中,企业发现数据泄露的平均时间是197天,而控制住由此产生的后果还额外需要平均69天的时间。发现和控制的时间越久,由此产生的损失也越高。因此,无论是从保护用户隐私的角度,还是从维护企业利益的角度而言,提高技术防护能力,遇到问题能够及时通过软件修复显得尤为重要。
(二)行业自律的失败
美国的隐私保护主要依赖行业自律,数据隐私管理公司TRUSTe是美国隐私权行业自律的代表。TRUSTe是一家位于旧金山的非营利性公司,该公司为全球
5000多家企业提供隐私认证服务。隐私认证是美国互联网行业自律的主要模式,这一模式关键在于隐私认证的行业公信力。行业自律就是借助隐私认证的行业公信力督导网络服务供应商安全合理地收集、使用用户数据,以此实现行业的自我规范。脸书也是TRUSTe的客户之一。早在2010年,《华尔街日报》就曾报道脸书关联的某些应用程序,将用户的账户信息出售给广告商。TRUSTe对脸书的隐私认证在当时就受到了质疑,而其给出的回复是:脸书的服务属于该公司隐私认证的核查范围,而第三方应用程序却不在TRUSTe的考察范围之内。TRUSTe、BBBOnline等第三方监督机构在隐私保护方面提供了申诉、评估、争端解决等服务,但是剑桥分析公司泄露用户信息事件,再次暴露出美国以行业自律保护隐私权的做法缺乏足够的公信度和执行力。美国自1993年实施“国家信息基础设施”计划以来,对互联网行业采取放任自由的新自由主义政策,在隐私规范方面以行业自律为调剂手段。在私有化、市场化、全球化的新自由主义浪潮下,互联网企业以逐利扩张作为行业发展的主要目标,用户隐私成为互联网企业发展带来的“必要代价”。在数据商品化的趋势下,行业自律作为规范手段越来越缺乏规制力度。
(三)信息公开的边界模糊
社交媒体信息共享应用的发展,拓展了信息传播的范围,却也使用户个人隐私和公共信息的边界越来越模糊。2006年,脸书推出“消息订阅源”(News Feed),该应用能够向用户智能推荐社交平台内的更新内容,例如将所有好友的动态更新等聚合到订阅页面,方便用户浏览。但该应用在推出后就引发多达74万用户的抗议,用户认为“消息订阅源”的信息过于杂乱,暴露了一些用户不想被曝光的事件提醒、朋友之间的对话和关系状态等。这种用户期望仅在限定范围中公开私人信息和脸书希望更多信息在公共领域流动的矛盾一直都存在。如2013年脸书推出搜索工具“图搜索”(Graph Search),人们可以利用其搜索脸书内的任何主题,这增加了用户信息的曝光率和曝光风险,因此这些看似创新的新功能,引发媒体对其的两极评论,用“大胆”“引人入胜”等词进行肯定,同时也会用“令人恐惧”的描述进行批评。
(四)私自抓取用户信息
未经许可通过各类插件秘密跟踪用户使用媒体的轨迹与发布内容,是一些社交平台常用的做法。2007年脸书推出Beacon功能,这是第一个能够秘密跟踪用户网络浏览习惯的技术,也是脸书首次利用个人资料获利的尝试。脸书于2009年关闭了Beacon,但是后续推出的社交插件,如赞(Like)按钮的原理实质和Beacon类似。实际上,脸书私自抓取信息的范围、对象主体极其广泛,不仅包括用户在社交平台的信息,还包括使用应用程序的记录,同时这些被抓取信息的主体由于涉及青少年和非脸书用户等群体而引发舆论批评。例如在2016年脸书启用了“脸书研究”的市场计划,向包括青少年在内的用户每月付费20美元,以获准在其手机上安装应用来抓取隐私。
(五)信息使用的不透明
在大数据时代,海量性数据以及数据的相关分析,使得隐私保护受到威胁。即使用户授权脸书及其第三方使用者在一定程度上使用其信息,但是这些信息往往超出用户的合理期待范围而被利用。大量脸书用户信息被收集、存储、预测,让数据使用者创建了潜在消费者的图像,洞悉着用户的喜好和价值观,这为脸书赢得了商业上的价值。但对于脸书用户和社会整体而言,社交媒体平台方如何使用数据则属黑箱状态,其中的隐私泄露风险也难以被知晓。至少目前来看,2018年“剑桥分析”等事件表明用户信息可能被用以影响政治选举;大数据分析技术的滥用也可能带来对某些群体的歧视,如在政策制定过程中忽视社交媒体上的不活跃群体等。
(六) 法律规制存在困境
美国在1974年就通过了《隐私权法》,之后又通过了《消费者网上隐私法》《儿童网上隐私保护法》《电子通讯隐私法案》等一系列法规,但是这些法规的立法目标明显倾向于维护网络服务供应商的运作,而不是优先保障用户隐私权。
美国联邦贸易委员会一直在推动信息性隐私权立法工作。1998年,美国联邦贸易委员会对1400家网站进行抽查后,明确要求互联网企业采取管理措施,防止未经授权的个人信息泄露。此后,联邦贸易委员会试图以立法的形式推进信息性隐私权的保护,这一举动遭到在线隐私联盟(Online Privacy Al-liance)的联合抵制。在线隐私联盟的会员包括微软、苹果、美国电话电报、迪士尼、时代华纳、戴尔、易贝等互联网公司,这些互联网巨头的集体抵制使得美国的信息性隐私权立法迟迟不能就位。
二、案例利弊分析
(一)用户人身财产受到威胁
用户个人信息泄露会给用户的人人身财产造成不利影响。在大数据时代,越来越多的公民个人信息成为不法分子争抢的“香饽饽”,要么被直接出卖非法获利,要么被犯罪分子利用,从事电信诈骗、非法讨债甚至绑架勒索等犯罪活动。犯罪分子通过各种途径收集到人们被泄露出去的隐私,经过筛选分析用户特征,进行精准犯罪。例如在中国安全防范产品行业协会发布的一例案例中,上海某上市公司的总账会计陈某,被不法分子收集到的信息克隆出公司微信群骗取169万元人民币,这就是典型的隐私泄露造成的网络诈骗案件。
(二)企业信誉遭受公众质疑
脸书用户信息事件,不仅使脸书获得50万英镑的罚款,而且失去了社会公众的信任,不少用户表示对脸书公司很失望,将考虑减少使用或不再使用脸书这一社交平台,脸书正在失去用户的“心”。因泄露因泄密门影响,Facebook市值蒸发360亿美元,股价周一(2018年3月19日)跌7%,周二盘中跌超6%,最终收盘收缩到跌2.3%。社交媒体被称为特朗普入主白宫的旗手,“通俄门”事态将通过Facebook等个股影响大盘。
(三)形成倒逼机制
Facebook客户信息泄露事件已经演变成重大的政治事件、经济事件、金融事件、科技事件、大数据事件、客户信息保护事件等多重重大的、深层次问题。这起事件的严重程度远远超过市场、所有政治家、经济金融家以及民众的预期。这种严重性或不在于北美5000万客户信息被泄露的庞大数据,而在于诸如Facebook等超级平台上积累的数据特别是客户信息如何应用,如何堵住被滥用的漏洞。特别是被应用于政治选举之中,大数据竟然成为政治选举的工具,甚至是邪恶工具。这是令人吃惊的。更加令人吃惊的是,平常对于大数据与云计算这对孪生姐妹,都往往注重于经济金融商业上的应用与开发,注重于服务经济金融与商业商家等。然而,通过Facebook事件,竟然吃惊的发现完全可以应用到左右选民投票的政治选举等政治事件中。不过,正是由于Facebook客户信息泄露事件影响如此恶劣,才引发了社会公众和国家层面的高度重视,形成了倒逼机制,促使互联网公司建立有效的保护用户隐私机制,加强行业自律,国家完善互联网隐私保护的立法和建立一套完整有效的监管机制,个人也开始增强在网络中信息保护的意识。
三、自身启示与体会
近年来,社交媒体逐渐成为人们日常生活中必不可少的社交工具,然而社交媒体在急速发展的同时,也产生了一些负面影响。不久前,美国知名社交媒体Facebook爆出了数千万用户隐私泄露的丑闻,引发了巨大轰动。新媒体时代除了给我们带来了新的机遇,也给我们带来了极大的挑战。“Facebook泄露门”事件给予了我们众多启示。
中国网络治理经验和新媒体规则不乏有很多“提前性”。长期以来,中国对于新媒体和内容的管理备受西方抨击。但是,Facebook事件极大改变了这个根深蒂固的“成见”。中国网络治理基于自己的利益关切和实践需要而形成的制度和规范,被越来越多国家认可和借鉴。中国作为全球最大的互联网用户群体,也是社会发展遭遇互联网冲击和影响的国家之一,我们的治理经验和制度建设,不乏世界性的借鉴意义。当然,我们迫切需要将过去网络治理经验和制度进一步透明化、阳光化,并且站在全球的视野和格局下,加快制度化建设。因此,我们应该在树立中国网络治理制度自信。
与此同时,平台主体责任也不仅仅是口号。平台的自律、自审是最关键的防线。这次事件Facebook是过错方,但是包括Facebook和扎克伯格对于事件的诚恳态度,及时而果断的举措,值得赞赏和肯定。不回避问题和过失,不首先试图开脱自己的责任,值得国内诸多平台以及互联网企业家学习。国内网络平台最大的问题和隐患在于平台在巨大商业利益驱动下,“唯利是图”,公共利益和社会责任经常成为牺牲品。发动和扶持政府和平台之外的独立第三方机构成为未来必由之路,也是提升治理有效性和效率的关键。
四、案例对策建议
(一)政府为用户隐私提供保障
此次“Facebook泄露门”事件虽不涉及我国网民,但也须引起我国广大网民、社交媒体以及数据分析机构的警惕。我国曾于2012年12月28日通过了《关于加强网络信息保护的决定》,并于2013年2月1日起实施《信息安全技术公共及商用服务信息系统个人信息保护指南》,其中严格规定了对个人信息的收集与利用,同时还划分了个人一般信息与敏感信息,使我国的个人信息保护工作有了标准。但仅以“指南”的形式出台的指导性文件显然相较于具有强制性的法律在效力上略显不足。我国于2017年6月1日起实施《中华人民共和国网络安全法》,使个人信息安全有了更有力的保障。可以看出,法律的健全才是给广大网民个人信息最强有力的保护,才是对企图窃取用户信息的不法分子的有力震慑。此外,对于已经涉嫌窃取用户信息的个人和组织,要给予有力的行政处罚甚至法律处罚。此次Facebook的数据泄露,Facebook的创始人扎克伯格将面临美国国会的质询以及对其公司的调查。用户数据的泄露不仅会对用户的日常生活造成影响,更可能严重危害社会秩序和公共安全,因此,政府和司法机构要担负起我国网络安全的最后盾牌的责任。
(二)社交媒体应成为隐私保护的主体力量
Facebook在发生如此巨大的丑闻之后,其创始人扎克伯格通过多家媒体发表了道歉信,同时对Facebook作出了一系列调整,如调整了数据设置工具的入口,使其更容易被用户找到;推出隐私快捷键菜单,使用户更易对个人隐私进行设置;允许用户下载或删除Facebook中的信息;结束与若干家数据代理商的合作等等。Facebook作出的这些改变非常值得我国的社交媒体借鉴,不仅要通过技术手段为用户信息安全竖起层层屏障,更要增强自律意识,将用户信息安全放在首 要地位而非唯利是图。即使我国目前还没有发生过如 此大规模的信息泄露事件,但仍需提高警惕,防患于未然。社交媒体虽然没有政府和司法机构的强制性力量, 但却是在用户个人信息保护过程中的第一道屏障,如果用户个人信息的外漏能在社交媒体这一层面得到抑制,将大大提高信息保护工作的效率,提升广大用户的信心,从而创建文明、安全的网络环境。
(三)用户要增强隐私保护意识
社交媒体作为人们日常生活中必不可少的社交工具,用户对社交媒体的依赖性日益增加,但用户在经常性使用社交媒体的同时也应增强对个人隐私的保护意识。首先,用户应避免在社交媒体中上传和分享涉及个人私密信息的内容,如果一定要上传,也需将重要信息进行遮挡处理;其次,不要轻易对陌生软件或链接进行授权,也不要轻易点击可疑内容或链接可疑WiFi;最后,了解社交媒体的功能设置,在不需要时尽量关闭 地理位置等功能。增强用户防范意识,才能在最初环节降低隐私泄露的风险,用事前防范代替事后追责。
五、相似案例比较
(一)相似案例简介
无独有偶,用户隐私泄露的事件不仅发生在Facebook这一家公司中,享誉全球的苹果公司也多次陷入“泄露用户隐私”的风波中。
2014年7月11日,中央电视台新闻频道(CCTV13)播出的“新闻直播间”中,央视报道称苹果公司iOS系统会记录用户曾去过的地点,有泄露用户隐私的可能。
央视新闻中曝光的这个“常去地点”并非新功能,iOS 7发布之后就已经存在,它可以记录用户常去的一些地点,并在设备上显示。若用户打开iPhone的设置——隐私——定位服务——系统服务——常去地点。就会发现,iOS 7系统可以查看过去一段时间内这部手机到过的地点及次数。
央视报道称,在系统数据文件中,记录用户位置的日志文件并没加密,以明文形式存在,并且即便关闭常去地点功能,依然有记录的可能。
对此,苹果公司发布了一份官方声明称,并未窃取用户隐私,称iOS的定位功能是安全可靠的。“我们的业务并不依赖于收集大量用户个人信息。”
事实上,在2011年,苹果公司的定位功能就已经陷入了侵犯个人隐私的事件中,当时苹果对该事件作出回应,表示“苹果公司从未有主动收集用户信息的行为,该项功能在地位服务上确实存在一些漏洞,会在近期修正”。在这年里,韩国iPhone用户起诉苹果,未经同意擅自搜集用户行踪信息,要求赔偿271亿韩元,约合1.6亿元人民币。最终一名用户胜诉,苹果向其支付约合6100元的赔偿。2012年,苹果公司再次因搜集用户位置信息,在美国圣何塞被起诉。至2014年问题再次被暴露出来,可见苹果公司并未对此项功能按照他们承诺的那样进行修复,仍存在泄露用户隐私的隐患。
(二)相似案例来源
1.苹果再陷“定位门”:否认泄露用户隐私_导航地图_GPS新闻-中关村在线
2.央视报道称苹果iOS系统可能泄露用户隐私|苹果|位置记录|隐私_手机_科技时代_新浪网
3.苹果官方正式解释iPhone定位信息收集问题_软件学园_科技时代_新浪网
(三)比较分析
1.相同之处
Facebook和苹果公司“定位门”事件都不同程度侵犯到了他们用户的隐私,并受到了一定的处罚。这两家公司都在事后发表声明,表示自己并无故意侵犯用户隐私的意图和行为,所做的一切都是为了用户更好的使用体验。但不论出发点如何,最终的结果都确实侵犯到了用户的隐私并且给用户带来了恐慌,让用户对自己的产品产生了不信任。这也反映了在当下的大数据时代,个人隐私保护变得越来越难,我们使用的各个可以连接互联网的产品,都有可能在无意中“偷走”我们的隐私。
2.不同之处
在最后的处理结果方面,相比于Facebook与美国联邦贸易委员会(FTC)达成了和解,并支付了高达50亿的罚款,苹果公司受到的处罚很小,只有个别用户针对此事件起诉苹果公司,败诉后支付了少量的赔偿金。并且在Facebook事件中,有一些官方机构介入调查,而苹果公司的事件,并未引起官方的重视和介入,只是有舆论风波。这就导致了两家公司对于此事件处理的不同态度,Facebook承诺在隐私设置变化时要事先征得用户同意,且采取了一定的措施。而苹果公司的隐私泄露隐患仍旧存在。在对两家公司的后续影响方面也有一定的不同,该事件解决后,Facebook虽获得了高昂的利润,但却大大影响了消费者对其选择;苹果公司尽管受到用户质疑,但其消费者并未因此而显著减少。
【参考文献】
[1]赵康,中国社会科学院新闻与传播研究所,《数据泄露折射隐私权保护问题》,《中国社会科学报》,2018年11月8日第003版.
[2]牛静、赵一菲,《数字媒体时代的信息共享与隐私保护》,《中国出版》,2020年6月23日.
[3]付凯迪.社交媒体中的用户隐私保护——以“Facebook泄露门”事件为例[J].新闻研究导刊,2018,9(05):59-60
[4]方兴东、陈帅。Facebook-剑桥事件对网络治理和新媒体规则的影响与启示[J].社会科学期刊,2019,(01):102-109.