Facebook事件的啟示：從個人信息內涵看企業數據合規

文|劉曉春 夏杰

Facebook數據泄露事件始末

2015年，劍橋大學教授亞歷山大·科根（Aleksandr Kogan）將自己研發的一款名為“This Is Your Digital Life”的心理測試小程序放在Facebook平臺上。Facebook用戶出于娛樂的目的完成了這種性格測試的小游戲后，一般會獲得一些小額紅包作為獎勵。但是，要完成這個小游戲，用戶必須通過Facebook帳戶登陸并授權該程序使用該用戶在Facebook上的一系列公開信息，包含用戶的好友列表、所在區域、喜好、朋友圈公開的信息以及用戶好友所“贊”過的話題和新聞等等。最后有27萬Facebook用戶完成了測試，該程序后臺通過滾雪球的方式直接或間接獲取到5000萬Facebook用戶的上述信息，特別是關于點贊的話題和新聞的信息。

隨后，科根教授通過其自己成立的公司將這些數據賣給了一家名為劍橋分析（Cambridge Analytica）的數據分析公司，該公司是由特朗普前助手史蒂夫·班農（Steve Bannon）和保守派捐款人羅伯特·莫瑟（Robert Mercer）創辦的。

不久，劍橋分析公司利用獲取的用戶資料進行大數據挖掘，主要是利用用戶所在區域、用戶點贊、轉發話題和新聞這類信息來建立數學分析模型，推算出用戶進行關于其性格愛好和政治偏向的個人畫像，然后再通過Facebook的廣告平臺針對不同的分類群體進行的精準投放和政治“洗腦”，其中不乏對競爭對手進行造謠誹謗的假新聞精準推送信息，影響了2016年美國總統大選的結果。

2018年3月16日，上述消息被公開后引起一片嘩然，而有爆料人聲稱Facebook在2015年就已經獲知相關信息卻沒有采取嚴肅、有效的措施，更是讓Facebook一夜之間成為眾矢之的。而法律的相關爭議焦點主要圍繞在用戶的個人數據保護、網絡定向廣告的倫理、Facebook平臺責任、數據交易的監管、國家安全等。本文選取個人信息的內涵這一角度對該事件進行探討，并對互聯網企業數據合規提出初步建議。

個人信息內涵與Facebook事件

在整個Facebook事件中，科根教授的這款性格測試小程序收集到的信息主要有：用戶所在區域、點贊、評論、轉發信息、新聞話題留言等，其中涉及到政治偏向畫像的信息主要是用戶的點贊和新聞留言信息。僅僅從個人信息內涵和收集的角度看，這款性格測試的程序收集Facebook上的用戶信息是不是合法呢？

首先，我們先來看看各國法律上關于個人信息是如何定義的。

歐盟于2018年5月25日生效的《通用數據保護條例》（GDPR）基本上延續了其在1995年《數據保護指令》中的定義，即“個人信息是指任何確定或可辨識自然人（信息主體）的信息?？杀孀R自然人是指，任何可以通過姓名、身份證號、位置信息、網上標簽，或者利用身體物質特征、生理特征、基因、精神、經濟、文化、社會身份中一個或多個因素，以直接或間接方式辨識出特定自然人。即如果一條信息存在上述要素而可以對應出特定自然人，則該信息即為GDPR所保護的個人信息?！?/p>

美國沒有統一的個人信息保護法，美國一些主流學者認為個人信息本質上是一種隱私，是個人對自己所有的信息的控制。美國的隱私權既包括名譽權、肖像權等具體人格權，還充當了一般人格權的功能，所以在中美兩國語境下的隱私權有很大的不同。關于個人信息的定義可以參照美國《消費者隱私權利法案（草案）》的定義，即個人信息為能夠連結(link)到特定個人或設備的信息。

我國《網絡安全法》第76條：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！眲t繼受了歐盟GDPR的規定，以“可識別性”作為定義個人信息內涵的依據。

因此，不管是歐盟和我國對個人信息采取的“可識別”到個人的標準，還是美國的尚沒有法律效力的“可連結”到個人或設備的標準，能夠認定對用戶形成畫像的點贊、評論、轉發、留言等信息都應該屬于個人信息。該信息無論是否公開都屬于個人信息。

其次，個人信息定義里面還可以分出個人一般信息和個人敏感信息。

個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息，一般與個人隱私有密切關系。個人一般信息是指個人敏感信息以外的個人信息。

目前世界上大多數國家的個人信息（或個人數據）保護立法都是圍繞著“告知—同意”這個框架來建立的，即網絡平臺、APP首先要告訴用戶它們會如何來收集、使用用戶的個人數據，用戶如果選擇同意，那么它們就會按照事先的約定來收集和使用數據。

對于不同種類個人信息的收集，需要“告知—同意”的方式不同。這種安排主要是為了個人信息保護和企業數據收集、使用之間的平衡。對于個人一般信息，獲得用戶授權同意就行了，并沒有規定嚴格的授權形式。而涉及個人敏感信息則必須獲取用戶的明示同意，例如主動作出電子或紙質形式的聲明、主動勾選、主動點擊“同意”“注冊”“發送”“撥打”等。

此種情況下的Facebook用戶好友信息、點贊、評論、轉發、留言等信息一般應歸入到個人一般信息，并不要求單獨的明示同意。該款性格測試軟件在用戶登陸或轉發時顯然知道自己的信息有可能被收集，因為Facebook用戶上的好友信息、點贊等信息都是公開的，當用戶或用戶好友進行這些操作時，很難說沒有類似默示許可的授權在里面。關于這一點，爭議還是很大。對于企業來說，安全的做法依然是獲取用戶的明示同意。

隨后，在科根教授就獲取的用戶信息以科學研究為借口而賣給劍橋分析公司進行政治偏向分析時，這些作為用戶畫像的數據，卻又構成了個人敏感數據，這時的數據處理行為需要獲得用戶的明示同意。

對企業數據合規的啟示

強化信息收集過程中對用戶的告知義務

2018年5月1日正式實施的推薦性國家標準《個人信息安全規范》對個人信息和個人敏感信息進行了定義和列舉，即“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。而個人敏感信息是指一旦泄露、非法提供、濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息?！眰€人敏感信息包括個人財產信息（如銀行賬號、理財信息等）、個人健康生理信息（疾病治療相關等）、個人生物識別信息（如個人基因、指紋等）、個人身份信息（身份證號等）、網絡身份標識信息（各類網站個人實名賬號密碼等）、其他信息（性取向、宗教信仰等）。詳細的列舉可以參見《個人信息安全規范》的附錄B。

然而在實踐中，個人一般信息和敏感信息可能并不存在明確的界限。個人一般信息和個人敏感信息可能互相轉化，難以區分。因為按照個人敏感信息的上述定義，該定義是以泄露、非法提供、濫用造成的危害后果為標準來定義敏感信息的，因此若取得個人信息的數量很巨大以致于同用戶之間的關聯度很緊密聯系的話，可能仍然還是可能包含著大量敏感信息。例如以Facebook用戶單獨的點贊、評論、轉發、網頁瀏覽記錄可能僅構成個人一般信息，但成百上千個好友中涉及到該用戶的信息可能會包含著大量個人敏感信息。

因此，企業在收集或獲取用戶授權時，為了規避風險的角度，最好全部按照收集個人敏感信息的方式獲得用戶的明示同意，這也符合《個人信息安全規范》的起草者的原意。

動態反思數據處理行為的安全邊界

傳統的數據收集、保存、使用、交易的前提都是對數據的靜態分類，例如對個人一般信息和個人敏感信息分別表明不同的風險級別。在對風險程度低的個人一般信息進行利用的時候，在匿名化處理后，可以給予企業較大的使用權限；在對風險程度高的個人敏感信息進行利用的時候，在完全匿名化處理后，也給予企業同個人數據相同的使用權限。這樣靜態分類的主要目的是為了達到促進大數據的商業利用，以平衡企業在收集、獲取用戶授權方面的成本。

然而，隨著云計算、混合云、彈性存儲、流動數據等新技術的出現，數據的安全邊界變得越來越模糊，例如一些原本已經被匿名的身份，因為得到了另一個數據的關聯而被重新認證，風險級別忽然被提高，事前卻難判斷。匿名化并不完全匿名。

在這種背景下，動態認識個人數據和個人敏感數據、個人數據與匿名化數據的安全邊界，就成為了企業在數據合規問題上時刻懸在頭上的達摩克利斯之劍，如何面對這種技術給法律帶來的沖擊，需要產業界和理論界不斷交流碰撞，自下而上發展出典型場景，逐步形成共識和標準。