從臉書(shū)用戶個(gè)人信息泄露事件談我國(guó)社交媒體用戶隱私保護(hù)

羅力

（上海社會(huì)科學(xué)院信息研究所，上海 200235）

1 引言

隨著信息通信技術(shù)和互聯(lián)網(wǎng)應(yīng)用的不斷推進(jìn)，互聯(lián)網(wǎng)的社交和娛樂(lè)屬性愈發(fā)突出。社交媒體不僅是一種個(gè)人社交工具，也在企業(yè)爭(zhēng)奪傳統(tǒng)及數(shù)字市場(chǎng)時(shí)扮演收集市場(chǎng)情報(bào)的重要角色。社交媒體的迅猛發(fā)展，改變了全球媒體生態(tài)和商業(yè)模式，繼而衍生出一種全新的交流、互動(dòng)與消費(fèi)形態(tài)。國(guó)內(nèi)外社交媒體有多種不同類型，其中國(guó)內(nèi)最廣為人知的就是微信、微博、抖音等。這些社交媒體各有不同的功能和特色，比如微信是一個(gè)可以分享文字、照片、支付為主的即時(shí)通信平臺(tái)；微博則是一個(gè)分享文字、照片、音樂(lè)、視頻的平臺(tái)；而抖音則是以分享短視頻為主的平臺(tái)。國(guó)外最廣為人知的則是臉書(shū)、推特和WhatsApp，臉書(shū)是一個(gè)發(fā)布文字、照片、音樂(lè)動(dòng)態(tài)的平臺(tái)；推特是類似微博的平臺(tái)；WhatsApp則是類似微信的平臺(tái)。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的《第45次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告報(bào)告》顯示，截至2020年3 月，我國(guó)網(wǎng)民規(guī)模為9.04 億，手機(jī)網(wǎng)民規(guī)模為8.97 億，其微信朋友圈和微博使用率分別為85.1%和42.5%[1]。截至2019年12 月底，臉書(shū)月活躍用戶達(dá)到25 億，WhatsApp 的用戶超過(guò)20億，成為活躍用戶僅次于臉書(shū)的社交媒體平臺(tái)[2]。

然而隨著社交媒體活躍用戶激增與年輕化，針對(duì)社交媒體用戶的個(gè)人信息泄露、非法獲取和隱私侵害事件逐年增多。比如臉書(shū)在2018 年9 月公布，發(fā)現(xiàn)其平臺(tái)的安全漏洞，并已經(jīng)請(qǐng)求司法機(jī)關(guān)介入調(diào)查。攻擊者發(fā)現(xiàn)了臉書(shū)平臺(tái)的安全漏洞，并可以利用這個(gè)漏洞盜取登入代碼，接管其他用戶的賬號(hào)。大約5千萬(wàn)個(gè)登入代碼被盜[3]；2018年5月，推特稱其發(fā)現(xiàn)了該公司存儲(chǔ)用戶密碼時(shí)的一個(gè)漏洞，有3.3 億推特月活躍用戶的密碼以明文形式暴露在公司內(nèi)部系統(tǒng)，這些用戶密碼存在被泄露的風(fēng)險(xiǎn)[4]。2020年7 月15日，韓國(guó)通信委員會(huì)表示，已對(duì)短視頻平臺(tái)、抖音海外版TikTok 罰款1.86億韓元（約合15.5萬(wàn)美元），原因是TikTok在未征得家長(zhǎng)同意的情況下收集了14歲以下兒童的數(shù)據(jù)，違反了當(dāng)?shù)仉娦欧?，并且沒(méi)有就向海外轉(zhuǎn)移個(gè)人數(shù)據(jù)對(duì)用戶做出適當(dāng)通知[5]。2020年3月21日，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)新浪微博相關(guān)負(fù)責(zé)人就新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App 數(shù)據(jù)泄露問(wèn)題進(jìn)行了問(wèn)詢約談，要求其按照《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)要求，對(duì)照《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，進(jìn)一步采取有效措施[6]。如何能夠確保社交媒體用戶隱私安全已成為了國(guó)內(nèi)外政府、社交媒體平臺(tái)和用戶共同關(guān)心的問(wèn)題。本文將以2018年3月臉書(shū)個(gè)人信息泄露事件為切入點(diǎn)，分析社交媒體平臺(tái)用戶隱私保護(hù)面臨的各種風(fēng)險(xiǎn)以及國(guó)內(nèi)外主要社交媒體平臺(tái)的用戶隱私保護(hù)做法，繼而提出加強(qiáng)國(guó)內(nèi)社交媒體用戶隱私保護(hù)的若干建議。

2 臉書(shū)用戶個(gè)人信息泄露事件回顧

2014 年，劍橋大學(xué)心理學(xué)家亞歷山大·庫(kù)甘（Aleksandr Kogan）推出心理測(cè)驗(yàn)應(yīng)用程序“這是你的數(shù)字生活（This is Your Digital Life）”?！皠蚍治觥惫臼且患页闪⒂?013年且以大數(shù)據(jù)分析為主要業(yè)務(wù)的公司，他們獲得了該心理測(cè)驗(yàn)應(yīng)用程序。2015 年，“劍橋分析”公司通過(guò)心理測(cè)驗(yàn)獲得8700萬(wàn)名使用者本身及使用者好友名單個(gè)人信息的權(quán)限，該公司為此支付了一百萬(wàn)美元的酬金。劍橋分析根據(jù)臉書(shū)所給予的權(quán)限開(kāi)始大規(guī)模收集使用者及其好友的個(gè)人信息和日常動(dòng)態(tài)信息，包括發(fā)帖、瀏覽過(guò)的帖子、點(diǎn)贊過(guò)的帖子、參與過(guò)哪些活動(dòng)，以及對(duì)哪種類型的內(nèi)容做出反應(yīng)。根據(jù)臉書(shū)所提供的權(quán)限，即使使用者沒(méi)有使用該應(yīng)用程序，也有可能因?yàn)槠渌糜咽褂迷搼?yīng)用程序，使其日?；顒?dòng)受到未經(jīng)同意的追蹤?！皠蚍治觥惫局饕窃谀槙?shū)平臺(tái)上投放廣告來(lái)影響大眾。雖然實(shí)際安裝并使用該應(yīng)用程序的用戶僅有27萬(wàn)人，但由于臉書(shū)也允許該公司去抓取用戶好友的信息，因此在幾年里共獲取了超過(guò)8700萬(wàn)名臉書(shū)用戶的動(dòng)態(tài)信息。

隨后臉書(shū)發(fā)現(xiàn)“劍橋分析”公司在獲取和使用個(gè)人信息的過(guò)程中存在不合規(guī)的行為，也逐步收緊應(yīng)用程序開(kāi)發(fā)者在獲取用戶個(gè)人信息時(shí)的權(quán)限范圍，用以增強(qiáng)用戶隱私的保護(hù)力度。但并沒(méi)有更進(jìn)一步去確認(rèn)對(duì)方是否真的刪除不當(dāng)獲取的個(gè)人信息，也沒(méi)有告知相關(guān)用戶。2018年3月，臉書(shū)宣布暫停劍橋分析以及其母公司的臉書(shū)賬號(hào)。這是臉書(shū)自創(chuàng)建以來(lái)遭遇的最大規(guī)模用戶個(gè)人信息泄露事件。臉書(shū)創(chuàng)始人扎克伯格道歉并承諾做出六大改善方向及修改有關(guān)隱私權(quán)保護(hù)政策。據(jù)美國(guó)媒體在2019年7月12日?qǐng)?bào)道，美國(guó)聯(lián)邦貿(mào)易委員會(huì)批準(zhǔn)與臉書(shū)公司達(dá)成一項(xiàng)約50億美元的和解協(xié)議[7,8]。

3 社交媒體平臺(tái)用戶隱私安全風(fēng)險(xiǎn)分析

社交媒體平臺(tái)用戶面臨的隱私安全風(fēng)險(xiǎn)可分為內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)，內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)可以相互轉(zhuǎn)化。如果內(nèi)部風(fēng)險(xiǎn)沒(méi)有得到妥善防控，就會(huì)加劇外部風(fēng)險(xiǎn)的到來(lái)，而如果做好外部風(fēng)險(xiǎn)防控工作，那就有力緩解內(nèi)部風(fēng)險(xiǎn)的防控壓力。

3.1 內(nèi)部風(fēng)險(xiǎn)

國(guó)內(nèi)外社交媒體平臺(tái)沒(méi)有根據(jù)現(xiàn)行的個(gè)人信息保護(hù)法律法規(guī)和個(gè)人信息保護(hù)標(biāo)準(zhǔn)制定合適的隱私保護(hù)政策或者沒(méi)有很好地將隱私保護(hù)政策執(zhí)行到位，比如沒(méi)有對(duì)第三方數(shù)據(jù)共享進(jìn)行合理的約束，“劍橋分析”事件就屬于這種情況，或者是沒(méi)有對(duì)平臺(tái)的漏洞進(jìn)行定期掃描，比如推特3.3 億月活躍用戶的密碼以明文形式暴露在公司內(nèi)部系統(tǒng)，這些用戶密碼存在被泄露的風(fēng)險(xiǎn)。另外就是平臺(tái)用戶發(fā)布的個(gè)人信息、發(fā)帖等被別有用心的第三人收集，最終存在隱私泄露的風(fēng)險(xiǎn)。

3.2 外部風(fēng)險(xiǎn)

外部因素主要是指黑客攻擊和撞庫(kù)攻擊。黑客攻擊常見(jiàn)的手法包括：社交工程、釣魚(yú)程序、惡意軟件、竊取遠(yuǎn)程登錄密碼等。黑客攻擊是指黑客通過(guò)攻擊數(shù)據(jù)庫(kù)，獲取部分用戶數(shù)據(jù)的行為。黑客通過(guò)已經(jīng)發(fā)現(xiàn)的漏洞對(duì)數(shù)據(jù)庫(kù)后臺(tái)實(shí)施攻擊，并最終獲得訪問(wèn)數(shù)據(jù)庫(kù)后臺(tái)的權(quán)限。撞庫(kù)攻擊就是用已知數(shù)據(jù)庫(kù)中的賬號(hào)密碼去不同的平臺(tái)嘗試登錄，因?yàn)橛行┯脩袅?xí)慣在不同的平臺(tái)使用相同的密碼，這就導(dǎo)致被嘗試出來(lái)的密碼越來(lái)越多。隨著數(shù)據(jù)庫(kù)容量的不斷累積，能夠匹配的數(shù)據(jù)也會(huì)越來(lái)越多[9]。

4 國(guó)內(nèi)外社交媒體平臺(tái)用戶隱私保護(hù)做法

縱觀國(guó)內(nèi)外社交媒體平臺(tái)對(duì)用戶隱私的保護(hù)措施和力度而言，國(guó)內(nèi)主要是騰訊，國(guó)外則是臉書(shū)和推特。騰訊旗下有多款社交媒體平臺(tái)，比如QQ、微信等均在用戶個(gè)人信息安全和隱私保護(hù)方面做了相當(dāng)多的工作。雖然臉書(shū)和推特均曾遭遇過(guò)用戶個(gè)人信息泄露事件，但其在用戶隱私保護(hù)方面的一些做法還是值得借鑒的。

4.1 騰訊的用戶隱私保護(hù)做法

根據(jù)《騰訊隱私保護(hù)白皮書(shū)》顯示，騰訊現(xiàn)階段的隱私保護(hù)理念是“科技向善，數(shù)據(jù)有度”，其中“數(shù)據(jù)有度”是指數(shù)據(jù)管理要遵守法度、數(shù)據(jù)使用要有嚴(yán)謹(jǐn)?shù)膽B(tài)度、數(shù)據(jù)收集要有一定限度、數(shù)據(jù)保護(hù)要加大力度、數(shù)據(jù)服務(wù)要體現(xiàn)溫度。騰訊已經(jīng)建立起一套比較完整的基于全生命周期理念的數(shù)據(jù)管理制度和多角度的隱私保護(hù)機(jī)制，讓現(xiàn)有的數(shù)據(jù)保護(hù)策略變得更為制度化、數(shù)據(jù)管理流程顯得更為規(guī)范化。在數(shù)據(jù)安全技術(shù)上，采用數(shù)據(jù)加密、數(shù)據(jù)脫敏、集合交集計(jì)算、量子加密等技術(shù)，通過(guò)事前可預(yù)防、事中有保護(hù)、事后能溯源，多角度保護(hù)用戶隱私安全[10]。騰訊通過(guò)搭建“隱私保護(hù)平臺(tái)”提升了用戶的個(gè)人信息安全素養(yǎng)，讓用戶對(duì)隱私保護(hù)問(wèn)題有更加清晰的認(rèn)識(shí)。用戶可以在這個(gè)平臺(tái)獲取《騰訊隱私保護(hù)政策》及相關(guān)文件、產(chǎn)品隱私保護(hù)指引、隱私保護(hù)常見(jiàn)問(wèn)題等政策文件。騰訊將“從設(shè)計(jì)保護(hù)隱私（privacy by design）”理念較好地融入到產(chǎn)品開(kāi)發(fā)、功能設(shè)計(jì)、運(yùn)營(yíng)等各個(gè)環(huán)節(jié)中，在盡可能確保用戶隱私安全有保障的前提下，讓用戶獲得更好的使用感受。騰訊將用戶管理個(gè)人信息的需求在產(chǎn)品開(kāi)發(fā)中加以實(shí)現(xiàn)，把用戶對(duì)個(gè)人信息的保護(hù)轉(zhuǎn)化為可以實(shí)際進(jìn)行查詢、修改或者刪除操作的按鍵[11]。

4.2 臉書(shū)的用戶隱私保護(hù)做法

臉書(shū)推出了一系列新措施，旨在讓用戶更加便捷地查看和訪問(wèn)自己在臉書(shū)上的數(shù)據(jù)，并且根據(jù)自己的需求進(jìn)行相應(yīng)的調(diào)整，重新對(duì)移動(dòng)設(shè)備應(yīng)用上的設(shè)置菜單進(jìn)行了調(diào)整，設(shè)置選項(xiàng)卡下的所有不同部分都在單獨(dú)的位置上顯示，方便用戶查找。與此同時(shí)，還在應(yīng)用上增加了一個(gè)隱私設(shè)置快捷菜單，用戶可以在登錄時(shí)選擇添加額外的安全選項(xiàng)、查看和刪除包括搜索歷史、好友申請(qǐng)和共享信息，還能更方便地管理個(gè)人信息以及帖子的瀏覽痕跡。另外，臉書(shū)還推出了一款名為“獲取你的信息”（Access Your Information）的工具，讓用戶能夠直接看到自己的評(píng)論或分享的頁(yè)面鏈接，并且能快速刪除。用戶可以更方便地下載自己的各項(xiàng)數(shù)據(jù)，比如聯(lián)系人和照片等，并將其轉(zhuǎn)移到其它服務(wù)上。臉書(shū)還更新了服務(wù)條款，完善數(shù)據(jù)隱私政策，更好地向用戶說(shuō)明自己收集數(shù)據(jù)的方式以及途徑。這一系列新措施有助于當(dāng)前用戶了解他們?cè)谠撈脚_(tái)上與數(shù)據(jù)相關(guān)的更多詳情，而且也讓用戶更加便捷地刪除相關(guān)數(shù)據(jù)[12]。

4.3 推特的用戶隱私保護(hù)做法

推特此前主要使用HTTPS（安全超文本傳輸協(xié)議）加密數(shù)據(jù)，現(xiàn)在增加了名為“正向加密”（Forwardsecrecy）的先進(jìn)技術(shù)，以保護(hù)用戶數(shù)據(jù)安全[13]。推特給用戶提供了比較好的設(shè)置隱私保護(hù)按鈕，其開(kāi)發(fā)人員在解釋每個(gè)復(fù)選框和按鈕的功能方面做得相當(dāng)不錯(cuò)。以保護(hù)推文為例來(lái)說(shuō)明推特隱私保護(hù)的做法，如果隱私保護(hù)按鈕被勾選，那些不關(guān)注你的人就無(wú)法看到你發(fā)推文、轉(zhuǎn)推、上傳等內(nèi)容，他們也看不到您關(guān)注的賬戶列表。您需要手動(dòng)批準(zhǔn)每個(gè)關(guān)注請(qǐng)求，并且看到您的推文的人將無(wú)法轉(zhuǎn)發(fā)它們，您的推文也不會(huì)被搜索引擎編入索引[14]。2019 年12 月2 日，推特更新了全球隱私保護(hù)政策，讓用戶更好地了解公司的廣告客戶會(huì)接觸到哪些用戶信息，并且新建立了一個(gè)網(wǎng)頁(yè)“推特隱私中心”，匯集了公司的初衷、公告和新的隱私保護(hù)工具，向公眾說(shuō)明推特在隱私保護(hù)方面做出的努力[15]。

5 加強(qiáng)我國(guó)社交媒體用戶隱私保護(hù)的對(duì)策

5.1 政府層面要加快完善社交媒體平臺(tái)用戶隱私監(jiān)管體系

《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行，這是我國(guó)網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律，在打擊網(wǎng)絡(luò)犯罪、保護(hù)公民個(gè)人隱私、規(guī)范網(wǎng)絡(luò)運(yùn)營(yíng)者主體責(zé)任等方面發(fā)揮了不可替代的作用，但部分內(nèi)容以原則性規(guī)定為主，相關(guān)規(guī)定在執(zhí)行層面相對(duì)寬泛，依然存在標(biāo)準(zhǔn)模糊、模棱兩可的情況，不利于具體實(shí)施落實(shí)，有待在具體執(zhí)行層面亟須配套的司法解釋予以進(jìn)一步明確和界定[16]。2020年5月28日，第十三屆全國(guó)人大三次會(huì)議表決通過(guò)《民法典》?！睹穹ǖ洹芬浴半[私權(quán)和個(gè)人信息保護(hù)”專章方式，對(duì)隱私權(quán)和個(gè)人信息定義、保護(hù)原則、法律責(zé)任、主體權(quán)利、信息處理等問(wèn)題作出規(guī)定，開(kāi)啟了隱私權(quán)及個(gè)人信息保護(hù)的新時(shí)代。《民法典》為我國(guó)未來(lái)個(gè)人信息保護(hù)法及數(shù)據(jù)保護(hù)的法律體系構(gòu)建奠定相應(yīng)的制度基礎(chǔ)[17]。目前要加快推動(dòng)《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》等相關(guān)法律出臺(tái)，通過(guò)立法進(jìn)一步細(xì)化包含社交媒體平臺(tái)運(yùn)營(yíng)者在內(nèi)的企業(yè)收集使用用戶個(gè)人信息的規(guī)范；持續(xù)推進(jìn)社交媒體平臺(tái)數(shù)據(jù)安全和個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)研制；建立社交媒體平臺(tái)用戶隱私保護(hù)長(zhǎng)效監(jiān)管機(jī)制；建立有關(guān)的數(shù)據(jù)安全檢測(cè)和通報(bào)常態(tài)化機(jī)制，及時(shí)發(fā)現(xiàn)安全隱患，督促整改；建立信用監(jiān)管機(jī)制，對(duì)存在不良信用記錄的社交媒體平臺(tái)要重點(diǎn)監(jiān)管。

5.2 企業(yè)層面要強(qiáng)化落實(shí)社交媒體平臺(tái)的用戶隱私保護(hù)主體責(zé)任

社交媒體平臺(tái)運(yùn)營(yíng)者要積極開(kāi)展數(shù)據(jù)安全與隱私保護(hù)自評(píng)估工作。社交媒體平臺(tái)運(yùn)營(yíng)者作為責(zé)任主體，應(yīng)建立平臺(tái)內(nèi)部的數(shù)據(jù)安全與隱私保護(hù)機(jī)制，嚴(yán)格履行法律法規(guī)規(guī)定的責(zé)任義務(wù)，同時(shí)依照相關(guān)個(gè)人信息保護(hù)標(biāo)準(zhǔn)，對(duì)其數(shù)據(jù)安全與個(gè)人信息保護(hù)情況進(jìn)行自評(píng)估，積極防范安全隱患。不能想當(dāng)然以為只要出臺(tái)了與個(gè)人信息保護(hù)相關(guān)的法律法規(guī)，就能避免個(gè)人信息泄露事件的發(fā)生。從本次臉書(shū)用戶個(gè)人信息泄露事件可以看出，當(dāng)平臺(tái)企業(yè)與第三方共享用戶個(gè)人信息時(shí)，更要提早在雙方簽署的合同中明確對(duì)所共享的用戶個(gè)人信息進(jìn)行妥善保管，且不可以進(jìn)行濫用。如果發(fā)現(xiàn)第三方濫用用戶個(gè)人信息時(shí)，社交媒體平臺(tái)應(yīng)馬上采取有關(guān)技術(shù)手段對(duì)數(shù)據(jù)接口進(jìn)行管理，并按照之前簽訂的合同采取緊急措施，以避免類似事件再次發(fā)生。社交媒體平臺(tái)要積極將“從設(shè)計(jì)保護(hù)隱私”的理念融入到產(chǎn)品研發(fā)、功能設(shè)計(jì)、運(yùn)營(yíng)的各個(gè)環(huán)節(jié)中，在確保用戶隱私安全可控的基礎(chǔ)上，給用戶更好的體驗(yàn)。

5.3 用戶層面要加強(qiáng)學(xué)習(xí)，提升個(gè)人信息安全素養(yǎng)

用戶要積極學(xué)習(xí)利用互聯(lián)網(wǎng)平臺(tái)上各種網(wǎng)絡(luò)信息安全素養(yǎng)教材，提升個(gè)人信息安全素養(yǎng)。在注冊(cè)登錄使用各種社交媒體平臺(tái)時(shí)，謹(jǐn)慎授予敏感權(quán)限?，F(xiàn)在部分平臺(tái)存在過(guò)度索取用戶信息權(quán)限的傾向，因此需要認(rèn)真閱讀權(quán)限提醒，謹(jǐn)慎開(kāi)啟權(quán)限。用戶要認(rèn)真閱讀隱私保護(hù)政策，重點(diǎn)關(guān)注與第三方進(jìn)行個(gè)人信息共享的情況以及查看隱私政策中賦予的用戶權(quán)利。定期檢查社交媒體平臺(tái)的隱私設(shè)定、盡可能選擇強(qiáng)度高的密碼、盡量不要將相同的用戶名和密碼應(yīng)用于不同社交媒體平臺(tái)的登錄。盡量不接受陌生人的交友鏈接、不亂點(diǎn)來(lái)路不明的網(wǎng)絡(luò)鏈接、在發(fā)布信息前務(wù)必三思、盡量少發(fā)布家庭中未成年人的照片/姓名/住址等個(gè)人信息。最后還要關(guān)注注銷個(gè)人賬戶的各種條件，若隱私政策中未詳細(xì)說(shuō)明注銷渠道，用戶可通過(guò)其他一些渠道自行查找注銷方法。