最近,Facebook数据泄露丑闻引爆了舆论。这里不妨先复盘一下整个事件:早在2013年,剑桥大学一名研究人员(同时也“秘密”地是俄罗斯彼得堡大学副教授)亚历山大•科根(Aleksandr Kogan),在Facebook上开发了一款性格测试应用——“this is your digital life”,并通过随机发放2到5美元红包的方式大力推广。当时,安装这款应用的用户约27万,由于用户均授权该应用获取社交关系以及好友信息,科根间接获得了额外近5000万人的数据。随后,他经由其创立的“环球科学研究”(Global Science Research)公司,将上述数据分享给一家名为“剑桥分析”(Cambridge Analytica)的政治咨询公司。该公司由美国总统顾问、白宫首席策略师史蒂夫•班农创立,旨在从海量信息出发,有针对性地向听众投放宣传材料,从而改变听众行为。2015年,Facebook得知这一消息,屏蔽了“this is your digital life”应用,并敦促科根和剑桥分析公司删除所有用户信息。虽然后者对此并无异议,可相关数据的删除与否,Facebook却并未跟踪调查与追究。而在2016年的美国总统大选中,这些数据被用于新闻或观点的精确投放,以帮助特朗普团队。不过,关于剑桥分析公司对特朗普的获胜究竟贡献多大,目前尚存大量争议。大多数政治学家均对这种定向广告的有效性表示出强烈的怀疑,认为所谓用户个性分析与投票之间或者不充分或者不相关,剑桥分析公司只是夸大其词而已。但无论如何,正如扎克伯格在3月22日的书面申明中所坦承的,Facebook在用户数据保护方面犯了错误。
本来,美国的个人信息保护无需我们操心。但“殷鉴不远,在夏后之世”,这一事件恰如隔空为我们敲响了一次警钟。而在中国阿里巴巴的市值借机超越Facebook的当口,不妨做些未雨绸缪的假想:若Facebook信息泄露事件发生在中国,我们究竟该如何应对呢?
科根和剑桥分析公司的“恶”
作为始作俑者,科根第一大“恶”是违反我国《民法总则》第111条和《网络安全法》第41条,未经5000万用户的同意,非法收集个人信息。当然,科根并不会坐以待毙,他还可以从如下方面提出抗辩。
首先,科根可以主张他从事的是学术研究,因此无需获得用户同意。我国《个人信息安全规范》第5.4条列出了用户同意的若干例外,其中一种情形是“学术研究机构出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理”。事实上,2013年,科根大规模收集数据的行为就曾触发了Facebook的内部预警机制,而当Facebook得到其“用于学术目的”的回复后,就不再过问了。但问题是科根压根不是在做学术研究。调查发现,科根一开始就获得了剑桥分析公司的资助,更重要的是,他向后者提供的全部是指向特定个人的信息,而非匿名信息。因此,从事研究的抗辩纯属狡辩。
其次,科根可以主张他已获得了Facebook的同意。因为 “this is your digital life”应用并非无中生有,而在合法嫁接在Facebook的平台上。作为“开放图谱”(Open Graph)计划的一部分,Facebook允许第三方在遵守《开放平台政策》的条件下,使用“开放应用编程接口”(Open API),并调取Facebook用户的数据。在2014年Facebook更新其平台架构之前,Open API不但允许开发者访问登录其应用的用户信息,还能访问用户好友的生日、城市、兴趣、工作经历、宗教信仰等各种信息。然而,不论Facebook的授权得当与否,所谓授权在事实上也因科根超越权限而无效,因为《开放平台政策》第3.10条明确规定:“不得将从我方接收的任何数据(包括匿名、汇总或派生数据)转让给任何广告网络、数据代理或其他涉及广告或创收的服务。”