“
本月中旬,Facebook資料洩露醜聞爆發,上周一Facebook股價更是大跌7%,市值蒸發360多億美元,CEO紮克伯格也是以身家縮水,跌出福布斯富豪榜前五位。與此同時,歐盟、英國紛紛作出強烈回應,要求對資料洩露事件進行調查。民調顯示,隻有不到一半的美國人信任Facebook遵守美國的隐私法,...
”
資料在不同主體間的傳輸與流轉是大資料時代網際網路産業發展的必然,無論是去年四部委評審的各大網際網路企業的隐私政策中有關個人資訊共享的内容亦或今年年初“信聯”的架構,無不凸顯資訊資料的重要性。當然,資料的流轉同樣帶來了安全管理方面的巨大挑戰,如何確定資料在境内外安全高效的傳輸和使用,是全球網際網路企業乃至部分國家共同需要面對的難題。
本月中旬,Facebook資料洩露醜聞爆發,上周一Facebook股價更是大跌7%,市值蒸發360多億美元,CEO紮克伯格也是以身家縮水,跌出福布斯富豪榜前五位。與此同時,歐盟、英國紛紛作出強烈回應,要求對資料洩露事件進行調查。民調顯示,隻有不到一半的美國人信任Facebook遵守美國的隐私法,更有60%的德國人擔心Facebook和其他社交網絡對民主産生的負面影響。
Facebook的資料洩露事件(以下稱“事件”)無疑是企業向第三方提供資料方面的一本反面教材。顯然,這本反面教材的代價是沉重的,Facebook 不僅市值蒸發數百億,需要接受各國政府的調查與監管,更重要的是背後的使用者信任危機,一旦使用者對Facebook的資料保護能力産生懷疑,這将對其商業模式閉環中的“使用者”和“資料”兩方面産生消極影響,進而動搖其商業根基。
acebook商業模式圖 轉載自36氪 by徐濤
事件始末
本次事件的大緻背景最早可以追溯至2007年。當時Facebook為增強使用者粘性推出應用程式設計接口(API),通過這個接口,第三方軟體開發者可以開發在Facebook網站上運作的應用程式,這被稱作Facebook Platform,而使用者可通過這一平台線上使用相關應用程式并進行互動。使用者在使用該平台時,Facebook與平台上的應用會讀取個人資訊,該部分資訊有的是Facebook上已有的資訊,如使用者的個人資訊和朋友清單等;有的則是使用相關應用時産生的資訊。當時Facebook并沒有對平台資料的交叉使用與共享進行嚴格的區分與管理。本次事件的核心人物——劍橋大學心理學教授亞曆山大·科甘(Aleksandr Koran)及其背後的資料分析公司劍橋咨詢(SCL/CambridgeAnalytica),正是利用了當時Facebook的平台資料共享的漏洞,緻使Facebook上5000萬使用者的資料洩露。
科甘與劍橋咨詢于2013年開發了一款專門針對選民的測試應用“這是你的數字化生活”,對外宣稱是心理學家用于做研究的APP,經使用者授權後收集的資訊包括使用者的年齡、住址、性别、種族、教育背景等個人資訊,平時參與的活動以及在社交網絡中發表、閱讀、點贊的内容,還包括使用者的朋友所釋出的資訊等。一共有約27萬人下載下傳了這一應用,再加上通過公開途徑收集的使用者資訊,共涉及5000萬使用者的資料。據媒體報道,劍橋咨詢在收集到上述資料後,分析出了使用者的行為模式、性格特征、價值觀取向、成長經曆等,以便針對特定使用者推送競選廣告。
事件曝光後,Facebook的副總裁兼副總法律顧問和紮克伯格本人先後發表了對事件的聲明,主要強調科甘是按照合法合規的方式經使用者授權後取得資料,隻是使用中擅自将使用者資料提供給第三方,緻使資料的洩露。同時說明在2014年已對Facebook Platform的資料安全系統進行了全面的優化,在2015年發現科甘違規後已經采取了相應安全措施,包括管理權限和要求删除等,承諾将采取措施監管第三方的資料使用。紮克伯格更是在博文中表示“我們有責任保護好使用者的資料,如果我們連這個都做不到,那麼就不足以向使用者提供任何服務”。顯然,本次事件所反映的資料安全漏洞發人深思。
事件所反映的問題
本次事件反映了Facebook在資料安全管理方面存在的漏洞總結為以下五個方面:
1. 使用者的單獨授權即可收集其關聯使用者資訊
自2014年科甘開始收集資料并提供給劍橋咨詢前,Facebook Platform的規則隻需注冊應用的使用者授權,即可收集該使用者的關聯使用者,例如朋友、親人等互相關注者的資訊。雖然之後Facebook處理了該漏洞,但科甘的應用已經收集了相當數量的資料。
2. 隐私設定預設公開緻使大量資料被第三方抓取
根據國外媒體報道,在2014年之前Facebook對于使用者隐私設定預設的選項是“公開”,由于普通使用者對自身隐私保護缺乏安全保護意識,為第三方随意抓取使用者資訊提供了可乘之機。本次事件中劍橋咨詢除通過其注冊使用者的關聯使用者擷取相關資料,還有搜集了大量使用者公開的資料。
3. 欠缺對第三方擷取使用者資料目的的必要審查
本次事件的關鍵在于科甘對擷取的大量使用者資訊進行分析進而對使用者的政治傾向進行畫像以便用于美國大選,然而Facebook并未有效審查科甘實施上述行為的目的。科甘雖然聲稱其開發的測試應用僅用于學術研究,但實際情況是隻有符合特定條件的選民才能注冊,即使獲得了使用者的授權同意,大量涉及政治傾向的選民資訊的濫用仍然會産生嚴重的政治影響。
4. 對第三方使用使用者資料缺乏有效監控
值得注意的是,科甘的應用所進行的大規模的資料收集,Facebook雖然在短時間内利用技術手段監測到了該行為,但并沒有進行有效的處理,僅在2014年對限制了其對關聯使用者資訊的通路。直至2015年從英國《衛報》記者處得知科甘向劍橋咨詢共享了相關資料後才禁止其應用,同時要求科甘和劍橋咨詢删除所有不當擷取的資料,并開出證明。本次事件的曝光也從側面說明Facebook并未對科甘和劍橋咨詢是否實際履行删除義務進行監督。
5. 欠缺網絡安全事件的資訊公開和應急處理經驗
在本次事件中,正是由于Facebook錯過了控制事态惡化的最佳時機,本應于2015年即可公布并予以處理的資料洩露直至2018年方被公衆知曉。雖然在事件曝光後紮克伯格公布了諸如追查類似應用、再次收緊第三方應用權限、增強使用者告知等預防措施,但上述措施若能在2015年落實,顯然事件的危害程度将大大減小,使用者對于Facebook的信任度也不會如此不堪。
對于我國企業的合規建議
1. 保證在取得使用者的充分授權後方可向第三方提供相關資料
關于使用者個人資訊的收集與使用,我國《網絡安全法》(以下稱“《網安法》”)規定,網絡營運者收集和使用使用者資訊時遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,并經客戶同意;不得洩露、篡改、毀損收集的使用者資訊;未經使用者同意,不得向第三方提供使用者個人資訊;采取技術或其他措施確定收集的使用者個人資訊的安全,防止資訊洩露、毀損、丢失;必要時及時處理保證相關資訊無法識别特定個人且不能複原。若在相關社交應用和功能中被收集的不僅僅是某一特定使用者的個人資訊,還包括了其朋友、親人等關聯使用者的資訊,在向第三方提供時,網絡營運者除獲本人同意外,還應征得關聯賬戶主體的同意。
此外,關于如何保證使用者充分授權,網絡營運者在收集使用者資訊前應當履行必要的提示義務,如在需要收集時進行彈窗提示并将變更條款醒目加粗或标紅,同時應當賦予使用者充分的選擇權等。根據我國《合同法》規定,格式條款免除自身責任、加重對方責任、排除對方主要權利的無效,是以,網絡營運者的資訊收集條款不應成為“霸王條款”,使用者拒絕提供并非基本服務所必須的資訊,網絡營運者應當尊重其選擇,不得過分收集。
2. 應當對個人資訊和重要資料在境内外的傳輸進行安全評估
安全評估是資訊和資料傳輸過程中進行風險控制的重要環節。根據《網安法》第三十七條規定,關鍵資訊基礎設施的營運者在我國境内營運中收集和産生的個人資訊和重要資料因業務需要确需向境外提供的,應當進行安全評估。去年4月,國家網信辦更是釋出了《個人資訊和重要資料出境安全評估辦法(征求意見稿)》,對資料出境安全評估的主管部門、重點内容、禁止性規定進行了明确,雖然該辦法仍處在征求意見稿階段,但無疑為網絡營運者落實安全評估提供了一定的指引。值得注意的是,将于今年5月1日正式實施的《資訊安全技術 個人資訊安全規範》(以下稱“《個人資訊安全規範》”)還明确規定了個人資訊控制者應當開展個人資訊安全影響評估,重點評估共享、轉讓、公開披露個人資訊對個人資訊主體可能産生的不利影響以及個人資訊安全措施的有效性等内容。
開展資料安全的影響評估同樣也是歐美在資料保護上的共識,歐盟自GDPR後,也釋出了相關的安全影響評估的指引,如2017年12月釋出的Handbook on Security of Personal Data Processing,而我國的個人資訊安全影響評估國家标準也正在制定當中。
3. 強化對資訊資料傳輸過程中的監管和審計
事中安全審計的作用雖然不及事前的風險防範,但可以使得網絡營運者及時發現安全隐患并采取相關止損措施。根據《個人資訊安全規範》,進行安全審計時,應對隐私政策和相關規程,以及安全措施的有效性進行審計;同時建立自動化審計系統,監測記錄個人資訊處理活動;審計記錄應為安全事件的處置、應急響應和事後調查提供支撐;必要時及時處理審計過程中發現的個人資訊違規使用、濫用等情況。
4. 完善網絡安全事件的應急預案和資訊披露
制定網絡安全事件應急預案能夠有效加強網絡營運者在發生網絡安全事件後的應急處置能力。《網安法》規定,發生網絡安全事件,應當立即啟動網絡安全事件應急預案,對網絡安全事件進行調查和評估,網絡營運者應采取必要措施,消除安全隐患,防止危害擴大,并及時向社會釋出與公衆有關的警示資訊。去年11月23日工信部釋出的《公共網際網路網絡安全突發事件應急預案》,針對網絡安全突發事件具體分級、預警監測、應急處置、預防準備等方面做了詳盡的規定,初步架構起了我國應對網絡安全事件的體系,網絡營運者可以參照其中規定完善合規政策,進行必要整改。
| 作者:吳丹君 周天一