作者:宁宣凤(合伙人)吴涵(合伙人)赵泱地(主办律师)
随着各国对于个人信息保护立法的完善,企业商业行为与个人信息保护的冲突受到了包括各国执法部门在内的社会广泛关注。以开放社交平台的明星企业Facebook为例,近期接连爆出"cookie过度收集个人信息被罚","涉及5000万用户信息泄露"等新闻,公司股价和声誉受到了严重影响。
类似Facebook的互联网企业利用开放平台的优势迅速地成长为用户眼中的"互联网入口"企业。这些新型企业的特征一般在于其叠加的多边平台市场能为用户提供多类型的增值服务,并通过其掌握的大量不同类型的用户数据,利用大数据技术不断演变新的商业模式,成为"数据驱动型"公司。可以预见的是,在商业驱动下,这类以数据为核心的新企业,其商业行为与个人信息保护将不可避免的发生冲突,如何达到商业发展与个人信息保护平衡将是企业、立法和执法部门需要共同长期关注的问题。
金杜网络安全和数据合规团队将在近期推出系列文章,深度探讨"数据驱动"型经济模式下企业在运营过程中不可回避的多种重大数据合规问题。本文作为该系列文章的第一篇,将带领大家一同回顾Facebook近期事件情况,并对其中所涉及的以下两类数据合规问题进行初步探讨:cookie数据的收集与使用以及Open API场景下的数据开放和共享。
事件回顾
1. 比利时cookie案
应用cookie(尤其是third-party tracking cookie)可能引发个人信息及隐私保护问题。欧盟早在2002年生效的"E-Privacy Directive"[1]即对数据控制者处理包括cookie在内的电子通信领域相关的个人数据作出了详细的规定。最近Facebook在比利时法院被罚则再次将收集和使用cookie数据所涉及的隐私和数据保护问题推上风口浪尖。
对于Facebook收集和使用cookie数据的调查要追溯至2015年,当时比利时隐私保护委员会(Belgian Commission for the Protection of Privacy,CPP)委托比利时Leuven大学的研究人员就Facebook收集和使用cookie数据的行为进行调研,调研结果表明Facebook未经数据主体的明示同意收集并使用cookie数据的行为违反了比利时《隐私法案》[2]。比利时隐私保护委员会在2015年5月13日和2017年4月12日分别向Facebook提出了前后两份建议书[3],并提出整改建议。在建议书中,比利时隐私保护委员会主要关注两个方面的问题:(1)Facebook未就收集和使用cookie数据获得数据主体的充分知情同意;和(2)Facebook在社交插件(social plug-ins)的场景下设置、使用某些类型的cookie并收集相关cookie数据不具有必要性。
但Facebook的整改始终未能让比利时隐私委员会满意。比利时隐私保护委员会据此将Facebook告上法庭,此案之后又历经上诉和再审,最后于2018年以Facebook败诉告终。[4]2018年2月16日,比利时法院判决责令Facebook停止收集用户的cookie数据,并将已非法收集的所有比利时用户数据删除,否则将对Facebook处以每日25万欧元的罚款。
2. "剑桥分析"(Cambridge Analytica)数据泄露事件
据媒体2018年3月17日报道,Facebook上超过5000万用户信息数据泄露,被一家名为剑桥分析的公司获取并用于在2016年美国总统大选中针对目标受众推送广告,从而影响大选结果。[5]
事件的起因是2013年剑桥大学的研究人员亚历山大·科根(Aleksandr Kogan)在Facebook上开发了一款名为"this is your digital life"的应用,并获得了约27万用户。用户在使用这款应用时授权其获取社交关系及好友信息,此应用基于此授权通过Facebook的开放应用程序编程接口("Open API")顺利获取了Facebook上近5000万人的用户数据。随后,科根将这些数据共享给了剑桥分析,用于针对性的竞选广告推送。2015年Facebook得知后屏蔽了该应用,并要求科根和剑桥分析删除所有用户信息,但并未进一步跟踪和追究。
而早在2011年,Facebook就在与美国联邦贸易委员会(Federal Trade Commission,"FTC")达成的《用户隐私和解协议》中承诺将采取并保持用户隐私数据保护的高标准,严格限制用户个人信息的外传。[6]因此,本案引起了FTC的高度关注,并已开始对Facebook的隐私保护问题展开调查,主要针对的正是Facebook是否违反2011年的《用户隐私和解协议》,以及在用户隐私保护上是否存在欺诈行为。同时,美国伊利诺伊州库克县也已经对Facebook提起诉讼,指控其违反了该州的《消费者欺诈与欺骗性商业行为法》,称Facebook号称保护用户数据但在知情情况下多年后仍没能有效阻止剑桥分析的错误行为,导致用户数据的泄露,同时造成巨大损失。[7]
除前述两个引人广泛关注的重大事件以外,仅2017年Facebook遭受的数据合规相关的调查和罚款还包括在法国因未能阻止广告主获取用户数据被罚15万欧元[8]、在西班牙因超期保存用户cookie和违法投放广告被处以120万欧元的罚款[9]、在德国因滥用其作为德国主要社交网络的地位,迫使用户允许其从第三方来源(如带有点赞按钮的网站)收集用户数据而被调查等[10]。
分析及建议
Cookie数据的收集与使用以及Open API场景下的数据开放和共享是互联网企业在日常运营过程中频繁遇到的问题,企业在此方面应充分吸取Facebook的经验教训,谨慎处理与此相关的数据收集、使用、交互和共享等行为。
1. Cookie
Cookie是指用户在访问网站时,网站服务器在用户本地终端设备上安装和存储的"小型文本文件"(cookie)。通过cookie,网站运营者可以记录并获取用户的访问信息,例如用户的身份识别号码、密码、访问的次数和时间、浏览页面的记录等。
欧盟关于cookie的同意规则经历了从2002年"E-Privacy Directive"[11]"选择退出(opt-out)"到2009年修订版"E-Privacy Directive" [12]"选择加入(opt-in)"的变化。2017年1月,欧盟委员会提出了《隐私和电子通信条例(Regulation on Privacy and Electronic Communications)》 ("E-Privacy Regulation")[13]。该条例作为此前通过的《欧盟通用数据保护条例(GDPR)》的特别法 ,意欲取代当前的"E-Privacy Directive",使其符合GDPR的要求,并将于2018年5月25日与GDPR同期生效。"E-Privacy Regulation"针对cookie以及网站信标、图像像素等其他类似设备识别技术的使用提出了更为严格的规则。
在国内司法实践中,对cookie的性质认定存在认识上的分歧。2013年的百度"cookie第一案"反映了此种争议。一审法院认定tracking cookie是个人隐私。二审法院认为其虽具有隐私性质,但不属于个人信息。其认为:网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。但是,2017年6月1日实施的《中华人民共和国网络安全法》("《网安法》")中对个人信息的定义采取了直接识别和间接识别相结合的认定标准。[14] 此外,2017年12月29日发布的《信息安全技术 个人信息安全规范》("《个人信息安全规范》") 进一步指出判定某项信息是否属于个人信息,应考虑识别和关联两条路径。基于此,用户的网站浏览记录等cookie信息与终端设备信息、账户信息等相结合即可很容易地识别到特定个人,倾向于被认定为个人信息,对其的收集、使用和任何处理应遵守《网安法》及其他相关法律法规对个人信息保护的要求。
尽管中国尚未针对cookie数据制定任何详细规则,在互联网企业全球化运营及数据全球流动的背景下,企业可以从以下方面参照欧盟的相关要求对自己收集和使用cookie数据的行为进行自我检查和评估:
- 考察对每一类cookie数据的收集和使用是否是实现某项功能所必须,以及是否有任何非侵入(non-intrusive)的替代方案;
- 针对每一类必须使用的cookie,明确:该cookie收集何种数据?是否与持有的用户其他信息相关联?其生命周期是否与需要实现的目的相符?该cookie的性质、类型?其是第一方还是第三方cookie?谁控制所收集的数据?
- 以通俗易懂、不含晦涩技术术语的语言,在专门的cookie policy或notice中告知用户满足充分知情同意所必须告知的信息。
2. Open API
在数据泄露事件中,Facebook作为一个开放平台,开放其API给第三方应用软件使用,第三方应用软件正是通过该API获得用户在Facebook平台上的数据。在此场景下,Facebook作为基础平台和数据的第一控制者将用户数据共享给第三方应用程序,应就该共享行为尽到充分告知并寻求用户知情同意的义务,并尽到足够的安全管理责任。
然而,据报道Facebook在对第三方应用的授权方面可能存在重大漏洞。2014年之前,其几乎不限制第三方应用软件在取得用户同意的前提下,访问和收集其好友的个人信息。科根正是利用了Facebook 在授权管理上的漏洞,在未告知用户好友数据收集且未征得其同意的前提下,持续收集并使用了他们的数据。2014年,Facebook才对平台进行重新设计,要求第三方应用软件还需要用户朋友本人的同意,才能获取用户朋友的数据,并严格限制了第三方应用软件能够访问的用户数据范围。[15]这与中国北京市知识产权法院于2016年在新浪诉脉脉案终审判决中确立的"Open API开发合作模式中,第三方通过Open API获取用户数据时应坚持用户授权+平台授权+用户授权的三重授权原则"是相一致的。
此外,Facebook被认为未尽到数据共享的风险管理能力。Facebook在将数据共享给第三方应用软件之前,并未评估其收集数据的必要性、数据类型和数据量、数据传输方式以及科根的数据保护能力,未尽到平台应有的审慎义务。在这一点上,《个人信息安全规范》也明确规定"个人信息控制者转让或共享个人信息之前,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施"。[16]此外, Facebook在2015年得知科根将用户信息共享给剑桥分析的事实后,仅采取了两个措施:一是封杀科根开发的应用软件;二是要求科根及剑桥分析销毁他们违规获取的用户数据,并且提供证明文件即可。而并没有及时通知用户数据泄露的情形,也没有采取有效的补救措施,例如要求并监督相关方删除所有数据及其衍生数据并保证不留存任何备份。按照《网安法》第42条和《个人信息安全规范》第9条的相关规定,网络运营者应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。Facebook的这种不作为行为在中国现行法律规定下也可能已违反了其作为数据控制者应尽的责任和义务。
吸取Facebook此次的教训,企业应建立有足够控制力的"数据共享机制":
- 在隐私政策中要充分、明确告知用户其可能会通过Open API模式向第三方共享数据的具体情形,获取用户的明示同意;
- 设置分级制的接口权限,根据共享的数据级别设置不同接口,针对个人敏感数据的接口应单独申请授权;
- 在开放共享前对第三方应用软件开展 "个人信息安全影响评估",并就第三方应用软件对共享数据的后续使用进行监测和追踪;
- 设置预警机制,在第三方应用接触、访问权限之外的个人数据时,及时采取有效措施。
以上是我们希望就cookie和Open API涉及的数据合规问题提示企业注意的重要风险点。我们将在后续系列文章中从技术原理、主要司法辖区的监管规定、相应执法和司法案例、对治理规则的思考及给企业的建议等多方面深入探讨例如cookie、Open API及SDK等所涉及的个人信息和隐私保护方面的问题。
[1] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).
[2] Act of 8 December 1992 on the protection of privacy relating to the processing of personal data ("Privacy Act").
[3] Recommendation no. 03/2017 of 12 April 2017, by the Belgian Commission for the Protection of Privacy.
[4] Facebook ordered to stop collecting user data by Belgian court by The Guardian, https://www.theguardian.com/technology/2018/feb/16/facebook-ordered-stop-collecting-user-data-fines-belgian-court.
[5] Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach, The Guardian, https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election.
[6] Facebook完成与FTC和解协议,新浪科技(http://tech.sina.com.cn/i/2012-08-11/11187493959.shtml )。
[7] 脸书因泄密门在美国首遭州级诉讼?被指滥用用户信息涉嫌诈骗,澎湃新闻(http://www.thepaper.cn/newsDetail_forward_2042184 )。
[8] Facebook在法国被罚16万美元 用户数据保护不力,新浪科技(http://tech.sina.com.cn/i/2017-05-16/doc-ifyfeivp5784995.shtml )。
[9] AEPD Fines Facebook,fieldfisher(http://privacylawblog.fieldfisher.com/2017/aepd-fines-facebook/ )。2018年3月15日,据媒体报道西班牙数据保护局(AEPD)再次因为用户隐私保护不当对Facebook处以30万欧元的罚款(http://es.mofcom.gov.cn/article/jmxw/201803/20180302724013.shtml )。
[10] 德国向Facebook叫板:滥用市场主导地位获取用户数据,凤凰网财经(http://finance.ifeng.com/a/20171220/15879269_0.shtml )。
[11] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).
[12] DIRECTIVE 2009/136/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2009 amending Directive 2002/22/EC on universal service and users' rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws.
[13] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC.
[14]《网安法》第76条第5项。
[15]《从扎克伯格的公开声明看数据保护和流动问题》,网安寻路人,洪延青。
[16]《个人信息安全规范》第8.2条。