前沿观察,

数据合规:来自Facebook危机的警示

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

作者:宁宣凤(合伙人)吴涵(合伙人)赵泱地(主办律师)

随着各国对于个人信息保护立法的完善,企业商业行为与个人信息保护的冲突受到了包括各国执法部门在内的社会广泛关注。以开放社交平台的明星企业Facebook为例,近期接连爆出"cookie过度收集个人信息被罚","涉及5000万用户信息泄露"等新闻,公司股价和声誉受到了严重影响。

类似Facebook的互联网企业利用开放平台的优势迅速地成长为用户眼中的"互联网入口"企业。这些新型企业的特征一般在于其叠加的多边平台市场能为用户提供多类型的增值服务,并通过其掌握的大量不同类型的用户数据,利用大数据技术不断演变新的商业模式,成为"数据驱动型"公司。可以预见的是,在商业驱动下,这类以数据为核心的新企业,其商业行为与个人信息保护将不可避免的发生冲突,如何达到商业发展与个人信息保护平衡将是企业、立法和执法部门需要共同长期关注的问题。

金杜网络安全和数据合规团队将在近期推出系列文章,深度探讨"数据驱动"型经济模式下企业在运营过程中不可回避的多种重大数据合规问题。本文作为该系列文章的第一篇,将带领大家一同回顾Facebook近期事件情况,并对其中所涉及的以下两类数据合规问题进行初步探讨:cookie数据的收集与使用以及Open API场景下的数据开放和共享。

事件回顾

1. 比利时cookie案

应用cookie(尤其是third-party tracking cookie)可能引发个人信息及隐私保护问题。欧盟早在2002年生效的"E-Privacy Directive"[1]即对数据控制者处理包括cookie在内的电子通信领域相关的个人数据作出了详细的规定。最近Facebook在比利时法院被罚则再次将收集和使用cookie数据所涉及的隐私和数据保护问题推上风口浪尖。

对于Facebook收集和使用cookie数据的调查要追溯至2015年,当时比利时隐私保护委员会(Belgian Commission for the Protection of Privacy,CPP)委托比利时Leuven大学的研究人员就Facebook收集和使用cookie数据的行为进行调研,调研结果表明Facebook未经数据主体的明示同意收集并使用cookie数据的行为违反了比利时《隐私法案》[2]。比利时隐私保护委员会在2015年5月13日和2017年4月12日分别向Facebook提出了前后两份建议书[3],并提出整改建议。在建议书中,比利时隐私保护委员会主要关注两个方面的问题:(1)Facebook未就收集和使用cookie数据获得数据主体的充分知情同意;和(2)Facebook在社交插件(social plug-ins)的场景下设置、使用某些类型的cookie并收集相关cookie数据不具有必要性。

但Facebook的整改始终未能让比利时隐私委员会满意。比利时隐私保护委员会据此将Facebook告上法庭,此案之后又历经上诉和再审,最后于2018年以Facebook败诉告终。[4]2018年2月16日,比利时法院判决责令Facebook停止收集用户的cookie数据,并将已非法收集的所有比利时用户数据删除,否则将对Facebook处以每日25万欧元的罚款。

2. "剑桥分析"(Cambridge Analytica)数据泄露事件

据媒体2018年3月17日报道,Facebook上超过5000万用户信息数据泄露,被一家名为剑桥分析的公司获取并用于在2016年美国总统大选中针对目标受众推送广告,从而影响大选结果。[5]

事件的起因是2013年剑桥大学的研究人员亚历山大·科根(Aleksandr Kogan)在Facebook上开发了一款名为"this is your digital life"的应用,并获得了约27万用户。用户在使用这款应用时授权其获取社交关系及好友信息,此应用基于此授权通过Facebook的开放应用程序编程接口("Open API")顺利获取了Facebook上近5000万人的用户数据。随后,科根将这些数据共享给了剑桥分析,用于针对性的竞选广告推送。2015年Facebook得知后屏蔽了该应用,并要求科根和剑桥分析删除所有用户信息,但并未进一步跟踪和追究。

而早在2011年,Facebook就在与美国联邦贸易委员会(Federal Trade Commission,"FTC")达成的《用户隐私和解协议》中承诺将采取并保持用户隐私数据保护的高标准,严格限制用户个人信息的外传。[6]因此,本案引起了FTC的高度关注,并已开始对Facebook的隐私保护问题展开调查,主要针对的正是Facebook是否违反2011年的《用户隐私和解协议》,以及在用户隐私保护上是否存在欺诈行为。同时,美国伊利诺伊州库克县也已经对Facebook提起诉讼,指控其违反了该州的《消费者欺诈与欺骗性商业行为法》,称Facebook号称保护用户数据但在知情情况下多年后仍没能有效阻止剑桥分析的错误行为,导致用户数据的泄露,同时造成巨大损失。[7]

除前述两个引人广泛关注的重大事件以外,仅2017年Facebook遭受的数据合规相关的调查和罚款还包括在法国因未能阻止广告主获取用户数据被罚15万欧元[8]、在西班牙因超期保存用户cookie和违法投放广告被处以120万欧元的罚款[9]、在德国因滥用其作为德国主要社交网络的地位,迫使用户允许其从第三方来源(如带有点赞按钮的网站)收集用户数据而被调查等[10]

分析及建议

Cookie数据的收集与使用以及Open API场景下的数据开放和共享是互联网企业在日常运营过程中频繁遇到的问题,企业在此方面应充分吸取Facebook的经验教训,谨慎处理与此相关的数据收集、使用、交互和共享等行为。

1. Cookie

Cookie是指用户在访问网站时,网站服务器在用户本地终端设备上安装和存储的"小型文本文件"(cookie)。通过cookie,网站运营者可以记录并获取用户的访问信息,例如用户的身份识别号码、密码、访问的次数和时间、浏览页面的记录等。

欧盟关于cookie的同意规则经历了从2002年"E-Privacy Directive"[11]"选择退出(opt-out)"到2009年修订版"E-Privacy Directive" [12]"选择加入(opt-in)"的变化。2017年1月,欧盟委员会提出了《隐私和电子通信条例(Regulation on Privacy and Electronic Communications)》 ("E-Privacy Regulation")[13]。该条例作为此前通过的《欧盟通用数据保护条例(GDPR)》的特别法 ,意欲取代当前的"E-Privacy Directive",使其符合GDPR的要求,并将于2018年5月25日与GDPR同期生效。"E-Privacy Regulation"针对cookie以及网站信标、图像像素等其他类似设备识别技术的使用提出了更为严格的规则。

在国内司法实践中,对cookie的性质认定存在认识上的分歧。2013年的百度"cookie第一案"反映了此种争议。一审法院认定tracking cookie是个人隐私。二审法院认为其虽具有隐私性质,但不属于个人信息。其认为:网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。但是,2017年6月1日实施的《中华人民共和国网络安全法》("《网安法》")中对个人信息的定义采取了直接识别和间接识别相结合的认定标准。[14] 此外,2017年12月29日发布的《信息安全技术 个人信息安全规范》("《个人信息安全规范》") 进一步指出判定某项信息是否属于个人信息,应考虑识别和关联两条路径。基于此,用户的网站浏览记录等cookie信息与终端设备信息、账户信息等相结合即可很容易地识别到特定个人,倾向于被认定为个人信息,对其的收集、使用和任何处理应遵守《网安法》及其他相关法律法规对个人信息保护的要求。

尽管中国尚未针对cookie数据制定任何详细规则,在互联网企业全球化运营及数据全球流动的背景下,企业可以从以下方面参照欧盟的相关要求对自己收集和使用cookie数据的行为进行自我检查和评估:

  • 考察对每一类cookie数据的收集和使用是否是实现某项功能所必须,以及是否有任何非侵入(non-intrusive)的替代方案;
  • 针对每一类必须使用的cookie,明确:该cookie收集何种数据?是否与持有的用户其他信息相关联?其生命周期是否与需要实现的目的相符?该cookie的性质、类型?其是第一方还是第三方cookie?谁控制所收集的数据?
  • 以通俗易懂、不含晦涩技术术语的语言,在专门的cookie policy或notice中告知用户满足充分知情同意所必须告知的信息。

2. Open API

在数据泄露事件中,Facebook作为一个开放平台,开放其API给第三方应用软件使用,第三方应用软件正是通过该API获得用户在Facebook平台上的数据。在此场景下,Facebook作为基础平台和数据的第一控制者将用户数据共享给第三方应用程序,应就该共享行为尽到充分告知并寻求用户知情同意的义务,并尽到足够的安全管理责任。

然而,据报道Facebook在对第三方应用的授权方面可能存在重大漏洞。2014年之前,其几乎不限制第三方应用软件在取得用户同意的前提下,访问和收集其好友的个人信息。科根正是利用了Facebook 在授权管理上的漏洞,在未告知用户好友数据收集且未征得其同意的前提下,持续收集并使用了他们的数据。2014年,Facebook才对平台进行重新设计,要求第三方应用软件还需要用户朋友本人的同意,才能获取用户朋友的数据,并严格限制了第三方应用软件能够访问的用户数据范围。[15]这与中国北京市知识产权法院于2016年在新浪诉脉脉案终审判决中确立的"Open API开发合作模式中,第三方通过Open API获取用户数据时应坚持用户授权+平台授权+用户授权的三重授权原则"是相一致的。

此外,Facebook被认为未尽到数据共享的风险管理能力。Facebook在将数据共享给第三方应用软件之前,并未评估其收集数据的必要性、数据类型和数据量、数据传输方式以及科根的数据保护能力,未尽到平台应有的审慎义务。在这一点上,《个人信息安全规范》也明确规定"个人信息控制者转让或共享个人信息之前,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施"。[16]此外, Facebook在2015年得知科根将用户信息共享给剑桥分析的事实后,仅采取了两个措施:一是封杀科根开发的应用软件;二是要求科根及剑桥分析销毁他们违规获取的用户数据,并且提供证明文件即可。而并没有及时通知用户数据泄露的情形,也没有采取有效的补救措施,例如要求并监督相关方删除所有数据及其衍生数据并保证不留存任何备份。按照《网安法》第42条和《个人信息安全规范》第9条的相关规定,网络运营者应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。Facebook的这种不作为行为在中国现行法律规定下也可能已违反了其作为数据控制者应尽的责任和义务。

吸取Facebook此次的教训,企业应建立有足够控制力的"数据共享机制":

  • 在隐私政策中要充分、明确告知用户其可能会通过Open API模式向第三方共享数据的具体情形,获取用户的明示同意;
  • 设置分级制的接口权限,根据共享的数据级别设置不同接口,针对个人敏感数据的接口应单独申请授权;
  • 在开放共享前对第三方应用软件开展 "个人信息安全影响评估",并就第三方应用软件对共享数据的后续使用进行监测和追踪;
  • 设置预警机制,在第三方应用接触、访问权限之外的个人数据时,及时采取有效措施。

以上是我们希望就cookie和Open API涉及的数据合规问题提示企业注意的重要风险点。我们将在后续系列文章中从技术原理、主要司法辖区的监管规定、相应执法和司法案例、对治理规则的思考及给企业的建议等多方面深入探讨例如cookie、Open API及SDK等所涉及的个人信息和隐私保护方面的问题。


[1] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).

[2] Act of 8 December 1992 on the protection of privacy relating to the processing of personal data ("Privacy Act").

[3] Recommendation no. 03/2017 of 12 April 2017, by the Belgian Commission for the Protection of Privacy.

[4] Facebook ordered to stop collecting user data by Belgian court by The Guardian, https://www.theguardian.com/technology/2018/feb/16/facebook-ordered-stop-collecting-user-data-fines-belgian-court.

[5] Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach, The Guardian, https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election.

[6] Facebook完成与FTC和解协议,新浪科技(http://tech.sina.com.cn/i/2012-08-11/11187493959.shtml )。

[7] 脸书因泄密门在美国首遭州级诉讼?被指滥用用户信息涉嫌诈骗,澎湃新闻(http://www.thepaper.cn/newsDetail_forward_2042184 )。

[8] Facebook在法国被罚16万美元 用户数据保护不力,新浪科技(http://tech.sina.com.cn/i/2017-05-16/doc-ifyfeivp5784995.shtml )。

[9] AEPD Fines Facebook,fieldfisher(http://privacylawblog.fieldfisher.com/2017/aepd-fines-facebook/ )。2018年3月15日,据媒体报道西班牙数据保护局(AEPD)再次因为用户隐私保护不当对Facebook处以30万欧元的罚款(http://es.mofcom.gov.cn/article/jmxw/201803/20180302724013.shtml )。

[10] 德国向Facebook叫板:滥用市场主导地位获取用户数据,凤凰网财经(http://finance.ifeng.com/a/20171220/15879269_0.shtml )。

[11] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).

[12] DIRECTIVE 2009/136/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 25 November 2009 amending Directive 2002/22/EC on universal service and users' rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws.

[13] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC.

[14]《网安法》第76条第5项。

[15]《从扎克伯格的公开声明看数据保护和流动问题》,网安寻路人,洪延青。

[16]《个人信息安全规范》第8.2条。

最新文章
前沿观察
2024年12月31日,中国国家知识产权局发布了《人工智能相关发明专利申请指引(试行)》(下称“《指引》”),意在进一步明确和细化我国现行专利法律制度框架下人工智能领域的专利审查政策,回应创新主体普遍关切的热点法律问题。基于此,本文针对人工智能是否能成为发明专利的适格客体这一问题进行了探讨,并进一步对中美两国对于人工智能专利客体的适格性标准进行了比较研究,以期为出海企业在全球范围内的专利布局提供参考。知识产权-专利,人工智能

2025/01/15

前沿观察
2024年,我国经济以“稳中求进”为总基调,以“攻坚克难”为关键词, 新“国九条”和资本市场“1+N”政策落地见效。从“坚持把防控风险作为金融工作永恒主题”的战略方向, 到《关于加强监管防范风险推动资本市场高质量发展的若干意见》等资本市场风险防控工作的具体落实;从“金融监管要‘长牙带刺’、有棱有角”的深刻把握,到“零容忍”打击各类违法违规行为的从严监管;从“上市公司是市场之基,是投资价值的源泉” 这一正确认识,到出台上市公司市值管理指引、深化上市公司并购重组市场改革等一系列规范政策出台。 2024年,是引导和督促上市公司完善公司治理,建设建强以投资者为本的资本市场的重要一年。上市公司是国民经济的“基本盘”、“压舱石”和“优等生”,是经济高质量发展的重要微观基础。 上市退市方面,严把发行上市准入关,从源头上提高上市公司质量,严格强制退市标准,拓宽多元化退出渠道,2024年全年55家上市公司平稳退市 ;外资投资方面,发挥战略投资渠道引资潜力,支持长期投资、价值投资;股份减持方面,有效防范绕道减持,细化违规责任条款;市值管理方面,引导上市公司关注自身投资价值,切实提升投资价值;并购重组方面,深化上市公司并购重组市场改革,支持经济转型升级、实现高质量发展;强化监管方面,加强信息披露监管,严惩业绩造假,加强现金分红监管,增强投资者回报。在对上市公司的全链条监管下,我国着力打造安全、规范、透明、开放、有活力、有韧性的资本市场。 2024年,是全面实施“强本强基、严监严管”的关键一年。“金融的安全靠制度、活力在市场、秩序靠法治。”2024年全年,证监会办理各类案件739件,罚没款金额超过上一年的两倍。推动形成财务造假综合惩防体系,严肃查处欺诈发行、财务造假、违规减持、操纵市场等一批大要案 ;持续打击实控人等“关键少数”违法,助力维护中小投资者合法权益;强化行政、刑事、民事立体化追责,助力提高违法成本。突出“严”,立足“效”,着眼“准”,聚力“合”,以强有力行政执法工作护航资本市场高质量发展,不断增强投资者的获得感和投资安全感。 2024年,是资本市场波澜诡谲、上市公司犯罪查处愈发从严的一年。根据我们的不完全统计,本年度A股上市公司及关联主体涉嫌刑事犯罪或遭受刑事侵害的案件共有102起,涉及97家上市公司。 纵览上市公司刑事犯罪情况,财产与金融安全仍是高风险领域,操纵证券市场、违规内幕交易愈发成为上市公司犯罪重灾区。从执法趋势来看,司法机关针对上市公司犯罪案件,施行刑事追责、市场禁入、行政处罚、民事赔偿等多元手段,不仅打击直接的犯罪行为,还同步审查非法配资、“黑嘴”荐股、出具虚假审计报告、洗钱等上下游、前后手犯罪,致力维护资本市场秩序、保护中小投资者利益。 通过梳理及分析2024年度上市公司犯罪情况,我们形成本年度上市公司犯罪报告,继续揭示上市公司刑事风险的趋势与特点,以期从一般社会预防的角度,为上市公司及相关方增强刑事调查与合规意识、预防刑事法律风险提供帮助。争议解决与诉讼-刑事调查及辩护,证券与资本市场-上市公司常年法律顾问,金融机构-金融市场监管

2025/01/14

前沿观察
排污许可制是针对固定污染源环境监管的核心制度,也是环境监管制度的重大改革内容之一。2016年国务院印发《控制污染物排放许可制实施方案》,开始推行排污许可制度改革,原环境保护部先后印发《排污许可管理办法》(试行)和《排污许可管理办法》,从部门规章层面为推进排污许可制度提供了规章依据。2021年国务院制定《排污许可管理条例》,排污许可制度上升到“行政法规”层面,这一法规的出台,标志着排污许可制度改革取得了阶段性成果。 近年来,党中央、国务院对深化排污许可制度改革提出了新要求,党的二十大报告要求全面实行排污许可制,《中共中央 国务院关于全面推进美丽中国建设的意见》再次提出全面实行排污许可制要求,党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》,明确“落实以排污许可制为核心的固定污染源监管制度”的改革目标任务。在此背景下,2024年11月生态环境部发布了《全面实行排污许可制实施方案》(下称“《实施方案》”),这是落实党中央国务院部署,深化排污许可制度改革的一项重要举措。 根据《实施方案》提出的重点任务,深化排污许可制度改革的重点将聚焦进一步完善排污许可相关法律法规及标准技术规范体系等、落实以排污许可制为核心的固定污染源监管制度、全面落实固定污染源“一证式”管理、进一步加强排污许可基础保障建设等。深化排污许可制度改革提出的重点任务也包括对排污单位提出要求,即排污单位需构建基于排污许可证的环境管理制度。 本文拟结合我们长期为排污单位提供环境法律服务的经验,针对目前排污单位排污许可管理的状况、存在的问题及不足,就如何构建基于排污许可证的环境管理制度谈谈我们的看法,以供参考。合规业务-环境法

2025/01/13