专栏名称: 数盟
数盟(数据科学家联盟)隶属于北京数盟科技有限公司,数盟致力于成为培养与发现“数据科学家”的黄埔军校。 数盟服务包括:线下活动、大数据培训。 官网:http://dataunion.org,合作:[email protected]
目录
相关文章推荐
CDA数据分析师  ·  【干货】画用户画像与找相亲对象一样简单 ·  昨天  
大数据分析和人工智能  ·  DeepSeek找到了未来最赚钱的6个行业 ·  3 天前  
玉树芝兰  ·  对科研工作者来说,OpenAI Deep ... ·  3 天前  
51好读  ›  专栏  ›  数盟

中国律师怎么看待Facebook数据泄露事件的?

数盟  · 公众号  · 大数据  · 2018-04-14 22:00

正文

上月中旬,Facebook数据泄露丑闻爆发,Facebook股价更是大跌7%,市值蒸发360多亿美元,CEO扎克伯格也因此身家缩水,跌出福布斯富豪榜前五位。本次事件反映了Facebook在数据安全管理方面存在五大漏洞,对中国企业更是一种惊醒。

数据在不同主体间的传输与流转是大数据时代互联网产业发展的必然,无论是去年四部委评审的各大互联网企业的隐私政策中有关个人信息共享的内容亦或今年年初“信联”的架构,无不凸显信息数据的重要性。当然,数据的流转同样带来了安全管理方面的巨大挑战,如何确保数据在境内外安全高效的传输和使用,是全球互联网企业乃至部分国家共同需要面对的难题。

上月中旬,Facebook数据泄露丑闻爆发,Facebook股价更是大跌7%,市值蒸发360多亿美元,CEO扎克伯格也因此身家缩水,跌出福布斯富豪榜前五位。与此同时,欧盟、英国纷纷作出强烈回应,要求对数据泄露事件进行调查。民调显示,只有不到一半的美国人信任Facebook遵守美国的隐私法,更有60%的德国人担心Facebook和其他社交网络对民主产生的负面影响。

Facebook的数据泄露事件(以下称“事件”)无疑是企业向第三方提供数据方面的一本反面教材。显然,这本反面教材的代价是沉重的,Facebook 不仅市值蒸发数百亿,需要接受各国政府的调查与监管,更重要的是背后的用户信任危机,一旦用户对Facebook的数据保护能力产生怀疑,这将对其商业模式闭环中的“用户”和“数据”两方面产生消极影响,从而动摇其商业根基。

Facebook商业模式图

一、事件始末

本次事件的大致背景最早可以追溯至2007年。当时Facebook为增强用户粘性推出应用编程接口(API),通过这个接口,第三方软件开发者可以开发在Facebook网站上运行的应用程序,这被称作Facebook Platform,而用户可通过这一平台在线使用相关应用程序并进行互动。用户在使用该平台时,Facebook与平台上的应用会读取个人信息,该部分信息有的是Facebook上已有的信息,如用户的个人信息和朋友列表等;有的则是使用相关应用时产生的信息。当时Facebook并没有对平台数据的交叉使用与共享进行严格的区分与管理。本次事件的核心人物——剑桥大学心理学教授亚历山大·科甘(Aleksandr Koran)及其背后的数据分析公司剑桥咨询(SCL/CambridgeAnalytica),正是利用了当时Facebook的平台数据共享的漏洞,致使Facebook上5000万用户的数据泄露。

科甘与剑桥咨询于2013年开发了一款专门针对选民的测试应用“这是你的数字化生活”,对外宣称是心理学家用于做研究的APP,经用户授权后收集的信息包括用户的年龄、住址、性别、种族、教育背景等个人信息,平时参与的活动以及在社交网络中发表、阅读、点赞的内容,还包括用户的朋友所发布的信息等。一共有约27万人下载了这一应用,再加上通过公开途径收集的用户信息,共涉及5000万用户的数据。据媒体报道,剑桥咨询在收集到上述数据后,分析出了用户的行为模式、性格特征、价值观取向、成长经历等,以便针对特定用户推送竞选广告。

事件曝光后,Facebook的副总裁兼副总法律顾问和扎克伯格本人先后发表了对事件的声明,主要强调科甘是按照合法合规的方式经用户授权后取得数据,只是使用中擅自将用户数据提供给第三方,致使数据的泄露。同时说明在2014年已对Facebook Platform的数据安全系统进行了全面的优化,在2015年发现科甘违规后已经采取了相应安全措施,包括管理权限和要求删除等,承诺将采取措施监管第三方的数据使用。扎克伯格更是在博文中表示“我们有责任保护好用户的数据,如果我们连这个都做不到,那么就不足以向用户提供任何服务”。显然,本次事件所反映的数据安全漏洞发人深思。

二、事件所反映的问题

本次事件反映了Facebook在数据安全管理方面存在的漏洞总结为以下五个方面:

用户的单独授权即可收集其关联用户信息

自2014年科甘开始收集数据并提供给剑桥咨询前,Facebook Platform的规则只需注册应用的用户授权,即可收集该用户的关联用户,例如朋友、亲人等相互关注者的信息。虽然之后Facebook处理了该漏洞,但科甘的应用已经收集了相当数量的数据。

隐私设置默认公开致使大量数据被第三方抓取

根据国外媒体报道,在2014年之前Facebook对于用户隐私设置默认的选项是“公开”,由于普通用户对自身隐私保护缺乏安全保护意识,为第三方随意抓取用户信息提供了可乘之机。本次事件中剑桥咨询除通过其注册用户的关联用户获取相关数据,还有搜集了大量用户公开的数据。

欠缺对第三方获取用户数据目的的必要审查

本次事件的关键在于科甘对获取的大量用户信息进行分析从而对用户的政治倾向进行画像以便用于美国大选,然而Facebook并未有效审查科甘实施上述行为的目的。科甘虽然声称其开发的测试应用仅用于学术研究,但实际情况是只有符合特定条件的选民才能注册,即使获得了用户的授权同意,大量涉及政治倾向的选民信息的滥用仍然会产生严重的政治影响。

对第三方使用用户数据缺乏有效监控

值得注意的是,科甘的应用所进行的大规模的数据收集,Facebook虽然在短时间内利用技术手段监测到了该行为,但并没有进行有效的处理,仅在2014年对限制了其对关联用户信息的访问。直至2015年从英国《卫报》记者处得知科甘向剑桥咨询共享了相关数据后才禁止其应用,同时要求科甘和剑桥咨询删除所有不当获取的数据,并开出证明。本次事件的曝光也从侧面说明Facebook并未对科甘和剑桥咨询是否实际履行删除义务进行监督。

欠缺网络安全事件的信息公开和应急处理经验

在本次事件中,正是由于Facebook错过了控制事态恶化的最佳时机,本应于2015年即可公布并予以处理的数据泄露直至2018年方被公众知晓。虽然在事件曝光后扎克伯格公布了诸如追查类似应用、再次收紧第三方应用权限、增强用户告知等预防措施,但上述措施若能在2015年落实,显然事件的危害程度将大大减小,用户对于Facebook的信任度也不会如此不堪。

三、对于我国企业的合规建议

保证在取得用户的充分授权后方可向第三方提供相关数据

关于用户个人信息的收集与使用,我国《网络安全法》(以下称“《网安法》”)规定,网络运营者收集和使用用户信息时遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经客户同意;不得泄露、篡改、毁损收集的用户信息;未经用户同意,不得向第三方提供用户个人信息;采取技术或其他措施确保收集的用户个人信息的安全,防止信息泄露、毁损、丢失;必要时及时处理保证相关信息无法识别特定个人且不能复原。若在相关社交应用和功能中被收集的不仅仅是某一特定用户的个人信息,还包括了其朋友、亲人等关联用户的信息,在向第三方提供时,网络运营者除获本人同意外,还应征得关联账户主体的同意。

此外,关于如何保证用户充分授权,网络运营者在收集用户信息前应当履行必要的提示义务,如在需要收集时进行弹窗提示并将变更条款醒目加粗或标红,同时应当赋予用户充分的选择权等。根据我国《合同法》规定,格式条款免除自身责任、加重对方责任、排除对方主要权利的无效,因此,网络运营者的信息收集条款不应成为“霸王条款”,用户拒绝提供并非基本服务所必须的信息,网络运营者应当尊重其选择,不得过分收集。

应当对个人信息和重要数据在境内外的传输进行安全评估

安全评估是信息和数据传输过程中进行风险控制的重要环节。根据《网安法》第三十七条规定,关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据因业务需要确需向境外提供的,应当进行安全评估。去年4月,国家网信办更是发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,对数据出境安全评估的主管部门、重点内容、禁止性规定进行了明确,虽然该办法仍处在征求意见稿阶段,但无疑为网络运营者落实安全评估提供了一定的指引。值得注意的是,将于今年5月1日正式实施的《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)还明确规定了个人信息控制者应当开展个人信息安全影响评估,重点评估共享、转让、公开披露个人信息对个人信息主体可能产生的不利影响以及个人信息安全措施的有效性等内容。







请到「今天看啥」查看全文