Facebook事件的启示：从个人信息内涵看企业数据合规

文|刘晓春 夏杰

Facebook数据泄露事件始末

2015年，剑桥大学教授亚历山大·科根（Aleksandr Kogan）将自己研发的一款名为“This Is Your Digital Life”的心理测试小程序放在Facebook平台上。Facebook用户出于娱乐的目的完成了这种性格测试的小游戏后，一般会获得一些小额红包作为奖励。但是，要完成这个小游戏，用户必须通过Facebook帐户登陆并授权该程序使用该用户在Facebook上的一系列公开信息，包含用户的好友列表、所在区域、喜好、朋友圈公开的信息以及用户好友所“赞”过的话题和新闻等等。最后有27万Facebook用户完成了测试，该程序后台通过滚雪球的方式直接或间接获取到5000万Facebook用户的上述信息，特别是关于点赞的话题和新闻的信息。

随后，科根教授通过其自己成立的公司将这些数据卖给了一家名为剑桥分析（Cambridge Analytica）的数据分析公司，该公司是由特朗普前助手史蒂夫·班农（Steve Bannon）和保守派捐款人罗伯特·莫瑟（Robert Mercer）创办的。

不久，剑桥分析公司利用获取的用户资料进行大数据挖掘，主要是利用用户所在区域、用户点赞、转发话题和新闻这类信息来建立数学分析模型，推算出用户进行关于其性格爱好和政治偏向的个人画像，然后再通过Facebook的广告平台针对不同的分类群体进行的精准投放和政治“洗脑”，其中不乏对竞争对手进行造谣诽谤的假新闻精准推送信息，影响了2016年美国总统大选的结果。

2018年3月16日，上述消息被公开后引起一片哗然，而有爆料人声称Facebook在2015年就已经获知相关信息却没有采取严肃、有效的措施，更是让Facebook一夜之间成为众矢之的。而法律的相关争议焦点主要围绕在用户的个人数据保护、网络定向广告的伦理、Facebook平台责任、数据交易的监管、国家安全等。本文选取个人信息的内涵这一角度对该事件进行探讨，并对互联网企业数据合规提出初步建议。

个人信息内涵与Facebook事件

在整个Facebook事件中，科根教授的这款性格测试小程序收集到的信息主要有：用户所在区域、点赞、评论、转发信息、新闻话题留言等，其中涉及到政治偏向画像的信息主要是用户的点赞和新闻留言信息。仅仅从个人信息内涵和收集的角度看，这款性格测试的程序收集Facebook上的用户信息是不是合法呢？

首先，我们先来看看各国法律上关于个人信息是如何定义的。

欧盟于2018年5月25日生效的《通用数据保护条例》（GDPR）基本上延续了其在1995年《数据保护指令》中的定义，即“个人信息是指任何确定或可辨识自然人（信息主体）的信息。可辨识自然人是指，任何可以通过姓名、身份证号、位置信息、网上标签，或者利用身体物质特征、生理特征、基因、精神、经济、文化、社会身份中一个或多个因素，以直接或间接方式辨识出特定自然人。即如果一条信息存在上述要素而可以对应出特定自然人，则该信息即为GDPR所保护的个人信息。”

美国没有统一的个人信息保护法，美国一些主流学者认为个人信息本质上是一种隐私，是个人对自己所有的信息的控制。美国的隐私权既包括名誉权、肖像权等具体人格权，还充当了一般人格权的功能，所以在中美两国语境下的隐私权有很大的不同。关于个人信息的定义可以参照美国《消费者隐私权利法案（草案）》的定义，即个人信息为能够连结(link)到特定个人或设备的信息。

我国《网络安全法》第76条：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”则继受了欧盟GDPR的规定，以“可识别性”作为定义个人信息内涵的依据。

因此，不管是欧盟和我国对个人信息采取的“可识别”到个人的标准，还是美国的尚没有法律效力的“可连结”到个人或设备的标准，能够认定对用户形成画像的点赞、评论、转发、留言等信息都应该属于个人信息。该信息无论是否公开都属于个人信息。

其次，个人信息定义里面还可以分出个人一般信息和个人敏感信息。

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，一般与个人隐私有密切关系。个人一般信息是指个人敏感信息以外的个人信息。

目前世界上大多数国家的个人信息（或个人数据）保护立法都是围绕着“告知—同意”这个框架来建立的，即网络平台、APP首先要告诉用户它们会如何来收集、使用用户的个人数据，用户如果选择同意，那么它们就会按照事先的约定来收集和使用数据。

对于不同种类个人信息的收集，需要“告知—同意”的方式不同。这种安排主要是为了个人信息保护和企业数据收集、使用之间的平衡。对于个人一般信息，获得用户授权同意就行了，并没有规定严格的授权形式。而涉及个人敏感信息则必须获取用户的明示同意，例如主动作出电子或纸质形式的声明、主动勾选、主动点击“同意”“注册”“发送”“拨打”等。

此种情况下的Facebook用户好友信息、点赞、评论、转发、留言等信息一般应归入到个人一般信息，并不要求单独的明示同意。该款性格测试软件在用户登陆或转发时显然知道自己的信息有可能被收集，因为Facebook用户上的好友信息、点赞等信息都是公开的，当用户或用户好友进行这些操作时，很难说没有类似默示许可的授权在里面。关于这一点，争议还是很大。对于企业来说，安全的做法依然是获取用户的明示同意。

随后，在科根教授就获取的用户信息以科学研究为借口而卖给剑桥分析公司进行政治偏向分析时，这些作为用户画像的数据，却又构成了个人敏感数据，这时的数据处理行为需要获得用户的明示同意。

对企业数据合规的启示

强化信息收集过程中对用户的告知义务

2018年5月1日正式实施的推荐性国家标准《个人信息安全规范》对个人信息和个人敏感信息进行了定义和列举，即“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。而个人敏感信息是指一旦泄露、非法提供、滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”个人敏感信息包括个人财产信息（如银行账号、理财信息等）、个人健康生理信息（疾病治疗相关等）、个人生物识别信息（如个人基因、指纹等）、个人身份信息（身份证号等）、网络身份标识信息（各类网站个人实名账号密码等）、其他信息（性取向、宗教信仰等）。详细的列举可以参见《个人信息安全规范》的附录B。

然而在实践中，个人一般信息和敏感信息可能并不存在明确的界限。个人一般信息和个人敏感信息可能互相转化，难以区分。因为按照个人敏感信息的上述定义，该定义是以泄露、非法提供、滥用造成的危害后果为标准来定义敏感信息的，因此若取得个人信息的数量很巨大以致于同用户之间的关联度很紧密联系的话，可能仍然还是可能包含着大量敏感信息。例如以Facebook用户单独的点赞、评论、转发、网页浏览记录可能仅构成个人一般信息，但成百上千个好友中涉及到该用户的信息可能会包含着大量个人敏感信息。

因此，企业在收集或获取用户授权时，为了规避风险的角度，最好全部按照收集个人敏感信息的方式获得用户的明示同意，这也符合《个人信息安全规范》的起草者的原意。

动态反思数据处理行为的安全边界

传统的数据收集、保存、使用、交易的前提都是对数据的静态分类，例如对个人一般信息和个人敏感信息分别表明不同的风险级别。在对风险程度低的个人一般信息进行利用的时候，在匿名化处理后，可以给予企业较大的使用权限；在对风险程度高的个人敏感信息进行利用的时候，在完全匿名化处理后，也给予企业同个人数据相同的使用权限。这样静态分类的主要目的是为了达到促进大数据的商业利用，以平衡企业在收集、获取用户授权方面的成本。

然而，随着云计算、混合云、弹性存储、流动数据等新技术的出现，数据的安全边界变得越来越模糊，例如一些原本已经被匿名的身份，因为得到了另一个数据的关联而被重新认证，风险级别忽然被提高，事前却难判断。匿名化并不完全匿名。

在这种背景下，动态认识个人数据和个人敏感数据、个人数据与匿名化数据的安全边界，就成为了企业在数据合规问题上时刻悬在头上的达摩克利斯之剑，如何面对这种技术给法律带来的冲击，需要产业界和理论界不断交流碰撞，自下而上发展出典型场景，逐步形成共识和标准。