文/香江波
2012年5月18日,全球最大社交网站脸谱(Facebook)正式上市,开盘价42.05美元,高于38美元的发行价,涨幅10.66%,开盘市值1152亿美元,一举超过谷歌(Google),成为历史上规模最大的科技公司IPO。这家市值超过千亿的网站,其商业模式是建立在“人们希望与周围的人相互联系和共同分享”的基础之上。然而,西方社会近期连续爆发的隐私权纠纷,也让脸谱的这种商业模式备受质疑。
美国对隐私权的保护有三个方面的法律依据:宪法性文件、判例法和成文法,这三个方面的内容共同构成了其隐私权法律制度。然而,美国虽然有强大的法律来保护个人财务数据和健康数据,但美国人却很少有权去查阅以及掌控自己在社交网站上分享的信息。2009年美国隐私权保护集体组织——电子隐私信息中心(Electronic Privacy Information Center,简称EPIC)与美国一个消费者组织联盟对脸谱的隐私处理问题提出诉讼。2011年11月29日,对美国联邦贸易委员会(Federal Trade Commission,简称FTC)的相关问题指责,脸谱同意达成和解。
在对外公布了脸谱的和解协议后,FTC声称,他们认为脸谱触犯了美国的公平交易法,由于脸谱无法信守其隐私权承诺从而对用户构成了欺骗,因而其商业行为涉嫌“不公平和欺骗性”。FTC的调查发现,脸谱曾经承诺,公司将对用户的个人信息保密,但同时脸谱却不断地允许公开与分享这些信息。在没有告知用户的情况下,2011年脸谱擅自更改了网站的“标签建议”功能,结果导致之前被定义为隐私的个人信息被公之于众。同时,FTC还发现,脸谱允许广告商在用户点击脸谱页面上的广告时收集个人的识别信息。此外,用户安装的第三方App(应用程序)几乎可以得到用户所有的个人信息。FTC的主席约翰·莱博维茨在总结这一案件时表示,“脸谱的创新不能以牺牲消费者的隐私权为代价,FTC将采取行动确保以后不会出现这一问题。”
在欧洲,脸谱同样面临着隐私权问题。爱尔兰的数据保护委员会(Data Protection Commissioner,简称DPC)对脸谱的国际总部爱尔兰公司进行了审查,并在2011年12月22日发布了报告,报告指出未来6个月内脸谱必须采取改进措施。欧盟司法委员维维安·雷丁(Viviane Reding)在2012年初也呼吁欧盟更新现有的信息保护法,并进行一次区域范围内的改革。他声称当前的信息保护法制定在社交媒体现象出现之前,因此无法解决像脸谱公司这样的问题。
美国FTC与脸谱达成的和解协议中,禁止脸谱今后“误传”消费者的隐私信息。同时要求脸谱必须首先获得用户的同意声明才能改变用户的隐私偏好,建立并持续维护一个综合的隐私安全项目,从而可以使网站在以后的整体发展中妥善解决隐私风险问题。一旦今后出现有悖于这一协议的行为,脸谱将被处以每天1.6万美金的罚款。
而EPIC则一方面呼吁美国消费者加入到FTC要求脸谱改变隐私安全政策的诉求中,另一方面要求脸谱提供完整接入用户所有数据的方式,停止未经用户同意就创建面部识别档案,停止秘密追踪用户网络踪迹等行为。同时,EPIC也提出未来20年内,脸谱每两年必须公布一次FTC要求的隐私审查结果。EPIC的执行理事马克·罗滕贝格认为和解协议可以更好地进行隐私保护。然而,他也指出,美国仍然缺乏一个综合的隐私权法律框架。尽管与脸谱的和解协议发出了一个强烈的信号——不严格保护消费者隐私的行为将会受到惩罚,但与诸如脸谱这样的单个公司达成的和解协议由于缺少可实施的综合法律框架从而很难保护消费者的隐私权。网络媒体网站不断地进行更新与创新,像脸谱这样的公司常常会“越界”,所以建立一个框架非常必要。同时,美国消费者联盟也呼吁建立全国性的隐私权立法框架,让所有公司执行相同的标准,并结合行业和隐私权组织要求,为如何收集和使用用户信息设定明确的标准。
在欧洲,造成欧盟审查的一个主要诉讼理由是脸谱在没有告知或获得同意的情况下搜集非用户的电子邮件地址等大量信息。虽然此项审查并没有发现确实证据,但DPC还是提出了一系列的改进建议。他们认为,建议实施后将推动脸谱依法经营,减少对脸谱的投诉,并对脸谱所提供的服务产生显著影响。DPC报告对脸谱提出的建议有助于用户在知情的情况下选择如何使用、分享他们在网站上的信息,或迅速删除某些信息,简化并更有效地解释隐私政策。
脸谱承诺将采用完全透明的政策告知用户其个人信息如何被用于“精准广告”的投放,并有权通过隐私设置控制社会广告和拦截这些广告。使用用户信息必须事先获得认可,用户被加入脸谱某一社群之前,也必须先争得用户同意。用户删除不必要的信息,脸谱网站必须在收到请求后40天内,对所有关联账户和信息进行无法再恢复的删除。DPC还提出:“无限期地保留广告点击数据的现行政策是不可取的”,脸谱立即将保留期限改为两年。此外,如果搜集的目的终止,那么搜集到的所有个人信息都必须删除。从社交插件中搜集到的信息应该在10天内去除所有可识别信息,90天后删除。
脸谱的脸部识别标记功能,即用脸部识别技术扫描你的照片,并通过系统侦测照片中的人脸,基于眼睛形状、耳朵和鼻子之间的距离等特征,为每一张脸添加特别的数字标记,试图将这张脸与某个具体的用户联系起来,以便更好地添加标签进行分享。然而,DPC认为,脸谱应该以更恰当的方式管理这一功能,包括更加明确地提醒用户,并首先获得用户的同意,而不仅仅是设置自动的扫描与侦测功能。对于第三方App获得的信息,脸谱应该为用户提供更加详细的条款,并建立更简单的获取用户许可第三方使用个人信息的机制。DPC报告提出的一个主要的问题就是必须提高与用户的交流,建立一个更加简单、易于理解的隐私政策。
尽管脸谱2012年初树立明确目标并立刻采取了行动,但欧美仍对管理与保护社交媒体网站相关信息的法律问题感到担忧。目前立法尚不完善,美国仍然采用的是按不同行业实际情况制定隐私权保护措施的办法,还没有一个综合的隐私保护框架。而当前的欧盟法律尽管存在人权法的规定,但法官们仍然坚持认为隐私权应当受到普通法的保护。欧盟司法委员维维安·雷丁认为有必要对整个欧盟地区的信息进行更加有效、一致的保护,才能培养对新技术的信任,推动市场的发展和竞争力。他在强调修订欧盟的信息保护法的同时,也指出:“在欧洲拥有成千上万活跃用户的美国社交网络公司也需要遵守欧盟的法律。”由此可见,欧洲各国的隐私监管部门未来可能将被授权调查以欧盟消费者为服务目标的非欧盟信息控制公司。
雷丁还强调用户应该关注欧盟公民隐私权的四大支柱:被忘记的权利、透明的权利、默认保护、无地域限制的保护。“被忘记的权利”即要求数据控制商在受理了个人取消许可请求后应删除信息;“透明的权利”要求数据控制商要完全告知用户什么样的数据会被搜集,搜集目的是什么;“默认保护”要求隐私保护无需经过用户同意,除非特别指出,否则任何目的的信息使用都必须得到用户的明确同意;“无地域限制保护”是希望在整个欧盟地区,为所有的以欧盟消费者为目标人群的产品提供一致的隐私标准。基于惩罚措施必须“有效、适当和有劝诫作用”,该立法草案依据欧盟竞争法中最高处以10%全球营业额的罚款额度,提出了最多处以全球营业额5%的罚款。
脸谱改变了我们对隐私的看法,人们现在公开分享有关他们的年龄、住址、人际关系状况、学术背景、政治观点、喜好等相关信息。态度的转变源于脸谱不断地调整着隐私的底线,同时也反过来不断地助推脸谱在全球的扩张。关于隐私法的热议已经迫使脸谱重新考虑如何解决用户隐私权的问题。在5月18日上市前后,脸谱不会希望投资者方把注意力放到这个问题上,所以说2012年,无论脸谱愿意与否,它必须在这一年更加遵守隐私法。