Facebook事件对我国安全监管政策的启示

孙翠锋 中移信息技术有限公司工程师

1　Facebook事件还原与最新进展追踪

2018年3月17日，美国《纽约时报》和英国《卫报》共同发布深度报道，曝光Facebook上超过5000万用户信息数据被剑桥分析（CambridgeAnalytica）咨询公司用于定向投放政治广告，帮助特朗普团队参选美国总统。消息一出，全球哗然。因危害用户众多并关系到美国总统选举，Facebook数据泄露事件被定性为是一起危害大量个人用户信息安全，甚至影响到美国政治走向和国家安全的事件。

事件引起了美国乃至全球的激烈反响（见图1）。2018年3月19日，欧盟、美国、英国纷纷抨击Facebook，欧洲议会主席表示将对Facebook展开调查；2018年3月20日，美国联邦贸易委员会（FTC）就数据泄露事件对Facebook进行调查；2018年3月22日，Facebook被迫进行官方回应，提出整改措施；2018年4月10—11日，扎克伯格出席美国国会参众两院听证会，回应公司挪用用户数据丑闻并向公众道歉；2018年4月13日，菲律宾作为第二大受害国对Facebook展开调查。

2　Facebook事件暴露出企业存在两大安全问题

图1　Facebook事件发展动态

Facebook因数据泄露事件而站上风口浪尖。但纵观整个事件，其实类似事件在业界并不鲜见。2011年12月21日，黑客在网上公开了知名程序员网站CSDN的用户数据库，高达600多万个明文的注册邮箱账号和密码遭到曝光和外泄，成为中国互联网历史上一次具有深远意义的网络安全事故。2013年，雅虎公司的黑客入侵事件中，30亿个用户账号信息被盗，此次泄露事件造成了半个世界的用户信息外流。2016年5月19日，美国职业社交网站Linked In宣布，有一个叫“peace”的黑客组织在黑市上以5比特币（约合2200美元）的售价公开销售1.67亿个领英用户登录信息。据了解，这些数据来自于2012年Linked In发生的一次大范围的数据泄露事件。伴随着互联网、移动互联网的高速发展，云计算、大数据、物联网等新兴信息通信技术逐步成熟，全球数据规模以惊人的速度增长。根据IDC预测，未来全球数据总量增速将维持在50%左右，到2020年全球数据总量将达到44ZB。其中，我国将达到8.6ZB，接近全球的20%。伴随着数据的爆炸式增长，数据安全问题产生的危害，无论从程度还是范围来看，都呈现越来越大、越来越严重的趋势，必须引起政府、企业和公众的充分重视。整体来看，此次Facebook数据泄露事件主要暴露出Facebook存在两大安全问题。

在数据保密和数据使用方面，暴露出互联网企业缺乏对用户信息的保护意识，甚至出于商业利益主动超范围采集、使用和共享用户数据。Facebook在数据的全生命周期中，即数据的收集、存储、处理、使用、删除等过程，并未对个人信息保护提起重视、履行责任。早在2018年2月，柏林法院就裁定Facebook违反德国《联邦数据保护法案》，收集和利用用户个人信息并未事先取得用户同意而默认开启、预先拟制同意声明、强制要求实名制使用Facebook服务。在数据共享方面，鉴于维持商业模式所需，Facebook向第三方合作伙伴开放API，虽然这是业界通行做法，但Facebook在向第三方合作伙伴提供数据共享时未充分兼顾用户隐私保护需要，造成平台滥用。在我国，类似情况同样普遍存在。大量互联网公司收集和利用用户个人信息时并未取得用户同意或者预先拟制同意声明，利用用户数据针对用户制作用户画像，并以此为依据，一方面为用户提供所谓个性化服务，一方面也向用户推荐针对性的广告，以此来获得收益。除此之外，还有更多针对用户信息的数据分析甚至数据滥用行为，正在以用户所不知道的方式发生着。

第二个问题是APP审计与内容审查问题。事件暴露出Facebook对第三方APP的接入审计和内容审查存在一定程度的失灵。事件的另一个涉事方英国剑桥分析公司表示，根据合同，它有权获得不多于3000万人的数据。然而针对如此大规模的数据共享，Facebook没有对其APP的数据使用进行有效的审计。同时对其发布的政治广告缺乏必要的内容审查和及时有效的处置。

事件发生之后，Facebook在重压之下发表了官方声明，提出将采取六项措施防止数据泄露再次发生。包括审查在Facebook平台和App中出现过大量数据访问情况的应用；通过App提醒那些数据有可能被滥用的用户；如果用户超过3个月没有使用App，自动关闭App访问用户数据权限；更改Facebook登录数据，让App只能查看姓名、个人照片和邮件地址，更多数据在通过进一步审核后才会显示；帮助用户管理在Facebook上使用的应用程序以及这些应用可以访问的信息；提高漏洞赏金计划金额，若有开发者发现数据被滥用，及时上报可获奖励共六项措施。

在6项措施之外，Facebook还提出了其他的解决之道。Facebook将通过技术和人工手段加强内容审核。提出至2018年底，将会有两万名员工致力于内容审查工作。未来5～10年将利用AI技术更好地进行内容审核，防止数据泄露，且目前已经开始用AI识别清理机器人账号和假新闻。事件发生后，Facebook集中修改和关闭了一批API来规范与第三方之间的数据共享（关闭了user_relationship_details、user_relationships、user_religion_polictcs、user_status等API的访问权限），并计划从2018年9月30日开始，关闭partnercategories功能，从而禁止第三方数据中间商在其平台上直接提供广告定向等数据服务。此外，扎克伯格在国会听证会中还表示未来将在全球范围内推出与欧洲《通用数据保护条例》类似的数据隐私保护规定来保护用户隐私，并有可能推出无广告付费版服务。

3　Facebook事件对我国安全监管政策体系的三大启示

在当今数据爆炸的时代，数据像石油一样宝贵，数据安全问题更是关系到国家安全和国家数据主权的重要命题。Facebook事件虽然还未平息，但已震撼世界，发人深省。Facebook事件对我国数据安全监管政策体系可以提供3方面的启示。

3.1　需要加强法律约束与行业自律体系建设，并结合国情制定合理的推进路径

从必要性的角度来说，单独依靠Facebook等平台企业本身并不足以完全解决用户信息安全问题。平台上接入的第三方APP众多，其所执行的代码和对数据的使用过程对平台企业并非完全可见。因此提高整个产业生态的安全意识非常重要，而这一目标需要借助法律监管和行业自律体系来实现。

从国际经验来看，目前世界各国采取的模式各不相同。欧盟采取的是成员国国内统一立法、欧盟统一保护的规则。近期欧盟新版《通用数据保护条例》将于2018年5月生效。同时欧盟并不完全排斥行业自律机制，但更多地是依靠立法，而行业自律主要是作为辅助性手段。美国则是另外一种模式，美国采取以行业自律为主、法律为辅的管理模式。美国没有统一的保护网络隐私权的法律，而实施各个行业有针对性的隐私权保护规范。从我国的情况来看，我国目前尚未出台用户信息保护单行法律，相关保护要求散落在多个法律法规及规范性文件中，存在针对性不强、约束力不够的问题。另外，我国行业自律体系尚未建立，尚没有建立受到行业内广泛认可的行业自律组织和第三方认证机构。

目前在全球范围内，专门立法与行业自律相融合的发展趋势明显。具体到我国对用户信息保护的管理模式选择，应充分考虑我国的国情并注意把握尺度。过于严格的监管模式对产业发展会形成较大掣肘，这一点从全球互联网领域独角兽企业数量分布可以得到佐证。根据Crunchable发布的数据，截至2017年9月25日，全球独角兽企业达到267家，分布于22个国家，美国互联网领域独角兽企业数量超过120家，位列全球首位，我国互联网独角兽企业数量约90家，仅次于美国。中美两国独角兽企业数量之和占全球比例超过80%。而英国、德国等欧盟国家互联网独角兽企业数量与中美差距巨大。从这一点来看，中美两国已成为世界互联网两强，而欧盟地区互联网发展波澜不惊，这与其严格的监管模式不无关系。考虑我国建设网络强国、发展数字经济和建设数字中国的发展需要，建议我国尽快建立用户信息保护相关的行业协会组织，在政府指导下开展工作，条件成熟时再制定用户信息保护单行法律。

3.2　建立完善用户信息保护相关标准及评估体系，推动数据应用规范化

在国际上，用户隐私标准及认证体系已经广泛应用。美国TRUSTe隐私认证基于云数据隐私管理平台，使服务提供商安全地收集、使用用户在互联网、移动终端、云端和广告渠道的数据，增进用户和服务提供商的互信。该认证得到全球很多国家认可和信赖，为全球5000多家企业提供隐私认证服务，其中包括苹果、迪斯尼、eBay等国际知名公司。我国在这一领域起步较晚，但部分行业已经开始启动有益探索。2017年中国互联网金融协会制定“用户数据在移动金融中的收集与使用行业标准”，并发布《2018移动金融用户个人信息安全测评报告》，针对200家移动金融交互类APP产品，从隐私政策合规、隐私权限获取合规和财产身份信息收集合规3个维度进行了全面测评，旨在推动数据应用的法治化、规范化。

因此，建议未来我国加快推进用户信息保护国家标准及各行业标准的研究制定工作，并以标准为依托，加快隐私保护评估技术和工具研发，尽快建立评估机制。

3.3　完善监管政策、体制和手段，营造透明、公平、有序、监管有度的市场环境

从监管体制来看，各国采取的监管体制与他们采取的立法模式密切相关。欧盟采取的是政府主导统一监管的模式。欧盟《数据保护指令》规定各国设立独立的监管机构来行使用户信息保护职能。美国则主要由行业协会来履行用户隐私保护监管职责，政府层面没有设立专门的监管机构。从我国的情况来看，我国目前也没有设立隐私保护的专门机构，相关职责散落在工信部、公安部以及各个行业主管部门。

从监管政策来看，欧盟对用户信息的采集和使用有严格执法，例如要求企业对用户建立分析画像前首先需开展隐私影响评估。对数据泄露的追责也十分严格，数据泄露的责任扩大到任意数据处理方，违反数据保护条例处罚最高可达公司全球营业额的4%。从我国的情况来看，我国政府层面缺乏用户隐私保护的专门监管机构，对用户信息保护的监管机制尚不明确、不健全，对用户隐私泄露的追责力度较弱。在企业层面，目前业界对用户隐私保护的重视程度有所提升，但距离用户期望仍有较大差距，仅部分企业对APP进行隐私保护审计，例如腾讯开放平台在APP接入审计时会预先审核APP是否非法窃取和上传用户隐私。

放眼未来，建议我国从监管政策、监管体制和监管手段3个方面入手，逐步建立完善用户信息保护监管体系。体制方面，建立用户隐私保护的分级组织管理体系。建议国家和行业层面建立或指定用户信息保护的专门监管机构，分别履行跨行业和行业内的用户信息保护协调和监管职能。企业层面，根据企业规模，建立用户信息保护的专门监管机构或专职人员，制定必要的数据管理制度，提高执行力。监管政策方面，建立用户隐私保护事前事中事后全周期监管机制。事前环节对APP应用商店、业务开放平台等平台型企业，在业务准入时进行备案管理，要求企业报备用户隐私保护的措施和手段，以及向第三方共享数据的范围和方式。事中环节，要求平台类企业加强对APP接入和运营的审计，明确APP采集数据的种类和使用，对运营中大规模调用数据的APP重点审计。考虑到对企业的成本压力和中小企业的承受能力，以及保护互联网创新的需要，建议此举的管理对象重点面向大型平台企业。另外依托行业协会开展隐私保护评估认证，通过年报、举报、抽查等机制加强对平台企业及平台接入合作伙伴的监督管理。事后环节，建议可以结合安全信用名单机制，将存在信息泄露隐患或造成实际不良后果的企业重点监管和处置。在手段方面，建议建立透明的用户信息保护监管平台，平台企业向监管平台报备数据共享范围和方式，以及平台上接入的第三方应用所采集用户信息的种类和具体用途，从而使企业对用户信息的采集、共享和使用过程更加的透明和规范化。

4　结束语

总体来看，伴随着各国互联网基础设施能力的不断提升以及互联网应用的蓬勃发展，互联网用户渗透率不断攀升，用户上网时长不断增长，用户在网络上留下自身隐私数据的机会越来越大。用户在充分享受互联网发展带来的便利的同时，也遭受着巨大的用户隐私泄露风险。同时，互联网行业鱼龙混差，各种规模各种类型的企业充斥市场，这些企业的安全意识和防护能力千差万别，甚至不乏出于商业利益而恶意收集、使用、交易用户隐私数据的行为。充分关注Facebook等大型互联网企业用户数据泄露事件，从中获取有益的经验，为我国加强政府监管和行业自律提供必要借鉴，具有重大的现实意义。