Facebook事件不应成为开放平台业态“滑铁卢”

　　刘金瑞

　　Facebook“数据门”事件曝出后，有不少观点开始主张要严格监管Facebook这类平台，互联网平台应该对所有平台个人数据泄露承担直接责任。

　　这不得不令人担忧互联网开放平台业态的发展和前景。部分有失偏颇的报道遮蔽了一些基本事实，这使得很多分析成为情绪化的表达，容易引发各界尤其是监管者的误判，美国和欧盟政府的某些反应也证明了这一点。

　　笔者认为，我们应该在澄清基本事实的基础上，客观认识开放平台第三方应用对个人信息保护带来的挑战，审慎确定开放平台的责任边界，如此才可以保障互联网平台经济的健康有序发展，不至于使得此次事件成为互联网开放平台业态的“滑铁卢”。

　　随着互联网产业的融合创新发展，互联网市场的竞争已经从单一产品业务竞争转向整个产品业务体系的综合竞争，“开放共赢”理念成为业界的基本共识，开放核心业务数据，构建平台化业务生态体系已经成为互联网企业新的增长点。近几年来，腾讯、新浪、阿里等国内企业紧随国外巨头的步伐，也纷纷推出自己的开发平台，实现了迅猛增长。众多第三方开发者的涌入，一方面丰富了平台的应用种类和服务内容，另一方面也给个人信息保护、网络安全、内容管理等带来了巨大的挑战。Facebook“数据门”就是典型例证。

　　仔细梳理“数据门”可以发现，并不是Facebook泄露数据，而是用户授权的第三方应用开发者Kogan出售了用户数据。根据当时Facebook隐私设置规则，对于好友安装使用的第三方应用可以获取用户哪些个人信息，用户往往选择“允许”所有权限，即第三方应用可以访问用户的生日、状态更新、点赞等大量信息。这使得Kogan的应用通过Facebook平台的数据接口不仅获取了30万安装用户的信息，还获取了他们好友的相关信息，最终获取了大约8700万用户的个人信息。虽然Kogan的应用协议里“出售用户数据”的内容，违反了当时Facebook的平台规则，但据媒体报道，因为Facebook依赖自动程序接收第三方应用的服务条款更新，并未安排员工去审查这些条款，没有阻止这一应用上线。

　　正是由于Facebook平台疏于实施有效监管，才导致Kogan将其从Facebook平台获取的原本仅用于学术研究的个人信息出售给了剑桥分析，剑桥分析超越用户授权目的将这些信息用于了商业和政治定向广告，从而导致了用户个人信息被严重滥用。

　　这一事件凸显的最重要的法律问题就是，互联网开放平台对于确保第三方应用不滥用个人信息应该承担何种责任。在互联网平台数据开放业态中，平台既是通过用户授权获得数据的数据聚合者，又是授权第三方应用使用数据的数据分发者。因此，互联网平台理应对第三方应用利用个人信息承担一定的监督和管理责任，确保个人信息不被滥用。但这种责任不是无限责任，要有一定的边界，应与开放业态相适应，如此才可以切实保障互联网平台经济的健康有序发展，对此，目前的法律规定并不清晰。笔者认为，从事前审核和事中管理的角度看，厘清开放平台确保第三方应用不滥用个人信息的义务和责任，应考虑以下几个方面：

　　首先，应明确接入平台时的登记和审查义务。“数据门”发生的主要原因是Facebook没有尽到对第三方应用应有的审查。建议未来立法明确互联网平台在第三方应用接入平台时应履行登记和审查义务。登记义务主要是记录应用开发主体的真实信息和联系方式，便于在出现数据泄露时追查责任人。审查义务一方面是审查主体的资质，比如应用开发者是否具备法定的数据处理资质，这种审查有时需要政府向平台开放行政许可数据才能实现；另一方面是审查第三方应用的数据使用协议是否符合平台规则，比如平台有可能禁止第三方应用将获取的用户数据再次移转。

　　需要指出的是，平台规则必须包括最低的法定要求，如果平台允许违反此类规则的应用上线，那么有可能构成共同侵权和共同犯罪。当然，平台出于市场竞争的考虑，也可以提出比法定要求更高的数据保护规则，排除一些数据保护不规范、能力相对较弱的应用开发者。[page]分页标题[/page]

　　其次，要坚持“平台+用户”双重授权原则。强化平台授权的理由在于：一是有利于让平台审查第三方应用通过数据接口获取和利用数据是否合法、是否符合平台规则，平台可以拒绝授权那些经评估可能对个人信息保护造成重大威胁的应用；二是用户往往对第三方应用提供的格式条款缺乏理性判断，平台的加入有助于保护用户的合法权益；三是有利于维护平台的数据资产，阻断第三方应用通过突破数据接口来获取平台数据的不正当竞争行为。

　　在2016年新浪诉脉脉非法抓取微博用户数据案中，法院判决认为，“网络平台提供方可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利”，并确立了第三方应用通过开放平台获取用户信息时应坚持“用户授权+平台授权+用户授权”的三重授权原则。

　　再次，要坚持个人信息和隐私区分保护原则。大多数关于“数据门”的报道和分析不加区分地使用个人信息和隐私的概念。虽然对这两个概念，业界远未达成共识，但一种有说服力的观点认为用户自愿公之于众的个人信息不再属于个人隐私。实际上，Facebook对不同类别的个人信息是区分保护的：无论是1.0版还是2.0版图谱数据接口，只要用户使用第三方应用，第三方应用就可以访问用户的好友列表、设置为“公开可见”的信息等，除非用户关闭整个第三方应用功能。抛去概念的争议，对于隐私、已经公开可见的个人信息、用户好友可见的个人信息等不同类别的个人数据应该予以区分保护、分级保护。

　　对于隐私，比如聊天记录、通话记录、短信内容等，一般不允许第三方使用，规制的重点是避免他人知悉，必须使用时应该有明确的最小限度的授权，一般不得存储和向第三方共享；对于已公开的个人信息，规制的重点是避免他人滥用，在用户授权的目的和范围内，平台可以根据具体应用场景限制第三方应用使用数据接口的时间和频次等。比如在事件之后，Facebook规定如果用户在3个月之内不再使用第三方应用，将删除该应用的链接方式。此外，考虑到社会公共利益，对于个人信息用于学术研究等，可基于以风险管理原则设计一些例外规定。

　　第四，应规定违法行为的报告和处置义务。鉴于互联网平台对于违法行为有一定的管控能力，在出现违法行为时，为防止危害和影响的扩大化，参照网络安全法可以规定平台承担一定的处置义务，如视情况采取警告、限制应用访问、停止平台授权等；因为平台的手段和能力有限，平台在对违法行为进行力所能及的应急性处置后，应保存有关记录，尽快报告监管部门，由监管部门来调查和处理违法行为。此外，平台还应及时受理并处理用户关于个人信息滥用的投诉和举报。在事件中，Facebook获知数据遭滥用后，曾要求Kogan和剑桥分析正式澄清他们已经删除了全部不当获取的数据。这种要求删除数据的行为其实应该由监管部门实施，因为只有监管部门才可以通过公权力核查数据滥用者是否已经删除了数据。

　　最后，应确立数据泄露的报告和通知义务。在“数据门”事件中，Facebook并没有将用户数据泄露、被滥用报告给监管部门和通知用户。实际上直到扎克伯格去美国国会作证的前一天，Facebook才开始通知数据泄露受到影响的用户。其实，对于数据泄露报告和通知义务，美国、欧盟、澳大利亚等国家通过立法作出了具体规定，如果违反该义务要承担相应的法律责任。以美国为例，美国各州的规定有所不同，有些州的罚款按照损害人数计算，有些州按照泄露次数统计，有些州按照泄露未通知的时间计算，Facebook可能就违反报告和通知义务承担高额罚款。我国网络安全法第42条第2款也就数据泄露的报告和通知义务作出了原则性规定，建议未来我国立法对此作进一步细化，明确规定数据泄露通知义务的通知对象、通知时间、通知程序、通知内容等，及时遏制数据泄露所造成的危害进一步扩大，切实维护网络用户的合法权益。[page]分页标题[/page]

　　（作者系中国法学会法治研究所副研究员）

　　责任编辑：郑少东