自3月16日Facebook 承认因Cambridge Analytica 滥用用户数据,致使5000多万人隐私遭泄露以来,这一事件仍升温不断。上周,Facebook表示数据遭泄露的人数增加至8700万。本周,Facebook 首席执行官扎克伯格将在美国国会参众两院分别举行的听证会上作证。他的证词或许可以帮助人们部分揭开笼罩这一全球最大社交媒体的疑团。然而,无可置疑的是,这家创立了14年的企业所享受的“隐私换便利”的黄金期已经过去,社交媒体上的个人信息不再是广告商或是别有用心的第三方用户可以任意攫取的“蜜糖”,无论是通过自律或他律,社交媒体的个人数据使用都将面临更加严格的监管。腾云邀请各界专家学者,对Facebook事件所折射出的个人数据使用和隐私保护问题展开分析,希望可以提供一些有益的镜鉴和启示。
中国社科院法学研究所助理研究员刘明认为:现实生活中,大量侵害个人信息的行为都由不知名小企业或行为人实施,面对这些“蚊子”式侵权者,那些对Facebook这类巨头企业颇为有效的规制“大炮”收效甚微。
在此情形下,用户的自力救济将成为阻止数据泄露的有效手段,只有切实加强用户一方在个人信息保护上的自力救济能力,并使之能与舆论监督、行政监管、市场反馈形成合力,才能从根本上对个人信息侵权行为产生遏制效果。
刘明 民法学博士,中国人民大学法学院博士后出身,现为中国社科院法学研究所助理研究员,主要研究领域为民法和网络法。
Facebook个人信息泄露事件一经曝光,就迅速成为了全球关注的焦点问题,而该事件本身的复杂性和多面性,为社会各方从不同角度对其进行分析和解读提供了丰富的素材。笔者不揣浅陋,以该事件为契机,对个人信息保护相关问题形成了两点不成熟的思考。
1 现有信息保护规则对“蚊子”式 侵权者收效甚微
自Cambridge Analytica 前员工Christopher Wylie爆出其雇主违规收集近5000万(根据Facebook的最新预估,受影响用户数量可能达到8700万)Facebook用户的个人信息,并将其用于美国总统特朗普的大选咨询服务以来,无论是传统媒体还是新媒体,均对此次事件进行了连篇累牍的报道,并将其定性为一起丑闻,使Facebook的公众形象大打折扣。
事件发展至此,从某种程度来说,Facebook已经为其疏失付出了沉重代价。我们也有理由相信,为了重新获得用户的信任和市场的青睐,Facebook将采取针对性措施改善个人信息保护状况。目前,这些措施已部分落实,如简化用户隐私授权设置选项、收紧第三方APP获取用户个人信息权限、修改用户协议和隐私政策等。
然而,我们对于此次事件的关注不应因Facebook的“改邪归正”而浅尝辄止。事实上,较之于Facebook的亡羊补牢,笔者认为,作为直接受害者的用户群体在个人信息泄露过程中表现出的一种近乎失能的状态,更值得我们关注。毕竟在现实生活中,大量侵害个人信息的行为是由一些根本不知名的小企业或行为人实施的,而对于这些“蚊子”式的侵权者,那些对Facebook这类巨头企业颇为有效的规制“大炮”,如舆论监督、市场反馈等,往往收效甚微,且受制于执法成本,监管机关难以对这些违法行为进行全面打击。
2 让用户处于个人信息保护的 核心地位
Facebook泄密启示:自力救济遏制“蚊子”式信息窃取者
在此种情形下,用户的自力救济将成为防止个人信息泄露的更重要的力量。只有切实加强用户一方在个人信息保护上的自力救济能力,并使之能够与舆论监督、行政监管、市场反馈形成合力,方可从根本上对个人信息侵权行为产生遏制效果。
然而,由于个人信息自身具有价值低密度特性,对于普通用户来说,通过诉讼手段追究行为人的侵权责任将很可能是一个得不偿失的选择,而这也是在司法实践中,很少有用户会因个人信息受侵害而提起民事诉讼的原因。事实上,当侵权行为的实施者是前文所称的“蚊子”型主体时,找到被告本身就可能存在一定难度。 鉴于此,笔者认为,除了要继续在制度层面上加强个人信息保护力度外,更为重要的是,要在技术层面提高用户保护自己个人信息安全的能力,使其能够切实行使制度赋予其的各项权利,并对侵权行为予以直接反击。在这方面,相信随着市场对于个人信息保护需求的不断增强,第三方服务提供者将大有作为。
仅以电子终端为例,如果用户能够借助第三方个人信息保护软件,对服务提供者的个人信息授权请求进行有效监控,或对信息授权需求的合理性进行评估,那么,至少那些无意识的个人信息泄露情况将可以得到有效抑制。事实上,此种商业模式在市场中早有先例,杀毒软件的迅速普及对于电脑病毒传播的产生的遏制效果,即属典型。 总而言之,在个人信息保护问题上,信息主体永远应处于核心地位,只有对用户进行充分赋能,方可使其真正成为个人信息的主人,并获得与信息收集者基本对等的博弈地位。事实上,对于个人信息的收集和利用者来说,用户对于个人信息控制能力的增强,也可以使其在更为真实的用户授权基础上对个人信息资源进行使用,从而不必担心僵硬的隐私政策成为其合规木桶中的短板。
3 隐私与便捷如何取舍? 用户自治是关键
在Facebook个人信息泄露丑闻发生不久,李彦宏先生的一句被媒体经过精简的“中国人更愿意用隐私交换便捷”,又再次碰触到了人们在个人隐私安全问题上的敏感神经。
在激动的情绪平复后,当我们回过头来思考隐私(此处的隐私应作广义理解,包含个人信息)与便捷之间的关系时可以发现,在现实生活中,二者之间确实存在着一种“此消彼长”的关系,因为在很多情况下,人们对于便捷的最直接体验,就是个性化需求被有效满足,而要做到这一点,对于需求方的充分了解无疑是不可或缺的前提条件。 在科幻电影《她》(Her)中,人工智能系统OS1之所以能够对使用者的生活给予无微不至的照顾,甚至在情感上与其进行“深达灵魂”的沟通,正是因为其已经对使用者在使用系统前及使用过程中产生的所有信息进行了全面的系统分析。事实上,人们在生活中感觉亲人和朋友比陌生人更为贴心,亦同此理。
Facebook泄密启示:自力救济遏制“蚊子”式信息窃取者
▲科幻电影《她》(Her)截图。
问题的关键在于,当人们作出此种“以隐私交换便捷”的选择时,是否具有充分的选择自由?毕竟,人们在面对不同类型服务以及不同服务提供者时,对于隐私与便捷这两者之间的价值取舍,很可能是完全不同的,是否愿意进行交换,以及愿意在多大程度上、多广范围内进行此种交换,均存在个性化需求的空间。 当然,从服务提供者的角度出发,对所有主体的个性化需求均给出有意义的回应并不现实,但现在的情况却是,服务提供者往往会向用户提出一揽子“交换”方案,用户的面对选项只是“take it or leave it”,在市场缺乏有效替代服务的情况下,此种选项甚至并不能被称之为选项。
4 用个人信息授权选项 取代一揽子协议
在笔者看来,一种相对健康且均衡的解决方案是: 第一,以多元化的个人信息授权选项取代一揽子协议,并将这些选项以“opt-in”的方式设置,从而在程序上保证用户作出有意义的选择。诚然,此种设置方式会使服务流程变得更为复杂,但在隐私与便捷这两种价值面前,服务提供者又凭什么代替用户做出预设选择呢?更何况,个人信息的安全较之于便捷的服务,显然处于更高的价值位阶之上。
第二,应明确告知用户个人信息授权的范围、理由和用途。目前,已有越来越多的服务提供者都会在获取用户个人信息前征得用户同意,并告知所要获取的信息内容,这点是值得肯定。问题在于,大多数服务提供者并不会在此过程中明确告知用户其获取这些信息的具体理由和使用用途,而此种信息的缺乏,不仅会使人们对于服务提供者在收集个人信息时,是否遵循了法定的正当和必要原则产生质疑,而且也是对消费者知情权的一种严重侵害。试想,如果某网站能够明确告知用户,会根据其个人信息对商品的价格进行“个性化调整”,那么“大数据杀熟”的情况是否至少能够被更早察觉呢?
第三,应为用户提供便捷的修改和退出路径。同一用户在不同时期,对于隐私与便捷之间的取舍关系很可能会作出不同判断。因此,为确保服务提供者对于用户隐私的使用,能够与后者的真实意愿保持同步,服务提供者应为用户设置较为便捷的授权调整机制及账户注销机制。在这方面,目前大多数服务提供者做得都不够理想,线上服务提供者虽然大多设置了此种机制,但往往隐藏较深且程序复杂,大多数线下服务提供者则压根没有设置此项机制。 一言以蔽之,“用隐私交换便捷”这一现象在现实生活中无处不在,即使是在商业领域中,也是一种中性的价值选择,除非在此种交换之中,包含了对于用户一方的强迫、欺骗与隐瞒。
|