数据流动是大数据时代产业发展的必然,数据的流动给企业乃至国家的安全管理带来了巨大的挑战。如何管理流动的数据,保证数据安全,是全球互联网企业共同面临的难题。Facebook 近日被卷入的数据丑闻,从企业向第三方提供数据方面提供了一本反面教材。这本反面教材的代价是沉重的,Facebook 市值蒸发数百亿背后,是用户的信任危机。

一、Facebook数据泄露始末

事件的大致背景是:为增强用户粘性,2007年Facebook平台(Facebook Platform)上线,第三方应用的开发者可通过平台的技术工具和接口,将开发的平台应用(Platform APPlication)(如游戏等)在Facebook上运营,用户可在线进行互动。用户在使用平台应用时,会使用个人信息,这些信息有的是Facebook上的原有信息(如用户的个人信息和朋友列表等),有的是使用应用时产生的信息,因此Facebook需要与平台应用共享用户信息。当时Facbook并为对平台数据的交互进行严格的管理,而此次事件的关键人物Aleksandr Koran及其背后的政治咨询机构SCL/CambridgeAnalytica(剑桥咨询),利用了当时Facebook的平台数据交互的漏洞。导致Facebook上5000万用户的数据泄露。

剑桥大学的研究人员Koran 开发了一款专门针对选民的测试应用“this is your digital life,”的 Facebook 应用,一共有约27万人下载,经过用户在应用内的授权,收集的信息包括了用户的信息,包括居住的城市、用户资料信息、点赞的内容,还包括用户的朋友发布的信息。再加上其通过公开途径收集的用户信息,共涉及5000万用户的数据。并将其提供给剑桥咨询, 据媒体报道,其分析出用户的行为模式、性格特征、价值观取向、成长经历等,被用于推送竞选广告。下图是网传的一张对数据泄露的分析图,便于大家了解。

此事件上周被曝光后,Facebook的副总裁兼副总法律顾问Paul Grewal 和扎克伯格先后发表了对此事件的声明,内容主要强调Koran是按照合规的方式经用户授权获取数据,只是使用中违反了与平台规则将用户数据提供给第三方;声明Facebook在2014年已对Facebook平台的数据安全问题进行了全面系统的优化,强调在2015年发现Koran违规后进行了一系列安全措施,包括管理权限和要求删除等,承诺将采取措施监管第三方的数据使用。该新任危机事件反映的Facebook数据安全漏洞,值得我们深入思考。

 二、对FaceBook事件的反思

回顾该事件,反映出Facebook数据安全管理的一些漏洞,主要表现如下方面:

一是单一用户授权即可收集其朋友圈用户信息。

在2104年Facebook发现Koran将数据提供给剑桥咨询前, Facebook当时的开放平台规则只需要注册应用的用户同意,即可收集该用户Facebook朋友圈的信息。

尽管Facebook在2014年对的这一规则漏洞进行了完善,第三方应用仅能获得使用其应用的用户信息,而无法获取其朋友圈的相关信息,但涉事应用自2013年即开始利用此规则漏洞收集Facebook上的数据了。

二是对用户的设置为“公开”的数据未进行管理。

从媒体报道得知剑桥分析从Facebook获得的数据除27万注册用户的朋友圈数据外,大量来源于用户公开的数据。且2014前Facebook的用户隐私设置默认的选项是“公开”,[i]而一般的用户对默认的选项并不敏感。这就意味着大量的用户数据可以任意第三方抓取。Facebook显然也意识到了这点,在2014年推出了新的隐私设置,用户信息默认的隐私选项由“公开”改为“只能为好友所见”。对于用户公开发布的信息,FaceBook现有的用户信息仍规定,任何人都可通过Facebook从线上和线下服务获得公开信息,并可以通过在线搜索引擎、API 和线下媒体(例如电视)查看或访问这些信息。[ii]但同时规定第三方不得将接收的任何数据(包括匿名、汇总或派生数据)转让给任何广告网络、数据代理或其他涉及广告或创收的服务。[iii]上述规则看,Facebook的数据的共享思路是一方面向用户获取较大的数据使用权限,另一方面则第三方应用在平台外使用用户数据实现的。但上述的文字规定需要有效的安全技术措施防止第三方应用滥用数据,否则就只能充当Facebook免责证明材料,将风险转嫁在第三方应用身上,而对于应采取的安全措施Facebook在其《数据使用政策》中却只字未提。

三是缺乏对第三方使用用户数据前的必要审核。

数据只要涉及向第三方提供,就如增加数据管理的风险。合作前对合作进行风险评估是尤为重要的环节。

事件的关键点是Kogan收集的大量用户的信息通过分析有产生了用户的政治倾向的隐私信息并被诟病用于美国大选,而Facebook却缺乏审查机制。Kogan虽然是剑桥大学的研究人员,且声称仅用于学术研究,但实际的情况是:只有选民才能注册该应用,而其收集的用户信息包括居住的城市、用户资料信息、点赞的内容等,从上述信息可大致判断,该应用可对用户的政治倾向这一敏感隐私信息进行分析。其即使是获得了用户的逐个同意,大量的选民的政治倾向信息的滥用将可能导致不良的政治影响。此外,即使该应用收集用户信息的目的是用于学术研究,也需要限制其数量,更何况该应用是开发者来自美国境外。但事实上 Kogan的应用收集用户信息前,Facebook并未对其进行实质性的审查。

四是缺少对第三方使用数据者使用中的有效监控。

事中的审计可使企业及时发现数据安全隐患,并阻止损失扩大。Kogan的应用这种大规模的数据收集,Facebook已通过技术手段在短时间内监控到了这一风险。但在得到是“用于研究”的答复后,便没有再进行追查。直到2015年从英国《卫报》得到消息,Kogan将通过涉事应用收集到的信息提供给SCL/Cambridge Analytica才下架了应用,并要求Kogan和 SCL/Cambridge Analytica删除数据。但Facebook并未对涉事者是否删除数据进行监督和审计。直到此事件被公知于众才与涉事者协商引入司法审计。因此丧失了控制事态恶化的最佳时机。

五是缺乏对安全事件的及时披露和补救。

笔者认为Facebook最大的信任危机来源于于在2015年即知晓了上述安全事件,但却直至2018年被曝光,才发布公告予以公示。事件被曝光后,扎克伯格公布了预防上述事件再次发生的安全措施。包括:一是追查,在2014年平台架构改变之前,追查所有已经获得大量数据的第三方应用;对这些第三方应用,如果有可疑活动,将会要求这些应用的开发者配合Facebook开展全面的审计,否则会予以关闭;如果发现了违法违规的活动,将会告知受影响的用户。二是再次收紧对第三方应用的权限。例如如果用户在3个月内没有使用过第三方应用,Facebook将会取消开发者访问用户数据的权限;登录第三方应用时,Facebook将只允许第三方获得三类个人信息:用户姓名、头像照片、邮箱地址。第三方应用如果要获取用户的帖子或其他私人数据,不仅需要Facebook的许可,还需要签署合同。三是增强对用户的告知和透明度。Facebook将会在4月份上线工具,能够在News Feed中实时向用户展示正在使用的第三方应用并能够方便地取消这些第三方应用权限。这个工具在Facebook中的隐私设置中已经有了,这次完善会移到用户的个人主页中。上述措施如果能在2015年时施行,该事件的危害性至少会减小不少。

三、对我国企业数据流转的合规建议

用户的信赖是企业的生命。正如扎克伯格在声明中承认的那样,“我们有责任保护您的数据,如果我们不能,我们不配为您服务”。而我国的《网络安全法》第四十条也确立的“谁收集,谁管理”的原则,那么企业对外提供数据应当如何防范诸如Facebook数据事件这样的风险呢?笔者建议通过如下几个环节,对企业对外提供数据进行风险控制,避免企业数据管理的重大风险。

一是确保向第三方提供数据前获得数据主体的充分授权。

对于个人信息向第三方的提供,《网络安全法》第四十二条明确规定,未经被收集者同意,不得向他人提供个人信息。在与社交相关的应用和功能中,被收集的个人信息中反映了与发生联系的社交网络的信息。如特定用户的手机或微信通讯录的信息既是这一用户的个人信息,同事还保存了用户通讯录所收集的联系人的联系方式。因此严格意义上,若要向第三方提供上述全部信息,须征得用户及社交网络联系人或朋友的同意,否则则不具备对外提供的条件。

如果是合作者的数据,涉及保密信息的,同样不具备对外提供的权利。《反不正当竞争法》第九条规定,经营者不得违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密。

二是进行数据流转前充分评估数据对外提供的和风险

风险评估是数据流转安全风险防控的关键环节。评估有利于数据控制者对数据流转的安全性作出有效的预测,从而确定数据是否对外提供、提供的安全量级、提供的安全方式以及是操作中的风险控制和发生安全事件后的应急预案。

数据对外提供的风险评估须结合具体业务场景综合,评估使用数据的必要性、数据类型和数据量、数据传输方式的评估、数据接受者数据保护能力及安全风险的评估等。对于高风险的数据对外提供应进行风险预警,并采取措施降低风险。

《网路安全法》第37条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”,但并未对企业的一般数据流转的评估要求。2018年5月1日起开始实施的《信息安全技术个人信息安全规范》(以下称“《个人信息安全规范》”)10.2条对此作出了规定,“开展个人信息安全影响评估

对个人信息控制者的要求包括: a)建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估;b)个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:…… 5)共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响; 6)  如发生安全事件,对个人信息主体合法权益可能产生的不利影响。c)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应重新进行个人信息安全影响评估; d)形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平; e)妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。”

开展数据安全的影响评估是欧美在数据安全保护上的共识,欧盟GDPR发布后,也发布了相关的安全影响评估的指引,如2017年12月发布的Handbook on Security of Personal DataProcessing。我国的个人信息安全影响评估国家标准也正在制定中。

三是加强数据流转事中的数据监控和审计

事中的审计的作用虽没有事前的风险防范地位重要,但可使企业随时发现数据安全隐患,并及时阻止损失扩大。对合作者使用数据,如发现合作者滥用、泄露数据的,及时有效的采取必要措施方式降低数据安全风险。

四是加强数据安全事件的披露和补救措施

数据安全事件向用户的披露能够使用户提高安全防范意识,避免用户损失的扩大。而发生数据安全事件向监管部门的披露会有利于监管机构评估国家和社会层面的安全风险,并组织采取不就措施,防止后果的恶化。另外补救措施需要及时其尽最大努力挽回损失。

因此我国的《网络安全法》规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

作者:京东法律研究院秘书长 严少敏

参考

[i]参见《Facebook更改默认隐私设置》https://www.cnbeta.com/articles/tech/294687.htm,2014年05月23日

[ii]参见Facebook 数据使用政策: https://www.facebook.com/about/privacy,最后访问时间2018年3月23日。

[iii]参见Facebook 开放平台政策:https://developers.facebook.com/policy,最后访问时间2018年3月23日。

声明:本文来自iPolicyLaw,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。