个人信息安全状态堪忧
英国剑桥分析(CambridgeAnalytica)公司,非法获取5000万Facebook(脸书)用户的个人信息,对用户进行大数据分析,推测出用户的喜好和性格等,建立模型,然后通过Facebook的广告系统投放这些用户喜好的新闻,甚至以此干扰在美国总统大选中的投票。Facebook是当今全球最受欢迎的社交媒体,位居全球社交媒体首位,坐拥15.9亿活跃用户。除社交软件之外,类似于淘宝网的购物网站也成为现代社会的新宠,这些极受追捧的软件有着大量的用户个人信息,给诸如剑桥分析公司的商业数据分析行业带来了商机,使得个人信息逐渐商品化。
关于个人信息泄露的案件不在少数,极为典型的就是2001年美国的“Toysmart个人资料拍卖案”。Toysmart是一家网上玩具零售商店,在公司倒闭后,公司将其资料库中的客户信息资料,包括顾客姓名、住址、购物喜好、家中儿童的信息等等,进行公开拍卖,但是之前公司的隐私政策明确保证不会向第三方泄露顾客个人信息。这令消费者对个人信息的流向感到无比担忧,美国联邦贸易委员会也以欺诈为由对其提起诉讼,最后迪斯尼公司为保护公司声誉以5万美元购买了该资料库,并由Toysnlart公司负责销毁。
扎克伯格道歉信能否免除公司的责任
在 “脸书泄密门” 发生后,Facebook创始人兼CEO马克·扎克伯格(Mark Zuckerberg)在报纸上登广告,就公司的“背信”行为道歉。道歉是否有用暂且不提,作为握有用户个人信息的网络服务提供商在发生如此大规模的信息泄密之后,是否应当承担法律责任呢?
网民在使用Facebook软件之前必须先同意接受网站提供的格式条款,二者由此形成合同关系,该合同可以规制双方当事人也赋予其相应的权利义务。义务的来源多种多样,或法律规定或合同要求,不同的合同双方义务也不尽相同。基于网络服务的特性,可以总结出如下义务: (一)注意义务,即网络服务提供商在为用户提供网络服务时,应当尽到合理的事先注意义务,对于违法侵权的内容,应当主动删除。这点类似于“红旗原则”,其最早出现在1998年美国版权法修正案中,是指如果侵犯信息网络传播权的事实是显而易见的,就像是红旗一样飘扬,网络服务商就不能装作看不见,或以不知道侵权的理由来推脱责任,如果在这样的隋况下,不移除链接的话,就算权利人没有发出过通知,我们也应该认定这个设链者知道第三方是侵权的,应该承担相应的法律责任。(二)安全保障义务,德国联邦最高法院在多个判决中肯定安全保障义务同样存在于网络空间。网络技术高深复杂,危险潜伏在看不到的角落,有专家指出: “网络作为民事生活空间,网络服务提供者作为这一空间中的管理人,其法律特征并无异于物理性空间之处,对网络服务提供者施加安全保障义务因此顺理成章。” (三)个人信息保护义务,指网络服务提供者有保护用户个人信息的义务,不得侵犯用户的个人信息。网络用户在网络空间活动时,会产生许多有关于个人的信息,例如点赞、发表言论等等,网络平台有义务保护这些信息。
回到本案,Facebook在2014年就检测到剑桥分析公司小程序的异常行为,只对其做了下架处理,未对外披露也未及时采取合理行动。很显然,Facebook没有履行前述义务并导致5000万用户信息的泄露,至少属于合同违约。
事关对人格权和财产权的综合保护
实际上, “脸书泄密门”已大大超出了合同违约的范围,涉及个人信息所有权的保护问题,剑桥分析和Toysmart公司是否构成侵权甚至犯罪,这值得我们深刻反思。
以美国、德国等国为代表支持将个人信息纳入人格权领域。美国法律中并无明确关于“人格权”表述,涉及类似人格权的权利都是以隐私权表述。美国将关于个人信息保护的内容呈现在隐私法条文中,从法条、判例等各方面都是将其视为隐私权。德国宪法法院则指出: “国家以不当或非法方式搜集、储存、传递、利用个人资料,已侵害资讯自决权,该权属人内在自由权领域,当然伤及人性尊严。”为更好保护个人对个人信息的自主权,德国宪法法院在判例中提出“个人信息自决权”的概念,是指每个人都有权决定是否将其个人资料交付并提供给他人、社会组织或国家机关利用的权利。从法律保护角度分析,个人信息是人格要素的外化,带有强烈的个人主义色彩,没有人的存在个人信息也将荡然无存。
随着商品经济的发展,个人信息在市场的流通中可以更大地发挥其财产效益,所以有人认为个人信息应当属于财产权范围。美国学者莫菲提出“个人信息以及其他信息都属于财产”的观点,就是将个人信息归为财产权。有人为此提出了“个人资料财产化”的理论,将个人信息及数据库没定为财产权,通过交易行为,由市场调节个人信息的分配和流转,以期实现个人信息的高效流转同时维持适当的保护水平。
剑桥分析公司窃取用户个人信息侵权分析
剑桥分析公司采取不当的方式侵害了用户的人格权——个人信息权,此种侵害行为为法律所禁止。不当手段是指不为法律所允许的行为方式,经济合作与发展组织理事会于1980年通过的《关于隐私保护与个人资料跨国流通的指南》,针对个人信息保护提出了八项原则,其中第7条是“限制收集原则”,要求对个人资料的收集加以限制,收集任何资料都应该用合法的、公正的手段,必要时,应得到本人的同意或告知本人。而剑桥分析公司利用小程序测试秘密获取了用户的授权,窃取到用户个人信息,并采取大数据分析的秘密处理方式,显然是违法行为。
剑桥分析公司以作为的方式非法收集5000万用户的个人信息,并利用大数据分析结果量身投放广告影响受害人的投票,对受害人的人格权造成侵害,干扰到受害人正常行使自己的投票权,造成损害事实。剑桥分析公司明知自己在窃取受害人的个人信息,也意图造成干扰受害人投票的结果,证明剑桥分析公司是存在主观过错的,它既了解自己行为方式也意图发生损害后果。用户信息被窃取正是由于剑桥分析公司在小程序中所获取,二者之间存在客观的联系,剑桥分析公司的行为是个人信息泄露的直接原因。
根据侵权责任构成要件,可以断定剑桥分析公司由于窃取用户信息的行为侵犯了用户人格权(个人信息权),以及用户的个人信息自决的权利,并且因此造成了用户信息的泄露和不自由的行使投票权,剑桥分析公司应当承担侵权责任的后果。
近日,美国伊利诺伊州库克县向Facebook和“剑桥分析”两家公司发起了诉讼,指控他们对用户个人信息的不当利用已经构成了诈骗,违反了该州的“消费者欺诈和欺骗眭商业行为法” (ConsumlerFraud and Deceptive Business PracticesAct)。剑桥分析公司以学术研究为名在Facebook发布名为“This is my(ligital life(我的数字生活)”第三方小程序,并取得用户授权,进而收集到用户的个人信息,虽然用户有授权行为,但是用户并不知晓此项授权行为会导致自己的信息泄露,并且该行为还违反了Facebook的使用条款。库克县认为,剑桥分析公司以学术研究为名利用小程序收集用户信息,属于诈骗行为。
从一定意義上讲,本案剑桥分析公司的行为也可以认定为构成盗窃。用户是基于对性格测试的目的对剑桥分析公司的小程序进行授权,剑桥分析公司假借小程序测试行为,在用户未知的情况下主动收集了用户的个人信息,该行为显然违背了用户的意志,不能因为用户对小程序进行授权而掩盖了剑桥分析公司意图窃取个人信息的本质。
类似于剑桥分析公司的商业数据分析行为在今天这个信息化时代早已不足为奇,众多商家在个人信息中发现了商机,从家装电话推销,到电信网络诈骗等方方面面,给个人信息的隐私性、安全性带来极大威胁,为保护公民的个人信息安全,维护社会秩序,亟须不断从立法、执法、监管等方面努力开展工作。
世界各国应当通力合作,达成国际个人信息保护的条约、协定,面对网络全球化的冲击,及时从国际层面准备好应对措施。