透析Facebook事件，對AI行業數據合規的思考

Facebook在其發展過程中接連打敗myspce、yahoo等競爭對手成為全球第一大網路交友平台，但是其對於用戶隱私保護和網路安全方面的隱患卻一直存在，甚至近年來多次被各國執法機關（如FTC）進行處罰，如2009年就曾發生過黑客成功入侵Facebook盜取上億人密碼的事件。此外，Facebook接連遭到以歐盟地區隱私保護專家為首提起的訴訟，指控其隱私政策違反歐洲隱私保護的相關法律，並且該等訴訟已經獲得了歐洲法院的支持，更甚者一些國家直接對其採取了封禁措施。Facebook理應注意到自身存在數據隱私安全方面的隱患並應引以為戒，但其並未予以反省採取全面有效管控措施。因此本次事件的發生也非偶然，最終只能Facebook自食其果，對大筆罰款予以埋單。

筆者認為，本次Facebook事件所衍射出的主要問題是如何平衡數據安全與數據流通之間的關係。在當前互聯網高速發展、「online」又極大便利人類生活與交互體驗的大背景下，民眾保護個人隱私的意識逐步提升，各國關於信息保護及網路安全的法律法規也相繼出台，包括今年5月份即將生效的《歐盟通用數據保護條例》（「GDPR」）以及我國已經出台的《網安法》、《個人信息安全保護規範》和正在醞釀的《個人信息保護法》。現在，全球對這一領域的關注與立法動態，猶如百家爭鳴時代昌盛。這意味著過去一些互聯網企業要求用戶強制遵守完全有利於數據控制者的「霸王條款」和濫用、盜用用戶個人信息的情況將會逐漸在法律（及標準）的指引下進行合規化整改，法製取代自治的大方向已經到來。

作為互聯網新生代寵兒的AI行業，用戶數據的收集與整合從而進行機器學習是實現人工「智能「功能的前置條件。換言之，打通數據獲取渠道，建立數據模型，不間斷地運用多元化數據進行深度學習，以達到機器自動識別與認知的效果。由於這些新型場景的開發、運用，用戶、政府及媒體輿情機構對新技術領域的數據安全頗有擔憂，比如法國政府正考慮對涉及數據保護和人工智慧領域的企業收購行為進行限制。所以AI公司若想打消人們的這些疑慮，贏得市場的廣泛認可，先進的技術和演算法是一方面，數據的合規性管理又成重大命題。對此，經營者需要承擔更為具體和詳細的責任與義務，除促使數據流通和積累幫助機器有更多的語料和素材加以深度學習外，企業內部建立完善成熟的數據安全監管體系與之配套勢在必行。

按數據來源進行分類監管

筆者從Facebook本次事件的經驗教訓出發，對輔助AI企業實現不同功能的數據來源進行分類，從以下幾個方面進行積極思考：

用戶個人信息收集網路經營者要將自己收集用戶信息的目的、種類及保護義務詳細完整的告知用戶，本著最少收集的原則，不應強制要求用戶同意或在未取得用戶明示同意或授權的情況下收集用戶自身及其關聯信息，例如用戶好友資料或用戶本身其他的不必要信息。對個人敏感信息的收集更需要以增強性告知的形式進行提示。具體內容參見筆者「在《個人信息安全規範》指引下初探AI企業數據合規的Good Practice」一文中的描述，本文不再重述。而Facebook並未將第三方收集用戶信息的行為告知用戶，也未取得用戶授權。而是在用戶毫不知情的情況下將數據移轉交換至第三方，這也是最終導致5000萬用戶個人資料泄露的初始原因。

公開信息抓取所謂「數據抓取」也稱「數據爬取」，即是從社會公開的信息中收集信息為AI產品提供用戶感興趣的內容。Facebook本次事件其實不涉及公開信息抓取的問題，但是為了照顧內容的完事性，對這方面的合規要求，我們將通過另外一個案例進行說明，即Linked in訴HiQ關於其收集領英平台公開數據是否違法的案件。美國加州北部地區法院支持了HIQ，認為平台上的數據由用戶自行發布在公共空間，LinkedIn 不能證明他們擁有這些數據，從而也就沒有權利屏蔽他人使用這些數據。任何人都可以手動點開每一個人的信息，拿紙筆抄下來，然後再錄入到電腦里。互聯網行業的創新不應該被幾個數據寡頭壟斷，公開數據應該可以被公眾獲取。但是根據GDPR或者我國《最高人民法院關於審理利用信息網路侵害人身權益民事糾紛案件適用法律若干問題的規定》中的規定，對於收集數據主體自行公開的信息是被允許的，但對於自然人約定的在一定範圍內公開的信息不得自行收集。

合作夥伴通過介面進行數據共享隨著IoT的崛起，使我們的生活變得更加地智能、有趣。智能製造、智能生活（可穿戴+ 家居）、智能城市、智能汽車的打造，使「物物相連」的概念已從幾年前的抽象名詞變成了現在實實在在可落地的場景。AI行業中也會涉及精準性投放和定向推送的場景，勢必會與第三方有數據合作和分享，因此，對於數據保護的要求就變得更為重要。在本次事件中，Facebook通過和劍橋分析公司的合作引入了一款名為「this is my digital life」的性格測試應用，但卻沒有盡到合理的監管和審查義務，致使該公司在Facebook上獲得5000萬個人數據並創建了檔案，而對這些用戶進行了非正當目的的內容推送。為了避免重蹈Facebook的覆轍，網路經營者應該在與第三方進行數據合作或流通的同時，也應設置數據流通壁壘，以用戶本身的選擇為通過要件，嚴格執行三重授權原則（即用戶授權+平台授權+用戶授權），同時對共享部分和非共享部分的數據進行分類處理和管理。即使在某些特殊情況下例如從事科研、保護公共利益等情形下，作為數據的控制方及移交方，網路經營者仍有義務確定第三方的真實目的，若有發現第三方有存在欺詐等違法行為或從事於原始目標不符的工作，應當立即通知第三方刪除用戶信息並採取有效的保護措施中斷第三方對數據的控制權，避免出現控制權脫手或監管疏忽、不嚴的情況。

按數據流通過程進行分段監管

關於與合作夥伴間進行數據分享和合作的具體合規性建議，可參考筆者【在《個人信息安全規範》指引下初探AI企業數據合規的Good Practice】一文中的相關段落。

這裡需要提到的一個新的問題就是，通過「演算法」向第三方提供「用戶畫像」如何有效監管？舉個簡單的例子，某公司和第三方公司進行某個項目合作，這個項目有且只有第三方能做。那麼，為了增強用戶體驗層級，平台方會在增強告知並得到用戶明示同意後收集並共享信息給該第三方公司，通過這些數據能判斷用戶的喜好、行業等個人基本信息幫助第三方公司進行業務判斷決策從而對用戶提供和優化服務。

無論如何，平台方仍應盡到下述義務：事前徵得用戶同意並進行評估，事中進行定期審計與監督，同時建立完備且有效的預警控制手段。

針對設有獨立的預警機制，根據我國《國家網路安全事件應急預案》以及《個人信息安全規範》中的規定，企業應事先準備完整妥善的應急預案並每年至少組織相關人員進行一次應急預案響應及應急培訓。

但對於事故通報時間及管理層級兩方面，筆者認為還可以進一步細化，我國目前尚未規定在發生安全事故時，企業向有關機構報告的時間，這對於在第一時間控制事態發展是不利的，而歐盟GDPR中就明確規定「網路運營商應在發現侵害72小時內通報（能證明該侵害不可能造成當事人權利與自由風險的除外）。不能在72小時送達的，原因應與通知一併提交不得再遲延。因違反本規則收到的損害有權獲得賠償，除控管者證明損害不可歸責」。而管理層級方面我國分為四個等級，各層級工作義務及責任十分明確，筆者建議在此基礎上應再單獨設立可以直達最高管理機構的監管機關或人員並由高層或專門部門直接負責（如歐盟GDPR中關於數據保護官的規定）。另外，企業還應定期對系統進行安全檢查，監管部門直接對接公司管理層，對於數據的移轉要進行現實的安全評估，提供完整詳細的評估報告，同時監管監督要貫穿始終，對於突發性安全事件應根據國家的法律規定採取應對和補救措施。Facebook在明知數據泄露給第三方且自己沒有控制權的情況下，沒有採取及時的補救措施而是以一种放任的態度對面對，如果他們能夠及時的向社會公告、尋求政府部門的協助，那麼最終也不會出現這種惡劣的局面。

結語

針對我國目前個人信息甚至隱私泄露比較普遍的現象，筆者認為主要有二方面原因：

其一，普遍群眾對於個人隱私保護的重視程度還不足。用戶在使用app或者瀏覽網頁時，對於彈出的授權請求通知以及運營商的隱私政策並不是很重視。當然，我國相關立法也在逐漸完善，通過加強民眾教育、普法交流，已經有部分人開始自省並注意保護個人隱私，未來對於數據流通兼顧安全保護將會是國家發展（經濟發展+主權保護）的主要規範方向，也是互聯網行業需要去審慎考慮和規劃的重點。

其二，企業對於發展的成本分析維度還不夠全面。一些企業認為公司尚處起步階段，完全合規的成本太高，國家抓典型查處的只是大企業，對中小企業來說建設完整的合規體系尚早甚至還可以鑽法律的空子。

其實，這些企業沒有算清楚這筆台帳，不進行全面合規所導致的風險成本將會更高。比如GDPR中規定「違反本規則有關的控管者義務、認證機構義務、管理機構義務的對其處以最高一千萬歐元的行政罰款；若是企業，最高處以前一會計年度全球營業額的百分之二並以較高者為準；違反有關數據處理的基本原則、個人資料國際傳輸之規定，侵害本規則所定數據主體的權利或違反依照本規則通過之會員國法律所定任何義務的，最高處以二千萬歐元的行政罰款。若是企業，最高處以前一年度全球營業額的百分之四並以較高者為準」。根據中國網安法，對於違反數據保護相關規定的，按情節嚴重程度，最高可處以100萬元的罰款。雖然我國違法處罰力度不如GDPR嚴苛，但是違法成本的計算不僅僅是金錢一種，對公司造成社會上的不良影響、受到大眾的負面評價、危機公關需要付出的人力物力成本、上市資格被禁，股票價格跌落，這些隱形損失的代價無疑是更加慘重的。

在當今經濟全球化的背景下，我們更應該時刻保持清醒的頭腦和理性的判斷，保護企業本身，全面合規並加強全流程監管，其實質也是為了企業防預後續因法律責任不可控產生一系列不利影響而作的提前預防。事先合規成本相當於是在給自身買保險，因為並不是任何企業都可以承受得起數億美元的罰款與360多億美元股票市值的蒸發。可喜的是，企業重視合規、願做合規的聲音已經越來越強，據統計已經有55%以上的企業會在進入頁面時向用戶公開展示收集信息的規則， 48%以上的企業會就其收集個人信息的規則徵得用戶的同意【註：數據來源於「《中國數據保護年度報告（2018）》系列之一：企業數據收集和利用的現實局面」一文】。

對於我們，人工智慧行業本身就自帶新興且敏感的特質，更應該提前建立完備安全的合規體系，從根本上消除隱患，保證用戶的信息安全，獲得國家和公眾的共同支持，從而在互聯網大潮流中破浪前行。

註：

本位作者為出門問問法律合規部總法律顧問孟潔和出門問問法律合規部實習生陳子謙

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！