电子邮件 网上办公

邀兵请将  

姚约茜、文露:Facebook数字货币Libra的背后故事 | 数据合规多事之秋

发布日期:2019-06-25



2019年6月18日,拥有全球25亿网络用户的社交媒体巨头Facebook,正式发布了Libra稳定币(StableCoin)项目白皮书,并预计在2020年上半年在全球范围内推广稳定货币Libra。在全球把眼光汇聚到这个象征着平衡与公正的天秤座(LIBRA英文意解)之星时,我们必须看到社交媒体巨头以掩耳不及迅雷之势大举动进入币圈背后的曾经历了一段长达十年的数据合规多事之秋,而作为一个拥有全球最强大用户数据库的Facebook又是如何暴露自身的数据合规漏洞从而曾深陷泥潭一蹶不振的。因此,可以说Libra发布不是Facebook的天然自发选择,而是在数据合规伤痛背后的忍痛“找出路”。


2018年3月,Facebook被爆出严重侵犯用户隐私,并将超过5000万名用户的隐私数据提供给一家数据分析公司,而数据合规丑闻并未止于此,之后又爆发了一系列关于Facebook侵犯用户隐私信息的事件,《福布斯》排名前十大的超级科技公司Facebook,自2004年创建历来已超过15年历史,无论这家公司拥有再先进的科技及再强大的市场需求,也无法摆脱其在数据合规上的短板。因此,为了深入解析Facebook数据合规问题,我们将主要围绕四个问题展开:


1.Facebook面临过何种的数据合规泥潭?


2.这些数据合规漏洞反映Facebook在合规上的哪些不足?


3.Facebook曾采取过哪些措施来弥补数据合规问题?


4.我们能从中学到什么?



Facebook接连不断的

数据合规丑闻



其实早在2010年7月Facebook就曾因侵犯隐私行为遭到德国政府的司法行动,但Facebook的数据合规丑闻真正爆发要始于八年后的2018年数据泄露事件,2018年3月17日(美国当地时间),Facebook上超过5000万用户信息数据被一家名为“剑桥分析”(Cambridge Analytica)的公司泄露,用于在2016年美国总统大选中针对目标受众推送广告,从而影响大选结果,此事在世界范围内引发了轩然大波。其后美国联邦贸易委员会(Federal Trade Commission,FTC)对Facebook开展调查,主要针对Facebook是否违反了2011年的和解令(Consent Decree)。和解令每违反一次,可判处40000美元罚款。这意味着,如果5000万Facebook用户数据被泄露的事情属实,Facebook可能会被判处2万亿美元的罚款。而这起事件可能成为史上最大规模的信息泄露案之一。


而在2019年4月4日,Facebook的用户数据再次遭泄露。网络安全公司UpGuard的研究人员发现,数亿条用户信息被公开发布在亚马逊的云计算服务器AWS上。例如,墨西哥城的数字平台Cultura Colectiva公开存储了5.4亿Facebook用户的记录,包括身份证号、评论和账户名称。任何人只要能在网上找到这些记录,都可以访问和下载。之后该数据库被关闭。


这一发现表明,在剑桥分析公司(Cambridge Analytica)的丑闻曝光一年之后,Facebook在保护私人数据方面仍做得很不充分。



Facebook数据合规

严重短板


作为一家优秀的科技企业其不可能不知道数据合规的重要性,特别是近几年来全球范围内刮起的数据合规监管风暴无论是对于一家互联网企业还是一家跨国企业都理应有所警觉,而Facebook却仍然无动于衷。2018年5月,欧盟范围内《通用数据保护法案》(General Data Protection Regulation, GDPR)正式生效,任意占用或使用用户数据的时代已不复存在。




对用户信息的过渡占用


Facebook曾默认收集用户收集的通讯录、通讯录及短信等个人隐私信息。Facebook作为数据信息控制者(Controller)在数据处理上拥有绝对的主导权,而事实上很多用户也并没有意识或者深刻意识到自己的数据信息已经被任意占用,Facebook可以调节隐私设置,这意味着在Facebook上用户囤积的信息,包括自己的、已登录产生的、转发的、发布的、与他人互动的、照片定位、日常频率及动态均变成了个人数据档案(file)计入了Facebook的数据分析库中。



第三方数据共享


Facebook自身的属性定位是用户自我发布自我管理的社交平台,在这个开放平台属性中,第三方应用可以大量入驻平台以便为用户提供更多便利及更丰富体验感。正是因为开放,所以意味着包罗万象,风险与获益共存,一旦第三方从Facebook平台获取用户数据用于不法目的或者非用户意愿目的,则作为数据直接提供方的Facebook具有不可推卸的责任。比如与第三方共享的数据范围之广,比如给予第三方权利,不仅可以获取用户本人的数据,包括用户好友及与好友互动的信息也可以转移给第三方,而用户朋友对此并没有表示同意这种做法,这明显侵犯了用户好友对于自身信息的处置权(Processing Right)。



商业模式根基撼动


Facebook的商业模式是通过无偿或低成本的使用或占用用户数据,其后通过大数据分析精准定位用户特征及偏好,然后通过用户分析推送广告,赚取广告费。这种商业模式是Facebook开创的,也是Facebook用的最为极致的。因此可以说,Facebook确实拥有世界上最顶尖的科技人才,让大数据与广告植入达到无人能及的完美匹配水平,但是成也萧何败萧何,也正是这一模式导致了Facebook的严重诟病问题,无偿或低成本占有用户信息。只有获取用户信息才是进行数据分析的基础,可以说用户数据成为了Facebook带来稳定现金流的“价值资产”(Valuable Property),只是随着数据合规监管的落地,随着用户数据权属划分及保护,这种商业模式的运作可能严重打击甚至不复存在。



Facebook曾采取的

数据合规措施



基于用户隐私数据使用问题及第三方数据转移问题,Facebook都曾采取过一些合规政策来弥补前述的数据合规漏洞。


关于用户隐私数据使用问题。Facebook对于数据保护给予用户更多知情权及主动权,Facebook的隐私政策(Data Policy)主要内容总结如下:


1.告知用户收集的信息范围。


Facebook在隐私条款写到:


包括您使用我们产品所提供的内容,与他人交流和其它资讯,其中包括注册账号、建立或分享的内容;还有发送讯息或与其他用户交流的内容;您连接的用户的资讯;使用我们产品的情况;在我们产品上进行交易的情况(如在游戏中购物,或捐款);其他用户的行为和他们所提供的与您相关的信息;您用来与产品整合的电脑、手机、连网电视及其它联网装置的信息,如装置属性、装置操作等;合作伙伴所提供的资讯,如广告主、软件开发商和发布商通过他们所使用的Facebook商业工具向我们传送的信息……


2.用户享有信息删除权(Deletion Right)


Facebook在隐私条款写到:


我们会持续保存资料,直到不再需要提供我们的服务和 Facebook 产品,或直到您的帐号删除为止(以两者中较早发生者为准)。若您刪除自己的帐号,我们也会刪除您所发布的內容,例如您的相片和近況更新,且这些资讯日后将无法恢复。至于他人分享与您有关的资讯,则不属于您的帐号所有,因此不会遭到删除……


3.第三方平台信息控制(Data Control)


Facebook在隐私条款写到:


当您浏览或使用我们合作伙伴的服务,或通过他们合作的第三方浏览或使用服务,合作伙伴就会收到您的资料。我们要求每一位合作伙伴都必须拥有收集、使用及分享您资料的合法权利,才能将资料提供给我们。


4.数据的跨境传输保护(Cross-border Transmission)


Facebook在隐私条款写到:


我们在全球分享资讯时会遵循本政策,对内与Facebook旗下企业分享,对外的分享对象则包括我们的合作伙伴,以及全球各地您会与其互动联系及分享资讯的实体。举例而言,我们会基于本政策所述之目的,将您的资讯传送或传输到美国或您居住地以外之其它国家/地区,或于该地加以存储或处理。我们传送这些资料,是为了向您提供Facebook使用条款和Instagram使用条款所载明之服务和我们的产品,以及满足全球营运之需要。我们会使用标准合约条款,依据欧盟委员会特定国家/地区所作的适当决定(如适用),并在取得您的同意后才将这些资料传送到美国和其它国家/地区。


除此之外,Facebook在隐私设置及技术处理等问题上也加强了数据的合规性:


1.最大范围扩大隐私属性设置(Privacy Settings)。Facebook努力在所有产品建立隐私属性,包括公共分享产品。即使是用户的联系人列表扩充,用户的个人线程及群组仍然属于私有。


2.加密与安全设置(Encryption and Safety)。Facebook为所有私人通讯端设置加密系统,包括在WhatsApp 基础上也开发安全系统。


3.减少永久性堆积(Reducing Permanence)。Facebook平台随着时间推移堆积者个人用户的大量信及照片,为了最大限度隐私管理,Facebook确定了新标准-内容自动过期或时间归档或基于用户意愿而即时删除过期信息。


4.安全数据存储(Secure Data Storage)。Facebook希望通过打造安全的数据存储中心而确保数据的安全性,但对于敏感信息类型不存储远比存储更有利于信息保护。


关于第三方数据转移问题(Third-Party Data Transfer)。Facebook曾在对第三方入驻平台的管理政策中明确:


(1)第三方平台Facebook要求第三方应用在抓取已授权用户社交关系上的好友公开信息时,同时必须得到被抓取好友的授权;


(2)在第三方应用入驻时,Facebook已经通过签署协议的形式禁止第三方应用将其从Facebook平台合法获取的用户数据向第三方提供;


(3)Facebook已经针对第三方应用,部署了在出现大规模收集用户个人信息数据时的监控机制,并将会追查这些第三方应用收集用户个人信息数据的目的。



对中国企业的启示


1.必须警醒的互联网企业和新经济公司。Facebook只是揭开了数据隐私保护的冰山一角,依赖于用户信息的公司不只是Facebook,还有Baidu,Taobao等数不胜数的中国互联网公司和新经济公司。这些公司面临着巨大的诱惑,搜集用户信息,第三方广告信息推送,公司盈利。因此从其商业模式上就意味这很容易陷入数据侵权的泥潭,特别人工智能与大数据时代已经到来,越来越开放的科技产品极易滋生个人网络安全及个人隐私的被侵蚀。因此对于收集数据的控制者还是利用数据的处理者,特别是与大数据有紧密联系的互联网企业,都应该深知行业自律及法律底线,特别是现在数据合规监管已经不只是局限在一国,欧盟的GDPR已经不局限成员国企业,包括任何向欧盟境内输出服务及商品,处理他们的信息,为了监控欧盟进内可识别的自然人活动而收集他们的信息等,这样的企业均是GDPR的长臂管辖范围之内,因此,如果中国企业不做好全面的数据合规,面临的不只是用户侵权赔偿之诉及来自海内外监管机构的各类型重罚,更重要的是对于商业模式本身的挑战与打击。



2.界定清楚数据信息的法律边界。应清晰关于“个人信息”“敏感信息”等关键的数据信息种类,数据侵权的关键原因往往是对数据信息的隐私属性认识不够。


根据《网络安全法》及《个人信息安全规范》,个人信息是指:能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。



敏感信息:

根据《个人信息安全规范》的规定,敏感信息是指:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。



3.第三方共享机制的合规性。控制者收集数据往往并不是爆发风险的主要归责行为,风险的爆发往往集中在数据的转移过程中,这里面也包括的技术安全漏洞而导致的转移,《个人信息安全规范》第8.2明确规定:个人信息原则上不共享、转让。第三方共享必须符合《信息安全技术》关于“间接获取”用户个人信息的法律要求。按照《信息安全技术个人信息安全规范》规定:作为间接获取用户个人数据信息的接收方,应当:(1)要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;(2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。(3)如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。数据提供方和第三方交易平台应当禁止任何非就合同约定用途及目的的披露或再流转。


4.区块链技术强大助力。Facebook的“数据丑闻”及“Libra上线”这两大事件的相继发生,不能简单的看成是商业模式的转型,也不能将两者看成简单的孤立事件。Libra上线不是偶然事件,这也不能仅仅是因为Facebook看到了区块链技术带来的时代契机,更重要的是区块链具有兼顾实现数据自治、隐私保护及交易透明的独特魅力。以Libra为例,他可以实现在不侵犯用户隐私的情况下,使得Libra进入规模巨大的支付业务,从而切入金融科技领域,赚取巨量的收入和利润。在加密经济学背景下,数据使用必须经过数据使用者授权,如何使用、使用到何种程度、使用代价等等都必须通过智能合约形式来确定。个人数据与网络之间信任鸿沟已经越来越大,而区块链技术作为一个加密、信任、点对点、难篡改等特别的中间件,在网络与个人之间既让个人数据向黄金般珍贵,也让数据交易流通的更高效更透明。



附:姚之队数据与区块链法律服务介绍

 


注:图片来源于网络


或许您还想看

【律师视点】姚约茜:跨境并购中的知识产权审查

【律师视点】姚约茜、刘一民:由数字货币钱包的隐私协议所引发的数据跨境问题的法律思考

【律师视点】刘一民、姚约茜:数据的交易架构

【律师视点】姚约茜、文露:新一轮美国出口管制改革 | 美国商务部发布针对14类新兴技术的出口管制框架征询意见

【律师视点】姚约茜、梅良、文露:FCPA监管 | 海外合规——中国企业国际化的必经之路

【律师视点】姚约茜、文露:国际合规监管| 谁才是FCPA的真正主角?

姚约茜,德衡律师集团高级合伙人,北京德和衡(上海)律师事务所执行主任,跨国投资部主任,上海百名涉外律师人才,独立董事。姚约茜律师毕业于上海交通大学,并取得法学学士、国际法硕士学位,毕业后,姚律师赴美国纽约大学法学院继续深造,获得LLM学位。姚律师同时具有中国律师执业资格和美国纽约州律师执业资格。姚律师曾供职于美国世达国际律师事务所北京代表处、美国贝克麦坚时国际律师事务所北京代表处。姚律师擅长的领域是跨境并购,外商直接投资,私募股权和风险投资,资本市场,区块链合规,国际合规监管等的相关法律事务。


联系方式

电话:+86 137 0174 9668

邮箱:yaoyuexi@deheng.com

文露,北京德和衡(上海)律师事务所律师,曾保送复旦大学法学院,并获得多家海外知名院校JD offer 。文律师在加入德和衡上海分所之前,曾就职于国内某大型PE投资集团,在战略投资部(BD)&投研部(IRD)&投资部(IBD)均有过工作经验,拥有较为扎实的投行项目能力及投研分析能力。后提拔进入某TMT领域生物医药上市公司的IBD部门担任投资经理,从事上市公司相关的投融资、兼并收购及产业基金等工作,熟悉上市公司的投融资交易、资本市场交易、证券投资性基金及PE募投管退全流程。文律师也曾拥有国内大型律所国际投资部(IVD)、全球500强Consulting Co.Ltd.相关经验。文律师擅长的领域是跨境投资争议解决(PE/VC/CM)&跨境投融资交易(PE/VC/CM)&国际商事仲裁(投资类)。


联系方式

电话:+86 139 1623 1523 

邮箱:wenlu@deheng.com 


本文仅代表作者观点,如需转载、节选,请在文首注明作者及来源。


金融科技合规应用专业委员会

团队其他成员

  杜越       曲莹莹       黄梦奇       周杨    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计