Facebook被罚50亿美元的影响与启示

2019-08-08 14:19:05

Facebook首席执行官马克·扎克伯格。图/视觉中国

Facebook首席执行官马克·扎克伯格。图/视觉中国

因在个人信息保护方面违法作出不实隐私保护陈述,Facebook在2011年曾被美国联邦贸易委员会(FTC)调查。双方最终和解:Facebook承诺不再作出不实陈述,同时承诺不会在用户同意前将其个人信息与第三方共享。

但是,Facebook并未彻底弥补个人信息保护漏洞。2016年,借助一款置于Facebook平台上的应用,剑桥分析(Cambridge Analytica)收集了约8700万Facebook用户的个人信息。基于这些海量数据,剑桥分析利用精准推送影响2016年美国大选,在美国引起轩然大波。Facebook因而再次引来FTC调查。

近日,FTC宣布与Facebook和解,并对后者作出三项处罚:第一,罚款50亿美元,这相当于Facebook年收入的9%,远高于欧洲《通用数据保护条例》规定的罚款金额不超过企业全球收入4%的上限;第二,多方面强化隐私合规,包括限制企业滥用手机号码,限制收集、滥用人脸信息,强化对个人信息收集、使用行为的告知,保障用户删除个人信息的权利,加强对个人信息的防护,等等;第三,设立独立的隐私委员会、隐私合规官和外部隐私监察官,监督并报告Facebook强化隐私合规的情况。

目前,FTC的处罚仍待美国司法部批准,但按照惯例,司法部通常不会反对FTC的决定,因此,这将是史上金额最大的个人信息罚单。

Facebook案反映的主要问题

首先,基于个人信息进行“新闻定制”会危及国家安全。Facebook一案受到美国国会、政府,以及社会各方面关注的最主要原因在于:个人信息被大量收集利用后,用户接收的信息被“量身定制”,进而干扰了2016年美国大选。借助性别、所在地点、就读学校或者帖文内容等诸多个人信息,剑桥分析等助选企业得以推断用户宗教信仰、政治倾向等敏感信息。在此基础上,此类企业可以精确推送精心设计、具备引导政治倾向效用的信息,以诱导投票行为。由于两党在“摇摆州”支持率差距很小,此类诱导行为可能起到关键作用。这剧烈冲击了美国标榜的选举民主制度。

其次,仅依靠“柔性”监管难以落实对个人信息的保障。2018年之前,美国个人信息保护主要依赖FTC,而FTC的监管又很少施以严罚。大部分情况下,FTC只会要求侵犯个人信息的企业停止侵犯行为,承诺不再犯,并在企业内部采取措施实现上述承诺,或定期提交报告说明履行承诺的情况。

在2011年对Facebook的调查中,FTC即作出了类似处罚。然而,在Facebook这一案例中,FTC的“柔性”处理,反而酿成了更为深重的后果。因此,本案发生后,美国社会各界呼吁对Facebook采取严厉措施。

再次,“免费”商业模式下,仅依靠企业自律,无法保障个人信息安全。有FTC委员指出:Facebook商业模式的核心,就是记录用户各种特征和一举一动,再针对性投放广告。因此,这家企业始终渴求更多个人信息。

有美国媒体统计:因侵犯用户个人信息,Facebook首席执行官扎克伯格曾先后在2006年、2007年、2009年、2010年、2011年、2013年、2018年多次向用户道歉。然而,Facebook至今对用户个人信息的保护状况仍令人难以满意。此外,在很长一段时间内,对应用开发者过度获取个人信息的行为,Facebook听之任之。

值得注意的是,政商关系正影响美国互联网行业个人信息保护。近年来,美国媒体与学术界时常诟病大型互联网企业与联邦政府间的密切联系。有学者因此提出“美第奇循环”的概念:大型互联网企业借助游说、选举捐款等手段影响政治权力的运作,再循政治权力的偏向扩大自身的规模。企业规模与企业的政治影响彼此加强。

对此次FTC调查,Facebook早在2019年一季度季报中就说明:已拨出30亿-50亿美元,以应对将有的和解。最终罚款数目确实没有超过这一范围。和解颁布当天,Facebook股价不跌反升。这些现象说明:Facebook和华尔街都预见到了和解内容。对Facebook来说,这次惩罚可谓轻微:面对波及如此广泛、各界舆论如此不利的调查,最终罚款数额仅为其季度利润的三分之一。

最后,处罚是否能遏制滥用个人信息的行为,效果仍然成疑。除和解协议外,FTC还发布了参与决策委员的意见。有两位委员对和解提出尖锐批评:相比Facebook滥用个人信息的获利,本次罚款不能算重;知晓甚至参与滥用个人信息的Facebook的高层没有受到处罚;和解几乎“赦免”了Facebook先前一切相关违规行为;和解要求建立的隐私委员会、合规官和监察官,有较大可能沦为“纸面功夫”。媒体方面,有报道将这次处罚形容为“轻轻敲打”。如果处罚不够重,Facebook未必会彻底改正。

对美国个人信息保护的影响

目前,在联邦层面,美国始终没有一般性的个人信息保护立法。相关法律分散在医疗、征信等个别行业,或仅针对未成年人等特定群体。因此,对Facebook及剑桥分析的行为,只能依靠FTC施行有限度的处罚。

受本案触动,对个人信息保护进行联邦统一立法已是美国舆论共识,美国立法机构也采取多方面措施。

2017年以来,有多名议员提出联邦信息隐私保护法草案,包括应用隐私安全法案(Application Privacy, Privacy and Security Act)、消费者数据保护法案(Consumer Data Protection Act)、数据掮客问责与透明法案(Data Broker Accountability and Transparency Act)、“我的数据”法案(My Data Act)等等。

另外,围绕消费者数据安全及个人信息保护立法,从2017年底以来,参众两院先后六次召开听证会,向互联网企业代表、行业代表、知名学者等咨询。FTC日前已对《儿童网络隐私保护法》配套法规的修改公开征求公众意见,并将于今年10月举行听证会,评估修改完善的必要性。此外,美国法学会今年4月公开发布了近200页的《数据隐私法原则》草案。

但是,考虑到美国立法体制的低效、两党分歧以及科技企业的不懈游说,相关立法进程仍需耗费较长时日。

目前,FTC仅有约40名雇员负责处理个人信息相关事务,执法人员不足的问题将更加突出。一方面,美国侵犯个人信息的现象仍十分普遍;另一方面,当侵犯个人信息的现象涉及大型互联网企业,展开相应调查需要耗费大量人力及资源。FTC不得不寻求增加人员,以应对频繁出现的个人信息类案件。但是,由于占据参议员多数的共和党对监管扩张持反感态度,FTC可能无法如愿扩张人力。面临公众要求加强个人信息保护的呼声,这将限制FTC相应执法调查的覆盖面,也会导致“选择性执法”问题。

本案的另一个影响是,针对个案的处罚力度将增强。此前不久,FTC对TikTok(美国版抖音)同样作出了史无前例的大额罚款,数额达570万美元。至于Facebook,50亿美元不算多,不过,这已是历史上FTC针对个人信息保护开出的最大罚单。相比过去,这一金额显著抬高了惩罚“天花板”。考虑美国舆论对隐私日益关注,可预期FTC未来很可能将对个案开出更重罚单。

本案后,FTC对企业内部组织结构的干预将加强。在这次处罚中,FTC要求Facebook设立独立的隐私委员会、隐私合规官和外部隐私监察官。三者具有以下共同特征:首先,具备一定程度的独立性,企业控制者无法直接影响后两者的任免;其次,新设职务都有很大权限,他们有权阅览企业一切“与隐私决定相关的材料”,FTC也明确要求他们不要只依靠企业人员的说辞,而是要了解实际情况;最后,担任这些职务的人员可以直接向FTC汇报。

对中国个人信息保护的启示

Facebook案虽然发生在大洋彼岸,但同样对中国具有启示意义。

第一,进一步认识个人信息保护的重要性,加快推进相关立法。本案充分说明:大范围个人信息的收集与利用,除了影响公民个人权益,也会影响国家安全和公共利益。此外,海量个人信息遭遇安全问题,还可能引来大规模的境内外舆论反弹。目前,中国《个人信息保护法》《数据安全法》等相关立法虽已列入十三届全国人大常委会一类立法规划,但至今尚未形成公开的正式法律草案。考虑到还有三读的立法过程,与实践的急迫需求相比,立法节奏需要加快。

第二,进一步增强现行法律法规的落实,加强个人信息保护领域的执法。Facebook案充分说明:如果执法和处罚缺乏力度,仅仅依靠“柔性”监管及企业自律,无法达到保护个人信息的目的。虽然《网络安全法》《消费者权益保护法》等法律已经初步建立了个人信息保护的法律制度框架,但是中国还缺少像FTC这样有影响力的行政执法力量,对企业滥采滥用个人信息的威慑力不足。相关执法机关应当在以下三方面予以强化:其一,保障执法资源,建设有一定规模且具备专业性的个人信息执法队伍;其二,加强担当意识、有法必执、积极作为,以发挥震慑作用;其三,对影响范围较大、造成较高风险、或有其他严重情节的个人信息滥用行为,在法律法规范围内给予严厉处罚,以强化震慑作用。

第三,探索创新企业组织形式,引入外部力量监督个人信息保护。个人信息的收集和使用不仅关乎企业利益,还关乎公共利益和个体权益。因此,对企业在个人信息方面的重大决策,其他主要利益相关方应有适当话语权。在美国,设立此类委员会,日益成为FTC常用的监管手段;在德国等部分欧洲国家,也在引入员工代表等相关方监督企业对个人信息的保护。中国亦可借鉴经验:在“网络安全责任人”等已有设计的基础上,进一步探索创新组织形式,便于公共利益代表与个体权益代表监督企业个人信息保护。

第四,进一步提高中国企业个人信息保护合规意识,防范美国以保护个人信息为名干预中国企业经营。现实中,FTC“选择性执法”的风险日益增强,处罚措施对企业运营的干预程度日渐加深。此外,中国的今日头条等企业的美国关联实体(即上述TikTok案),已有因个人信息保护不力遭受巨额处罚的先例。因此,一旦中国企业遭遇类似Facebook的处罚,将受到巨额损失。美国可能要求设立多种“独立”且具备高权限的职务,这会干扰企业正常经营,甚至带来国家安全风险。在中美贸易新形势下,应进一步提高中国相关企业个人信息保护水平和自觉,避免成为美国执法机构的目标,并做好应对预案。与上述第三点相呼应:相应组织制度的完善,有助应对美方将来可能提出的类似要求,将主动权保持在中方手中。

第五,进一步加强个人信息保护国际比较研究,抓住个人信息保护法律体系建设这一契机,提升中国在国际网络空间治理中的话语权。个人信息保护是网络空间国际治理的核心议题之一,相比西方国家,中国起步较晚。但反观当下美国,由于自由主义思想传统,以及实践中各方利益彼此掣肘,立法进度已隐隐有滞后之势,执法孱弱也已招致各方不满。此消彼长,中国有可能、也有条件在个人信息保护法治建设方面取得领先地位。因此,有必要进一步组织力量,系统开展国际个人信息保护状况比较研究,在吸取美西方国家经验教训的同时,构建既有中国特色又有国际引领高度的个人信息保护制度体系。

(作者周辉为中国社科院文化法制研究中心研究员、朱悦为中国社科院文化法制研究中心助理研究员;编辑:朱弢)

周辉 朱悦/文