Facebook事件的中国解决方案-科技频道-金鱼财经网

Facebook 创始人兼 CEO 扎克伯格。

何渊

最近的Facebook数据泄露事件引起中国法学界的广泛讨论。该事件之所以受到关注，是因为我们感同身受，类似事情在我们身边不断发生：年初支付宝年度账单默认勾选《芝麻服务协议》被质疑侵犯隐私权，百度涉嫌侵害消费者个人信息安全被江苏省消保委提起公益民事诉讼……

先不妨回顾一下Facebook事件的经过：2013年，剑桥大学研究人员科根通过一款性格测试应用获得了包括Facebook的27万用户及好友在内的近5000万人的数据。随后，未经Facebook同意，科根将上述数据转移给“剑桥分析”公司。2015年，Facebook要求科根和剑桥分析公司删除所有数据，但事后并没有跟踪执行情况。2016年，这些数据通过算法被用于政治广告的精确投放，并最终影响美国总统大选进程。

由此看来，Facebook事件爆发的主要原因是平台企业和政府对数据监管的双重失位，所反映出的核心法律问题则是如何平衡数据安全与数据流通之间的关系，而最佳解决方案则是重构政府与平台企业的合作治理机制。在此，笔者结合欧盟《统一数据保护条例》，设计如下中国特色的解决方案。

所谓合作治理机制，其目标是实现数据权利保护和数据自由流通的平衡：既要保护自然人的数据权利和自由，但也不能因噎废食，不能仅仅因为个别自然人的权利保护而被违法地大面积限制或禁止数据的自由流通。

合作治理机制强调的是开放、分享式的多元治理。这种治理机制既包括政府规制，同时也包括非正式、非政府的平台企业自我规制机制，让社会各阶层和组织得以借助这些机制满足各自需要，并实现各自愿望。

就数据控制者及处理者的自我规制而言，其应当遵循合法、公平和透明等原则，确保数据主体的权利得到保护。作为数据控制者的平台企业和作为数据处理者的第三方企业，应当在数据主体明示同意(opt-in)的前提下，基于具体、明确、合法的目的及损害最小化的原则收集和处理数据。

数据处理者作出行为的法律依据，是合同或者数据控制者的书面授权。授权范围和形式必须要具体、明确，数据处理者不能在授权范围之外收集和处理任何数据。否则，数据控制者有权要求其停止一切处理行为，并删除所有相关数据。

具体而言，数据控制者及处理者首先要就数据处理履行安全义务。其应当实施适当的技术和组织措施，确保数据处理的安全水平与风险程度相一致，这些措施包括数据的假名化机制和加密措施，确保数据处理系统的保密性、完整性、有效性和自我修复的能力等。

其次，有向监管机构报告数据泄露的法律义务。在发现数据泄露后，数据控制者和处理者应当及时并如实向监管机构报告泄露情况，具体包括数据泄露涉及的数据主体，数据信息的种类、数量，数据泄露可能导致的危害结果，以及处理数据泄露的应急措施等内容。

再次，负有向数据主体报告数据泄露的法律义务。当数据泄露可能对自然人的权利和自由产生较高风险时，数据控制者应当立即将数据泄露的事实告知数据主体。在影响人数极大且通讯困难等情况下，数据控制者可以通过大众传媒来使数据主体获得同样有效的告知。

最后，应就数据保护影响评估、报告。当数据处理使用了新的算法或技术时，考虑到处理行为的性质、范围、内容和目的可能会对自然人的权利和自由产生高风险时，数据控制者应当在处理数据前完成一份数据保护影响评估报告，及时递交给监管机构并自动接受质询。

就政府层面的规制而言，首先，设立独立的数据监管机构：既要保证监管机构组成及成员的独立性，也要保证监管机构行使职权时程序上的透明度和正当性。独立监管机构的主要成员可由公安局及市场监管局选任，该机构应当具有如下主要职责：数据风险的评估及风险标准的制定、对数据平台企业行使行政调查权及限期整改等矫正性权力、向上级机关或立法机关提出建议的权力及定期发布数据风险预警和数据治理的年度报告等。

其次，设立强制性数据保护专员制度。当实施政府数据开放和利用的机构是政府机关时，或者当其核心业务是用算法处理大量数据且需要进行定期的、系统化的大规模监控时，或者当其核心业务是用算法去处理就业、社会保险与社会保障法等领域以及与犯罪和违法行为有关的大规模特殊数据时，立法应当强制要求数据控制者和处理者指定一名数据保护专员。

再次，建设国家统一的大数据开放平台。为了全面提升数据的有用性和易用性以及公众数据利用效果，有必要通过立法程序建立一个全国性数据开放平台，为全国所有公众无差别地提供一站式的、内容丰富的、便于再利用的数据群，同时还应当通过立法的方式设立首席信息官、首席技术官及首席数据官等专业机构。

最后，建立严厉的罚款等行政处罚制度。“乱世用重典”以及“无重罚无合规”等说法也适用于数据保护领域，笔者建议全国人大通过立法的方式，详细规定个人信息保护领域行政处罚的种类、额度、实施机关、处罚程序及救济途径。借鉴欧盟的做法，建议法律对违反数据保护义务的数据控制者和处理者处以1000万元以上人民币的罚款，或者上一财政年度全球营业额总额2%以上的罚款，二者竞合以较高者为准。

总之，我们需要重构一个以多元、开放、分享为基本特征的数据风险治理体系，在数据权利保护、数据安全和数据自由流通实现平衡，而这需要国家、企业、社会及公众一起努力才能实现。

（作者系上海交通大学法学院副教授）

责任编辑：郑少东