透析Facebook事件,对AI行业数据合规的思考
近日来,互联网领域最为引人注目的事件莫过于本月发生的facebook泄密事件。事件本身笔者不再赘述,因各大网站、公众号和学者评论已不尽详细,如需了解相关背景,请君自行查阅相关报道。
Facebook在其发展过程中接连打败myspce、yahoo等竞争对手成为全球第一大网络交友平台,但是其对于用户隐私保护和网络安全方面的隐患却一直存在,甚至近年来多次被各国执法机关(如FTC)进行处罚,如2009年就曾发生过黑客成功入侵Facebook盗取上亿人密码的事件。此外,Facebook接连遭到以欧盟地区隐私保护专家为首提起的诉讼,指控其隐私政策违反欧洲隐私保护的相关法律,并且该等诉讼已经获得了欧洲法院的支持,更甚者一些国家直接对其采取了封禁措施。Facebook理应注意到自身存在数据隐私安全方面的隐患并应引以为戒,但其并未予以反省采取全面有效管控措施。因此本次事件的发生也非偶然,最终只能Facebook自食其果,对大笔罚款予以埋单。
笔者认为,本次Facebook事件所衍射出的主要问题是如何平衡数据安全与数据流通之间的关系。在当前互联网高速发展、“online”又极大便利人类生活与交互体验的大背景下,民众保护个人隐私的意识逐步提升,各国关于信息保护及网络安全的法律法规也相继出台,包括今年5月份即将生效的《欧盟通用数据保护条例》(“GDPR”)以及我国已经出台的《网安法》、《个人信息安全保护规范》和正在酝酿的《个人信息保护法》。现在,全球对这一领域的关注与立法动态,犹如百家争鸣时代昌盛。这意味着过去一些互联网企业要求用户强制遵守完全有利于数据控制者的“霸王条款”和滥用、盗用用户个人信息的情况将会逐渐在法律(及标准)的指引下进行合规化整改,法制取代自治的大方向已经到来。
作为互联网新生代宠儿的AI行业,用户数据的收集与整合从而进行机器学习是实现人工“智能“功能的前置条件。换言之,打通数据获取渠道,建立数据模型,不间断地运用多元化数据进行深度学习,以达到机器自动识别与认知的效果。由于这些新型场景的开发、运用,用户、政府及媒体舆情机构对新技术领域的数据安全颇有担忧,比如法国政府正考虑对涉及数据保护和人工智能领域的企业收购行为进行限制。所以AI公司若想打消人们的这些疑虑,赢得市场的广泛认可,先进的技术和算法是一方面,数据的合规性管理又成重大命题。对此,经营者需要承担更为具体和详细的责任与义务,除促使数据流通和积累帮助机器有更多的语料和素材加以深度学习外,企业内部建立完善成熟的数据安全监管体系与之配套势在必行。
按数据来源进行分类监管
笔者从Facebook本次事件的经验教训出发,对辅助AI企业实现不同功能的数据来源进行分类,从以下几个方面进行积极思考:
用户个人信息收集网络经营者要将自己收集用户信息的目的、种类及保护义务详细完整的告知用户,本着最少收集的原则,不应强制要求用户同意或在未取得用户明示同意或授权的情况下收集用户自身及其关联信息,例如用户好友资料或用户本身其他的不必要信息。对个人敏感信息的收集更需要以增强性告知的形式进行提示。具体内容参见笔者“在《个人信息安全规范》指引下初探AI企业数据合规的Good Practice”一文中的描述,本文不再重述。而Facebook并未将第三方收集用户信息的行为告知用户,也未取得用户授权。而是在用户毫不知情的情况下将数据移转交换至第三方,这也是最终导致5000万用户个人资料泄露的初始原因。
公开信息抓取所谓“数据抓取”也称“数据爬取”,即是从社会公开的信息中收集信息为AI产品提供用户感兴趣的内容。Facebook本次事件其实不涉及公开信息抓取的问题,但是为了照顾内容的完事性,对这方面的合规要求,我们将通过另外一个案例进行说明,即Linked in诉HiQ关于其收集领英平台公开数据是否违法的案件。美国加州北部地区法院支持了HIQ,认为平台上的数据由用户自行发布在公共空间,LinkedIn 不能证明他们拥有这些数据,从而也就没有权利屏蔽他人使用这些数据。任何人都可以手动点开每一个人的信息,拿纸笔抄下来,然后再录入到电脑里。互联网行业的创新不应该被几个数据寡头垄断,公开数据应该可以被公众获取。但是根据GDPR或者我国《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中的规定,对于收集数据主体自行公开的信息是被允许的,但对于自然人约定的在一定范围内公开的信息不得自行收集。
合作伙伴通过接口进行数据共享随着IoT的崛起,使我们的生活变得更加地智能、有趣。智能制造、智能生活(可穿戴+ 家居)、智能城市、智能汽车的打造,使“物物相连”的概念已从几年前的抽象名词变成了现在实实在在可落地的场景。AI行业中也会涉及精准性投放和定向推送的场景,势必会与第三方有数据合作和分享,因此,对于数据保护的要求就变得更为重要。在本次事件中,Facebook通过和剑桥分析公司的合作引入了一款名为“this is my digital life”的性格测试应用,但却没有尽到合理的监管和审查义务,致使该公司在Facebook上获得5000万个人数据并创建了档案,而对这些用户进行了非正当目的的内容推送。为了避免重蹈Facebook的覆辙,网络经营者应该在与第三方进行数据合作或流通的同时,也应设置数据流通壁垒,以用户本身的选择为通过要件,严格执行三重授权原则(即用户授权+平台授权+用户授权),同时对共享部分和非共享部分的数据进行分类处理和管理。即使在某些特殊情况下例如从事科研、保护公共利益等情形下,作为数据的控制方及移交方,网络经营者仍有义务确定第三方的真实目的,若有发现第三方有存在欺诈等违法行为或从事于原始目标不符的工作,应当立即通知第三方删除用户信息并采取有效的保护措施中断第三方对数据的控制权,避免出现控制权脱手或监管疏忽、不严的情况。
按数据流通过程进行分段监管
关于与合作伙伴间进行数据分享和合作的具体合规性建议,可参考笔者【在《个人信息安全规范》指引下初探AI企业数据合规的Good Practice】一文中的相关段落。
这里需要提到的一个新的问题就是,通过“算法”向第三方提供“用户画像”如何有效监管?举个简单的例子,某公司和第三方公司进行某个项目合作,这个项目有且只有第三方能做。那么,为了增强用户体验层级,平台方会在增强告知并得到用户明示同意后收集并共享信息给该第三方公司,通过这些数据能判断用户的喜好、行业等个人基本信息帮助第三方公司进行业务判断决策从而对用户提供和优化服务。
无论如何,平台方仍应尽到下述义务:事前征得用户同意并进行评估,事中进行定期审计与监督,同时建立完备且有效的预警控制手段。
针对设有独立的预警机制,根据我国《国家网络安全事件应急预案》以及《个人信息安全规范》中的规定,企业应事先准备完整妥善的应急预案并每年至少组织相关人员进行一次应急预案响应及应急培训。
但对于事故通报时间及管理层级两方面,笔者认为还可以进一步细化,我国目前尚未规定在发生安全事故时,企业向有关机构报告的时间,这对于在第一时间控制事态发展是不利的,而欧盟GDPR中就明确规定“网络运营商应在发现侵害72小时内通报(能证明该侵害不可能造成当事人权利与自由风险的除外)。不能在72小时送达的,原因应与通知一并提交不得再迟延。因违反本规则收到的损害有权获得赔偿,除控管者证明损害不可归责”。而管理层级方面我国分为四个等级,各层级工作义务及责任十分明确,笔者建议在此基础上应再单独设立可以直达最高管理机构的监管机关或人员并由高层或专门部门直接负责(如欧盟GDPR中关于数据保护官的规定)。另外,企业还应定期对系统进行安全检查,监管部门直接对接公司管理层,对于数据的移转要进行现实的安全评估,提供完整详细的评估报告,同时监管监督要贯穿始终,对于突发性安全事件应根据国家的法律规定采取应对和补救措施。Facebook在明知数据泄露给第三方且自己没有控制权的情况下,没有采取及时的补救措施而是以一种放任的态度对面对,如果他们能够及时的向社会公告、寻求政府部门的协助,那么最终也不会出现这种恶劣的局面。
结语
针对我国目前个人信息甚至隐私泄露比较普遍的现象,笔者认为主要有二方面原因:
其一,普遍群众对于个人隐私保护的重视程度还不足。用户在使用app或者浏览网页时,对于弹出的授权请求通知以及运营商的隐私政策并不是很重视。当然,我国相关立法也在逐渐完善,通过加强民众教育、普法交流,已经有部分人开始自省并注意保护个人隐私,未来对于数据流通兼顾安全保护将会是国家发展(经济发展+主权保护)的主要规范方向,也是互联网行业需要去审慎考虑和规划的重点。
其二,企业对于发展的成本分析维度还不够全面。一些企业认为公司尚处起步阶段,完全合规的成本太高,国家抓典型查处的只是大企业,对中小企业来说建设完整的合规体系尚早甚至还可以钻法律的空子。
其实,这些企业没有算清楚这笔台帐,不进行全面合规所导致的风险成本将会更高。比如GDPR中规定“违反本规则有关的控管者义务、认证机构义务、管理机构义务的对其处以最高一千万欧元的行政罚款;若是企业,最高处以前一会计年度全球营业额的百分之二并以较高者为准;违反有关数据处理的基本原则、个人资料国际传输之规定,侵害本规则所定数据主体的权利或违反依照本规则通过之会员国法律所定任何义务的,最高处以二千万欧元的行政罚款。若是企业,最高处以前一年度全球营业额的百分之四并以较高者为准”。根据中国网安法,对于违反数据保护相关规定的,按情节严重程度,最高可处以100万元的罚款。虽然我国违法处罚力度不如GDPR严苛,但是违法成本的计算不仅仅是金钱一种,对公司造成社会上的不良影响、受到大众的负面评价、危机公关需要付出的人力物力成本、上市资格被禁,股票价格跌落,这些隐形损失的代价无疑是更加惨重的。
在当今经济全球化的背景下,我们更应该时刻保持清醒的头脑和理性的判断,保护企业本身,全面合规并加强全流程监管,其实质也是为了企业防预后续因法律责任不可控产生一系列不利影响而作的提前预防。事先合规成本相当于是在给自身买保险,因为并不是任何企业都可以承受得起数亿美元的罚款与360多亿美元股票市值的蒸发。可喜的是,企业重视合规、愿做合规的声音已经越来越强,据统计已经有55%以上的企业会在进入页面时向用户公开展示收集信息的规则, 48%以上的企业会就其收集个人信息的规则征得用户的同意【注:数据来源于“《中国数据保护年度报告(2018)》系列之一:企业数据收集和利用的现实局面”一文】。
对于我们,人工智能行业本身就自带新兴且敏感的特质,更应该提前建立完备安全的合规体系,从根本上消除隐患,保证用户的信息安全,获得国家和公众的共同支持,从而在互联网大潮流中破浪前行。
注:
本位作者为出门问问法律合规部总法律顾问孟洁和出门问问法律合规部实习生陈子谦