（图片来源：全景视觉）

张彧通、龚嫄/文 2018年，和人工智能、区块链等技术一样，数据安全与隐私保护成为贯穿全年的热门话题。

话题的引爆离不开发生在3月份的Facebook数据事件，全年的另一重磅的事件当属5月份欧盟《通用数据保护条例》生效。前者引起的全民隐私反思，后者带来趋严的监管环境。

这两起事件标志着互联网企业的外部商业环境出现了全新变化。在面对各国公民隐私保护意识正在不断加强；加强互联网平台管理义务的呼声此起彼伏；各国数据安全、信息保护等监管政策逐步落地的背景下，企业如何商业运用数据？如何执行数据合规？笔者认为，可以从过往找寻答案和经验。

一、数据丑闻中，Facebook做了什么？

2018年3月17日，纽约时报和英国卫报共同发布了深度报道，曝光Facebook上超过5000万用户信息数据被一家名为“剑桥分析”（Cambridge Analytica）的企业违规使用，用于在2016年美国总统大选中针对目标受众推送广告，从而影响大选结果。随着股价下跌，Facebook的市值在两天内共蒸发近500亿美元。美国联邦贸易委员会（FTC）与英国监管机构就Facebook事件展开调查。4月11日开始，Facebook的CEO扎克伯格前往华盛顿参加了两场针对此事件的听证会。在互联网公共安全事件面前，监管机构关注的焦点，不单是企业数据网络是否绝对安全，而是为了网络数据安全，企业做了什么。尽管多数媒体有关Facebook事件的报道使用了“泄露”一词，但是结合各方信息来看，本次事件应当定性为因数据合作伙伴的违规行为导致的数据丑闻。

那么Facebook到底做了什么？为了打造开放的生态，Fcebook在此次事件中其实只做了一件事——向“剑桥分析”开放数据调用接口。通过付费的性格测试，“剑桥分析”诱使Facebook用户注册其APP（完成测试即可获得5美元），在此过程中获得了用户的授权，基于该授权调取用户在Facebook上的相关数据（用户身份，朋友关系网和“赞”过的内容）。“剑桥分析”收集到前述数据后，对用户的政治意向进行了分析，并根据其分析结果推送定制化的政治宣传广告。虽然在2015年Facebook就要求“剑桥分析”删除他们获得的数据，并获得了“剑桥分析”的肯定答复。但是此时数据已经脱离了Facebook的掌控，Facebook没有也很难对“剑桥分析”的数据销毁工作进行检查。事后，Facebook对外公布了其整改措施。第一，明确三项整改原则：1.用户对他们在Facebook上发布的所有内容拥有所有权，可以全权决定这些内容是否分享以及怎样分享；2.用户删除Facebook账户之后，Facebook会尽快清除用户此前的内容和数据；3.Facebook会采取严格措施，避免此前的第三方开发者滥用和转售用户数据。第二，开展三项具体整改措施：1.针对2014年以前的第三方应用以及可疑应用进行审查。2.限制开发者对数据的使用：超时未使用视为取消授权；授权登录仅分享必要信息；用户更多信息的获取需要平台许可+用户授权等等。3.开放工具供用户查询并关闭其授权。对于用户授权，包括但不限于登录授权、信用分查询授权、手机权限调用授权等均应当有明确的界面由用户进行查询和自主管理。

Facebook之所以出现此次巨大的数据丑闻，是因为其本身的业务开展方式存在的天然隐患。第一，开放生态导致数据控制存在先天隐患。2007年为丰富平台服务功能，Facebook对外开放第三方调用接口，但是对接入开发者没有合理、完善的审查。第三方开发者只要获得用户授权就可以向Facebook调用用户个人信息和好友数据。2014年，为杜绝数据滥用，限制第三方应用可访问数据，制定“用户+好友”双授权，敏感信息平台许可等措施。但是，从整个事件的时间线来看，第三方应用违规收集、滥用信息的现象由来已久，隐患从平台制定过于开放的政策时就已经埋下。剑桥分析这样的用户数据被私下盗用事件，也是扎克伯格在摸索社交网站商业化过程中犯下的明显管理不力错误。第二，通过试错方式发展业务在隐私保护领域行不通。2011年11月美国公平贸易委员会FTC就曾对Facebook进行调查，调查理由是怀疑Facebook在用户隐私保护上对用户进行了欺骗。调查结果以双方达成协议而告终，依据协议要求如果Facebook要在隐私设定范围之外使用用户的数据，他们必须要获得用户的许可。

此次事件带来的教训众多，其中最重要的两个是：第一，信息是从Facebook平台泄露出去，且Facebook在此过程中没有尽到合理的管理义务，因此所有矛头都将直接指向Facebook；第二，Facebook曾经进行过整改，规范数据安全和隐私保护工作，但是隐私丑闻是没有时效性的，一旦发生数据丑闻，将会给企业带来极大的负面影响。

二、企业开展数据安全与隐私保护工作时应当注意什么？

数据已成为了互联网企业和科技企业生存和发展的基础性问题。伴随着数据、隐私在全球的监管趋势加强，中国监管机构将在2019年开展与数据和隐私保护相关的监督检查甚至专门立法工作。为了有效应对未来趋严的监管，以及企业自身的规范管理需要，我们认为企业至少需要注意以下五个原则。

第一，企业应当意识到用户隐私保护对企业声誉的重要性。作为数据的控制者身份，需要互联网企业承担用户隐私保护的责任。Facebook在该事件中是以数据控制者的身份被苛责。这充分说明，互联网平台尤其是有能力收集、保存大量数据的平台，在“控制”层面上，是数据价值的最大利用者，也是数据价值的最大获益者。所以，内部的算法、商业模式无法解释其责任。政府和社会倾向于让平台承担更多的责任。

结合我国规范诸如“内涵段子”产品在内的监管思路来看，管理当局认为互联网平台所肩负的责任正在不断被加强。滴滴平台服务质量的下降、共享单车盲目追求商业而忽视社会效应，公众持续认为大型互联网平台应当肩负起应有的社会责任。在各方日益关注的隐私和信息保护问题上企业一旦处理不当，或者对外言论失当，将会危及公众对平台的信赖和信心，动摇企业发展的根基。

第二，综合考虑数据、隐私和业务发展的关系。仍然以Facebook作为例子。Facebook在产品开发方面完全是工程师文化。做了再说，边做边改，不好就删，错了就改。而在用户隐私方面，Facebook也是在一边不断摸索社交营销的商业模式，一边根据用户反馈来自我调整。这种企业文化造就了Facebook的创业传奇，也导致了Facebook在用户隐私上屡屡犯错。根据用户反馈进行的调整，从现在来看是滞后的，最好的方法是参考国际隐私保护实践的通用做法——Privacy by design。具体来说，需要设立多方参与的隐私保护专门机构，将隐私保护融入到产品设计当中，加强安全审计、定期检查隐私保护；排查数据安全方面可能存在的侵权情形；定期开展隐私影响评估，即根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界；调整安全控制措施，使用户信息处理过程处于风险可控的状态，并针对相关情形制定好公关甚至战略方面的应对方案。

第三，开放生态过程中做好内控与外管。在开放生态的过程中，企业应当采用适当的内控和外管方式保证隐私、数据保护。需要注意的是，由于企业管理是闭环化、流程化、常规化的，企业内部在隐私保护、数据安全方面往往可以有标准规范可寻。但是在开放生态的过程中，数据和隐私的保护难度就会极大的提高。剑桥分析私下盗用数据就是Facebook在开放生态中流程管控不力的表现。在未来，企业不仅要采用适当内控方式进行管控；而且一旦发现合作方在数据使用违反了合作协议，需主动向对方提起诉讼，或者通过发送律师函、公告等手段，积极联络监管部门说明情况，展示企业负责任的态度。

第四，为关键岗位提供必要的隐私保护培训。只有当企业全体员工对隐私保护有所了解，形成隐私保护的观念，Privacy by design的理念才能够得到有效的落实。同时针对隐私敏感部门的员工、涉及数据全周期的数据和业务部门相关员工需接受更加具体的数据保护、隐私保护的系统培训，提高合规意识。

第五，积极参与隐私保护的社会共识建设。互联网行业发展迅速，离不开行业参与者的自律管理。在数据安全与隐私保护领域，企业应当积极参与到各类规范、标准的制定工作中。此类规范包括隐私保护联盟、隐私认证等等。例如，引入隐私保护领域专门的国际认证，将成熟实践纳入其中；又或者和高校研究机构合作开展培训，或者推进隐私保护标准；还可以参与协会的自律公约，为创设安全、可靠的行业秩序做出贡献。

三、企业应该怎么具体做数据安全和隐私保护？

在未来，企业应该关注内部与外部工作的结合，关注数据治理流程与数据运用目的的结合。

企业应当构建相应的内部数据工作原则。第一，确定企业审慎的数据处理与合作原则。企业对于数据合作的原则将会成为业务合作、风险评估的第一道门槛，这道门槛如果不设置或设置的过低将会导致数据合作具体评估标准的无法执行和落实。因此企业首先要确立企业级别的数据处理与合作原则，在此基础上则需要进一步确认和验证这一原则可以对用户个人信息进行有效保护。第二，规范数据合作过程中的边界。且前述数据极大可能以原始数据形式直接向其传输和提供。原始数据是企业的核心资产，以原始数据直接进行开展对外合作将无法保证合作的持续性，以及企业资产、个人信息的安全性。因此在开展数据合作过程中应当始终坚持“原始数据不出库”，在此基础上就数据分析结果、数据分析技术对外开展持续的合作，将用户个人信息保护、企业资产保护与数据合作以更合理、合规的方式进行融合。第三，对数据业务合作方进行动态管理。对于数据合作方的管理应当贯穿在整个合作过程中，前期需要对合作方的资质、数据合作目的，出参数据的使用范围等进行评估和约定；合作过程中也应当对合作方的调用情况、调用规模等进行管理；合作结束后还需要对应当归还或销毁的数据进行跟进处理，并对已经脱离控制的数据进行评估。第四，数据保护责任无法推卸。即使在数据合作过程中将一定的数据保护义务通过协议或其他技术手段转移至合作伙伴来承担，但是如果发生数据泄露、数据滥用事件时，平台方依然会被要求履行更高的注意义务和保护责任。要时刻注意，在法律层面做到了基本的合规，一旦发生数据丑闻，平台方或数据提供方将遭受的是比法律制裁还要严重的信任危机。

企业应当构建“向善”的数据处理原则。第一，授权为先——因金融行业相对于常规行业更贴近用户的个人信息与安全，所有收集和使用的数据都必须获得用户授权。第二，全周期管理——确定内部产品全周期的数据处理流程，在Privacy by design的基础上，集合企业内部各部门之力，将数据安全、隐私保护、员工教育落到企业业务、产品设计的每一个环节。

企业应当明确数据合作评估标准。第一，用户授权标准，即入参、出参的原始数据均需在获得授权的前提下进行使用和提供。企业获取用户授权的基本情形需要在隐私政策以及具体产品的协议内进行约定，并通过用户主动勾选确认的方式进行获得。合作方的授权除了在协议内进行承诺外，还需要对合作方采集场景及授权方式进行形式审查，确保合作方的承诺具备合理性。第二，个人定位标准，确保输出信息无法直接定位到个人或直接体现具体情况。出参数据一般以评分、结果判断（如“是/否”）、区间等分析结果数据为主。针对分析结果需根据字段性质、区间间隔等进行进一步评估。第三，原始数据标准，即所有对外输出数据均为经过统计加工后的分析结果，企业的原始数据不得直接对外输出，如购物记录、消费额度等。第四，数据加密标准，即数据不得明文传输或存储，所有对外的数据流通环节，均须经保证数据经过合理措施下的加密操作，保证在传输过程中或存储状态下即使被盗取或泄露也不会产生泄露个人信息的风险。

2019年即将到来，在经历了一系列的标志性事件之后，企业能够在数据安全和隐私保护等问题上做的更好么？行正路远，也许正是企业、社会、政府等多方主体共同努力的时候。距离从公共利益、隐私保护以及商业价值等多角度出发构建的一套适合体系的目标已经不远了。

（作者张彧通为京东数字科技研究院研究员，龚嫄为京东数字科技法律合规部法律顾问）