从行政到司法，美国政府想把脸书关进“笼子”里

源济

从行政到司法，美国政府想把脸书关进“笼子”里 

原创 2018-04-08 车钦仪 世界说

世 界 说

车钦仪

作为拥有超2亿月活用户的世界级社交软件，脸书（Facebook）自今年3月曝出泄  露5000万用户信息的丑闻之后，成为互联网数据安全问题的风暴眼。从3月下旬开始，美国行政部门与州级司法部门开始对脸书进行调查，范围波及全美41州。

然而，随着追责工作的展开，这一事件也越发暴露出美国联邦法律在互联网隐私保护方面的缺失。作为互联网行业最发达的国家，美国为什么在数据安全领域出现了技术和立法的双重漏洞，美国政府又将怎样把社交媒体关进数据安全的笼子？

 

没有黑客的数据泄露危机

今年3月18日，美国《纽约时报》和英国《卫报》先后披露，一家名为剑桥分析（Cambridge Analytica）的英国公司在未获明确授权的情况下，使用超过5000万人在社交软件脸书的数据，以对不同用户精准投放政治广告。这可能是有史以来规模最大的一次数据泄露丑闻，并有可能对2016年美国总统选举产生了影响。

△  克里斯托夫·怀利 来源：Flickr

根据曾在剑桥分析任职的告密人克里斯托夫·怀利（Christopher Wylie）披露，2014年，他曾与剑桥大学心理学教授亚历山大·科根（Aleksandr Kogan）合作，通过在脸书上邀请用户填写名为“这就是你的数字生活”（this is your digital life）的有偿问卷，通过获得授权抓取用户信息。怀利向《纽约时报》表示，这项问卷总共获取了超过5千万人的资料，其中约3千万份资料中包含了居住地等重要信息，但仅有27万受访者授权科根使用他们的个人数据进行“学术研究”。

与以往的用户数据泄露事件不同，这次丑闻中没有出现黑客行为，所有数据都是通过脸书第三方接口流出，这使得美国行政和司法部门将调查的重点放在了脸书可能犯下的失职和违法行为本身。3月26日，联邦商务委员会（Federal Trade Commission，简称FTC）正式宣布对脸书开始进行调查。

同一天，来自美国37个州、特区和海外领地的检察长（Attorney General）也联名致信脸书，要求脸书就用户数据泄漏事件提供更多信息，配合各州司法部调查。截止目前，要求脸书配合调查的州已经增至41个。

司法行政联合出击

美国现行司法制度存在两套平行的系统：联邦法律和州法律。两套系统相互独立，监管范围有明确划分，国家最高法院对各州法院没有管辖权。州一级的检察长可以在州法律体系内提起刑事诉讼，但在案件规模较大时，会出现多个州同时起诉相同对象的情况。如90年代，美国50个州的检察长曾对菲利普·莫里斯（Philip Morris）等4家烟草公司以诈骗消费者的罪名提起诉讼，从而发起了全国规模的控烟运动。

△  3月28日检察长致Facebook信件中部分签名 来源：国家检察长协会

在脸书一案上，共和党和民主党达成了难得的一致。在致信脸书的41位检察长中，除一位来自海外领地之外，有23位来自民主党，17位来自共和党。俄勒冈州检察长艾伦·罗森布鲁姆（Ellen Rosenblum）在信中声明：“来自两党的州检察长高度关心选民个人信息的安全。使用脸书不代表用户签署了放弃隐私的终身合同……我们必须保证此类数据泄漏事件不再发生。”检察长们在信中向脸书提出多个问题，如：网站服务条款是否清晰易懂？是否监测第三方数据使用情况？各州分别有多少用户受到影响？

相比之下，联邦商务委员会（Federal Trade Commission）对脸书泄露用户数据的问题有着更持久的关注和更具体的把握。作为美国联邦政府辖下旨在保护消费者、鼓励市场竞争的行政部门，FTC在2011年11月曾就用户隐私问题对脸书展开过调查。调查之后，FTC向脸书提出多项指控，其中包括涉嫌在声称保密的情况下依然允许用户数据公开，以及在未对第三方应用进行审查的情况下允许开发者和广告商获取用户个人信息等。

根据调查得出的指控，FTC要求脸书在保障用户隐私和数据安全方面进行整改。2012年，双方最终达成和解，脸书承诺将遵守FTC规定，停止在数据安全和用户隐私问题上向用户提供不实信息、在向第三方提供额外信息时征求用户明确同意，并设立隐私部门，在产品开发和使用过程中确保用户信息安全。虽然当时没有进行罚款，但和解条约中明确规定，未来FTC有权对脸书的每一次违规罚款4万美元。

△  2012年FTC与Facebook最终和解 来源：FTC官方文件截图

3月26日，FTC正式宣布开始调查脸书是否违反了2012年和解条约的要求。前任消费者保护局负责人大卫·弗拉戴克（David Vladeck）在3月底向彭博表示：“在我看来（此次泄漏）严重违反了FTC的要求，接下来将会有严重的惩罚。”脸书首席运营官雪莉·桑德伯格（Sheryl Sandberg）则在4月5日的采访中作出回应：“我们很自信脸书的数据安全操作符合FTC要求。”

△  脸书首席运营官雪莉·桑德伯格  来源：Flickr

目前，学界认为即使脸书没有直接违规也存在失职行为，预计相关调查将持续一年左右。届时，FTC可能会对脸书进行数亿美元的罚款，并对其未来的数据商业运营模式作出进一步要求。

漏洞重重：怎样把社交媒体关进“笼子”

在网络用户隐私与数据安全问题上，虽然以加利福尼亚为首的美国各州都为当地居民制定了一定的法律保护，但在联邦层面上，美国目前仍缺少一份全面、具体且与时俱进的法案。

2012年，奥巴马政府曾起草《用户隐私法案》（Consumer Privacy Bill of Rights），希望推动国会能就消费者在数字时代的权益作出明确规定，但最终失败。

△  美国国会山 来源：Flickr

至今，许多数据安全相关案件的法律依据依然是1986年通过的《电脑诈骗法案》（Computer Fraud and Abuse Act），该法案进行规定的单位依然停留在“个人电脑”，远远落后于互联网行业迅猛的发展。

受制于数据安全相关法律在力度和范围上的缺失，美国各州司法部门对脸书进行追责的路径也更显曲折。在美国制度下，作为政府的一部分，司法部门只能在法庭上追究谋杀等刑事责任。这意味着虽然各州检察长将展开调查，但是基本不可能直接起诉。

“检察长正在调查（本州）居民的隐私泄漏，但这里不存在刑事罪名。不像欧盟，美国没有制定个人数据方面的刑事法律。” 在接受世界说采访时，关注保护数字版权和用户隐私的美国电子前线基金会（Electronic Frontier Foundation）律师杰米·威廉姆斯（Jamie Williams）说，“但是，脸书很可能面临集体诉讼（class action）。

集体诉讼指的是在多名受害者希望发起诉讼但总体人数过多的情况下，选取其中一人或数人的为代表进行诉讼。2015年，由于职场社交网络领英（LinkedIn）在没有得到用户明确授权的情况下向用户联系人发送大量邮件，多名用户发起集体诉讼，最终达成庭外和解，由领英向全体原告赔偿1300万美元，每人最多可以收到1500美元。目前，已经有三名脸书用户在加州联邦法庭提交诉状，希望发起集体诉讼。各州在调查中所收集的证据最终很可能会在用户发起的民事集体诉讼中使用，而非直接帮助各州检察长追责。

△  领英 CEO Jeff Weiner 来源：Flickr

作为互联网行业最发达的国家，美国在技术监管方面并未居于世界领先地位。在欧盟，脸书、谷歌、苹果等企业已在数据安全等领域经历过数轮官司，但美国的相关法律依然空缺。因此除了行政和司法机关之外，立法机关也将在此次事件中扮演关键角色。脸书 CEO马克·扎克伯格（Mark Zuckerberg）确定将于4月11日接受美国参议院商业委员会和司法委员会的联合质询。在收集充分信息后，国会很可能会在数据安全和用户隐私领域立法，填补美国司法在这一方面的长期空白。

可以肯定的是，本次“脸书事件”刺激之下的司法系统判例、FTC行政处罚以及国会的立法，都将为美国互联网行业的法律监管奠定基础，深刻影响未来的行业运营模式和个人数据使用规范。在用户隐私成为一个世界性问题的背景下，美国将如何灵活利用本国政治制度来填补科技和法律的漏洞，值得长期观望。